AVG-best practices voor Windows-bestandsserver

Vanaf 25 mei^e, 2018 alle bedrijven die persoonsgegevens uit de EU verwerken, moeten GDPR-compatibel zijn. Vanuit het perspectief van een Windows-bestandsserver zijn persoonlijke gegevens de grootste zorg voor AVG-naleving. Bedrijven buiten de EU gaan ervan uit dat de AVG niet op hen van toepassing is, maar elke interactie met een EU-burger vereist naleving. Het simpelweg runnen van een bedrijf dat buiten de EU is gevestigd, geeft u nog geen "verlaat de gevangenis zonder kaart". !

Met de AVG moeten bedrijven autoriteiten en klanten binnen 72 uur nadat ze zich bewust zijn geworden van het incident op de hoogte stellen van datalekken, een register bijhouden om klanten te bevestigen of hun gegevens worden gebruikt en hoe, hen desgevraagd een kopie van hun gegevens verstrekken en hen toestaan om hun gegevens te laten wissen. Als onderdeel van de AVG moeten auditbedrijven voor data discovery alle persoonlijke gegevens classificeren en eenmaal geclassificeerd beschermen die gegevens.

Deze checklist bevat best practice-aanbevelingen voor de bescherming van persoonlijke gegevens die zijn opgeslagen op een Windows File Server-infrastructuur. Persoonlijke gegevens omvatten echter ook zaken als e-mail die is opgeslagen in Office Online of on-premise in Exchange. De details die volgen zijn best practices die moeten worden gevolgd om persoonlijke gegevens te beschermen, niet alleen in overeenstemming met de AVG, maar ook met andere normen (HIPAA, FINRA, enz.).

Persoonlijke gegevens die onder de AVG vallen

Artikel 4(1) definieert “persoonsgegevens” als volgt (alle nadruk toegevoegd tenzij anders vermeld):

"persoonsgegevens": alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of naar een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon;

Met zo'n brede definitie is het de plicht van elke organisatie om Persoonsgegevens te identificeren en te beschermen. Welke tools zijn beschikbaar voor Windows-systeembeheerders om gegevens te identificeren en te beschermen? In de volgende secties identificeren we tools en bronnen die beschikbaar zijn voor netwerkbeheerders om Windows-bestandsservers en -shares te beschermen.

Persoonlijke gegevens identificeren

Als onderdeel van het ontdekkingsproces moeten organisaties hun gegevensverwerkingsactiviteiten in detail identificeren. Zij kunnen dit doen door een register op te stellen en bij te houden van alle gegevensverwerkingsactiviteiten. Onder de AVG zullen organisaties volledige interne documentatie van hun gegevensverwerkingsactiviteiten moeten bijhouden. De eerste stap bij het beschermen van externe toegang tot gegevens met MyWorkDrive is het identificeren en lokaliseren van persoonlijke gegevens en bedrijfsprocessen. Zodra persoonlijke gegevens zijn geïdentificeerd, kunnen deze worden beschermd tegen toegang. Naast het ontwikkelen en documenteren van workflows voor gegevensverwerking bestaan er tools binnen MyWorkDrive om naar bestanden te zoeken Windows-bestandsshares inclusief Windows Search Service en voor grotere organisaties dTSearch. Het combineren van onderzoek, documentatie en ontdekking op het gebied van gegevensverwerking is de eerste stap in het beschermen van Windows-bestandsservers bij elke organisatie die onderhevig is aan de AVG.

Persoonlijke gegevens beschermen op Windows-bestandsservers

Zodra de gegevens zijn geclassificeerd, moet u een goed begrip hebben van het type gegevens dat u verwerkt en hoe de gegevens moeten worden beschermd. Overweeg hoe u momenteel (of helemaal niet) persoonlijke gegevens beveiligt en breng de nodige wijzigingen aan of stel de nodige procedures in. De bescherming van de privacy van persoonsgegevens moet prioriteit krijgen. Het kan nodig zijn om een Privacy Impact Assessment (PIA) van beleid uit te voeren om de levenscycli van gegevens en de mogelijke impact op de privacy van het individu te evalueren. De nadruk moet worden gelegd op AVG-specifieke vereisten, zoals het waarborgen van gegevensoverdraagbaarheid, het recht om geïnformeerd te worden, het recht om vergeten te worden en de juiste manier om gegevens te vernietigen. De nodige procedures en controles moeten aanwezig zijn om de rechten op opgeslagen persoonsgegevens te ondersteunen. Praktijken om gegevens te beveiligen zijn nodig voor persoonlijke gegevens in alle vormen en locaties, inclusief on-premises en in de cloud, geback-upte gegevens, gearchiveerde gegevens en gegevens die worden gemaakt. De beveiliging van de volledige levenscyclus van gegevens moet worden aangepakt. Om persoonlijke gegevens te beschermen, kunnen bedrijven verschillende methoden gebruiken, waaronder versleuteling, anonimisering en pseudonimisering. De methode die u gebruikt, is afhankelijk van de machtigingen en toegang van de gebruiker. Het ontwikkelen van een bewaarbeleid voor bestandsarchieven is essentieel, zodat bestanden na verloop van tijd kunnen worden verwijderd en daarom niet langer onderhevig zijn aan naleving.

Microsoft heeft uitgebreide bronnen voor het vergrendelen van Windows Servers om te voldoen aan de AVG, inclusief bescherming van inloggegevens en beheerdersbevoegdheden en beveiliging van het besturingssysteem om uw apps en infrastructuur uit te voeren. Naast de middelen van Microsoft om Windows File Server-besturingssystemen te vergrendelen, is het van cruciaal belang om systemen te beveiligen met vertrouwde netwerken en aanvullende beveiligingsmaatregelen in te schakelen, zoals twee-factor-authenticatie wanneer gegevens op afstand worden benaderd en downloads naar onbeheerde apparaten te voorkomen. Veel hiervan betekent basisdingen zoals het opzoeken van de systeemlogboeken en misschien verschillende tools om ze te verzamelen en erover te rapporteren, maar waar mogelijk zouden bedrijven ook moeten overwegen om zaken als Data Leakage Prevention te implementeren om alle persoonlijke gegevens waartoe toegang wordt verkregen te controleren, zowel lokaal als op afstand . Vanuit het perspectief van MyWorkDrive kan het beschermen van persoonlijke gegevens op bestandsshares zo eenvoudig zijn als het volledig uitsluiten van toegang op afstand of de toegang voor specifieke shares beperken tot alleen lezen en bewerken in onze Web File Manage-client, terwijl downloads worden beperkt met behulp van onze functies voor het voorkomen van gegevensverlies.

Versleuteling tijdens transport

Protocollen zoals: FTP-server gebouwd in Windows IIS voldoet niet aan de AVG-normen. Oudere Windows VPN-clients ook niet. MyWorkDrive voegt extra bescherming toe tijdens verzending om bedrijfsgegevens te beveiligen met hoge codering, uitgebreide logboekregistratie, tweefactorauthenticatie en functies voor het voorkomen van gegevensverlies. MyWorkDrive Server en clients ondersteunen de TLS 1.2-standaard volledig om bestanden te beveiligen en bedrijven kunnen TLS 1.0-toegang veilig uitschakelen. Ons MyWorkDrive-ondersteuningsartikel beschrijft hoe onveilige en zwakke cijfers kunnen worden uitgeschakeld om gegevens tijdens verzending te beschermen. Een extra stap bij het beschermen van gegevens tijdens de overdracht is het beschermen van het besturingssysteem zelf met firewallregels. MyWorkDrive zelf kan worden uitgevoerd in een afzonderlijke firewallzone die de inkomende en uitgaande poorten beperkt tot alleen de poorten die nodig zijn voor SMB-shares, Active Directory en DNS-verkeer intern en HTTPS (SSL)-verkeer extern. Er zijn aanvullende details beschikbaar over de benodigde poorten voor correcte communicatie met de MyWorkDrive-serverfirewall in een vergrendelde omgeving hier.

Versleuteling in rust

Een manier om deze blootstelling aan AVG-inbreuken te beperken, is door gegevens in rust te versleutelen - zelfs als er een inbreuk zou plaatsvinden als de versleutelingssleutel niet wordt geschonden, kunnen bedrijven de meldingsstap mogelijk vermijden. Het AVG-rapport heeft hier een geweldig artikel waarin staat: “In het geval van gegevenscompromis of -verlies, als de organisatie de volledige controle heeft over haar eigen coderingssleutels, kan het de meldingsstap helemaal vermijden als de gegevens onleesbaar zijn voor de wereld buiten de organisatie. Als daarentegen de cloud- of SaaS-provider de sleutels beheert en ze worden geschonden, is er geen manier om zeker te zijn dat de gegevens van de organisatie veilig zijn – en volgen er meldingen en boetes.” Dit omvat bestanden die zijn opgeslagen op Windows-bestandsservers en back-ups die lokaal of in de cloud zijn opgeslagen. MyWorkDrive slaat nooit klantgegevens op, zowel on-premise op de MyWorkDrive-bestandswebtoegangsserver als geopend in Office 365 online. Bedrijven kunnen hun gegevens veilig versleutelen op Windows-bestandsshares zonder de externe toegang tot MyWorkDrive-bestanden te beïnvloeden door gebruik te maken van ingebouwde Windows-servertools of gebruik te maken van externe leveranciers zoals Sophos of Symantec. Vanuit het perspectief van de MyWorkDrive-server en de client hebben gebruikers toegang tot bestandsshares in hun gebruikerscontext, net zoals ze zouden doen met traditionele toegewezen stations. De MyWorkDrive cloud bestandsserver converteert lokaal SMB-bestandsserververkeer naar HTTPS zodat de gebruiker op afstand toegang heeft tot bestanden, voegt extra logboekmogelijkheden toe en optionele twee-factor-authenticatie. Bovendien, aangezien bestanden direct kunnen worden geopend en bewerkt zonder te downloaden, wordt het lokaal opslaan van bestanden op apparaten van eindgebruikers geminimaliseerd. Bedrijven kunnen ook MyWorkDrive-functies voor het voorkomen van gegevensverlies inschakelen om downloaden en extern delen te voorkomen, terwijl het bekijken en bewerken van documenten in een veilige browser nog steeds mogelijk is.

Monitoring en rapportage

Het is duidelijk dat u niet binnen 72 uur kunt beginnen om aan de strenge AVG-meldingsvereisten te voldoen als u de inbreuk überhaupt niet kunt detecteren. Verzoeken om toegang tot gegevens: De AVG bevat expliciete vereisten voor melding van inbreuken wanneer een inbreuk op persoonsgegevens betekent: "een inbreuk op de beveiliging die leidt tot de onbedoelde of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens die zijn verzonden, opgeslagen of anderszins verwerkte persoonsgegevens. MyWorkDrive bevat uitgebreide log- en zoekmogelijkheden om te rapporteren over toegang, wijziging of download die kunnen worden gecombineerd met gecentraliseerde logbeheertools, Windows File Server-rapportagetools of waarschuwingstools van derden, zoals File Audit Plus van Manage Engine, Netwrix Auditor of Quest's Change Auditor voor NetApp. Alle MyWorkDrive-toegangslogboeken zijn in gestandaardiseerd XML-formaat voor eenvoudige integratie en rapportage. Ipswitch schetst bovendien best practices voor het beheer van gebeurtenislogboeken voor beveiliging en naleving hier.

Vrijwaring

Deze whitepaper is een commentaar op de AVG, zoals MyWorkDrive deze interpreteert, vanaf de publicatiedatum. De toepassing van de AVG is zeer feitspecifiek en niet alle aspecten en interpretaties van de AVG zijn goed geregeld. Daarom wordt deze whitepaper alleen ter informatie verstrekt en mag niet worden gebruikt als juridisch advies of om te bepalen hoe de AVG op u en uw organisatie van toepassing kan zijn. We raden u aan om samen te werken met een juridisch gekwalificeerde professional om de AVG te bespreken, hoe deze specifiek van toepassing is op uw organisatie en hoe u de naleving ervan het beste kunt waarborgen. MYWORKDRIVE GEEFT GEEN ENKELE GARANTIE, EXPLICIET, IMPLICIET OF WETTELIJK, MET BETREKKING TOT DE INFORMATIE IN DIT WHITEPAPER. Deze whitepaper wordt geleverd "as-is". De informatie en opvattingen die in dit witboek worden geuit, inclusief URL's en andere internetwebsitereferenties, kunnen zonder kennisgeving worden gewijzigd. Dit document geeft u geen wettelijke rechten op enig intellectueel eigendom in enig MyWorkDrive-product. U mag dit witboek alleen kopiëren en gebruiken voor uw interne referentiedoeleinden.

Gepubliceerd maart, 2018, versie 1.0

© 2019 MyWorkDrive, Wanpath LLC. Alle rechten voorbehouden.