Trace Id is missing
Overslaan naar hoofdinhoud
Microsoft Beveiliging

Wat is gegevensbeveiliging?

Gegevensbeveiliging houdt in dat je weet welke gegevens je hebt en waar ze zich bevinden en dat je de risico's rond je gegevens in kaart brengt. Leer hoe je je gegevens kunt beschermen.

Gegevensbeveiliging gedefinieerd

Met behulp van gegevensbeveiliging kun je gevoelige gegevens gedurende de hele levenscyclus beschermen, de context van gebruikersactiviteiten en gegevens begrijpen en onbevoegd gebruik of verlies van gegevens voorkomen.

Het belang van gegevensbeveiliging kan niet worden onderschat in dit tijdperk van toenemende cyberbeveiligingsdreigingen en interne risico's. Het is noodzakelijk om inzicht te hebben in de typen gegevens die je hebt, om ongeoorloofd gebruik van gegevens te voorkomen en om risico's rond de gegevens te identificeren en te beperken. In samenhang met gegevensbeveiliging begeleidt gegevensbeveiligingsbeheer je organisatie bij het plannen, organiseren en controleren van gegevensbeveiligingsactiviteiten met behulp van duidelijk gedefinieerde beleidsregels en procedures.

Typen gegevensbeveiliging

Gegevensbeveiliging is alleen effectief als rekening wordt gehouden met de gevoeligheid van gegevensreeksen en de eisen die je organisatie stelt aan de naleving van regelgeving. Typen gegevensbeveiliging waarmee je je kunt beschermen tegen een gegevenslek, voldoen aan wettelijke vereisten en reputatieschade kunt voorkomen, zijn onder meer:

  • Toegangsbeheer die de toegang tot gegevens on-premises en in de cloud regelt.
  • Authenticatie van gebruikers door middel van wachtwoorden, toegangskaarten of biometrie.
  • Back-ups en herstel om toegang tot gegevens mogelijk te maken na een systeemfout, beschadigde gegevens of noodgeval.
  • Gegevenstolerantie als proactieve aanpak van herstel na noodgeval en bedrijfscontinuïteit.
  • Gegevensverwijdering om gegevens op de juiste manier te verwijderen en onherstelbaar te maken.
  • Software voor het maskeren van gegevens die proxytekens gebruikt om letters en cijfers te verbergen voor onbevoegde gebruikers.
  • Oplossingen voor preventie van gegevensverlies om ongeoorloofd gebruik van gevoelige gegevens tegen te gaan.
  • Versleuteling om bestanden onleesbaar te maken voor onbevoegde gebruikers.
  • Informatiebeveiliging om gevoelige gegevens in bestanden en documenten te helpen classificeren.
  • Intern risicobeheer om riskante gebruikersactiviteiten te beperken.

Gegevenstypen die moeten worden beveiligd

Iedereen van wie wel eens een creditcard of identiteit is gestolen, krijgt meer waardering voor effectieve gegevensbescherming. Kwaadwillende hackers bedenken voortdurend manieren om persoonlijke informatie te stelen en losgeld te vragen, te verkopen of verder bedrog te plegen. Bovendien zijn huidige en voormalige werknemers vaak de oorzaak van gegevensverlies, waardoor intern risicobeheer essentieel is voor organisaties.

Elke branche heeft zijn eigen vereisten voor wat moet worden beschermd en hoe dat moet gebeuren, maar veel voorkomende typen gegevens die moeten worden beveiligd zijn onder meer:

  • Persoonlijke gegevens over je werknemers en klanten.
  • Financiële gegevens zoals creditcardnummers, bankgegevens en financiële overzichten van bedrijven.
  • Statusinformatie zoals ontvangen services, diagnoses en testresultaten.
  • Intellectuele eigendom zoals handelsgeheimen en patenten.
  • Gegevens over de bedrijfsactiviteiten, zoals informatie over de toeleveringsketen en productieprocessen.

