Kiteworks | Your Private Data Network

Enabling Zero Trust Data Exchange in One Platform

Free Trial ONTDEK KITEWORKS

2024 Kiteworks-rapport over beveiliging en naleving van communicatie van gevoelige inhoud

Toename van communicatietools, gegevensuitwisseling met derden en gebrek aan governance vergroten het risico

RAPPORT DOWNLOADEN
Voorwoord

Voorwoord

Wij zijn verheugd om het 2024 Kiteworks Sensitive Content Communications Privacy and Compliance Report te presenteren. Dit uitgebreide rapport biedt onschatbare inzichten in de huidige stand van zaken rondom de bescherming van gevoelige content en de uitdagingen waarmee organisaties worden geconfronteerd bij het beschermen van hun kritieke informatie-assets.

Tegenwoordig is de bescherming van gevoelige content belangrijker dan ooit. Nu organisaties steeds meer vertrouwen op digitale communicatie en samenwerking, en hun ecosystemen met derden groeien, nemen de risico’s op datalekken verder toe. Ons rapport belicht de trends en uitdagingen waarmee organisaties rekening moeten houden om de beveiliging en naleving van hun gevoelige content te waarborgen.

VOORWOORD LEZEN

Samenvatting voor het management

Ons Sensitive Content Communications Privacy and Compliance Report biedt IT-, cybersecurity- en risico- en complianceleiders datagedreven inzichten van hun vakgenoten. Het doel is om u te helpen ervoor te zorgen dat de gevoelige inhoud die u verzendt en deelt via diverse communicatiekanalen, zoals e-mail, bestandsoverdracht, beheerde bestandsoverdracht, beveiligd bestandsoverdrachtprotocol (SFTP) en webformulieren, beschermd is. Tegelijkertijd helpt dit om te waarborgen dat uw gevoelige datadeling en verzending voldoen aan diverse wetgeving op het gebied van gegevensprivacy en dat uw communicatiesystemen voldoen aan strenge beveiligingsnormen en validaties.

De enquête van dit jaar is uitgevoerd door Centiment in de periode februari–maart 2024 en bestond uit 33 vragen over diverse onderwerpen met betrekking tot gegevensbeveiliging, privacy en compliance. Sommige vragen zijn “blasts from the past”—herhalingen van eerdere enquêtes uit een of beide voorgaande jaren—terwijl andere zijn toegevoegd om nieuwe trends in kaart te brengen. In totaal zijn er 572 onderzoeksresultaten ontvangen van IT-, cybersecurity- en risico- en complianceleiders uit Noord-Amerika, Europa, Midden-Oosten en Afrika (EMEA) en de regio Azië-Pacific.

Enkele van de vragen die we stelden om trends te identificeren en inzichten te faciliteren, waren onder andere:

  • Hoe het aantal communicatietools risicobeheer beïnvloedt
  • De aanhoudende impact van datalekken op proceskosten
  • Welke gegevenstypen het grootste risico vormen en waarom
  • Hoe naleving van regelgeving en beveiligingsnormen zorgen voor betere gegevensbescherming door het creëren van basisbeveiligingsnormen en meer uitgebreide regelgeving voor gegevensprivacy
  • Hoe geavanceerde beveiligingsmogelijkheden in communicatietools leiden tot minder risico
  • Waarom en hoe verouderde en ontoereikende benaderingen van gevoelige communicatie-onderwerpen zorgen voor inefficiënties en grotere privacy- en compliance risico’s veroorzaken

Belangrijkste bevindingen in het rapport

57%

Kan externe verzendingen en het delen van content niet traceren, controleren en rapporteren

57% van de respondenten gaf aan dat zij externe verzendingen en het delen van content niet kunnen traceren, controleren en rapporteren. Dit vormt een aanzienlijk governance-risico en een groot beveiligingsgat.

Twee derde

van de organisaties wisselt gevoelige content uit met meer dan 1.000 derde partijen

66% van de respondenten gaf aan gevoelige content uit te wisselen met meer dan 1.000 derde partijen. Zodra data een organisatie verlaat, wordt het traceren en controleren van toegang veel belangrijker.

3,55x

Grotere kans op 10+ datalekken bij gebruik van 7+ communicatietools

Hoe meer communicatietools een organisatie gebruikt, hoe groter het risico. Respondenten met meer dan zeven communicatietools hadden 10 of meer datalekken—3,55 keer hoger dan het gemiddelde (organisaties met één tot meer dan 10 datalekken).

$5M

aan jaarlijkse kosten voor datalek-litiges bij de helft van de organisaties

De helft van de respondenten die gevoelige content uitwisselt met 5.000 of meer derde partijen, heeft vorig jaar meer dan $5 miljoen aan jaarlijkse kosten voor juridische procedures uitgegeven.

89%

Geeft toe dat ze de naleving van communicatie over gevoelige content moeten verbeteren

Slechts 11% van de respondenten gaf aan dat er geen verbetering nodig is bij het meten en beheren van de naleving van communicatie over gevoelige content.

62%

Besteedt jaarlijks meer dan 1.500 personeelsuren aan het afronden van compliance-rapportages

62% van de organisaties besteedt jaarlijks meer dan 1.500 personeelsuren aan het samenstellen en reconciliëren van communicatietool-logs voor compliance-rapportages.

Introductie

Welkom bij het derde jaarlijkse Kiteworks Sensitive Content Communications Report! Hier voeren we een diepgaande enquête uit naar hoe goed organisaties erin slagen de privacy en beveiliging van hun gevoelige content te beschermen en te voldoen aan wet bescherming persoonsgegevens 2018 en beveiligingsstandaarden.

