Introductie
A.S. Watson Benelux is het wereldbedrijf achter Kruidvat, Trekpleister, ICI PARIS XL, Pour Vous en Prijsmepper en daarmee dé marktleider in de Health & Beauty markt (bron website).
AS Watson heeft een grote hoeveelheid “ongestructureerde” data in de vorm van bestanden (documenten, spreadsheets etc.) opgeslagen.
Deze documenten kunnen vertrouwelijke informatie bevatten, voornamelijk persoonsgegevens. Vooral de file shares van personeelszaken, salarisadministratie en financiën bevatten gevoelige informatie. Vanwege de aangepaste wetgeving rondom GDPR was uitdaging voor AS Watson om meer inzicht te krijgen in wat er met deze informatie gebeurt en wie er toegang heeft.
Doelstelling AS Watson
In het kader van de AVG wil AS Watson een controleerbaar proces hebben van controle van de juiste rechten op deze ongestructureerde data. Ook wil AS Watson in staat zijn om na te gaan wie welke actie (lezen, aanmaken en verwijderen) heeft uitgevoerd op deze ongestructureerde data.
Realisatie oplossing
Bovenstaande doelen zijn concreet gemaakt in de volgende twee use cases:
- De mappen met gevoelige informatie zullen worden gemonitord. Periodiek zal daarvan een rapportage worden gemaild naar de verantwoordelijke manager met hierin vermeld wie welke rechten heeft op deze gegevens. Daarbij wordt een verzoek gedaan aan de manager via email om deze gebruikers te controleren en te fiatteren
- Monitoren van een aantal centrale mappen mogelijk maken mbt wijzigen en lezen van bestanden. Indien op deze mappen onverhoopt gevoelige data opgeslagen wordt kan gecontroleerd en aangetoond worden wie deze data er geplaatst heeft en of deze data door onbevoegde ingezien is. Alle log-data wie welk bestand heeft geplaatst, geraadpleegd, etc. wordt gelogd. Daarnaast is er een specifieke rapportage beschikbaar die op ieder willekeurig tijdstip uitgevoerd kan worden.
“Ik heb al enige tijd contact met Stef Liethoff, Cybersecurity specialist en eigenaar van SBL Cybersecurity B.V in het kader van dataprotectie en de AVG. Stef is deskundig op het gebied van cybersecurity en maakte mij attent op de mogelijkheid om samen met ons een tool te ontwikkelen om inzicht te krijgen in zowel de actuele autorisaties ingericht op onze file shares als op een eenvoudige manier inzicht te krijgen wie allemaal toegang heeft gehad tot een bepaald bestand binnen een bepaalde tijdsperiode. Dit is voor ons belangrijk in het kader van de AVG. We hadden een oplossing nodig die stabiel en eenvoudig werkt en ons helpt aan zinvolle rapportages”: aldus Kees Bovee, IT manager AS Watson Benelux.
Resultaat
Middels een proof of concept heeft SBL Cyber Security samen met AS Watson de praktische werking van de oplossing aangetoond. Na een uitgebreide evaluatie heeft AS Watson deze tool in productie genomen. Het support en onderhoud op de tool besteedt AS Watson uit aan SBL Cyber Security. AS Watson ziet nog veel uitbreidingsmogelijkheden voor deze tool zoals de mogelijkheid om Office 365 Sharepoint/ Teams sites mee te nemen in de rapportage. Dit zal de komende tijd onderwerp van gesprek zijn.
Reactie AS Watson
Tuncay Sahin (IT Architect AS Watson Benelux): “Wij zijn zeer tevreden met de samenwerking en het resultaat dat we met SBL Cybersecurity en partners hebben bereikt. Ik heb veel ervaring met het uitlezen van Windows logging en geloof me, dat is niet zo eenvoudig. Met deze oplossing kunnen we simpelweg de files cq folders opgeven in een bestand en vervolgens krijgen we netjes een CSV bestand in de mail met de gevraagde informatie. Dat is wat we nodig hebben!”