Bedreigingen voor gegevensbeveiliging

Op het werk en thuis geeft het internet je toegang tot accounts, communicatiemethoden en manieren om informatie te delen en te gebruiken. Veel typen  cyberaanvallen  en interne risico's kunnen de informatie die je deelt, in gevaar brengen.

  • Hacking

    Hacken is elke poging om via de computer gegevens te stelen, netwerken of bestanden te beschadigen, de digitale omgeving van een organisatie over te nemen of gegevens en activiteiten te verstoren. Hackingmethoden omvatten phishing, malware, codebreuken en gedistribueerde denial-of-service-aanvallen.

  • Malware

    Malware is een term voor wormen, virussen en spyware waarmee onbevoegde gebruikers toegang krijgen tot je omgeving. Eenmaal binnen kunnen deze gebruikers je IT-netwerk en eindpuntapparaten verstoren of gegevens stelen die mogelijk in bestanden zijn achtergebleven.

  • Ransomware

    Ransomware is malware die de toegang tot je netwerk en bestanden verhindert totdat je losgeld betaalt. Het openen van een e-mailbijlage en het klikken op een advertentie zijn enkele manieren waarop ransomware naar je computer kan worden gedownload. Het wordt meestal ontdekt wanneer je geen toegang krijgt tot bestanden of wanneer je een bericht ziet waarin je om betaling wordt gevraagd.

  • Phishing

    Phishing is het misleiden van personen of organisaties om informatie zoals creditcardnummers en wachtwoorden te geven. De bedoeling is gevoelige gegevens te stelen of te beschadigen door zich voor te doen als een gerenommeerd bedrijf waarmee het slachtoffer vertrouwd is.

  • Gegevenslek

    Een gegevenslek is de opzettelijke of toevallige overdracht van gegevens van binnen een organisatie naar een externe ontvanger. Dit kan gebeuren via e-mail, internet en apparaten zoals laptops en draagbare opslagapparaten. Bestanden en documenten die off premises worden meegenomen zijn ook een vorm van gegevenslekken. 

  • Nalatigheid

    Van nalatigheid is sprake wanneer een werknemer bewust het beveiligingsbeleid overtreedt, maar niet probeert het bedrijf schade te berokkenen. Een werknemer kan bijvoorbeeld gevoelige gegevens delen met een collega die geen toegang heeft of zich aanmelden bij bedrijfsmiddelen via een onbeveiligde draadloze verbinding. Een ander voorbeeld is dat iemand een gebouw binnengaat zonder zijn of haar badge te controleren.

  • Fraude

    Fraude wordt gepleegd door geraffineerde gebruikers die willen profiteren van de onlineanonimiteit en de real-time toegankelijkheid. Ze kunnen transacties uitvoeren met behulp van gecompromitteerde rekeningen en gestolen creditcardnummers. Organisaties kunnen het slachtoffer worden van garantiefraude, terugbetalingsfraude of fraude met wederverkopers.

  • Diefstal

    Diefstal is een interne bedreiging die resulteert in gestolen gegevens, geld of intellectuele eigendom. Het wordt gedaan voor persoonlijk gewin en om de organisatie te schaden. Een vertrouwde leverancier zou bijvoorbeeld sofinummer van klanten kunnen verkopen op het dark web of voorkennis over klanten kunnen gebruiken om een eigen bedrijf te beginnen.

Technologieën voor gegevensbeveiliging

Gegevensbeveiligingstechnologieën zijn belangrijke onderdelen van een meer complete gegevensbeveiligingsstrategie. Er zijn verschillende oplossingen voor preventie van gegevensverlies beschikbaar waarmee je interne en externe activiteiten kunt detecteren, verdacht of riskant gedrag bij het delen van gegevens kunt signaleren en de toegang tot gevoelige gegevens kunt beheren. Implementeer technologieën voor gegevensbeveiliging zoals deze om te voorkomen dat gevoelige gegevens worden geëxfiltreerd.

