AVG Windows-bestandsserver aanbevolen procedures

Vanaf 25 mei^e, 2018 moeten alle bedrijven die EU-persoonsgegevens verwerken GDPR-conform zijn. Vanuit het perspectief van een GDPR Windows File Server zijn persoonlijke gegevens van het grootste belang voor AVG-naleving. Bedrijven buiten de EU gaan ervan uit dat de AVG niet op hen van toepassing is, maar elke interactie met een EU-burger vereist naleving - het runnen van een bedrijf dat zich buiten de EU bevindt, geeft u geen "kaart om uit de gevangenis te komen" !

Met de AVG moeten bedrijven autoriteiten en klanten binnen 72 uur na het bekend worden van het incident op de hoogte stellen van datalekken, gegevens bijhouden om klanten te laten bevestigen of hun gegevens worden gebruikt en hoe, hen een kopie van hun gegevens verstrekken indien gevraagd, en hen toestaan hun gegevens te laten wissen. Als onderdeel van de AVG-data discovery audit moeten bedrijven alle persoonlijke gegevens classificeren en die gegevens, zodra ze zijn geclassificeerd, beschermen.

Deze checklist bevat best practices voor de bescherming van persoonlijke gegevens die zijn opgeslagen op een Windows File Server-infrastructuur. Persoonlijke gegevens omvatten echter ook zaken als e-mail die is opgeslagen in Office Online of on-premise in Exchange. De details die volgen, zijn best practices die moeten worden gevolgd voor de bescherming van persoonlijke gegevens in overeenstemming met niet alleen de AVG, maar ook andere normen (HIPAA, FINRA, enz.).

Persoonsgegevens die onder de AVG vallen

Artikel 4(1) definieert “persoonsgegevens” als volgt (alle nadruk toegevoegd tenzij anders vermeld):

"persoonsgegevens": alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of naar een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon;

Met zo'n brede definitie moet elke organisatie Persoonlijke Gegevens identificeren en beschermen. Welke tools zijn beschikbaar voor Windows-systeembeheerders om gegevens te identificeren en beschermen? In de volgende secties identificeren we tools en bronnen die beschikbaar zijn voor netwerkbeheerders om AVG Windows-bestandsservers en -shares te beschermen.

Persoonlijke gegevens identificeren

Als onderdeel van het discoveryproces moeten organisaties hun gegevensverwerkingsactiviteiten gedetailleerd identificeren. Ze kunnen dit doen door een register van alle gegevensverwerkingsactiviteiten op te stellen en bij te houden. Onder de AVG moeten organisaties volledige interne documentatie van hun gegevensverwerkingsactiviteiten bijhouden.

De eerste stap in het beschermen van externe toegang tot gegevens met MyWorkDrive is het identificeren en lokaliseren van persoonlijke gegevens en bedrijfsprocessen. Zodra persoonlijke gegevens zijn geïdentificeerd, kunnen ze worden beschermd tegen toegang. Naast het ontwikkelen en documenteren van workflows voor gegevensverwerking, bestaan er hulpmiddelen binnen MyWorkDrive om te zoeken naar bestanden op Windows-bestandsshares inclusief Windows Search Service en voor grotere organisaties dTSearch. Het combineren van onderzoek naar gegevensverwerking, documentatie en ontdekking is de eerste stap in het beschermen van Windows-bestandsservers bij elke organisatie die onder de AVG valt.

Bescherming van persoonlijke gegevens op Windows-bestandsservers

Zodra de gegevens zijn geclassificeerd, moet u een uitgebreid begrip hebben van het type gegevens dat u verwerkt en hoe de gegevens moeten worden beschermd. Denk na over hoe u momenteel persoonlijke gegevens beveiligt (indien van toepassing) en breng de nodige wijzigingen aan of voer de nodige procedures in. Het beschermen van de privacy van persoonlijke gegevens moet prioriteit krijgen. Het kan nodig zijn om een Privacy Impact Assessment (PIA) van beleid uit te voeren om de levenscycli van gegevens en de mogelijke impact op de privacy van het individu te evalueren.

