Grip op datastromen met datalekpreventie
Doelgroep
Dit artikel is voor CISO’s van organisaties die vertrouwelijke informatie verwerken en merken dat datastromen steeds moeilijker te overzien zijn en beseffen dat door gebruik van clouddiensten, samenwerkingsplatforms en AI-toepassingen het risico toeneemt dat gevoelige informatie onbedoeld buiten de organisatie terechtkomt.
Wat betekent datalekpreventie?
Datalekpreventie (DLP) bewaakt de vertrouwelijkheid van informatie en betekent dat je voorkomt dat vertrouwelijke informatie zoals persoonsgegevens uitlekt. In het Engels wordt soms gesproken van data leakage prevention, en soms van data loss prevention. Letterlijk is data loss prevention het voorkomen van het definitief verliezen van gegevens, dus het bewaken van de beschikbaarheid van informatie. In de praktijk verwijst DLP echter meestal naar maatregelen voor vertrouwelijkheid. In dit artikel gaan we ook in op het bewaken van de vertrouwelijkheid en houden we de term datalekpreventie aan.
Achtergrond
Medewerkers gebruiken vaker tools zoals samenwerkingsplatforms, SaaS-diensten, (publieke) cloudopslag en AI-toepassingen om efficiënter te werken. Hierdoor verplaatsen gegevens zicht voortdurend tussen verschillende omgevingen. Vaak is niet duidelijk waar gevoelige informatie zich precies bevindt of hoe deze wordt gedeeld.
Wanneer vertrouwelijke informatie onbedoeld buiten de organisatie terechtkomt is er sprake van een datalek. Dit kan leiden tot reputatieschade, concurrentienadeel of juridische gevolgen. In veel gevallen gaat het niet om een kwaadwillende actie van een medewerker, maar om normale werkhandelingen waarbij er onvoldoende inzicht is in de gevoeligheid van gegevens of de risico’s van bepaalde diensten. Bovendien is het normaal voor sommige teams om vertrouwelijke informatie te delen terwijl dat voor andere teams niet normaal is. Dit maakt het een complex vraagstuk, waarbij goed begrip van de businesscontext nodig is om te bepalen wat normaal datagebruik is en waar afwijkingen of risico’s ontstaan.
De oplossing hiervoor? Veel organisaties zetten DLP in om inzicht te krijgen in deze risico’s en ze te beheersen. DLP wordt echter vaak gezien als een technische oplossing, terwijl het effectief gebruik verder gaat dan alleen technologie. Het vereist afspraken met de bedrijfsvoering, dataclassificatie, datalabeling, bewustwording bij medewerkers en duidelijke governanceprocessen voor opvolging van meldingen. DLP gaat niet over het monitoren van gebruikers, maar over het signaleren van afwijkende of ongewenste datastromen.
Omdat datastromen en werkwijzen voortdurend veranderen, is DLP geen eenmalige implementatie maar een continu proces. Organisaties moeten hun detectieregels, processen en maatregelen blijven aanpassen op basis van risico’s en nieuwe inzichten.
Kies een DLP-oplossing die past bij je organisatie
In ons artikel Hoe krijg ik zicht en grip op data op mijn belangrijkste data behandelen we;
- welke data jouw organisatie heeft en welke classificatie deze data heeft
- waar deze data zich bevindt
- welke datastromen er zijn binnen jouw organisatie
- welke data kritiek is voor jouw organisatie.
Bepaal aan de hand van deze informatie welke DLP-maatregelen voor jouw organisatie nuttig zijn. In figuur 1 staan enkele voorbeelden van DLP-maatregelen en op welke datastromen je die kunt toepassen. Softwarefabrikanten en dienstverleners bieden verschillende soorten DLP aan, dus onderzoek wat er in de markt nog meer verkrijgbaar is.
Figuur 1. Voorbeelden van DLP-maatregelen op datastromen
Na het lezen van de vorige publicaties heeft de enterprise architect van Frisdrankfabrikant Prikkelbaar de verschillende datastromen in kaart gebracht. Er zijn twee primaire datastromen met bedrijfskritieke informatie:
- E-mail- en webverkeer vanuit BYOD-apparaten
- webverkeer vanuit interne servers
Na de datastromen te mappen op de DLP-maatregelen in figuur 1 wil de architect onderzoeken welke mogelijkheden er voor DLP zijn op het netwerk en op het e-mailverkeer.