Gegevensversleuteling. Gegevensversleuteling, het omzetten van gegevens in code, wordt gebruikt op gegevens in inactieve of in actieve toestand om te voorkomen dat onbevoegde gebruikers bestandsinhoud bekijken, zelfs als ze toegang krijgen tot de locatie ervan.

Gebruikersauthenticatie en autorisatie. Gebruikersreferenties verifiëren en bevestigen dat toegangsmachtigingen correct zijn toegewezen en toegepast. Met op rollen gebaseerd toegangsbeheer kan je organisatie toegang verlenen aan alleen de personen die dit nodig hebben.

Detectie van interne risico's. Activiteiten identificeren die kunnen wijzen op interne risico's of bedreigingen. Begrijp de context van het gegevensgebruik en weet wanneer bepaalde downloads, e-mails buiten je organisatie en gewijzigde bestandsnamen wijzen op verdacht gedrag.

Beleid voor preventie van gegevensverlies. Beleid opstellen en handhaven dat bepaalt hoe gegevens worden beheerd en gedeeld. Geef geautoriseerde gebruikers, toepassingen en omgevingen voor verschillende activiteiten op om te voorkomen dat gegevens uitlekken of worden gestolen.

Gegevensback-up. Maak een back-up van een exacte kopie van de gegevens van je organisatie, zodat je bevoegde beheerders een manier hebben om deze te herstellen in het geval van een opslagfout, een gegevenslek of een noodgeval.

Realtime waarschuwingen. Automatiseer meldingen voor potentieel gegevensmisbruik en ontvang waarschuwingen voor mogelijke beveiligingsproblemen voordat ze schade toebrengen aan je gegevens, reputatie of de privacy van medewerkers en klanten.

Risicoanalyse. Begrijp dat werknemers, leveranciers, aannemers en partners informatie over je gegevens, computersystemen en beveiligingsmethoden hebben. Om misbruik te voorkomen, moet je weten welke gegevens je hebt en hoe ze in je organisatie worden gebruikt.

Gegevenscontrole. Pak belangrijke problemen zoals gegevensbescherming, nauwkeurigheid en toegankelijkheid aan met regelmatig geplande gegevenscontroles. Zo weet je wie en hoe je gegevens worden gebruikt.

Strategieën voor gegevensbeveiligingsbeheer

Strategieën voor gegevensbeveiligingsbeheer omvatten het beleid, de procedures en het beheer waarmee je je gegevens veiliger en beter beveiligd kunt houden.

  • Best practices voor wachtwoordbeheer implementeren

    Implementeer een gebruiksvriendelijke oplossing voor wachtwoordbeheer. Er zijn geen plaknotities en spreadsheets meer nodig en werknemers hoeven geen unieke wachtwoorden meer te onthouden.
    Gebruik wachtwoordzinnen in plaats van wachtwoorden. Een wachtwoordzin is voor de werknemer gemakkelijker te onthouden en voor een cybercrimineel moeilijker te raden.
    Schakel tweeledige verificatie (2FA) in. Met 2FA blijft de aanmeldingsbeveiliging behouden, zelfs als de wachtwoordzin of het wachtwoord gecompromitteerd is, omdat de onbevoegde gebruiker geen toegang kan krijgen zonder de extra code die aan het tweede apparaat wordt geleverd. 
    Wijzig je wachtwoorden na een schending. Als je ze vaak wijzigt, kan dit na verloop van tijd leiden tot zwakkere wachtwoorden.
    Vermijd hergebruik van wachtzinnen of wachtwoorden. Als ze eenmaal gecompromitteerd zijn, worden ze vaak gebruikt om op andere accounts in te breken.

  • Stel een verdedigingsplan op

    Bescherm gevoelige gegevens. Ontdek en classificeer gegevens op schaal om het volume, het type en de locatie van informatie te kennen, waar die zich ook bevindt tijdens de levenscyclus.
    Interne risico's beheren. Krijg inzicht in de gebruikersactiviteiten en het beoogde gebruik van de gegevens om potentieel risicovolle activiteiten te identificeren die kunnen leiden tot gegevensbeveiligingsincidenten.
    Stel doeltreffende toegangscontroles en beleidsregels in. Voorkom acties zoals het onjuist opslaan of afdrukken van gevoelige gegevens.

