AVG-best practices voor Windows-bestandsserver
Vanaf 25 meie, 2018 alle bedrijven die persoonsgegevens uit de EU verwerken, moeten GDPR-compatibel zijn. Vanuit het perspectief van een Windows-bestandsserver zijn persoonlijke gegevens de grootste zorg voor AVG-naleving. Bedrijven buiten de EU gaan ervan uit dat de AVG niet op hen van toepassing is, maar elke interactie met een EU-burger vereist naleving - het runnen van een bedrijf dat zich buiten de EU bevindt, geeft u geen "kaart om uit de gevangenis te komen" !
Met de AVG moeten bedrijven autoriteiten en klanten binnen 72 uur nadat ze zich bewust zijn van het incident op de hoogte stellen van gegevensinbreuken aan autoriteiten en klanten, gegevens bijhouden om klanten te bevestigen of hun gegevens worden gebruikt en hoe, hen op verzoek een kopie van hun gegevens verstrekken en hen toestemming geven om hun gegevens te laten wissen. Als onderdeel van de GDPR-audit voor gegevensontdekking moeten bedrijven alle persoonlijke gegevens classificeren en eenmaal geclassificeerd die gegevens beschermen.
Deze checklist bevat aanbevelingen voor best practices voor de bescherming van persoonlijke gegevens die zijn opgeslagen op een Windows File Server-infrastructuur, maar persoonlijke gegevens omvatten ook zaken als e-mail die is opgeslagen in Office Online of on-premise in Exchange. De details die volgen, zijn best practices die moeten worden gevolgd voor het beschermen van persoonlijke gegevens in overeenstemming met niet alleen de AVG, maar ook met andere normen (HIPAA, FINRA, enz.).
Persoonlijke gegevens die onder de AVG vallen
Artikel 4(1) definieert “persoonsgegevens” als volgt (alle nadruk toegevoegd tenzij anders vermeld):
"persoonsgegevens": alle informatie met betrekking tot een geïdentificeerde of identificeerbare natuurlijke persoon ("betrokkene"); een identificeerbare natuurlijke persoon is iemand die direct of indirect kan worden geïdentificeerd, met name door te verwijzen naar een identificator zoals een naam, een identificatienummer, locatiegegevens, een online identificator of naar een of meer factoren die specifiek zijn voor de fysieke, fysiologische, genetische, mentale, economische, culturele of sociale identiteit van die natuurlijke persoon;
Met zo'n brede definitie is het de plicht van elke organisatie om Persoonsgegevens te identificeren en te beschermen. Welke hulpprogramma's zijn beschikbaar voor Windows-systeembeheerders om gegevens te identificeren en te beschermen? In de volgende secties identificeren we tools en bronnen die beschikbaar zijn voor netwerkbeheerders om Windows-bestandsservers en -shares te beschermen.
Persoonlijke gegevens identificeren
Als onderdeel van het ontdekkingsproces moeten organisaties hun gegevensverwerkingsactiviteiten in detail identificeren. Zij kunnen dit doen door een register van alle gegevensverwerkingsactiviteiten op te stellen en bij te houden. Onder de AVG moeten organisaties volledige interne documentatie van hun gegevensverwerkingsactiviteiten bijhouden. De eerste stap bij het beschermen van externe toegang tot gegevens met MyWorkDrive is het identificeren en lokaliseren van persoonlijke gegevens en bedrijfsprocessen. Zodra persoonlijke gegevens zijn geïdentificeerd, kunnen deze worden beschermd tegen toegang. Naast het ontwikkelen en documenteren van workflows voor gegevensverwerking bestaan er binnen MyWorkDrive tools om bestanden te zoeken op Windows-bestandsshares inclusief Windows Search Service en voor grotere organisaties dTSearch. Het combineren van onderzoek naar gegevensverwerking, documentatie en ontdekking is de eerste stap in het beschermen van Windows-bestandsservers bij elke organisatie die onder de AVG valt.
