Toon posts:

Encryptie en opslaan gevoelige data

Pagina: 1
Acties:

donderdag 16 december 2021 22:17

Acties:
  • 0Henk 'm!
  • Yarisken
  • Registratie: Augustus 2010
  • Laatst online: 27-01 08:55

Yarisken

Topicstarter
Beste,

Een nieuwe afdeling bij ons heeft aan mij de vraag gesteld om te kijken naar een manier om hun heel heel heel gevoelige data te kunnen syncen tussen een paar personen op hun laptop.

Cloud valt dus al zeker weg hoewel je daar ook de data kan encrypten.

Zelf had ik gedacht aan nextcloud en een lokale versie te draaien. Je kan end to end encrypten en de data op de server ook encrypten.

Wat denken jullie, is dit een oplossing waar ik is naar kan kijken of zijn er nog opties die ik kan meenemen ?

Groeten

donderdag 16 december 2021 22:34

Acties:
  • +2Henk 'm!
  • Glewellyn
  • Registratie: Januari 2001
  • Laatst online: 26-01 22:03

Glewellyn

is er ook weer.

Als dit echt gaat over heel heel heel gevoelige data mag dat alleen geraadpleegd worden in een gecontroleerde omgeving (lees afgesloten ruimte) nadat de persoon die inzage krijgt zich met 3 factoren geautentiseerd heeft. <overdrijf mode uit>

Begin eens met met het verzamelen van de eisen die de security officer stelt aan de beveiliging van deze vertrouwelijke gegevens en leg die naast de business case voor het meenemen van deze gegevens op laptops.

Als je een oplossing kan vinden die voldoet aan de eisen en minder kost dan de baten heb je je oplossing.

Ik krijg geen goed gevoel bij het dupliceren van gevoelige data, ik zou onderzoeken of je niet iets van een applicatie kan aanbieden die die informatie interactief ontsluit naar de mensen die die gegevens onderweg nodig hebben.

*zucht*

donderdag 16 december 2021 22:36

Acties:
  • +1Henk 'm!
  • sOid
  • Registratie: Maart 2004
  • Niet online

sOid

Ik denk dat het handig is als je wat meer informatie geeft. Bijvoorbeeld:
  • Om wat voor soort data gaat het? Vertrouwelijke contactgegevens kunnen bijvoorbeeld om een andere aanpak vragen dan een grote database.
  • Hoe vaak moet die sync plaatsvinden?
  • Moeten ze tegelijkertijd in die data kunnen werken?
  • Op welke devices moet het beschikbaar zijn?
Nextcloud zou kunnen werken. Een VeraCrypt-container ook. Of een versleutelde share op een Synology NAS en bereikbaar via een VPN. Maar het hangt allemaal erg van je doel af.

donderdag 16 december 2021 22:40

Acties:
  • 0Henk 'm!
  • sOid
  • Registratie: Maart 2004
  • Niet online

sOid

Glewellyn schreef op donderdag 16 december 2021 @ 22:34:
Ik krijg geen goed gevoel bij het dupliceren van gevoelige data, ik zou onderzoeken of je niet iets van een applicatie kan aanbieden die die informatie interactief ontsluit naar de mensen die die gegevens onderweg nodig hebben.
Dat ook indd. Kan alleen maar gedoe opleveren als je vervolgens met allerlei duplicaten werkt en versies door elkaar gaan... Nog even los van het beveiligingsvraagstuk dus.

Maar goed, eerst meer informatie van TS ;)

donderdag 16 december 2021 22:44

Acties:
  • 0Henk 'm!
  • Yarisken
  • Registratie: Augustus 2010
  • Laatst online: 27-01 08:55

Yarisken

Topicstarter
Wel het gaat over onderzoeken van personen. Dus heel heel gevoelige persoonsgegevens.
Dus geen database toestanden, eerder aparte documenten zoals .docx, xlsx, pdf etc...

Sync zou ik bij change laten plaatsvinden.

Het is een paar man dus tegelijk werken .. kan is klein.

Enkel laptops. Laptop schijven zijn encrypted.

Een applicatie lijkt me idd ook wel zinvol om te bekijken. Dan staat de data niet lokaal en moet er ook niet gesynct worden.

Ik wil vooral geen bricolage ... dat hebben we hier al genoeg :-).

Edit: Ik ben zelf een soort security officer in deze firma.

[Voor 5% gewijzigd door Yarisken op 16-12-2021 22:46]

donderdag 16 december 2021 22:50

Acties:
  • +1Henk 'm!
  • Zebby
  • Registratie: Maart 2009
  • Laatst online: 13:32

Zebby

Dit klinkt als iets waarvoor je mogelijk gecertificeerd moet zijn, maar dat terzijde.