We gebruiken de term “gevoelige content” voor diverse soorten content die doelwit zijn van kwaadwillenden—en een aanzienlijk risico vormen voor een legitieme organisatie als deze kwaadwillenden ermee aan de haal gaan. Dit is wat wordt gecompromitteerd wanneer de al te frequente nieuwsberichten het woord “datalek” bevatten. Gevoelige content omvat de gegevens van klanten en medewerkers—persoonlijk identificeerbare informatie (PII), beschermde gezondheidsinformatie (PHI) en payment card industry (PCI) data. Het omvat ook het intellectueel eigendom (IP) van een organisatie, juridische communicatie en documenten, financiële gegevens, fusie- en overnamedata en andere soorten privé en vertrouwelijke informatie.

Beveiligingsrisico’s

Vanuit beveiligingsperspectief is het probleem met gevoelige content dat het zich niet op één plek bevindt. Tijdens dagelijkse werkzaamheden wordt het gedeeld tussen medewerkers, maar ook tussen medewerkers en partners, leveranciers, aannemers, juridisch adviseurs, accountants, auditors en meer. Om als organisatie vooruit te komen, moet deze informatie soepel kunnen bewegen tussen de organisatie en duizenden derde partijen. En zoals we zullen zien, gebeurt dit via meerdere communicatiekanalen.

Als gevolg hiervan moeten organisaties hun content beschermen—niet alleen waar deze is opgeslagen, maar ook wanneer deze via diverse communicatiekanalen naar derden reist. Helaas hebben cybercriminelen de afgelopen jaren kwetsbaarheden ontdekt in de software toeleveringsketen die hen toegang geven tot honderden of zelfs duizenden organisaties en miljoenen gevoelige databestanden. Het Data Breach Investigations Report (DBIR) van Verizon van dit jaar bevestigt deze trend, met een jaar-op-jaar stijging van 180% in het uitbuiten van softwarekwetsbaarheden en de constatering dat datalekken via de software supply chain met 68% zijn gestegen—en nu 15% van alle datalekken uitmaken.1 De Clop ransomware-aanvallen van vorig jaar op Progress Software’s MOVEit2 en Forta’s GoAnywhere3 managed file transfer (MFT) oplossingen illustreren het risico.

AI-cyberrisico’s

Naast het beschermen van communicatiekanalen voor content hebben ondernemingen en overheidsinstanties er een steeds urgenter wordende prioriteit bij gekregen in de afgelopen 18 maanden. Nu kunstmatige intelligentie (AI) zowel technisch als in gebruik enorm toeneemt, is het van cruciaal belang dat zij hun gevoelige content uit grote publieke taalmodellen (LLM’s) houden die nu mogelijk routinematig door hun medewerkers en partners worden gebruikt.

Volgens Gartner behoren de drie grootste risicogerelateerde zorgen rondom het gebruik van GenAI LLM’s tot toegang tot gevoelige data door derden (bijna de helft van de cybersecurityleiders), GenAI-applicatie- en datalekken (40% van de respondenten) en foutieve besluitvorming (meer dan een derde).4 De risico’s van medewerkers die gevoelige data in GenAI-tools plaatsen zijn reëel. Bijna een derde van de medewerkers in een enquête eind vorig jaar gaf toe gevoelige data in publieke GenAI-tools te hebben geplaatst. Niet verrassend noemde 39% van de respondenten in dezelfde studie het mogelijke lekken van gevoelige data als het grootste risico bij het gebruik van publieke GenAI-tools door hun organisatie.5

Tegelijkertijd hebben lagere toetredingsdrempels die AI bij het grote publiek hebben gebracht, ook minder complexe cybercriminelen in staat gesteld om steeds complexere aanvallen te lanceren.6 Dit versterkt het gevoel dat statelijke dreigingsactoren en cybercriminelen verwikkeld zijn in een escalerende “wapenwedloop” met legitieme organisaties—met mogelijk existentiële gevolgen.

Compliance-risico’s

Tenzij uw bedrijf slechts in één rechtsbevoegdheid actief is, is het lastige aan naleving van regelgeving rondom wet bescherming persoonsgegevens 2018 de lappendeken aan vereisten per locatie—wat de complexiteit en kosten van naleving én het documenteren daarvan vergroot. De toename van nieuwe regelgeving en evolutie van bestaande regels heeft ertoe geleid dat 93% van de organisaties het afgelopen jaar hun cyberbeveiligingsstrategie heeft heroverwogen.7 De General Data Protection Regulation van de Europese Unie (GDPR), ingevoerd in 2018, bracht de 27 lidstaten onder één standaard voor wet bescherming persoonsgegevens 2018.

Voor de rest van de wereld is het niet zo eenvoudig. Volgens gegevens van de Verenigde Naties hebben 137 van de 194 landen nu wet bescherming persoonsgegevens 2018—maar deze verschillen uiteraard sterk.8 In de Verenigde Staten is de strengste federale wetgeving de Health Insurance Portability and Accountability Act (HIPAA)—die PHI dekt, maar geen PII. Omdat het Congres er niet in slaagt een nationale standaard vast te stellen, zijn individuele staten in het gat gesprongen—beginnend met de invoering van de California Consumer Privacy Act (CCPA) in 2018. Sindsdien hebben nog eens 17 staten uitgebreide wet bescherming persoonsgegevens 2018 aangenomen—en is wetgeving in 10 andere staten in behandeling.9 Hoewel het goed is dat meer Amerikaanse burgers en inwoners worden beschermd door dergelijke wetten, vergroot het de lappendeken voor wie moet voldoen.

