Door de continu veranderende wet- en regelgeving op het gebied van privacy is digitale soevereiniteit een hoofdpijndossier geworden voor organisaties wereldwijd. Zo maken vier op de vijf organisaties zich zorgen over het effect van soevereiniteit en privacywetgeving op hun plannen voor de implementatie van clouddiensten, blijkt uit onderzoek. In deze blog deelt Steven Maas zijn belangrijkste bevindingen die jouw organisatie kunnen helpen bij het behouden van digitale soevereiniteit.
Door Steven Maas
Digitale soevereiniteit bestaat in de kern uit privacy, veiligheid en vertrouwen. Eén van de beste voorbeelden om te begrijpen hoe deze drie pijlers op papier komen is de General Data Protection Regulation (GDPR), de strengste wetgeving wereldwijd voor het beschermen van gegevens. Recente initiatieven, zoals de Europese Gaia-X en de Digital Operational Resilience Act (DORA), bouwen voort op GDPR-concepten maar gaan in de praktijk nog veel verder dan het simpelweg beschermen van gegevens; namelijk naar digitale soevereiniteit. Deze regelgeving vereist dat afgeschermde of confidentiële gegevens en workloads voldoen aan de gewenste lokale restricties en alleen toegankelijk zijn voor gebruikers in gemarkeerde geografische gebieden. De toename van dit soort regelgeving dwingt bedrijven wereldwijd om hun manier van zakendoen aan te passen op de lokale wet- en regelgeving.
> LEES OOK: Bedrijfsgegevens in de cloud belangrijkste doelwit van cyberaanvallen in Nederland
Verantwoordelijkheid voor bescherming van data in de cloud
Dit is bij de cloud echter makkelijker gezegd dan gedaan. Veel organisaties slaan gevoelige gegevens op in de cloud. Bovendien maken ze gebruik van meerdere cloud services, meestal bij diverse Cloud Service Providers (CSP’s). Dat maakt de situatie erg ingewikkeld. Het opslaan van gegevens op meerdere plekken kan ervoor zorgen dat je geen duidelijk overzicht meer hebt over waar je data nou precies opgeslagen staat. Dat terwijl je als organisatie zelf de verantwoordelijkheid draagt voor de beveiliging van de data en gegevens in de cloud.
> LEES OOK: Cybersecuritybeeld 2023: verwacht het onverwachte
Drie stappen voor digitale soevereiniteit
Aangezien soevereiniteit door organisaties zelf geïnitieerd wordt en niet door cloudaanbieders, is het cruciaal dat organisaties zelf soevereiniteitscontroles bezitten en onderhouden, onafhankelijk van de cloudaanbieder. Hoe je daar komt? Volgens S&P Global Market Intelligence zijn de volgende stappen belangrijk om te zetten in de reis naar digitale soevereiniteit:
Stap 1: Beoordeel risico’s
De eerste stap in de reis naar digitale soevereiniteit is het beoordelen van risico’s en het classificeren en beschermen van gevoelige data op basis van wet- en regelgeving. Dit moet een doorlopende aanpak worden binnen je organisatie, via een geautomatiseerde risicobeoordeling. Dit stelt je als organisatie in staat om de principes van privacy by design te omarmen.
Stap 2: Ontwerp je strategie en controles
Het is belangrijk om een ‘think global, act local”-mindset te hanteren tijdens het opstellen van een soevereiniteitsstrategie. Op deze manier zorg je ervoor dat soevereiniteitscontroles voldoen aan de lokale wet- en regelgeving. Dit zijn de controles die je in je strategie zou moeten overwegen:
- Controle over encryptiesleutels: Het scheiden van de verantwoordelijkheden van encryptiesleutels is voor organisaties en hun cloudaanbieders de belangrijkste operationele soevereiniteitscontrole. Organisaties kunnen verschillende niveaus van encryptiesleutecontrole overwegen, van “bring your own [encryption] key” (BYOK), “hold your own key” (HYOK) tot “bring your own encryption” (BYOE).
- End-to-end bescherming van gevoelige gegevens: Gegevens moeten gedurende de gehele levenscyclus, worden beschermd. Ook als gegevens opgeslagen zijn en niet gebruikt worden, zich over het netwerk bewegen of juist wél worden gebruikt. Op dezelfde manier moeten de systemen en netwerken die opgeslagen gegevens verzenden beschermd worden tegen dataverlies.
- Wereldwijd of lokaal ontwerp: Met een globale soevereiniteitsstrategie om lokaal uit te voeren, heb je als onderneming een veel grotere kans op blijvend succes. Door éénmalige soevereiniteitsinitiatieven te vermijden, voorkom je soevereine cloudsilo’s die te fragiel zijn om op te lange termijn te onderhouden en verklein je de kans op misconfiguratie.
- Toegang en identiteiten beheren: Het is belangrijk om role based access control toe te passen voor alle toegang tot gevoelige gegevens, en om multifactorauthenticatie (MFA) in te stellen zodat je voorkomt dat onbevoegden toegang verkrijgen.
> LEES OOK: Safer Internet Day: zo maken we van het web een veiligere plek
Stap 3: Implementeren
Naast beoordeling van risico’s en het opstellen van een soevereiniteitsstrategie, moet het implementeren en optimaliseren van de cloud simpelweg een continu proces zijn om digitale soevereiniteit te bereiken. De effectiviteit van (nieuwe) implementaties die je op dit gebied invoert, kun je meten aan de controles die je toepast en aan de mogelijkheid en volwassenheid om deze controles indien nodig bij te sturen.
Digitale soevereiniteit behouden
Digitale soevereiniteit stelt je in staat om de voordelen van de cloud te maximaliseren. Maar om echt te kunnen spreken van digitale soevereiniteit, moet je niet alleen gegevens beschermen in lijn met wet- en regelgeving. Het vereist ook dat je over een strategie beschikt om soevereiniteit op de agenda te houden en dat je jouw cloud continu optimaliseert. Alleen zo ben je in staat om jouw digitale soevereiniteitsstrategie aan te passen op de steeds veranderende wet- en regelgeving op het gebied van privacy. Dát is digitale soevereiniteit.
Steven Maas, Sales Director Encryption BeNeLux bij Thales
Volg Security Management op LinkedIn