Ik zou wel degelijk kiezen voor een centrale opslagplek die de data opslaat, en dat men het juist niet lokaal mag hebben. Zijn voldoende diensten die zoiets aanbieden, met alle benodigde certificering. ISO 27001 wil je minimaal terug zien. Toegang middels MFA ook.

donderdag 16 december 2021 22:55

Acties:
  • 0Henk 'm!
  • Yarisken
  • Registratie: Augustus 2010
  • Laatst online: 27-01 08:55

Yarisken

Topicstarter
Zebby schreef op donderdag 16 december 2021 @ 22:50:
Dit klinkt als iets waarvoor je mogelijk gecertificeerd moet zijn, maar dat terzijde.

Ik zou wel degelijk kiezen voor een centrale opslagplek die de data opslaat, en dat men het juist niet lokaal mag hebben. Zijn voldoende diensten die zoiets aanbieden, met alle benodigde certificering. ISO 27001 wil je minimaal terug zien. Toegang middels MFA ook.
Een dienst op Belgische / Europese bodem met de nodige garanties / certificaten is ook een optie.
Heb jij enkele voorbeelden van firma's / organisaties die dit aanbieden ?

donderdag 16 december 2021 23:09

Acties:
  • 0Henk 'm!
  • Glewellyn
  • Registratie: Januari 2001
  • Laatst online: 26-01 22:03

Glewellyn

is er ook weer.

Misschien heel simpel gedacht. SharePoint in Office365 i.c.m. two factor authentication?

Ik begrijp dat Microsoft een Amerikaans bedrijf is, maar de Europese datacenters zijn juridisch redelijk goed gescheiden van de moederorganisatie, al is het niet waterdicht als de CIA of NSA de data zou willen hebben. Aan de andere kant, als je een nation-state als mogelijke threat-actor hebt zou je data op laptops ook niet overwogen hebben.

*zucht*

donderdag 16 december 2021 23:35

Acties:
  • +2Henk 'm!
  • DJMaze
  • Registratie: Juni 2002
  • Niet online

DJMaze

Yarisken schreef op donderdag 16 december 2021 @ 22:17:
kijken naar een manier om hun heel heel heel gevoelige data te kunnen syncen tussen een paar personen op hun laptop.
Nee, niet syncen!

Je moet loggen wie op welk tijdstip vanaf welke locatie zichzelf toegang heeft verschaft tot "heel heel heel gevoelige data".
En je moet er voor zorgen dat die persoon de "heel heel heel gevoelige data" niet kan kopiëren naar een usb stick, telefoon, fotograferen, printen, faxen, etc. etc. tenzij diegene een goed contract heeft.

En dan nog... Iemand laat de USB stick in de trein achter... "Oops vergeten".
Dan zou het dus encrypt op de USB stick moeten staan.
Yarisken schreef op donderdag 16 december 2021 @ 22:17:
Een nieuwe afdeling bij ons heeft aan mij de vraag gesteld
Ehm... wie is bij jullie de Data Protection Officer?

[Voor 13% gewijzigd door DJMaze op 16-12-2021 23:37]

Maak je niet druk, dat doet de compressor maar

vrijdag 17 december 2021 01:32

Acties:
  • +1Henk 'm!
  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

DJMaze schreef op donderdag 16 december 2021 @ 23:35:
[...]

Nee, niet syncen!...
Precies! Dat mag met hoofdletters.

Onderdeel van security is ook physical security. De data staat nu nog op een server in een gecontroleerde omgeving. Dat geef je op zodra je gaat syncen

QnJhaGlld2FoaWV3YQ==

vrijdag 17 december 2021 09:47

Acties:
  • 0Henk 'm!
  • Yarisken
  • Registratie: Augustus 2010
  • Laatst online: 27-01 08:55

Yarisken

Topicstarter
Ok ik neem mee

- Niet syncen van de data, zo geef je physical security op !
- Kijken voor logging wie welke data inkijkt !
- Data kan niet / mag niet op usb stick , telefoon , printen ! USB kan encrypted !
- Minstens 2-3 factor authenticatie !
- ISO 27001 certificatie en ervaring om met dit type van data om te gaan !

Het begint vorm te krijgen. Bedankt voor jullie feedback al !

vrijdag 17 december 2021 09:58

Acties:
  • 0Henk 'm!
  • Yarisken
  • Registratie: Augustus 2010
  • Laatst online: 27-01 08:55

Yarisken

Topicstarter
[...]