Om hoge mate van integratie binnen het security-tooling-landschap te houden besluit Prikkelbaar één DLP-oplossing te kopen. Het betekent dat de oplossing niet per se de beste oplossing is voor zowel e-mail- als netwerk-DLP.
Één of meerdere DLP-leveranciers?
Wanneer jouw organisatie behoefte heeft aan meerdere DLP-technieken zoals Endpoint-, Cloud-Native- en Network DLP, zoek dan niet een losse, beste leverancier per techniek. Hierdoor krijg je een gefragmenteerd security-tooling-landschap. Dit resulteert in slechte integratie en meer onderhoudslast. Uit Gartner-onderzoek blijkt dat elke extra DLP-beheersportaal leidt tot 40–80 procent extra beheerinspanning ten opzichte van het eerste portaal. Maar wees je ervan bewust dat je met het gebruik van maximaal één of twee verschillende leveranciers voor alle DLP-technieken soms genoegen moet nemen met voldoende controle over bepaalde technieken. Neem in de productselectie ook de afweging van vendor-lock-in mee die zorgt voor betere integratie, maar een risico op zich kan zijn.
Implementeer DLP gefaseerd
Begin klein. Start met de implementatie van DLP op kleine schaal, en kies daarvoor een datastroom waar op basis van de risico’s en omvang DLP het meest effectief, maar ook beheersbaar is.
Door DLP direct organisatiebreed te implementeren is de kans op verstoring groot. Als legitieme datastromen tegengehouden worden, veroorzaakt dit een enorme initiële beheerlast.
Voer een nulmeting uit op je gekozen datastroom door passief te monitoren op het normale verkeer, hiermee krijg je inzichtelijk:
- wat voor type data over het kanaal wordt verzonden
- in welke vorm deze data voorkomt (zoals e-mail of bestandsverkeer)
- hoe vaak afwijkend gedrag voorkomt.
Wat voor sommige teams normaal gedrag is, is voor andere teams afwijkend. Een HR-team zal regelmatig persoonsgegevens e-mailen, terwijl dat voor een productieteam afwijkend gedrag is.
Maak een use case voor de datastroom waarin je DLP wilt toepassen. Beschrijf hierin:
- het doel van de datastroom
- wat normaal gedrag is
- wat (ongewenst) afwijkend gedrag is
- hoe vaak afwijkend gedrag in de nulmeting voorkomt
- hoe vaak afwijkend gedrag maximaal mag voorkomen
- de voorgenomen technische detectiemaatregelen
- eventuele randvoorwaarden, zoals juridische grenzen
- betrokken teams en rollen.
Richt een cyclisch proces in met alle betrokkenen om de ervaringen en bevindingen te bespreken en DLP door te ontwikkelen. Onderschat niet dat dit in het begin veel tijd zal kosten. Naarmate je groeit in DLP wordt het proces steeds volwassener en neemt dit af.
Betrek de juiste rollen
Betrek tijdens de implementatie van DLP de volgende rollen:
Juridisch adviseur, privacy officer
Bespreek met de juridisch adviseur aan welke wetgeving de DLP-implementatie en de use cases moeten voldoen. Vanuit juridisch perspectief gaat de voorkeur vaak uit naar de minst ingrijpende techniek, terwijl dit het risico vaak onvoldoende verkleint en technisch niet altijd haalbaar of voldoende effectief is.
Daarnaast kunnen bij de inzet van DLP privacyvraagstukken ontstaan. Bijvoorbeeld wanneer medewerkers hun werkapparaat ook privé gebruiken en daarbij persoonsgegevens verwerken die niets met de organisatie te maken hebben. In zulke situaties moet de medewerker zich ervan bewust zijn dat ook privégegevens en data geïnspecteerd en eventueel ook geblokkeerd worden. Het is vanuit bedrijfsperspectief vrijwel onmogelijk om DLP-uitzonderingen te maken voor privégebruik van het apparaat.
Verantwoordelijke voor informatiebeveiliging
Bespreek met de eindverantwoordelijke voor informatiebeveiliging dat de implementatie aansluit bij het informatiebeveiligingsbeleid. Deze collega moet periodiek geïnformeerd worden over de effectiviteit van use cases en de effectiviteit van de oplossing.
