Data-analytics: vergeet de security niet
Data-analytics is voor steeds meer bedrijven van grote toegevoegde waarde. Uit grote hoeveelheden gegevens destilleren ze interessante businessinzichten. Tegelijkertijd vormen de gebruikte cloudtoepassingen voor hackers een dankbare toegangspoort tot waardevolle data.
Toepassingen voor data-analytics bieden toegang tot grote hoeveelheden data. Een data-analyticsomgeving bestaat vaak uit een mix van on-premises en cloudtoepassingen. Een data-analyticsoplossing biedt daarbij toegang tot al die verbonden systemen vol gevoelige, waardevolle data.
Beveiliging van dergelijke omgevingen is dan ook cruciaal. Data kan uitlekken en zo terechtkomen bij de concurrentie. Cybercriminelen kunnen op de omgeving inbreken en de gestolen data doorverkopen op het dark web, of hem zelfs misbruiken.
AVG-compliance
Ook voor AVG-compliance is de beveiliging van gevoelige gegevens cruciaal. De nieuwe privacywetgeving verplicht tot goede zorg over de persoonsgegevens van betrokkenen. Daar hoort een strakke security bij. Opslag en verwerking moeten volgens de spelregels gebeuren, anders riskeert de verwerkingsverantwoordelijke een forse boete.
Zowel de verwerkingsverantwoordelijke als de verwerker hebben deze plicht. De verwerkingsverantwoordelijke is de organisatie die het initiatief neemt tot de verwerking. Een verwerker verzamelt, bewaart en verwerkt gegevens namens de verwerkingsverantwoordelijke. In dit verband is dat bijvoorbeeld de betrokken cloudprovider van de analytics-oplossing.
Bij de keuze voor een data-analyticsprovider is een aantal zaken van belang:
- De juiste veiligheidsprocedures
Veiligheidsprocedures verkleinen de kans op een geslaagde cyberaanval. Wie een provider kiest, doet er goed aan te controleren welke procedures deze hanteert. Een bekende methode is bijvoorbeeld DREAD, een procedure die beveiligingsproblemen in systemen opspoort. Ook regelmatige audits en pentesten door externe, onafhankelijke partijen zijn een goed teken. Dat moet dan wel gebeuren volgens de richtlijnen van het Open Web Application Security Project (OWASP). - Adequate toegangsbeveiliging
Net zo’n belangrijk aandachtspunt is hoe de toegang tot de oplossing geregeld is. Uiteraard mogen alleen bevoegde gebruikers hierbij, en dan enkel met de hoogst noodzakelijke rechten. Een reguliere gebruiker zou bijvoorbeeld geen databronnen mogen verwijderen of toevoegen. Ook is het zaak dat een gebruiker slechts die informatie krijgt te zien die strikt noodzakelijk is voor zijn of haar functie. Een goede analytics-oplossing biedt een fijnmazig systeem voor het instellen van rechten per individuele gebruiker. - Gegevensbeveiliging
Ten slotte is de manier waarop een provider databeveiliging toepast een doorslaggevende factor. Een belangrijk aandachtspunt is bijvoorbeeld of de datastroom tussen de gegevensbronnen en de software versleuteld wordt. Ook is het goed om na te gaan op welke wijze de software de data beschermt tijdens het analyticsproces.
Kies een betrouwbare provider
Security is nauwelijks een kernactiviteit voor de meeste organisaties. Toch is het een belangrijk aandachtspunt voor wie aan de slag wil met analytics. Wie zeker wil zijn dat zowel de data als de analytics-oplossing voldoende zijn beveiligd, kiest het beste voor een oplossing van een bewezen provider, zoals Amazon Web Services, Hitachi, Microsoft of Oracle.