Ehm... wie is bij jullie de Data Protection Officer?
[/quote]

DPO is nog niet betrokken op dit moment. Ik ga eerst technisch mijn huiswerk doen en dan wordt hij wel betrokken uiteraard.

vrijdag 17 december 2021 09:59

Acties:
  • 0Henk 'm!
  • Yarisken
  • Registratie: Augustus 2010
  • Laatst online: 27-01 08:55

Yarisken

Topicstarter
Glewellyn schreef op donderdag 16 december 2021 @ 23:09:
Misschien heel simpel gedacht. SharePoint in Office365 i.c.m. two factor authentication?

Ik begrijp dat Microsoft een Amerikaans bedrijf is, maar de Europese datacenters zijn juridisch redelijk goed gescheiden van de moederorganisatie, al is het niet waterdicht als de CIA of NSA de data zou willen hebben. Aan de andere kant, als je een nation-state als mogelijke threat-actor hebt zou je data op laptops ook niet overwogen hebben.
Dat gaat voor DPO een no-go zijn ... ik krijg regelmatig een verwerkersovereenkomst te zien en vanaf dat daar Azure staat .... wordt het toch wat complexer :-)

vrijdag 17 december 2021 10:16

Acties:
  • +1Henk 'm!
  • Killjoy
  • Registratie: November 2000
  • Laatst online: 10:57

Killjoy

Klingon lawn products

Het gaat dus om verwerking van gevoelige en/of bijzondere persoonsgegevens, verkregen uit onderzoeken naar personen. Al dan niet met hun kennis of instemming.

Stap 1: neem contact op met jouw intern opdrachtgever en geef aan dat bij een dergelijke gevoelige verwerking van persoonsgegevens een gedegen risico assessment noodzakelijk is.
Stap 2: laat intern opdrachtgever contact opnemen met jullie (vertegenwoordiger van de) CISO en CPO voor uitvoering van een DPIA/aanvullende risico assessment (IB/IV)
Stap 3: zorg dat je aangehaakt wordt bij de uitvoering van deze DPIA/risico assessment.
Stap 4: bewaak dat er akkoord is gegeven op de DPIA/ aanvullende risico assessment.
Stap 5: werk de aanbevelingen/maatregelen uit in functionals en non-functionals.

Kortom, intern opdrachtgever mag terug naar de tekentafel

Het is den ambtenaar verboden gedurende den werktijd alcoholhoudende dranken te gebruiken, bij zich te hebben of in de dienstlokalen te bewaren.

vrijdag 17 december 2021 10:34

Acties:
  • +1Henk 'm!
  • hmmmmmmmmmpffff
  • Registratie: September 2009
  • Laatst online: 14:57

hmmmmmmmmmpffff

Yarisken schreef op vrijdag 17 december 2021 @ 09:58:
[...]

Ehm... wie is bij jullie de Data Protection Officer?
[/quote]

DPO is nog niet betrokken op dit moment. Ik ga eerst technisch mijn huiswerk doen en dan wordt hij wel betrokken uiteraard.
Lijkt mij juist handig om de DPO er direct al bij te betrekken. Straks heb je allemaal dingen uitgezocht die totaal overbodig zijn?

vrijdag 17 december 2021 10:44

Acties:
  • +1Henk 'm!
  • Yarisken
  • Registratie: Augustus 2010
  • Laatst online: 27-01 08:55

Yarisken

Topicstarter
hmmmmmmmmmpffff schreef op vrijdag 17 december 2021 @ 10:34:
[...]

Lijkt mij juist handig om de DPO er direct al bij te betrekken. Straks heb je allemaal dingen uitgezocht die totaal overbodig zijn?
Idd bedankt voor jullie feedback, ik ga vandaag toch is stappen naar de DPO om een DPIA is te bespreken !

vrijdag 17 december 2021 10:58

Acties:
  • +1Henk 'm!
  • downtime
  • Registratie: Januari 2000
  • Niet online

downtime

Everybody lies

Yarisken schreef op vrijdag 17 december 2021 @ 09:47:
Ok ik neem mee

- Niet syncen van de data, zo geef je physical security op !
- Kijken voor logging wie welke data inkijkt !
- Data kan niet / mag niet op usb stick , telefoon , printen ! USB kan encrypted !
- Minstens 2-3 factor authenticatie !
- ISO 27001 certificatie en ervaring om met dit type van data om te gaan !

Het begint vorm te krijgen. Bedankt voor jullie feedback al !
Syncen van data betekent ook dat als eentje een bestand wist het ook bij de anderen weg is. Dus als je synct zul je daarnaast ook nog backups moeten hebben.