Verantwoordelijke voor technische implementatie en beheer
Bespreek met de verantwoordelijke voor de technische implementatie over de configuratie, het onderhoud en de optimalisatie van de technische DLP-oplossing. Bespreek onder andere het toegangsbeheer van de technische use-case regels. Het doel is om zo min mogelijk mensen toegang te geven tot de technische configuratie aangezien kwaadwillenden met deze kennis eenvoudig de detectieregels kunnen omzeilen.
Bestuurlijk verantwoordelijke als risico-eigenaar met mandaat
Bespreek met de bestuurlijk verantwoordelijke de risicobereidheid van de organisatie. Op basis van deze bereidheid kun je ervoor kiezen om bepaalde risico’s te accepteren. Bespreek met deze verantwoordelijke hoeveel middelen beschikbaar zijn en hoe DLP past binnen de strategische doelstellingen en wettelijke verplichtingen van de organisatie.
Proceseigenaren van kritieke datastromen, “de business”
Bespreek met de eigenaren van de datastroom wat vertrouwelijke informatie is, wat acceptabel gebruik is door wie en wat daarbij de drempelwaardes zijn. Zij leveren context bij DLP-meldingen en beoordelen of afwijkend gedrag legitiem is of nader onderzoek vereist.
Verantwoordelijke voor security- of enterprise-architectuur
Bespreek met de verantwoordelijke voor architectuur over de samenhang tussen DLP en andere beveiligingsmaatregelen, zoals toegangsbeheer, logging en classificatie. Deze rol bepaalt waar in de architectuur DLP wordt geplaatst en voorkomt versnippering van tooling.
Om klein te beginnen met DLP besluit Prikkelbaar te beginnen met het salesteam. Het team verstuurt en ontvangt veel data wat een mooi beginpunt maakt voor de implementatie.
Het marketingteam werkt vanaf onbeheerde apparaten en verstuurt primair data via de mail. Daarom wordt een Integrated Cloud Email Security (ICES) oplossing geïmplementeerd. De architect maakt samen met de CISO een RACI-matrix om zo de verachtingen en verantwoordelijkheden binnen Prikkelbaar duidelijk te krijgen op het gebied van DLP.
| juridisch/privacy | CISO | IT | CIO/RvB | De business | Architect | |
| Bepalen risicobereidheid | R | A | I | |||
| Identificeren kritieke datastromen | C | I | R | A | ||
| Selecteren DLP-techniek en architectuur | A | C | C | R | ||
| Opstellen DLP use-cases | C | A | R | C |
Na het implementeren van de use case is er een korte feedbackloop om de bevindingen en impact op de business te monitoren.
Werk aan bewustwording
Maak medewerkers bewust van het correcte gebruik van data. Neem datagebruik op in de IT-gedragscode om gebruikers te informeren over de gewenste omgang met data. Beschrijf wat je verwacht van de medewerker op basis van classificatie van documenten.
Denk bijvoorbeeld aan het niet mogen printen van hoog geclassificeerde documenten en het niet doorsturen van klantgegevens naar privé-e-mailadressen. Wanneer medewerkers bij indiensttreding dit document ondertekenen kun je daadwerkelijk actie ondernemen wanneer deze gedragscode wordt overtreden. Dit is echter alleen het geval wanneer ook de expliciete maatregelen zijn opgenomen. Zorg samen met de HR- en juridische afdeling dat dit wordt opgenomen in de gedragscode.
Informeer gebruikers over hoe je DLP gebruikt en dat dit de vangrails zijn die datamisbruik voorkomen.
Verwijs hierbij naar:
- it-gedragscode
- geheimhoudingsverklaring
- eed of belofte.
Maak mensen actief bewust van het correct gebruik en versturen van data. Zorg ervoor dat ze de risico’s begrijpen, dan weten gebruikers waarom ze moeten doen wat van ze verwacht wordt.
Operationaliseer DLP binnen detectie en respons
DLP zorgt voor meldingen die je moet afhandelen. Hiervoor moet je operationele processen uitwerken en gekwalificeerde mensen in dienst nemen of inhuren. Als je een Security Operations Center (SOC) hebt, dan ligt het voor de hand om de afhandeling van DLP-meldingen daar te beleggen. Maar ook dan moet je ervoor zorgen dat het SOC weet wat ze met de meldingen moeten doen.
