Samenvatting: digital skills
Security
GDPR
Wat wordt van u verwacht?
Dataverwerkers kunnen rechtstreeks verantwoordelijk worden gesteld voor de veiligheid
van persoonlijke gegevens.
Deze zaken worden verwacht:
- U informeert burgers op een transparante & begrijpelijke manier over de manier
waarop en welke data u verzamelt en verwerkt
- U gebruikt de gepaste technologieën om datalekken te voorkomen
o U kan persoonsgegevens wissen wanneer de verstrekker van de data daarom
vraagt, ook als de data inmiddels is gedeeld met derden in het kader van
samenwerkingen.
- Bij een eventueel data lek bent u verplicht dit binnen de 72 uur te melden aan de
privacy commissie, tenzij kan worden bewezen dat de integriteit van de verzamelde
gegevens niet in gevaar zijn. In geval van een veiligheidslek moet u dus tijdig
gealarmeerd worden
- Er is een procedure om de technische maatregelen op regelmatige tijdstippen te
testen en te evalueren
- In geval van een incident kan u gepast reageren door het lek te dichten, alle data
van voor het incident terug op te roepen en aan te tonen welke stappen u heeft
ondernomen om gelijkaardige incidenten te voorkomen
Heeft uw organisatie een data protection officer nodig?
Sommige bedrijven en organisaties zullen verplicht worden een data protection officer in
dienst te nemen. Deze ‘functionaris voor gegevensbescherming’ is diegene die controleert of
alle data naar behoren wordt bewaard, gebruikt en gedeeld
- Hij informeert en adviseert het bedrijf over de rechten en plichten rond GDPR en
helpt het bedrijf zo ‘compliant’ te worden
- Hij controleert of de wetgeving wordt nageleefd
- Hij is het contactpunt voor de externe autoriteiten
Er zijn 3 soorten bedrijven die verplicht zijn een data protection officer aan te nemen:
- Alle organisaties in de publieke sector (behalve rechterlijke instanties), zoals
overheidsinstanties
- Bedrijven die bij de dataverwerking ‘regelmatige en stelselmatige observatie’ nodig
hebben, bijvoorbeeld vanwege ‘aard, omvang en doeleinden’ van de verwerking
1
, - Bedrijven die persoonsgegevens verwerken uit een ‘bijzondere categorie’, zoals
informatie over ras, politieke opvattingen, religie, biometrische gegevens,
gezondheid, seksuele geaardheid of strafrechtelijke veroordelingen
Boetes
Organisaties die niet voldoen aan de GDPR-wetgeving kunnen vanaf mei 2018 beboet
worden. Het is niet zo dat men beboet zal worden omdat er een data lek is (een 100% veilig
systeem bestaat niet), maar de boetes gelden wel wanneer op onverantwoordelijke wijze
met de data is omgegaan, als er geen degelijke beveiliging werd geïmplementeerd of als er
niet tijdig en correct gerapporteerd werd in geval van een lek.
Beter beveiligd in 3 stappen – uitbesteden?
Audit:
- Een security audit geeft inzicht in de beveiliging van uw data en eventuele gevaren.
Door de zwakke plekken in kaart te brengen kan u gericht actie ondernemen. Een
audit wordt typisch gedeeltelijk vanop afstand, gedeeltelijk fysisch ter plaatste
uitgevoerd
Managed security:
- De tools die cybercriminelen gebruiken evolueren continu. Cyber security is daarom
een continu proces. Managed security zorgt voor een regelmatige controle,
rapportage en analyse van uw systemen.
Monitoring:
- Zeker wanneer uw organisatie risicogevoelige of kostbare data beheert, wil u dat het
dataverkeer in uw omgeving continu gelogd en gemonitord wordt. In het geval van
ongewoon gedrag worden de juiste personen in uw organisatie meteen gealarmeerd.
Servicemanagement & webcare
ITIL-processen
De CMDB (centrale management database) is de centrale databank waar we alle informatie
in stoppen over de klanten en producten waar de dienstverlening op slaat. Telkens een
dienst geleverd is, kan de benodigde informatie uit die centrale databank opgehaald worden
en bijgewerkt worden.
Incident management handelt over het reparatie proces.
als een incident maar blijft opnieuw optreden, dan moet er wel een onderliggende
oorzaak zijn ( ‘root cause’). Dat ‘incident’ wordt dan een ‘problem’. En er is meer onderzoek
nodig om er definitief vanaf te geraken. Hier spreken we van problem management
Change management handelt over het aanbrengen van wijzigingen. Er is niets defect, men
wil een wijziging. Changes kunnen gevaarlijk zijn en dan weer een incident veroorzaken … .