Wat jij wilt is auditing. Logging is wat breder dan alleen auditing. Want als het echt zo gevoelig is dan wil je later kunnen zien wie een bestand ingezien of aangepast heeft.

Gaan die laptops grenzen over? Dan helemaal geen data op apparaten. Je kunt namelijk verplicht worden om aan de grens jouw laptop te laten inkijken of zelfs afstaan. Bij bedrijven met veel gevoelige data reist het personeel gewoon zonder laptop. Bij aankomst krijgen ze een schone laptop waarop ze dan met VPN kunnen werken.
Het bedrijf waar ik zelf werk geeft ook tijdelijke telefoons aan medewerkers die naar high risk landen gaan. Denk dan bijvoorbeeld aan China. Volgens mij worden die telefoons na terugkomst vernietigd en niet opnieuw gebruikt.

En een belangrijke: De zwakste schakel is altijd de medewerker zelf. En dan vooral die ene die zeker weet dat hij nooit een USB-stick in de trein zou laten liggen en dus gewoon data op een onbeveiligde USB stick zet. En die prompt in het café laat liggen. Dwing encryptie dus ook af met richtlijnen, training én technische maatregelen.

vrijdag 17 december 2021 13:37

Acties:
  • +2Henk 'm!
  • Yarisken
  • Registratie: Augustus 2010
  • Laatst online: 27-01 08:55

Yarisken

Topicstarter
Killjoy schreef op vrijdag 17 december 2021 @ 10:16:
Het gaat dus om verwerking van gevoelige en/of bijzondere persoonsgegevens, verkregen uit onderzoeken naar personen. Al dan niet met hun kennis of instemming.

Stap 1: neem contact op met jouw intern opdrachtgever en geef aan dat bij een dergelijke gevoelige verwerking van persoonsgegevens een gedegen risico assessment noodzakelijk is.
Stap 2: laat intern opdrachtgever contact opnemen met jullie (vertegenwoordiger van de) CISO en CPO voor uitvoering van een DPIA/aanvullende risico assessment (IB/IV)
Stap 3: zorg dat je aangehaakt wordt bij de uitvoering van deze DPIA/risico assessment.
Stap 4: bewaak dat er akkoord is gegeven op de DPIA/ aanvullende risico assessment.
Stap 5: werk de aanbevelingen/maatregelen uit in functionals en non-functionals.

Kortom, intern opdrachtgever mag terug naar de tekentafel
Het gaat idd over gevoelige persoonsgegevens zonder instemming.
Er is al, buiten mijn weten , een DPIA gestart ... dus bedankt voor de info !
De puzzelstukken beginnen in elkaar te vallen !
Groeten

dinsdag 21 december 2021 04:42

Acties:
  • +2Henk 'm!
  • laurens0619
  • Registratie: Mei 2002
  • Laatst online: 08:14

laurens0619

“Security at the expense of usability comes at the expense of security”

Hou de balans! Je kunt het op papier enorm veilig maken maar dit heeft het risico dat het onwerkbaar gaat worden met als gevolg dat medewerkers een alternatieve methode gaan gebruiken…

Hou het liefst de data in een applicatie, het liefst niet eens in een office formaat maar echt een record. Als dat niet kan dan zou ik het in bv een beveiligde sharepoint zetten. Dan kun je met sharepoint online overal bij zonder het bestand lokaal te downloaden (wel ff uitzetten in de policy). Let opnieuw op of dit werkbaar is voor de mensen… zo niet kijk naar alternatieven

Focus je niet alleen op de plek waar het wordt opgeslagen maar vooral om alles eromheen. Dus edr op je endpoints/server inclusief mdr, goed accountbeheer met strong authentication opnieuw aan mdr. Data classificatie/drm op je bestanden om
Het te recallen bij dataleak
Etc etc

[Voor 26% gewijzigd door laurens0619 op 21-12-2021 04:48]

CISSP! Drop your encryption keys!

dinsdag 21 december 2021 12:29

Acties:
  • +1Henk 'm!
  • Yarisken
  • Registratie: Augustus 2010
  • Laatst online: 27-01 08:55

Yarisken

Topicstarter
laurens0619 schreef op dinsdag 21 december 2021 @ 04:42:
“Security at the expense of usability comes at the expense of security”

Hou de balans! Je kunt het op papier enorm veilig maken maar dit heeft het risico dat het onwerkbaar gaat worden met als gevolg dat medewerkers een alternatieve methode gaan gebruiken…