De verschillende instanties die deze wet bescherming persoonsgegevens 2018 beheren, blijven druk uitoefenen op organisaties om te voldoen. Boetes en sancties voor niet-naleving van de GDPR bedroegen in 2023 $2,269 miljard (€2,1 miljard)—meer dan de boetes en sancties in 2019, 2020 en 2021 samen.10 Ook het bedrag per boete en sanctie stijgt snel; $4,75 miljoen (€4,4 miljoen) per overtreding vorig jaar tegenover $540.000 (€500.000) per overtreding in 2019. Boetes en sancties voor HIPAA zijn minstens zo ontmoedigend en bedroegen vorig jaar $4,176 miljard.11

Naast wet bescherming persoonsgegevens 2018 zijn cybersecurity-standaarden en regels een belangrijk aandachtsgebied voor overheden en toezichthouders. Enkele belangrijke nieuwe cybersecurity-regelgevingen van het afgelopen jaar zijn onder andere de SEC’s Risicobeheer cyberbeveiliging en meldingsregels voor incidenten voor beursgenoteerde bedrijven, Cyber Incident Reporting for Critical Infrastructure Act (CIRCIA), de Cyber Resilience Act (CRA) en de Wet Digitale Operationele Weerbaarheid (DORA) in Europa, en het National Institute of Standards & Technology (NIST) Cybersecurity Framework (CSF) 2.0, en meer.

Menselijke risico’s

Het menselijke risicofactor in gegevensbeveiliging en compliance blijft een serieus probleem en is de oorzaak van veel datalekken met gevoelige data. De DBIR vond dat eindgebruikers verantwoordelijk zijn voor 68% van de fouten die tot datalekken leiden.12 Dit gebeurt op diverse manieren, waaronder medewerkers en derden die gevoelige informatie naar de verkeerde ontvangers sturen, data niet goed beveiligen of slachtoffer worden van social engineering-aanvallen zoals business email compromise en phishing. Gebrek aan zichtbaarheid en governance rondom communicatie van gevoelige content is een belangrijke factor, naast gebrekkige beveiligingsinfrastructuur en -maatregelen.

Bijna de helft van de cybersecurityleiders noemt toegang tot gevoelige data door derden als hun grootste risicogerelateerde zorg dit jaar.

“2024 Gartner Technology Adoption Roadmap for Larger Enterprises Survey,” Gartner, februari 2024

Methodologie van dit onderzoek

Het Kiteworks Sensitive Content Communications Report van dit jaar is gebaseerd op een uitgebreide enquête onder 572 professionals die werkzaam zijn in IT, cyberbeveiliging en risicobeheer en compliance bij organisaties met meer dan 1.000 medewerkers. Onze analyse rapporteert de feedback van respondenten voor de gehele groep, vergelijkt deze met onze onderzoeksresultaten uit 2023 en 2022, en voert een kruis-analyse uit op basis van diverse demografische details.

Diverse groep respondenten

Respondenten komen uit acht landen wereldwijd, met vertegenwoordiging uit Noord-Amerika (34%), Azië-Pacific (18%) en Europa-Midden-Oosten-Afrika (48%) (figuren 1 en 2). Ze vertegenwoordigen een breed scala aan bedrijven op ondernemingsniveau, waarvan 54% tussen de 1.000 en 10.000 medewerkers heeft en 46% meer dan dat (figuur 3).

De groep komt uit diverse sectoren, met de hoogste vertegenwoordiging uit beveiliging en defensie (15%), producenten (12%), zorgprocessen (12%) en de financiële sector (12%) (figuur 4). Meer dan twee op de tien deelnemers (22%) werkt in de overheid of het onderwijs, terwijl een kwart werkzaam is in financiële, juridische en professionele sectoren en 10% in de energiesector.

Qua functie omvat de enquêtegroep professionals op verschillende niveaus binnen hun organisaties, met 31% in leidinggevende posities en 69% in middenmanagement (figuur 5). Ze zijn verdeeld over risicobeheer en compliance (26%), IT (42%) en beveiliging (31%).

75% van de wereldbevolking zal eind 2024 hun persoonlijke data onder moderne privacywetten hebben vallen.

“Gartner identificeert de vijf belangrijkste trends in privacy tot en met 2024,” Gartner Persbericht, 31 mei 2022

Inzichten over privacy en naleving bij communicatie van gevoelige inhoud

Nu we onze respondenten hebben geïntroduceerd, willen we delen wat we uit de onderzoeksresultaten hebben gehaald. Dit jaar hebben we inzichten opgedaan over het meten en beheren van de risico’s van cyberaanvallen en datalekken, gegevenstypen en classificatie, cyberbeveiliging, naleving en operationele processen.

Cyberaanvallen en Datalekken

Inzicht: Communicatie van gevoelige inhoud wordt te vaak getroffen door datalekken

Kwaadaardige cyberaanvallen blijven een ernstig risico vormen voor gevoelige inhoud in elke sector. Het Identify Theft Resource Center rapporteerde bijvoorbeeld 3.205 openbaar gemelde datalekken die naar schatting meer dan 353 miljoen individuen troffen afgelopen jaar—een stijging van 78% ten opzichte van 2022.13 Het goede nieuws is dat het voor onze respondenten in 2024 iets beter is dan voor de groep van 2023. Het slechte nieuws is dat organisaties nog steeds regelmatig gevaarlijke datalekken ondervinden. Bijna een derde van de respondenten (32%) gaf aan het afgelopen jaar zeven of meer externe kwaadaardige hacks van gevoelige inhoud te hebben meegemaakt, tegenover 36% vorig jaar (Figuur 6). En hoewel meer bedrijven (36%) aangaven drie of minder datalekken te hebben gehad dan vorig jaar, zijn zelfs die aantallen hoger dan wenselijk.

