We doen steeds meer zaken online. Dat heeft grote impact op de hoeveelheid (gevoelige) data die wordt verstuurd, bewaard en gebruikt. Vanaf mei 2018 geldt dan ook de GDPR: de Global Data Protection Regulation. Hierdoor zullen voor alle Europese landen dezelfde regels gaan gelden. De kloof tussen onze huidige wetgeving, – die volgend jaar dus wordt vervangen -, en de GDPR is in basis niet zo groot. Het zit ‘m meer in de handhaving: de risico’s groeien, en dus ook het toezicht op de naleving van regels en de voorzorgsmaatregelen die je treft. En dus stellen steeds meer ondernemers zichzelf de vraag: ‘heb ik de maximale maatregelen getroffen om de gegevens van mijn klanten en platform te beschermen?’
Hot topic dus. Toch denk ik dat nog zeker de helft van de ondernemers de vertaalslag van ‘wat impliceert dit voor mij’ naar ‘hoe ga ik dat aanvliegen’ nog moet maken. In welke fase jouw organisatie zich ook mag bevinden, je wilt er als ondernemer alles aan doen om goed voor de data van je klanten te zorgen. Mijn advies? Stel je daarin kwetsbaar op.
Responsible Disclosure
Zeg nu eerlijk. Wanneer een gebruiker van je website of een ‘toevallige passant’ een kwetsbaarheid vindt die op de beveiliging van je platform van invloed kan zijn, wil je dat natuurlijk graag weten. Met een Responsible Disclosure stel je voor dat meldingsproces richtlijnen op in de vorm van een beleid. In dit beleid worden mensen die een kwetsbaarheid ontdekken verzocht om deze zo snel mogelijk bij je te melden zodat je er zo snel mogelijk mee aan de slag kunt. Het beleid is voor iedereen vindbaar op jouw website door het bijvoorbeeld onderaan je homepage te vermelden. Sommige organisaties koppelen er zelfs een ‘vindersloon’ aan, een fee voor oplettende, eerlijke bezoekers die jouw organisatie in kennis stellen van hun opmerkelijke vondst.
De kracht van kwetsbaarheid
Jezelf kwetsbaar opstellen klinkt misschien eerder als een thema voor een persoonlijke ontwikkelingscursus, maar niets is minder waar. Juist het IT-landschap vraagt meer dan ooit om deze houding. In deze wereld leeft nog vaak de gedachte dat je het als organisatie zelf voor de volle 100% zelf moet kunnen managen. Sommige organisaties zullen dus nog behoorlijk moeten omdenken. Immers, al heb je hordes peperdure security experts in huis en de laatste software releases, geen enkel risico valt uit te sluiten. Geef gebruikers van je platform dus de kans om kwetsbaarheden te melden; creëer een beleid en een cultuur waarin zij jou mogen helpen. Of anders gezegd: faciliteer het proces waarin anderen je mogen helpen.
Eigenlijk is de kracht van een Responsible Disclosure op een simpele overtuiging gebaseerd: de meeste mensen zijn eerlijke mensen. Natuurlijk, ook bezoekers met slechte intenties zullen hun weg naar jouw platform weten te vinden. Maar laten we ervan uitgaan dat het gros bereid is om jou te helpen je klantgegevens veilig te houden. Zo’n responsible disclosure zegt dus niet alleen iets over je platform, maar ook iets over jou.
Dit is waar we naartoe moeten in het IT-landschap: de juiste maatregelen treffen. Laten we dat samen doen. Laten we ervoor zorgen dat niet alleen de IT met ons meewerkt, maar ook de mens. Zo ontwikkel jij de optimale beveiligingsgraad voor je online platform.
Bron: https://www.frmwrk.nl/blog/responsible-disclosure-de-kracht-van-kwetsbaarheid