Persoonlijke gegevens beschermen op Windows-bestandsservers
Nadat de gegevens zijn geclassificeerd, moet u een uitgebreid begrip hebben van het type gegevens dat u verwerkt en hoe de gegevens moeten worden beschermd. Overweeg hoe u momenteel persoonsgegevens beveiligt (of helemaal niet) en breng de nodige wijzigingen aan of stel de nodige procedures in. Het beschermen van de privacy van persoonsgegevens moet prioriteit krijgen. Het kan nodig zijn om een Privacy Impact Assessment (PIA) van het beleid in te vullen om de levenscycli van gegevens en de mogelijke impact op de privacy van het individu te evalueren. De nadruk moet worden gelegd op AVG-specifieke vereisten, zoals het waarborgen van gegevensoverdraagbaarheid, het recht om geïnformeerd te worden, het recht om vergeten te worden en de juiste manier om gegevens te vernietigen. De nodige procedures en controles moeten aanwezig zijn om de opgeslagen rechten op persoonsgegevens te ondersteunen. Er zijn praktijken nodig om gegevens te beveiligen voor persoonlijke gegevens in alle vormen en locaties, inclusief on-premises en in de cloud, back-upgegevens, gearchiveerde gegevens en gegevens die worden gemaakt. De beveiliging van volledige gegevenslevenscycli moet worden aangepakt. Om persoonsgegevens te beschermen kunnen bedrijven verschillende methoden gebruiken, waaronder encryptie, anonimisering en pseudonimisering. De methode die u gebruikt, is afhankelijk van de machtigingen en toegang van de gebruiker. Het ontwikkelen van een bewaarbeleid voor bestandsarchieven is essentieel, zodat bestanden in de loop van de tijd kunnen worden verwijderd en dus niet langer onderhevig zijn aan naleving.
Microsoft heeft uitgebreide bronnen voor het vergrendelen van Windows Servers om te voldoen aan de AVG, inclusief bescherming van referenties en beheerdersrechten en het beveiligen van het besturingssysteem om uw apps en infrastructuur uit te voeren. Naast de Microsoft-bronnen om Windows File Server-besturingssystemen te vergrendelen, is het van cruciaal belang om systemen te beveiligen op vertrouwde netwerken en om aanvullende beveiligingsmaatregelen mogelijk te maken, zoals Two Factor-authenticatie wanneer gegevens op afstand worden geopend en om downloads naar onbeheerde apparaten te voorkomen. Veel hiervan betekent basiszaken zoals het opvragen van de systeemlogboeken en misschien verschillende tools om ze te verzamelen en erover te rapporteren, maar waar mogelijk zouden bedrijven ook moeten overwegen om dingen zoals Data Leakage Prevention te implementeren om alle persoonlijke gegevens te controleren die toegankelijk zijn, zowel op locatie als op afstand . Vanuit een MyWorkDrive-perspectief kan het beschermen van persoonlijke gegevens op gedeelde bestanden zo simpel zijn als het volledig uitsluiten van externe toegang of het beperken van de toegang voor specifieke shares om alleen te lezen en te bewerken in onze Web File Manage-client, terwijl downloads worden beperkt met behulp van onze functies voor het voorkomen van gegevensverlies.
Versleuteling tijdens transport
Protocollen zoals: FTP-server ingebouwde Windows IIS voldoet niet aan de AVG-normen. Oudere Windows VPN-clients ook niet. MyWorkDrive voegt extra bescherming toe tijdens de verzending om bedrijfsgegevens te beveiligen met hoge codering, uitgebreide logboekregistratie, tweefactorauthenticatie en gegevensverliespreventie. MyWorkDrive Server en clients ondersteunen de TLS 1.2-standaard volledig om bestanden te beveiligen en bedrijven kunnen TLS 1.0-toegang veilig uitschakelen. Ons MyWorkDrive-ondersteuningsartikel beschrijft hoe u onveilige en zwakke cijfers kunt uitschakelen om gegevens tijdens het transport te beschermen. Een extra stap bij het beschermen van gegevens die onderweg zijn, is het beschermen van het besturingssysteem zelf met firewallregels. MyWorkDrive zelf kan worden uitgevoerd in een aparte firewallzone die inkomende en uitgaande poorten beperkt tot alleen de poorten die nodig zijn voor SMB-shares, Active Directory en DNS-verkeer intern en HTTPS (SSL)-verkeer extern. Aanvullende details over poorten die nodig zijn voor correcte MyWorkDrive-serverfirewallcommunicatie in een vergrendelde omgeving zijn beschikbaar hier.
Versleuteling in rust
Een manier om deze blootstelling aan AVG-inbreuken te beperken, is door gegevens in rust te versleutelen - zelfs als er een inbreuk zou plaatsvinden als de versleutelingssleutel niet wordt geschonden, kunnen bedrijven de meldingsstap mogelijk vermijden. Het AVG-rapport heeft hier een geweldig artikel dat opmerkt: "In het geval van een compromis of verlies van gegevens, als de organisatie de volledige controle heeft over haar eigen coderingssleutels, kan het de meldingsstap helemaal vermijden als de gegevens onleesbaar zijn voor de wereld buiten de organisatie. Als de cloud- of SaaS-provider daarentegen de sleutels beheert en deze worden gehackt, is er geen manier om zeker te zijn dat de gegevens van de organisatie veilig zijn - en volgen er meldingen en boetes.” Dit omvat bestanden die zijn opgeslagen op Windows-bestandsservers en back-ups die lokaal of in de cloud zijn opgeslagen. MyWorkDrive slaat nooit klantgegevens op, of dit nu on-premise is op de MyWorkDrive-bestandswebtoegangsserver of wanneer deze online in Office 365 wordt geopend. Bedrijven kunnen hun gegevens veilig versleutelen op Windows-bestandsshares zonder de externe toegang tot MyWorkDrive-bestanden te beïnvloeden door gebruik te maken van ingebouwde Windows-servertools of gebruik te maken van externe leveranciers zoals Sophos of Symantec. Vanuit het MyWorkDrive-server- en clientperspectief hebben gebruikers toegang tot bestandsshares in hun gebruikerscontext, net zoals ze zouden doen met traditionele toegewezen schijven. De MyWorkDrive cloud bestandsserver converteert lokaal SMB-bestandsserververkeer naar HTTPS zodat de gebruiker op afstand toegang kan krijgen tot bestanden, voegt extra logboekmogelijkheden en optionele tweefactorauthenticatie toe. Bovendien, aangezien bestanden direct kunnen worden geopend en bewerkt zonder te downloaden, wordt het lokaal opslaan van bestanden op apparaten van eindgebruikers geminimaliseerd. Bedrijven kunnen ook MyWorkDrive-functies voor het voorkomen van gegevensverlies inschakelen om downloaden en extern delen te voorkomen, terwijl het bekijken en bewerken van documenten in een beveiligde browser mogelijk blijft.
Monitoring en rapportage
Het is duidelijk dat u niet binnen 72 uur vooruit kunt gaan om aan de strenge AVG-meldingsvereisten te voldoen als u de inbreuk in de eerste plaats niet kunt detecteren. Verzoeken om gegevenstoegang: de AVG bevat expliciete vereisten voor het melden van inbreuken wanneer een inbreuk in verband met persoonsgegevens betekent: "een inbreuk op de beveiliging die leidt tot onopzettelijke of onwettige vernietiging, verlies, wijziging, ongeoorloofde openbaarmaking van of toegang tot persoonlijke gegevens die zijn verzonden, opgeslagen of anderszins verwerkte persoonsgegevens. MyWorkDrive bevat uitgebreide logboek- en zoekmogelijkheden om te rapporteren over toegang, wijziging of download die kunnen worden gecombineerd met gecentraliseerde tools voor logbeheer, Windows File Server-rapportagetools of waarschuwingstools van derden, zoals File Audit Plus door Manage Engine, Netwrix Auditor of Quest's Change Accountant voor NetApp. Alle MyWorkDrive-toegangslogboeken zijn in gestandaardiseerd XML-formaat voor gemakkelijke integratie en rapportage. Ipswitch schetst bovendien de beste werkwijzen voor het beheer van gebeurtenislogboeken voor beveiliging en naleving hier.
Vrijwaring
Deze whitepaper is een commentaar op de AVG, zoals MyWorkDrive die interpreteert, vanaf de publicatiedatum. De toepassing van de AVG is zeer feitspecifiek en niet alle aspecten en interpretaties van de AVG zijn goed geregeld. Als gevolg hiervan is deze whitepaper uitsluitend bedoeld voor informatieve doeleinden en mag niet worden gebruikt als juridisch advies of om te bepalen hoe de AVG van toepassing kan zijn op u en uw organisatie. We moedigen u aan om samen te werken met een juridisch gekwalificeerde professional om de AVG te bespreken, hoe deze specifiek van toepassing is op uw organisatie en hoe u de naleving het beste kunt waarborgen. MYWORKDRIVE GEEFT GEEN ENKELE GARANTIE, UITDRUKKELIJK, IMPLICIET OF WETTELIJK, MET BETREKKING TOT DE INFORMATIE IN DEZE WHITEPAPER. Dit witboek wordt geleverd "zoals het is". Informatie en standpunten in deze whitepaper, inclusief verwijzingen naar URL's en andere internetwebsites, kunnen zonder kennisgeving worden gewijzigd. Dit document geeft u geen wettelijke rechten op enig intellectueel eigendom van een MyWorkDrive-product. U mag deze whitepaper alleen voor interne referentiedoeleinden kopiëren en gebruiken.
Gepubliceerd maart, 2018, versie 1.0
© 2019 MyWorkDrive, Wanpath LLC. Alle rechten voorbehouden.