Er was veel variatie per sector in het aantal hacks dat werd geleden (Figuur 7). Hoger onderwijs, beveiliging en defensie, en olie en gas zagen nog meer datalekken, waarbij 68% of meer vier of meer datalekken rapporteerde, vergeleken met 55% voor de volledige groep. Ook de federale overheid liet zorgwekkende cijfers zien, met 17% die aangaf tien of meer datalekken te hebben gehad en nog eens 10% tussen de zeven en negen. Nog alarmerender is dat 42% van de organisaties in beveiliging en defensie, die enkele van de meest gevoelige inhoud van alle sectoren uitwisselen, toegaven zeven of meer datalekken te hebben gehad. Positief is dat farmaceutische en life sciences bedrijven het veel beter doen, met slechts 28% van de respondenten die vier of meer datalekken rapporteerden.

Organisaties in de regio Azië-Pacific hadden ook onevenredig veel last van datalekken, met 72% van de respondenten daar die vier of meer incidenten rapporteerden (Figuur 8). Omdat organisaties in Azië-Pacific met meer derde partijen gevoelige inhoud uitwisselen (zie hieronder), zal verder onderzoek waarschijnlijk een verband aantonen tussen deze twee. Tot slot deden bedrijven met 20.001 tot 30.000 medewerkers het veel slechter dan de rest, met 75% of meer die vier of meer datalekken rapporteerden—terwijl zowel kleinere als grotere groepen bedrijven dat percentage ruim onder de 60% hielden (Figuur 9).

32% van de organisaties ervoer vorig jaar zeven of meer externe kwaadaardige hacks van gevoelige inhoud.

Juridische kosten van datalekken

Als het om datalekken gaat, kunnen de kosten ver reiken—van boetes en sancties wegens niet-naleving van regelgeving tot operationele stilstand, productiviteitsverlies en omzetdaling. Het jaarlijkse Cost of a Data Breach Report van IBM en Ponemon Institute schatte de kosten van een datalek op US$4,45 miljoen, een bedrag dat elk jaar blijft stijgen.14 En dat bedrag is mogelijk te laag, omdat juridische kosten die samenhangen met datalekken vaak worden gemist of onderschat. Daarom hebben we dit jaar de vraag naar juridische kosten toegevoegd aan onze enquête, wat bruikbare inzichten opleverde.

Zes op de tien respondenten gaven aan jaarlijks meer dan $2 miljoen uit te geven aan juridische kosten voor zowel interne als externe incidenten van dataverlies, terwijl 45% meer dan $3 miljoen uitgaf en een kwart meer dan $5 miljoen (Figuur 10). Hoe groter de organisatie, hoe hoger de juridische kosten: 39% (17% ervoer zeven tot negen en 22% meer dan tien) van de organisaties met meer dan 30.001 medewerkers gaf aan dat hun juridische kosten boven de $7 miljoen uitkwamen en ruim de helft met meer dan 15.001 medewerkers gaf meer dan $3 miljoen uit (Figuur 11). Hoger onderwijs is de meest getroffen sector, met 49% die aangaf vorig jaar meer dan $5 miljoen te hebben betaald (Figuur 12). Geografisch gezien staat Noord-Amerika bovenaan, met 27% die aangaf meer dan $5 miljoen te hebben uitgegeven. Een zorgwekkende lacune in het rapport is dat 14% van de EMEA-respondenten niet weet wat de juridische kosten van hun datalekken zijn (Figuur 13).

Voor 45% van de organisaties bedragen de juridische kosten jaarlijks meer dan $3 miljoen, waarbij een kwart meer dan $5 miljoen uitgeeft.

Gegevenstypen en Classificatie

Inzicht: Niet in staat om al hun gegevensuitwisselingen te volgen en te controleren

Een al exponentiële groei van data is de afgelopen 18 maanden verder versneld door de adoptie van generatie AI (GenAI) large language models (LLM’s). Wanneer content een applicatie zoals e-mail, bestandsoverdracht, SFTP, beheerde bestandsoverdracht of webformulieren verlaat, is het belangrijk dat organisaties het kunnen volgen en de toegang tot die content kunnen controleren.

Organisaties moeten hun gegevenstypen begrijpen, weten waar deze zich bevinden en waar ze naartoe worden verzonden en gedeeld. Om te bepalen welke ongestructureerde data moet worden gecontroleerd, is het noodzakelijk dat er een classificatiesysteem aanwezig is. Op de vraag hoeveel van hun ongestructureerde data is getagd of geclassificeerd, beweert minder dan de helft van de respondenten (48%) dat dit het geval is voor 75% of meer van hun data (Figuur 14). Onder de sectoren heeft 65% dit niveau bereikt in de zorgprocessen, 56% in de financiële sector en 55% in de juridische sector (Figuur 15).

Toch gaven organisaties aan dat niet alle ongestructureerde data hoeft te worden getagd en geclassificeerd. 40% van de organisaties gaf aan dat 60% of meer van de ongestructureerde data moet worden getagd en geclassificeerd. En hoe groter een organisatie, hoe meer ongestructureerde data moet worden getagd en geclassificeerd. Zo gaven organisaties met meer dan 30.001 medewerkers het volgende aan: 15% gaf aan dat alle data moet worden getagd en geclassificeerd, en nog eens 20% zei dat meer dan 80% moet worden getagd en geclassificeerd (Figuur 16). Regionaal gaven meer Noord-Amerikaanse respondenten aan dat het getagd en geclassificeerd moet worden; 10% zei dat alle ongestructureerde data moet worden getagd en geclassificeerd en nog eens 16% merkte op dat 80% of meer moet worden getagd en geclassificeerd (Figuur 17). Respondenten van de federale overheid gaven het vaakst aan dat alle data moet worden getagd en geclassificeerd (24%), met nog eens 17% die zei dat 80% of meer moet worden getagd en geclassificeerd (Figuur 18).

41% van de respondenten van de federale overheid zei dat 80% of meer van hun ongestructureerde data moet worden getagd en geclassificeerd.

