Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het redactionele gedachtegoed van de redactie.

Voordeur en achterdeur op slot?

Het lijkt nog ver weg, maar over een paar maanden staat de vakantie alweer voor de deur. Half Nederland verlaat straks zijn huis voor langere tijd. En wat is het laatste dat je doet voor je weggaat? De deuren en ramen checken. Voordeur, achterdeur, alles op het dubbele slot en gaan. Logisch, iedereen doet dat.

In it-land is dat vaak anders. Ja, door de toegenomen aandacht voor het voorkomen van datalekken, zijn veel organisaties (nog meer) gaan nadenken over het beveiligen van hun (klant)gegevens. Dat heeft ertoe geleid dat productieomgevingen steeds moeilijker toegankelijk zijn voor hackers. Een positieve ontwikkeling.

Logging en firewalls

Zo wordt bijvoorbeeld met behulp van autorisatiemanagement de toegang geregeld op gebruikersniveau. Er vindt logging en monitoring plaats zodat afwijkend gedrag wordt opgemerkt. Firewalls zijn ingericht om de omgeving nog verder te beschermen en er vindt regelmatig een Pen-test plaats door een white hacker. Gegevensverkeer is versleuteld en in sommige organisaties wordt de data zelfs encrypted opgeslagen.

Het resultaat van al deze maatregelen? De beveiliging van productieomgevingen is steeds beter op orde. Een DDoS-aanval is op deze manier niet te voorkomen, maar echt toegang krijgen tot een productieomgeving is de afgelopen jaren steeds moeilijker geworden.

Klaar?

Betekent dit dan dat je als organisatie klaar bent? Voorkom je datalekken door alleen te focussen op de productieomgeving? Helaas is het antwoord daarop negatief. In veel organisaties wordt de data uit een productieomgeving ook in niet productieomgevingen gebruikt. Zo wordt er bijvoorbeeld vaak getest met echte klantgegevens, maar ook voor demo’s, trainingen of analyses blijkt productiedata erg handig…

De voordeur en de achterdeur

De consequentie hiervan is dat de data die zo zorgvuldig wordt beschermd in de productieomgeving, in veel gevallen veel makkelijker toegankelijk is via bijvoorbeeld een testomgeving. Met andere woorden: de voordeur zit op slot maar de achterdeur staat wagenwijd open. Dat is vragen om moeilijkheden!

Die achterdeur moet dus ook op slot. Belangrijk daarbij: het is volgens de privacywet niet toegestaan om persoonsgegevens buiten de productieomgeving te gebruiken. Dat betekent dat je de niet-productieomgeving kunt beveiligen wat je wilt – en dat moet je ook zeker doen – maar dat je in overtreding bent zolang er persoonsgegevens in staan. Naast de gebruikelijke maatregelen als autorisatiemanagement en logging, zal je dus moeten zorgen dat de niet-productieomgeving vrij is van persoonsgegevens.

Anonimiseren

Hiervoor heb je twee mogelijkheden: je kunt een niet productieomgeving vullen met zelf gecreëerde data (synthetische data) of je vult de omgeving met geanonimiseerde productiegegevens. Het voordeel van het anonimiseren van productiegegevens is dat het sneller gaat en (vaak) goedkoper is dan het creëren van synthetische data. Bovendien is een geanonimiseerde set representatief voor de productieomgeving.

Synthetische data

Bij een synthetische set is dit sterk afhankelijk van de gevallen die opgevoerd zijn. Het gebeurt bijvoorbeeld nog steeds regelmatig dat in een productieomgeving situaties voorkomen die eigenlijk niet zouden moeten voorkomen. Denk bijvoorbeeld aan onjuiste postcode/huisnummer combinaties, 9-cijferige telefoonnummers etc. Als je ervan uitgaat dat dergelijke situaties niet voorkomen in productie omdat ze niet mógen voorkomen, dan zullen ze ook niet teruggekomen in de synthetische set. In een geanonimiseerde set komen dit soort gevallen wel terug. De representativiteit van de geanonimiseerde data is daardoor groter.

Betekent dit dan dat synthetische data geen waarde heeft? Nee, zeker niet. Geanonimiseerde data is erg waardevol om situaties die al in productie voorkomen te testen. Maar om bijvoorbeeld een nieuw product te testen, heb je hier niet genoeg aan. Dan zul je zelf data moeten creëren. Dat kan data zijn die je van de grond af aan opbouwt, maar uiteraard kan dit ook data zijn, die gebaseerd is op al bestaande data. In veel gevallen blijkt een combinatie van synthetische en geanonimiseerde data dan ook erg goed te werken.

Samenvattend…

De toegenomen aandacht voor de beveiliging van (klant)gegevens is een groot goed. Maar als organisatie ben je er dan nog niet. Je zult ook goed moeten nadenken over de beveiliging van de niet-productieomgevingen. Voor dergelijke omgevingen geldt daarnaast dat ze geen (klant)gegevens mogen bevatten die herleidbaar zijn. Ons advies: anonimiseer de herleidbare persoonsgegevens en vul deze geanonimiseerde data waar nodig aan met synthetische data.

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5964024). © Jaarbeurs IT Media.
?

 

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Computable Expert
Eric  Hoefman

drs. Eric Hoefman
managing partner, EntrD. Expert van Computable voor de topics Datamanagement, Development en Security.
Hele profiel

Lees meer over:
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×