De nadruk moet worden gelegd op AVG-specifieke vereisten, zoals het waarborgen van gegevensportabiliteit, het recht om geïnformeerd te worden, het recht om vergeten te worden en de juiste manier om gegevens te vernietigen. De nodige procedures en controles moeten aanwezig zijn om de rechten te ondersteunen waarop persoonlijke gegevens zijn opgeslagen. Praktijken om gegevens te beveiligen zijn nodig voor persoonlijke gegevens in alle vormen en locaties, inclusief on-premises en in de cloud, geback-upte gegevens, gearchiveerde gegevens en gegevens die worden gecreëerd. De beveiliging van volledige levenscycli van gegevens moet worden aangepakt.

Om persoonlijke gegevens te beschermen kunnen bedrijven verschillende methoden gebruiken, waaronder encryptie, anonimisering en pseudonimisering. De methode die u gebruikt, is afhankelijk van de machtigingen en toegang van de gebruiker. Het ontwikkelen van een bewaarbeleid voor bestandsarchieven is essentieel, zodat bestanden na verloop van tijd kunnen worden verwijderd en daarom niet langer aan de naleving hoeven te voldoen.

Microsoft heeft uitgebreide bronnen voor het vergrendelen van GDPR Windows Servers om te voldoen aan de AVG, inclusief bescherming van inloggegevens en beheerdersrechten en het beveiligen van het besturingssysteem om uw apps en infrastructuur uit te voeren. Naast de Microsoft-bronnen om Windows File Server-besturingssystemen te vergrendelen, is het van cruciaal belang om systemen te beveiligen voor vertrouwde netwerken en aanvullende beveiligingsmaatregelen in te schakelen, zoals tweefactorauthenticatie wanneer gegevens op afstand worden benaderd en downloads naar onbeheerde apparaten te voorkomen.

Veel hiervan houdt in dat het gaat om basiszaken zoals het opvragen van systeemlogboeken en eventueel diverse hulpmiddelen om de logs te verzamelen en hierover te rapporteren. Maar waar mogelijk moeten bedrijven ook overwegen om zaken als Data Leakage Prevention te implementeren om alle persoonlijke gegevens te monitoren waartoe toegang wordt verkregen, zowel on-premises als op afstand.

Vanuit het perspectief van MyWorkDrive kan het beschermen van persoonlijke gegevens in gedeelde bestanden zo eenvoudig zijn als het volledig uitsluiten van externe toegang of het beperken van de toegang voor specifieke gedeelde bestanden tot lezen en bewerken in onze Web File Manage-client, terwijl downloads worden beperkt met behulp van onze functies voor het voorkomen van gegevensverlies.

Versleuteling tijdens de overdracht

Protocollen zoals: FTP-servers in Windows IIS gebouwd, voldoen niet aan de GDPR-normen. Oudere Windows VPN-clients ook niet. MyWorkDrive voegt extra bescherming toe tijdens de overdracht om bedrijfsgegevens te beveiligen met hoge encryptie, uitgebreide logging, tweefactorauthenticatie en functies voor het voorkomen van gegevensverlies.

MyWorkDrive Server en clients ondersteunen de TLS 1.2-standaard volledig om bestanden te beveiligen en bedrijven kunnen TLS 1.0-toegang veilig uitschakelen. Onze MyWorkDrive-ondersteuningsartikel beschrijft hoe u onveilige en zwakke codes kunt uitschakelen om gegevens tijdens de overdracht te beschermen.

Een extra stap om gegevens tijdens het transport te beschermen, is het besturingssysteem zelf te beschermen met firewallregels. MyWorkDrive zelf kan worden uitgevoerd in een aparte firewallzone die de inkomende en uitgaande poorten beperkt tot alleen die welke vereist zijn voor SMB-shares, Active Directory en DNS-verkeer intern en HTTPS (SSL)-verkeer extern. Aanvullende details over poortbehoeften voor correcte MyWorkDrive-serverfirewallcommunicatie in een vergrendelde omgeving zijn beschikbaar hier.

Encryptie in rust

Een manier om deze blootstelling aan AVG-inbreuken te beperken, is door gegevens in rust te versleutelen - zelfs als er een inbreuk zou plaatsvinden als de versleutelingssleutel niet wordt geschonden, kunnen bedrijven de meldingsstap mogelijk vermijden.

Het AVG-rapport heeft hier een geweldig artikel waarin staat: "In het geval van datacompromittering of -verlies, kan de organisatie, als ze de volledige controle heeft over haar eigen encryptiesleutels, de meldingsstap helemaal overslaan als de data onleesbaar is voor de wereld buiten de organisatie. Als daarentegen de cloud- of SaaS-provider de sleutels beheert en deze worden geschonden, is er geen manier om er zeker van te zijn dat de data van de organisatie veilig is - en volgen er meldingen en boetes." Dit omvat bestanden die zijn opgeslagen op GDPR Windows File Servers en back-ups die on-premise of in de cloud zijn opgeslagen.