Risico’s van Gegevenstypen Beoordelen

Zoals hierboven beschreven, bestaat gevoelige content in diverse vormen binnen organisaties. Elk type brengt niet hetzelfde niveau van datalekrisico met zich mee. Volgens het jaarlijkse onderzoek van IBM naar de kosten van een datalek is PII het duurste en meest voorkomende type record dat wordt gecompromitteerd. PII was ook het meest getroffen recordtype in 2023, goed voor 52% van alle datalekken, een positie die het ook de voorgaande twee jaar innam.15 De bevindingen van IBM komen overeen met die uit het laatste DBIR, waar 50% van alle datalekken terug te voeren was op PII.

Wanneer dit wordt vergeleken met de rangschikkingen van onze respondenten, zijn er verschillen. Op basis van de onderzoeksgegevens van IBM en Verizon zou men verwachten dat respondenten PII als hun grootste zorg qua contenttype zouden noemen. Maar dat was niet het geval. In plaats daarvan noemden zij financiële documenten (55%), intellectueel eigendom (44%) en juridische communicatie (44%) als hun top drie zorgen (Figuur 19).

Enige bevestiging van de IBM- en Verizon-data werd gevonden in onze kruis-analyse van PHI, waarbij degenen die dit als een van hun drie belangrijkste zorgen noemden, een hoger percentage kwaadaardige datalekken ervoeren dan degenen die andere gegevenstypen hoger inschatten. Zo gaf 43% van degenen die PHI in hun top drie van zorgen plaatsten aan dat zij meer dan zeven datalekken hadden meegemaakt (tegenover 32% van alle respondenten die zeven of meer lekken rapporteerden) (Figuur 20). Het tweede gegevenstype met het hoogste percentage datalekken was IP (35% gaf aan zeven of meer datalekken te hebben ervaren).

Opvallend is dat de helft van alle Noord-Amerikaanse respondenten GenAI LLM’s als een van hun top drie zorgen noemde, direct na financiële documenten (Figuur 21). Per sector zijn LLM’s vooral een grote zorg in olie en gas (62%), farmaceutische industrie (61%), federale overheid (61%) en deelstaatregeringen (58%) en advocatenkantoren (58%).

Er is aanzienlijke variatie tussen gegevenstypen en sectoren wat betreft welk type als het hoogste risico wordt beschouwd:

  • GenAI LLM’s werden het vaakst geselecteerd door energie- en nutsbedrijven en bedrijven in de beveiligings- en defensiesector met 50%.
  • PII werd het vaakst genoemd door organisaties in het hoger onderwijs met 50%.
  • PHI werd het vaakst genoemd door de zorgprocessen met 58%.
  • CUI en FCI werden het vaakst genoemd door producenten met 79%.
  • Juridische communicatie werd het vaakst genoemd door olie- en gasbedrijven (62%) en federale overheidsinstanties (61%).
  • Details over fusies en overnames werden het vaakst geïdentificeerd door farmaceutische en life sciences bedrijven (40%).

Respondenten die PHI als een van hun drie grootste zorgen qua gegevenstype noemden, ervoeren een hoger percentage kwaadaardige datalekken dan degenen die andere gegevenstypen hoger inschatten.

Naleving en Risicobeheer

Inzicht: Naleving en Risicobeheer Zijn Dringende Prioriteiten

Tegenwoordig lijkt het erop dat cyberbeveiligingsrisico elk jaar een groter deel uitmaakt van het totale risicoprofiel van een organisatie. CrowdStrike wees in zijn jaarlijkse Threat Intelligence-rapport op een stijging van 76% jaar-op-jaar in het aantal slachtoffers dat werd genoemd op eCrime-leksites.16 In het meest recente DBIR-rapport analyseerde Verizon meer dan 30.000 echte beveiligingsincidenten van het afgelopen jaar en bevestigde dat ongeveer een derde (10.626) datalekken waren.17

Omdat gevoelige gegevens centraal staan bij de meeste datalekken, hebben overheidsinstanties en brancheorganisaties gereageerd met een reeks nieuwe regelgeving en standaarden en het aanscherpen van bestaande regels. Dit resulteert in een geografisch lappendeken die de complexiteit vergroot voor reactie op incidenten en nalevingsaudits en rapportages, vooral voor internationale bedrijven.

Net als in voorgaande jaren van onze enquête, meldden respondenten in 2024 aanhoudende worstelingen rond naleving en risicobeheer. Dit werd duidelijk in de antwoorden die respondenten gaven op een eenvoudige vraag over hoe goed hun organisaties omgaan met het beheersen van nalevingsrisico’s rond communicatietools voor gevoelige inhoud (Figuur 22). Slechts 11% gaf aan dat er geen verbetering nodig is op dit gebied—veel lager dan bij de cohorten van 2022 en 2023. Het goede nieuws is dat minder respondenten (32%) aangeven dat aanzienlijke verbetering nodig is.

Regionale verschillen bij deze vraag zijn klein, maar de bedrijfsgrootte speelt wel een rol. Vooral grotere bedrijven geven vaker aan dat aanzienlijke verbetering nodig is (Figuur 23), waarbij een derde of meer van de bedrijven in elke groep boven de 15.001 medewerkers dat antwoord geeft. Toch is er enige variatie in het vertrouwen als het gaat om naleving van regelgeving. 29% van de Franse respondenten gaf aan dat geen verbetering nodig is, een veel hoger percentage dan in andere landen—bijvoorbeeld 5% voor Duitsland, 10% voor het Verenigd Koninkrijk en 13% voor Saoedi-Arabië en de VAE (Figuur 24). Interessant en misschien zorgwekkend is dat respondenten uit de federale overheid het vaakst aangaven dat aanzienlijke verbetering nodig is in het beheren en meten van naleving van communicatie met gevoelige inhoud (41%), hoger dan in elke andere sector (de volgende hoogste was professionele dienstverlening met 36%) (Figuur 25).