  • Versleuteling gebruiken om gegevens te beveiligen

    Gegevensversleuteling voorkomt dat onbevoegde gebruikers gevoelige gegevens kunnen lezen. Zelfs als ze toegang krijgen tot je gegevensomgeving of gegevens zien terwijl ze onderweg zijn, zijn de gegevens nutteloos omdat ze niet gemakkelijk kunnen worden gelezen of begrepen.

  • Software en beveiligingsupdates installeren

    Software en beveiligingsupdates pakken bekende kwetsbaarheden aan die cybercriminelen vaak misbruiken om gevoelige informatie te stelen. Door regelmatig updates uit te voeren, kun je deze kwetsbaarheden aanpakken en voorkomen dat je systemen worden gecompromitteerd.

  • Werknemers trainen in gegevensbeveiliging

    De bescherming van de gegevens van je organisatie is niet voorbehouden aan je IT-afdeling. Je moet ook je werknemers trainen om bewust te zijn van de openbaarmaking, diefstal en corruptie van gegevens. Best practices inzake gegevensbeveiliging zijn relevant voor gegevens die online staan en op papier worden afgedrukt. Formele training moet regelmatig plaatsvinden, per kwartaal, per twee jaar of per jaar.

  • Beveiligingsprotocollen voor telewerken implementeren

    Om beveiligingsprotocollen voor je externe personeel te implementeren, begin je met het verduidelijken van je beleid en procedures. Dit houdt meestal een verplichte veiligheidstraining in en het aangeven van welke softwaretoepassingen mogen worden gebruikt en hoe ze moeten worden gebruikt. De protocollen moeten ook een proces bevatten voor de beveiliging van alle apparaten die door je werknemers worden gebruikt.

Regelgeving en compliance

Organisaties moeten relevante normen, wetten en voorschriften omtrent gegevensbescherming naleven. Deze omvatten, maar zijn niet beperkt tot, alleen de gegevens over klanten of medewerkers verzamelen die je nodig hebt, deze veilig houden en ze op de juiste wijze verwijderen. Voorbeelden van privacywetgeving zijn de Algemene Verordening Gegevensbescherming (AVG), Health Insurance Portability and Accountability Act (HIPAA) en California Consumer Privacy Act (CCPA).

De AVG is de meest strikte wet voor gegevensprivacy en -bescherming. Deze is opgesteld en goedgekeurd door de Europese Unie (EU), maar organisaties over de hele wereld zijn verplicht deze na te leven als ze persoonlijke gegevens van EU-burgers of -inwoners verzamelen of goederen en services aan hen aanbieden.

De HIPAA helpt te voorkomen dat gezondheidsinformatie over patiënten wordt bekendgemaakt zonder dat de patiënt daarvan af weet of dit heeft goedgekeurd. De HIPAA-privacyregel beschermt persoonlijke gezondheidsinformatie en is uitgegeven om HIPAA-vereisten te implementeren. De HIPAA-beveiligingsregel helpt identificeerbare gezondheidsinformatie te beschermen die een zorgverlener elektronisch aanmaakt, ontvangt, onderhoudt of verzendt.

CCPA helpt de privacyrechten van consumenten in Californië te beschermen, waaronder het recht om te weten welke persoonlijke gegevens worden verzameld en hoe ze worden gebruikt en gedeeld, het recht om persoonlijke gegevens te verwijderen die van hen zijn verzameld, en het recht om zich af te melden voor de verkoop van hun persoonlijke gegevens.

De functionaris voor gegevensbescherming is een leidinggevende rol die de naleving van de wetgeving volgt en ervoor zorgt dat je organisatie persoonsgegevens verwerkt in overeenstemming met de wetgeving inzake gegevensbescherming. Zo informeren en adviseren ze complianceteams hoe ze zich aan de naleving kunnen houden, verzorgen ze opleidingen binnen de organisatie en rapporteren ze het niet naleven van de regels en voorschriften.