MyWorkDrive slaat nooit klantgegevens op, ongeacht of deze on-premise zijn op de MyWorkDrive-bestandswebtoegangsserver of wanneer ze worden geopend in Office 365 Online. Bedrijven kunnen hun gegevens veilig versleutelen op Windows-bestandsshares zonder de externe toegang tot MyWorkDrive-bestanden te beïnvloeden door gebruik te maken van ingebouwde Windows-servertools of door gebruik te maken van externe leveranciers zoals Sophos of Symantec.

Vanuit het MyWorkDrive-server- en clientperspectief hebben gebruikers toegang tot bestandsshares in hun gebruikerscontext, net zoals ze dat zouden doen met traditionele toegewezen schijven. De MyWorkDrive cloud bestandsserver converteert lokaal SMB-bestandsserververkeer naar HTTPS zodat de gebruiker op afstand toegang heeft tot bestanden en voegt extra loggingmogelijkheden en optionele Two Factor-authenticatie toe. Bovendien minimaliseert het de opslag van bestanden lokaal op eindgebruikersapparaten, omdat bestanden direct toegankelijk en te bewerken zijn zonder te downloaden.

Bedrijven kunnen ook de MyWorkDrive-functies voor het voorkomen van gegevensverlies inschakelen om het downloaden en extern delen te voorkomen, terwijl documenten nog steeds in een beveiligde browser kunnen worden bekeken en bewerkt.

Monitoring en rapportage

Het is uiteraard niet mogelijk om binnen 72 uur aan de strenge AVG-meldingsvereisten te voldoen als u de inbreuk niet in de eerste plaats kunt detecteren.

Verzoeken om toegang tot gegevens: De AVG bevat expliciete vereisten voor het melden van inbreuken waarbij een inbreuk op persoonsgegevens betekent: "een inbreuk op de beveiliging die leidt tot de onbedoelde of onrechtmatige vernietiging, het verlies, de wijziging of de ongeoorloofde openbaarmaking van of de ongeoorloofde toegang tot doorgezonden, opgeslagen of anderszins verwerkte persoonsgegevens.

MyWorkDrive bevat uitgebreide logging- en zoekmogelijkheden om te rapporteren over toegang, wijzigingen of downloads. Deze kunnen worden gecombineerd met gecentraliseerde logbeheertools, GDPR Windows File Server-rapportagetools of waarschuwingstools van derden, zoals File Audit Plus van Manage Engine, Netwrix Auditor of Quest's Change Auditor voor NetApp.

Alle MyWorkDrive-toegangslogs zijn in gestandaardiseerd XML-formaat voor eenvoudige integratie en rapportage. Ipswitch schetst daarnaast best practices voor event log management voor beveiliging en naleving hier.

Vrijwaring

Deze whitepaper is een commentaar op de AVG, zoals MyWorkDrive deze interpreteert, vanaf de publicatiedatum. De toepassing van de AVG is zeer feitspecifiek en niet alle aspecten en interpretaties van de AVG zijn goed geregeld. Daarom wordt deze whitepaper alleen ter informatie verstrekt en mag niet worden gebruikt als juridisch advies of om te bepalen hoe de AVG op u en uw organisatie van toepassing kan zijn. We raden u aan om samen te werken met een juridisch gekwalificeerde professional om de AVG te bespreken, hoe deze specifiek van toepassing is op uw organisatie en hoe u de naleving ervan het beste kunt waarborgen. MYWORKDRIVE GEEFT GEEN ENKELE GARANTIE, EXPLICIET, IMPLICIET OF WETTELIJK, MET BETREKKING TOT DE INFORMATIE IN DIT WHITEPAPER. Deze whitepaper wordt geleverd "as-is". De informatie en opvattingen die in dit witboek worden geuit, inclusief URL's en andere internetwebsitereferenties, kunnen zonder kennisgeving worden gewijzigd. Dit document geeft u geen wettelijke rechten op enig intellectueel eigendom in enig MyWorkDrive-product. U mag dit witboek alleen kopiëren en gebruiken voor uw interne referentiedoeleinden.