Slechts 11% van de organisaties gaf aan dat er geen verbetering nodig is in hun meting en beheer van naleving van communicatie met gevoelige inhoud.

Aandachtspunten voor Regelgeving

Voor internationale bedrijven zijn er veel wet bescherming persoonsgegevens 2018 regelgevingen en beveiligingsstandaarden om aan te voldoen. Tot nu toe zijn er wereldwijd meer dan 160 privacywetten aangenomen, en er komen er nog steeds meer bij. Niet-naleving leidt tot merkschade, omzetverlies, boetes en sancties, en aanhoudende proceskosten. Daarom gaf 37% van de respondenten in het ISACA privacyrapport van dit jaar aan dat ze slechts enigszins vertrouwen hebben—en nog eens 13% zei dat ze niet zo zeker of helemaal niet zeker zijn—over hun vermogen om gegevensprivacy te waarborgen en te voldoen aan nieuwe privacywetten en -regelgeving.18

Toen respondenten werd gevraagd hun twee belangrijkste aandachtspunten op het gebied van gegevensprivacy en naleving te noemen, kwamen er twee keuzes duidelijk naar voren—de Algemene Verordening Gegevensbescherming van de EU (GDPR) en de privacywetten die door individuele Amerikaanse staten worden aangenomen, zoals de California Consumer Privacy Act (California Consumer Privacy Act (CCPA)). Beide werden genoemd door 41% van alle respondenten (Figuur 26).

Niet verrassend werd GDPR veel vaker genoemd in EMEA (57%), terwijl Amerikaanse staatswetten werden genoemd door 63% van de Noord-Amerikaanse respondenten (Figuur 27). Van de verschillende functierollen leggen leiders in risico en naleving (52%) meer nadruk op GDPR dan IT (38%) en cyberbeveiligingsleiders (33%) (Figuur 28). IT-leiders leggen de meeste nadruk op Amerikaanse staatswetten voor gegevensprivacy (52%) versus risico en naleving (25%) en cyberbeveiliging (40%). Tegelijkertijd richten cyberbeveiligingsleiders (35%) zich meer op CMMC 2.0 dan IT (22%) en risico- en managementcollega’s (18%). De Health Insurance Portability and Accountability Act (HIPAA)—een wet die specifiek is voor de VS—werd genoemd door 38% van de Noord-Amerikaanse respondenten, maar ironisch genoeg door een hoger percentage (43%) van respondenten in de regio Azië-Pacific.

Er zijn enkele zorgwekkende risicogaten wanneer naleving van regelgeving wordt bekeken vanuit een brancheperspectief. Zo gaf slechts 38% van de beveiligings- en defensie-aannemers aan dat CMMC-naleving een van hun twee hoogste prioriteiten is. Met een gefaseerde implementatie van CMMC 2.0 die nu aan de gang is, lijkt dit een serieus risico—namelijk dat beveiligings- en defensie-aannemers en onderaannemers die niet compliant zijn, opdrachten van het Amerikaanse ministerie van Defensie zullen verliezen.

De twee belangrijkste nalevingsregels die door respondenten werden genoemd, waren GDPR en de opkomst van nieuwe Amerikaanse privacywetten (tot nu toe 18 aangenomen).

Aandachtspunten voor Validaties en Certificeringen

Als het gaat om validaties en certificeringen in plaats van regelgeving, werden twee standaarden het vaakst genoemd als topprioriteit door respondenten (Figuur 29)—standaarden gepubliceerd door de International Organization for Standardization (ISO; 53%) en het National Institute of Standards and Technology (NIST 800-171; 42%). Omdat de 110 controls in NIST 800-171 hetzelfde zijn als die in CMMC 2.0 Level 2, is deze hoge prioriteitstelling veelbelovend, vooral met de gefaseerde implementatie van CMMC 2.0 die momenteel plaatsvindt. ISO 27001, 27017 en 27018 standaarden werden het meest genoemd in alle regio’s en de meeste sectoren; waaronder 59% in EMEA, 67% in de farmaceutische industrie en 69% bij lokale overheden die deze certificeringen noemen (Figuur 30 en 31).

Met een aanzienlijk percentage respondenten uit Australië in de regio Azië-Pacific is het logisch dat het Information Security Registered Assessors Program (IRAP) door meer organisaties uit Azië-Pacific werd geselecteerd dan in de andere twee regio’s (45%). Interessant is dat de NIS 2-richtlijn slechts door 20% van de EMEA-organisaties als topprioriteit werd gekozen (hoewel hoger dan Noord-Amerika met 8% en Azië-Pacific met 4%). Je zou verwachten dat NIS 2 naleving een hogere prioriteit zou hebben met de deadline voor de richtlijn die op 17 oktober 2024 in nationale wetgeving wordt omgezet. Van onze drie belangrijkste functiegroepen kreeg NIS 2 de minste aandacht van leiders in risico en naleving (19%) vergeleken met IT (31%) en cyberbeveiliging (33%). Noord-Amerikaanse organisaties kozen vaker voor SOC 2 Type II naleving dan organisaties uit andere regio’s (41%).

Als we kijken naar sectoren, werd SOC 2 Type II het vaakst geselecteerd door bedrijven in professionele dienstverlening (47%). ISO 27001, 27017 en 27018 werden vaker gekozen door farmaceutische en life sciences bedrijven (67%). Beveiligings- en defensiebedrijven stonden bovenaan voor FedRAMP Moderate met 44%. Juridische kantoren stonden bovenaan voor IRAP (50%).

ISO 27001, 27017 en 27018 standaarden werden het vaakst genoemd door respondenten als de belangrijkste cyberbeveiligingsstandaard.