2
,Release management handelt over alle wijzigingen op zo’n manier aan te brengen dat alles
in een precies voor gedefinieerde toestand is.
Request management gaat over het bestellen van goederen of diensten.
Hoe organiseer je dit binnen een bedrijf?
Schema zie cursus
De service desk is het ‘single point of contact’ voor eindgebruikers die iets wensen te melden
of vragen.
Als je toelaat dat gebruikers rondbellen in het bedrijf verlies je alle overzicht over wat er fout
loopt binnen je bedrijf en met je klanten. je kunt geen statische gegevens bijhouden en je
zal geen trends ontdekken
Gebruik je een centrale service desk, dan zal deze wellicht de nodige technicus aanroepen,
doch wel bewaken dat die activiteit effectief uitgevoerd wordt door die technicus.
eindgebruikers contacteren de service desk via e-mail, gestructureerde mail,
webformulieren, webchat en telefoon. De meeste efficënte (goedkoopste) technieken zijn
webformulier en webchat. Telefonie is de duurste techniek, omdat ze een service desk
specialist een tijd blokeert
De service desk agent zal bepalen wat de aard van het event is die de eindgebruiker
aanmeldt:
- Is er iets defect een incident
- Iets moet gebeuren maar niets is defect een request
- Een incident dat door meerdere gebruikers gerapporteerd wordt, en een diepere
onderliggende oorzaak heeft een problem
o Hier zal wellicht interventie van specialisten nodig zijn, niet bij de klant maar
in het ontwerp van jouw product of dienst
- De gebruiker wil dat een wijziging aangebracht wordt change request
o Wijzigigingen aanbrengen is gevaarlijk en kan incidenten veroorzaken
o Bedrijven hebben vaak een change manager die wijzigien coordineert
o CAB change advisory board
Vergadering binnen een bedrijf of bij een klant die onderzoekt of
wijzigingen wel veilig kunnen doorgevoerd worden door ‘change
workers’
Incidents, problems, changes gebeuren op assets die klanten en medewerkers gebruiken
die middelen (apparatuur, software, …), hoe die geconfigureerd is, en alles wat er rond
gebeurt, dient in een databank gedocumenteerd te worden
- CMDB configuration and management database
3
, Incident management
Is een onderbreking van de normale dienstverlening met negatieve impact op bedrijf &
gebruiker. De bedoeling van incident management is de dienst zo snel mogelijk te herstellen,
hetzij door het incident op te lossen, hetzij door het te omzeilen op zo’n manier dat de
impact verdwijnt.
- Vb.
o Je auto start niet. De batterij is leeg. Je zoekt niet uit of er iets defect is, maar
koppelt startkabels aan de accu van een andere auto, je start, en je rijdt weg.
je hoopt dat het niet meer gebeurt
Problem management
Problem: de oorzaak van één of meer incidenten die meer onderzoek vergen dan zo maar
een incident
De bedoeling van problem management is het vinden van de onderliggende oorzaak (root
cause) van een incident en de impact op het bedrijf te verminderen. Problem management
kun je als een proactieve aanpak beschouwen die het verder optreden van dit incident
vermijdt
Root cause: de onderliggende oorzaak van het probleem (bv. Slecht ontworpen onderdeel)
Reactief probleem management: je lost de problemen op als ze zich voordoen
- wordt soms gedaan uit financiele redenen
Pro-actief probleem management: je ziet de problemen aankomen en lost ze op voor het
incident dat erbij hoort optreedt. Dit is deel van het continue kwaliteitsverbeteringsproces.
- beter aanpak
Request management
Het service operations proces
- Er zijn wat variante vormen van incident management. Het gaat niet steeds over een
‘technische panne’ maar het kan ook over vragen om iets uit te voeren gaan
requests dus
- Bij het automatisch melden van incidenten spreekt men van ‘event management’
(vb. GPS)
- Een service desk is duur omdat je mensen nodig hebt
o selfhelp
- Event management
o Betreft de incidenten die door automatische systemen gemeld worden
probleem sneller oplossen en gebruikers merken het misschien niet
- Incident management
o Betreft incidenten door gebruikers aangemeld
- Request fulfillment
o Dat zijn niet echt incidenten, maar gebruikers die extra’s vragen
4