Hou het liefst de data in een applicatie, het liefst niet eens in een office formaat maar echt een record. Als dat niet kan dan zou ik het in bv een beveiligde sharepoint zetten. Dan kun je met sharepoint online overal bij zonder het bestand lokaal te downloaden (wel ff uitzetten in de policy). Let opnieuw op of dit werkbaar is voor de mensen… zo niet kijk naar alternatieven

Focus je niet alleen op de plek waar het wordt opgeslagen maar vooral om alles eromheen. Dus edr op je endpoints/server inclusief mdr, goed accountbeheer met strong authentication opnieuw aan mdr. Data classificatie/drm op je bestanden om
Het te recallen bij dataleak
Etc etc
Wel grote kans dat het sharepoint gaat worden. Samen met een externe consultant zien om het extreem veilig te maken. Zou moeten mogelijk zijn.
Het is idd kijken dat het nog werkbaar blijft want anders gaan werknemers idd alternatieven zoeken ... :-)
Bedankt voor je feedback !

dinsdag 21 december 2021 17:33

Acties:
  • 0Henk 'm!
  • Killjoy
  • Registratie: November 2000
  • Laatst online: 10:57

Killjoy

Klingon lawn products

Yarisken schreef op dinsdag 21 december 2021 @ 12:29:
[...]


Wel grote kans dat het sharepoint gaat worden. Samen met een externe consultant zien om het extreem veilig te maken. Zou moeten mogelijk zijn.
Het is idd kijken dat het nog werkbaar blijft want anders gaan werknemers idd alternatieven zoeken ... :-)
Bedankt voor je feedback !
Denk eraan om adequate logging in te richten. Dit is precies het soort data waarbij je wilt weten of er onregelmatigheden zijn met betrekking tot toegang (intern, extern). Dus zorg ervoor dat je een audittrail hebt over wie wanneer toegang heeft gehad, met welke frequentie, enz. En zorg ervoor dat die logfiles beschermd zijn tegen wijziging.

Denk eraan dat de personen van wie de data wordt opgeslagen ook op enig moment het recht hebben op inzage (AVG). Daarbij kan ook horen dat verstrekt moet worden wie de data heeft ingezien. Dat zal weer moeten blijken uit de DPIA, in het onderdeel 'rechten betrokkene'.

Het is den ambtenaar verboden gedurende den werktijd alcoholhoudende dranken te gebruiken, bij zich te hebben of in de dienstlokalen te bewaren.

woensdag 29 december 2021 14:41

Acties:
  • 0Henk 'm!
  • oak3
  • Registratie: Juli 2010
  • Laatst online: 27-01 14:37

oak3

Yarisken schreef op dinsdag 21 december 2021 @ 12:29:
[...]


Wel grote kans dat het sharepoint gaat worden. Samen met een externe consultant zien om het extreem veilig te maken. Zou moeten mogelijk zijn.
Het is idd kijken dat het nog werkbaar blijft want anders gaan werknemers idd alternatieven zoeken ... :-)
Bedankt voor je feedback !
Heb je al eens gekeken naar (azure) information protection? Dat biedt volgens mij alles wat je zoekt. Encrytpie, controle, auditing, beveiliging etc. Daarnaast ook redelijk gebruiksvriendelijk. Kost alleen licenties.

Anders kun je het ook nog altijd een een veracrypt container plaatsen met een sterke key. Als je die key maar veilig opslaat en verspreid, maakt het verder niet veel uit waar de data staat. Zelf niet in het buitenland omdat de data versleuteld is en niet beschikbaar is voor de partij die het opslaat. Veracrypt zelf heeft echter geen auditing of logging, dus dat deel mis je. Ook kun je veilig gebruik niet afdwingen.

[Voor 5% gewijzigd door oak3 op 29-12-2021 14:42]

woensdag 29 december 2021 14:45

Acties:
  • 0Henk 'm!
  • revolution-nl
  • Registratie: December 2011
  • Laatst online: 27-01 14:02

revolution-nl

B≡ TH≡ CHANG≡

Ik zou voor deze case inzetten op compliancy rules vanuit je endpoint manager zodat je zeker weet dat de devices voldoen aan de gestelde randvoorwaarden (bijv, encryptie), daarbovenop inderdaad werken met azure information protect en sensitivity labels. Vraag intern eens na wat de classificatierichtlijnen zijn.

Vergeet daarnaast geen algehele risicobeoordeling te doen :)
Succes!

[Voor 20% gewijzigd door revolution-nl op 29-12-2021 14:50]

10.000WP | Vroemt met EV en verwarmt met lucht/lucht warmtepomp | 2x MHI SRK/SRC 35 ZS

Pagina: 1
Reageer

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee