Het GDPR ICT Circus

Gepubliceerd op: 10-01-2018

Zoals zo vaak spelen ICT aanbieders in op trends waarmee men denkt 'makkelijk te scoren' bij bedrijven. Een voorbeeld hiervan is de GDPR wetgeving. In dit blog probeert Stefan je aan het denken te zetten om voorzichtig met aanbieders om te gaan.

Het Circus is weer in de stad en de nieuwste show heet ‘GDPR’

Eens per aantal jaar komt er een nieuw ICT Circus langs en zijn de kaartjes op het laatste moment uitverkocht. In het begin zijn de meeste mensen wat nerveus en onwennig over de nieuwste sensatie. Kijk maar wat er gebeurde toen de Millennium Bug Show in 1999 kwam. Die was uiteindelijk wereldwijd uitverkocht en het was een enorme hit. Recentere voorbeelden zijn de Wannacry Show. Maar dit was een opwarmer voor de Grote GDPR Show. Deze laatste heeft niet de potentie van de Millennium Bug, maar door de huidige mogelijkheden om de aandacht van mensen op te eisen via (voornamelijk) Social Media loopt de ticketverkoop erg goed en steeds meer bedrijven staan in de rij om dit te laten overweldigen.

Waarom maak ik een vergelijk met het Circus? Omdat ik iedere dag meer ICT aanbieders (en advocatenkantoren, accountantskantoren, ICT adviseurs, etc.) artikelen zie plaatsen op LinkedIn en op nieuws- en opinie sites. Dus??

Wat me hier het meest aan stoort is dat veel van deze aanbieders opmerken dat hun oplossingen/kennis/diensten/ervaring alle GDPR vraagstukken van bedrijven invult. En dat is niet waar. Vandaar dit stukje.


Ja, ik heb een bedrijf dat mobiele ICT en beveiligingsoplossingen aanbied

Ja, ik praat ook over GDPR (en andere wet- en regelgeving) met onze klanten

En ja, ik moet ook kennis en oplossingen verkopen om geld te verdienen


Ik ben ook een ICT en sales professional die niet geloofd dat ICT aanbieders en sales mensen die beweren dat hun producten de beste oplossing zijn, zonder dat ze met de klant gesproken hebben om uit te zoeken of dit wel zo is. En er zijn een heleboel bedrijven die af willen wachten wat er gebeurd als de GDPR daadwerkelijk effectief getoetst wordt. En misschien kunnen zij en anderen zich prima redden zonder jouw product of kennis.

‘Maar het is de wet’, krijg ik regelmatig als weerwoord. En dat is absoluut waar. Ik geloof dat je als bedrijf alle voorzorgsmaatregelen moet nemen om datalekken te voorkomen. Ik geloof niet dat ook maar 1% van iedereen die beweerd om een complete ‘GDPR-proof’ oplossing te bieden dit ook daadwerkelijk kan waarmaken. En dan gebeurd er wat er bij veel ICT projecten gebeurd. Er word veel tijd, geld en energie in gestoken en uiteindelijk krijgt men niet wat verwacht of zelfs beloofd was.

Stop alstublieft met verkondigen dat je alles kunt en dat je oplossing de enige is die de klant kan helpen. Als je gespecialiseerd bent in één of meer elementen binnen het hele GDPR spectrum, ben daar dan duidelijk over en adviseer je klant oprecht om een ander bedrijf te zoeken om haar te helpen met de andere onderdelen. Wellicht ken je zelf aanbieders die hier geschikt voor zijn, dan win je ook nog eens een hele hoop vertrouwen van je klant omdat je écht het beste met haar voorhebt.

In de laatste maanden heb ik meerdere organisaties gesproken die een audit hadden gehad van een compliancy dienstverlener. In twee specifieke gevallen waren de organisaties ‘geslaagd’ en waren ze ‘GDPR-proof’ bevonden. Tot mijn verbazing, aangezien deze bedrijven maar een zeer beperkte vorm van MDM ingericht hadden en geen automatische VPN (of andere vormen van encryptie) voor ‘data in transit’ hadden. Dit leerde me dat Mobiele ICT en beveiliging nog steeds zwaar onderschat wordt. Dit moet snel veranderen als bedrijven serieus willen worden over het beveiligen van hun data. Er zijn een aantal goede gespecialiseerde partijen in mobiel werken in Nederland die je hierbij kunnen helpen.  

Vanuit een mobiel perspectief kan je ervoor zorgen dat je de punten hieronder in ieder geval hebt afgedicht. En zorg ervoor dat je de oplossingen voor aankoop goed TEST! Als een aanbieder beloofd om bijvoorbeeld Malware tegen te houden, laat hen dit in een testomgeving demonstreren. Nog beter is om zelf Malware te injecteren en de oplossing aan de tand te voelen. Omdat iets op papier staat wil dit nog niet zeggen dat het in de praktijk ook werkt. En als iets ‘op de roadmap’ staat en het een belangrijke functionaliteit is, wacht dan of kies een andere oplossing.

Punten die je kan overwegen voor een basis mobiele beveiliging:

MDM (Mobile Device Management) / EMM (Enterprise Mobility Management)

  • Wanneer je centraal je bedrijfsbeleid wilt borgen is dit zeer handig om in te zetten

MTM (Mobile Threat Management)

  • MDM/EMM is niet voldoende meer voor een goede beveiliging. Je hebt een oplossing nodig die onbekende patronen zoals Malware, OS breaches, etc. kan ontdekken

Encryptie van ‘data in transit’

  • Zorg ervoor dat de data die tussen het mobiele apparaat en de bedrijfsdata beschermd is. En zorg ervoor dat dit automatisch gebeurd, zonder afhankelijkheid van de gebruiker! Dit voorkomt datadiefstal en het infecteren van malware door een man-in-the-middle aanval.

Zoals je ziet is het vrij eenvoudig. Natuurlijk moet je ook zaken als ‘gebruiker awareness’, goed afgeschermde apps, enz. inregelen. Zoek ook aanbieders voor die specifieke deelgebieden. Ben je er van bewust dat je de juiste middelen inzet en (misschien minstens zo belangrijk), dat je de juiste partner kiest die bewezen kennis heeft van de ‘hele mobiele keten’.

Enjoy the show!


Stefan van Vlerken

 

Klik hier voor een PDF versie van dit blog.