Maak voor elke use case een afhandelingsproces
Bepaal aan de hand van de use case wat een melding kan betekenen, en bepaal wat ermee gedaan moet worden. Beschrijf daarin de volgende zaken:
- wie de eigenaar is van het afhandelingsproces
- wie de eigenaar is van de datastroom
- wie de uitvoering van de afhandeling verzorgt
- hoe je de prioriteit van de melding vaststelt
- hoe je vaststelt of er sprake is van een true positive of een false positive
- wat er met de datastroom moet worden gedaan, bijvoorbeeld geheel blokkeren, gedeeltelijk blokkeren of geheel doorlaten
- hoe de eindgebruiker van de datastroom op de hoogte wordt gebracht van de afhandeling
- hoe de afhandeling wordt geregistreerd, bijvoorbeeld in een ticketingsysteem waarbij toegang op basis van need-to-know wordt toegepast.
Test het afhandelingsproces
Test het proces voordat je DLP volledig in productie neemt. Als je voldoende historische logboeken of dummygegevens hebt, dan kun je het daarop uitproberen. Wanneer je het op daadwerkelijke datastromen gaat testen, stel dan in eerste instantie nog geen volledige blokkades in, om het risico op verstoring van de bedrijfsvoering te verkleinen.
In het begin zullen er nog veel false positives voorkomen. Besteed daarom in de beginperiode extra aandacht en capaciteit aan de afhandeling, om het proces en de detectie nauwkeuriger in te regelen. Wanneer je de juiste balans hebt gevonden tussen werklast en effectiviteit, kun je de use case definitief in productie nemen.
Evalueer en verbeter voortdurend
DLP is nooit af. Het gedrag in je organisatie verandert en de datastromen veranderen mee. Evalueer de use cases daarom periodiek. Doe onderzoek op basis van bijvoorbeeld de volgende statistieken:
- de totale hoeveelheid meldingen
- het aandeel false positives
- de hoeveelheid tijd die besteed is aan afhandeling
- de mogelijke omvang en ernst van datalekken die zijn voorkomen.
Evalueer waar mogelijk ook de false negatives. Dat is het gebrek aan een melding wanneer dat wel had gemoeten. Als je via andere bronnen datalekken verneemt, onderzoek dan hoe die onder de detectie uit zijn gekomen.
Voer op basis van je evaluatie verbeteringen door. Deze verbeteringen kunnen technisch zijn, zoals het aanpassen van drempelwaarden in de detectie, of procedureel, zoals het veranderen van de afhandeling. Mogelijk biedt de evaluatie ook kansen voor het ontwikkelen van nieuwe use cases voor DLP op andere plaatsen.
Nadat Frisdrankfabrikant Prikkelbaar DLP op hun e-mailverkeer heeft toegepast komen er af en toe klachten uit het salesteam. Ze krijgen veel bounces op hun e-mails en weten dan niet wat ze ermee moeten doen.
Na onderzoek blijkt dat de helft van de bounces false positive zijn en gewoon door zouden mogen gaan. Er wordt te snel getriggerd op cijferpatronen die aan de elfproef voldoen, wat op een BSN kan duiden, maar vaak zitten die cijferpatronen ook in een andere context. De architect besluit om enkele aanpassingen te doen aan de detectieregels om minder snel te triggeren.
Daarnaast wordt de boodschap aan de gebruiker aangepast om beter uit te leggen wat er mis is gegaan. De gebruiker krijgt bij ieder type detectie ook een uitleg wat diegene kan doen om het bericht alsnog te kunnen versturen, als het geen gevoelige informatie bevat.
Ten slotte
Datalekpreventie helpt organisaties inzicht te krijgen in kritieke datastromen en de ongewenste verspreiding van vertrouwelijke informatie te beperken. De effectiviteit van DLP hangt echter niet alleen af van technologie, maar vooral van de manier waarop processen, governance en bewustwording rondom datagebruik zijn ingericht.
DLP kan niet projectmatig worden aangepakt. Er is geen eindstatus: het is een continu proces waarbij verschillende rollen binnen de organisatie betrokken moeten zijn en waarbij use cases en detectieregels regelmatig worden geëvalueerd en verbeterd.
In samenwerking met:
Dit artikel is tot stand gekomen in samenwerking met Alpina Group, KPN, Microsoft en NN Group.