Uitdagingen bij Nalevingsrapportage

Ongeacht de specifieke regelgeving, validaties en certificeringen waaraan een bedrijf moet voldoen, blijft het documenteren van naleving een grote uitdaging. Organisaties worstelen met het extern verzenden en delen van gevoelige gegevens, waarbij 57% aangeeft dat ze deze uitwisselingen niet kunnen volgen, beheren en rapporteren (Figuur 32). Een oorzaak hiervan is de lappendeken van vereisten waarmee bedrijven worden geconfronteerd, wat complexiteit creëert en aanzienlijke personeelsinzet en tijd vergt. Toen werd gevraagd hoe vaak zij gedetailleerde audit logs moeten genereren voor nalevingsrapportages, gaf 72% van de respondenten aan dat ze dit vijf keer of vaker per jaar moeten doen (Figuur 33). Voor meer dan een derde (34%) is dat acht keer of vaker.

Regionale en bedrijfsgrootteverschillen bij deze vraag waren niet groot (Figuur 34 en 35). Noord-Amerikaanse bedrijven en kleinere bedrijven hebben doorgaans iets minder logvereisten. Organisaties met meer dan 30.001 medewerkers hebben meer audit logs (19% heeft 9x) dan andere organisatiegroottes. Sectoren met het hoogste aantal audit logs per jaar zijn professionele dienstverlening, beveiliging en defensie, en federale overheid, met respectievelijk 78%, 77% en 72%. Juridische kantoren hebben het laagste aantal, met 15% of minder die vijf keer of vaker moeten rapporteren (Figuur 36).

Nalevingsrapportage vereist veel personeelsuren vanwege het aantal keren dat gedetailleerde logs in rapporten moeten worden opgenomen. Van alle respondenten gaf 63% aan dat er meer dan 1.500 uur personeelstijd per jaar nodig is voor deze taak (Figuur 37). Voor bedrijven met meer dan 15.001 medewerkers stijgt het aantal uren aanzienlijk, waarbij een derde van de organisaties met meer dan 30.001 medewerkers aangeeft meer dan 2.500 uur te besteden (Figuur 38). De helft van de respondenten uit de olie- en gassector en bijna de helft van de respondenten uit het hoger onderwijs besteedt jaarlijks meer dan 2.000 uur—veruit de hoogste sectoren (Figuur 39).

57% van de organisaties kan deze externe uitwisselingen van gevoelige inhoud met derden niet volgen, beheren en rapporteren.

Cybersecurity en Risicobeheer

Inzicht: Het beschermen van gevoelige contentcommunicatie blijft een grote uitdaging

Voor het beveiligingsteam staat gevoelige content centraal in wat zij moeten beschermen binnen hun bedrijfs-IT-systemen. En de respondenten van onze enquête in 2024 zijn veel minder geneigd te beweren dat er geen verbetering nodig is in hun beheer van contentbeveiliging dan hun tegenhangers in 2023 (Figuur 40). Slechts 11% deed deze bewering dit jaar, maar het percentage dat aangaf dat aanzienlijke verbetering nodig is, daalde ook. Dit laat meer dan de helft (56%) over die zegt dat enige verbetering nodig is. We kunnen wellicht concluderen dat organisaties enige vooruitgang boeken—terwijl ze realistischer zijn over de noodzaak tot verdere verbetering.

Maar deze percentages waren niet uniform verdeeld over de diverse groepen. 30% of meer van de respondenten in Saoedi-Arabië, de Verenigde Arabische Emiraten, Noord-Amerika en Azië-Pacific gaven aan dat aanzienlijke verbeteringen nodig zijn (Figuur 41). Hetzelfde geldt voor professionele dienstverlening (47%), de financiële sector (43%), olie en gas (42%), federale overheid (41%), producenten (36%) en zorgprocessen (34%) (Figuur 42 en 43).

56% van de respondenten gaf aan dat enige verbetering in hun beveiliging van gevoelige contentcommunicatie nodig is.

Vooruitgang richting Zero Trust

Zero trust binnen organisaties weerspiegelt een aanzienlijke adoptie en integratie over diverse beveiligingslagen. Zero-trustprincipes op het netwerklaag worden afgedwongen via microsegmentatie en strikte toegangscontroles om de laterale beweging van dreigingen te minimaliseren. Endpointbeveiliging onder zero trust omvat de inzet van advanced threat protection en detectie en reactie van eindpuntbedreigingen (EDR) om ervoor te zorgen dat alle apparaten die toegang hebben tot het netwerk continu worden geauthenticeerd en gemonitord. Voor identity & access management zijn multi-factor authentication (MFA) en privileged access management (PAM) essentiële componenten, zodat gebruikersrechten strikt worden beheerd en continu worden geverifieerd. Op het contentniveau implementeren organisaties dataencryptie en realtime monitoring om gevoelige informatie te beveiligen. Ondanks dat organisaties prioriteit geven aan zero trust, meldt bijna de helft (48%) moeilijkheden bij het integreren van zero trust over zowel on-premises als cloudomgevingen.19

Onze focus voor dit rapport ligt uiteraard op de contentbeveiligingslaag (Figuur 44). Onze eerste observatie is het betreurenswaardige feit dat 45% van de bedrijven nog geen zero trust heeft bereikt met contentbeveiliging. Ten tweede zijn er enkele demografische gebieden waar de prestaties nog slechter zijn. Slechts 35% van de Britse respondenten behaalde deze norm en 39% in zowel het Midden-Oosten als Azië-Pacific (Figuur 45). Per sector blijven de deelstaatregering (21%), olie en gas (33%) en farmaceutische en life sciences (39%) achter op zero trust-bescherming voor content (Figuur 46).