Wanneer niet-naleving leidt tot een gegevenslek, kost dat organisaties vaak miljoenen dollars. De gevolgen zijn identiteitsdiefstal, productiviteitsverlies en klanten die afhaken.

Conclusie

Gegevensbeveiliging en gegevensbeveiligingsbeheer helpen je bij het identificeren en beoordelen van bedreigingen voor je gegevens, het naleven van wettelijke voorschriften en het handhaven van de integriteit van je gegevens.

Maak regelmatig een back-up van je gegevens, bewaar een kopie van je back-up op een externe locatie, stel je strategieën voor gegevensbeveiligingsbeheer vast en dwing sterke wachtwoorden of wachtzinnen en 2FA af.

Maatregelen nemen om gegevens tijdens de levenscyclus te beschermen, begrijpen hoe gegevens worden gebruikt, het lekken van gegevens voorkomen en beleid opstellen ter voorkoming van gegevensverlies zijn de pijlers voor het opbouwen van een sterke verdediging in je organisatie.

Leer hoe je je gegevens in clouds, apps en eindpunten kunt beveiligen met procedures en hulpprogramma's voor gegevensbeveiliging.

Meer informatie over Microsoft Beveiliging

Microsoft Purview

Verken beheer-, beveiligings- en complianceoplossingen voor de gegevens van je organisatie.

Help gegevensverlies te voorkomen

Identificeer het ongepast delen of gebruik van gevoelige gegevens op eindpunten, in apps en in services.

Interne risico's beheren

Leer hoe je potentiële risico's in de activiteiten van je werknemers en leveranciers kunt identificeren.

Gegevensbescherming

Ontdek, classificeer en bescherm je meest gevoelige gegevens in je digitale omgeving.

Veelgestelde vragen

  • Gegevensbeveiliging helpt gevoelige gegevens gedurende de hele levenscyclus te beschermen, de context van gebruikersactiviteiten en gegevens te begrijpen en onbevoegd gebruik van gegevens te voorkomen. Dit houdt in dat je weet welke gegevens je hebt, waar ze zich bevinden en de bedreigingen voor die gegevens in kaart brengt.

  • Typen gegevensbeveiliging omvatten:

    • Toegangsbeheer waarvoor aanmeldingsgegevens zijn vereist voor on-premises gegevens en in de cloud.
    • Authenticatie van gebruikers via wachtwoorden, toegangskaarten of biometrie.
    • Back-ups en herstel om toegang tot gegevens mogelijk te maken na een systeemfout, beschadigde gegevens of noodgeval.
    • Gegevenstolerantie als proactieve aanpak van herstel na noodgeval en bedrijfscontinuïteit.
    • Gegevensverwijdering voor het effectief verwijderen van gegevens en zorgen dat ze onherstelbaar worden.
    • Software voor het maskeren van gegevens die proxytekens gebruikt om letters en cijfers te verbergen voor onbevoegde gebruikers.
    • Oplossingen voor preventie van gegevensverlies om ongeoorloofd gebruik van gevoelige gegevens tegen te gaan.
    • Versleuteling om bestanden onleesbaar te maken voor onbevoegde gebruikers.
    • Informatiebeveiliging om gevoelige gegevens in bestanden en documenten te helpen classificeren.
    • Intern risicobeheer om riskante gebruikersactiviteiten te beperken.
  • Een voorbeeld van gegevensbeveiliging is het gebruik van technologie om te kijken waar gevoelige gegevens zich bevinden binnen je organisatie en te weten hoe die gegevens worden opgevraagd en gebruikt.

  • Gegevensbeveiliging is belangrijk omdat het je organisatie helpt zich te beschermen tegen cyberaanvallen, bedreigingen van binnenuit en menselijke fouten, die allemaal kunnen leiden tot gegevensschendingen.

  • De vier kernpunten van gegevensbeveiliging zijn vertrouwelijkheid, integriteit, beschikbaarheid en compliance.

Microsoft 365 volgen