45% van de organisaties geeft toe dat zij nog geen zero trust met contentbeveiliging hebben bereikt.

Beveiliging verbeteren om gevoelige content te beschermen

Voor organisaties die toegaven geen geavanceerde beveiligingsmogelijkheden te gebruiken voor gevoelige contentcommunicatie, gaf een veel hoger percentage (36%) aan niet te weten hoeveel datalekken hun organisatie hebben getroffen—vergeleken met degenen die aangaven geavanceerde beveiliging te gebruiken voor sommige of alle contentcommunicatie (beide 8%) (Figuur 47). Dit onthult een ernstig beveiligingsgat. Over de sectoren heen tonen de bevindingen de grootste uitdagingen in juridisch (55% gebruikt ze voor sommige of geen), lokale overheid (50%), federale overheid (48%) en zorgprocessen (44%). Dit steekt af tegen de 41% van de wereldwijde groep die dit doet. De sterkste presteerders zijn professionele dienstverlening (71% gebruikt ze voor alles), deelstaatregering (71%) en hoger onderwijs (65%) (Figuur 48).

Organisaties die geen geavanceerde beveiliging gebruiken, geven veel vaker toe dat zij niet weten hoeveel datalekken zij hebben meegemaakt.

Gevoelige contenttoegang volgen, classificeren en beheren

Wanneer content een applicatie zoals e-mail, bestandsoverdracht, SFTP, beheerde bestandsoverdracht of webformulieren verlaat, is het belangrijk dat organisaties toegang tot die content kunnen volgen en beheren. Slechts 16% van de respondenten kan dit altijd doen, terwijl 45% aangeeft dit ongeveer driekwart van de tijd te kunnen (Figuur 49). Dit percentage is beter voor bepaalde segmenten—70% voor Noord-Amerika, 79% voor producenten en 73% in zorgprocessen (Figuur 50 en 51). Daarentegen scoorden hoger onderwijs (31%) en olie en gas (34%) slechter.

Om te bepalen welke ongestructureerde gegevens beheerd moeten worden, is het noodzakelijk dat er een classificatiesysteem aanwezig is. Op de vraag hoeveel van hun ongestructureerde gegevens zijn getagd of geclassificeerd, beweert minder dan de helft van de respondenten (48%) dat dit geldt voor 75% of meer van hun gegevens (Figuur 14). In Noord-Amerika is dit iets beter, waar 56% dit heeft bereikt (Figuur 52). Onder de sectoren heeft 65% dit niveau bereikt in zorgprocessen, 56% in de financiële sector en 55% in juridisch (Figuur 53).

Slechts 16% van de organisaties kan toegang tot alle content volgen en beheren wanneer deze een applicatie verlaat.

Beveiligingstools gebruiken voor gevoelige content

Alle ondernemingen beschikken over meerdere beveiligingstools die zij inzetten over hun netwerken, endpoints en cloudapplicaties. Of deze ook worden gebruikt om interne en externe gevoelige contentcommunicatie te beschermen, is een andere vraag.

Op de vraag of zij mogelijkheden zoals multi-factor authentication, encryptie en governance-tracking en -controles gebruiken voor dergelijke communicatie, zijn de resultaten gemengd (Figuur 54). Bijna zes op de tien (59%) zegt dat deze beveiligingen altijd aanwezig zijn voor externe gevoelige contentcommunicatie. Vrijwel alle anderen zeggen dat ze er soms zijn. Noord-Amerikaanse respondenten hebben de hoogste beveiligingsstatus, met 67% die aangeeft dit altijd te doen tegenover 57% voor Azië-Pacific en 53% voor EMEA-respondenten.

De volwassenheid van het meten en beheren van de beveiliging van gevoelige contentcommunicatie blijft een belangrijk aandachtsgebied voor organisaties: slechts 11% gaf aan dat geen verbetering nodig is, vergeleken met 26% in de enquête van vorig jaar (Figuur 55). Een hoger percentage organisaties gaf dit jaar aan dat enige verbetering nodig is (56% tegenover 37% in de enquête van vorig jaar).

Hoewel de cijfers voor de gehele groep hetzelfde waren, waren er interessante verschillen wanneer de vraag werd geanalyseerd per groep. Voor interne communicatie gaf 71% van zowel deelstaatregering als professionele dienstverlening aan deze tools altijd te gebruiken (Figuur 56). Twee derde (67%) van de Noord-Amerikaanse respondenten gaf hetzelfde aan, terwijl slechts 53% dit deed in EMEA (maar 63% in het VK) (Figuur 57). Opvallend genoeg presteerden advocatenkantoren (45%) het slechtst bij interne communicatie. Voor externe communicatie waren farmaceutische en life sciences (78%) en hoger onderwijs (72%) sterke presteerders, evenals Noord-Amerikaanse organisaties (69%) (Figuur 56).

56% van de organisaties gaf aan dat de manier waarop zij de beveiliging van gevoelige contentcommunicatie meten en beheren enige verbetering vereist—33% meer dan het percentage van vorig jaar.

Operationeel proces

Inzicht: Het kost een “dorp”—en veel tijd—om gegevensbeveiliging en naleving te beheren

Veel van de hierboven beschreven uitdagingen—datalekken en nalevings- en beveiligingsproblemen—worden verergerd door de complexiteit van operationele processen bij de meeste organisaties. Door een wildgroei aan communicatietools en het onvermogen van de meeste organisaties om handmatige processen te elimineren, is het onvermijdelijk dat beveiligings- en nalevingsproblemen door de mazen van het net glippen.

Vermenigvuldiging van derden en risico

Voor de meeste organisaties wisselen zij dagelijks grote hoeveelheden gevoelige gegevens uit met honderden en vaak duizenden derden. Het risico van derden is nog nooit zo hoog geweest voor organisaties in alle sectoren, en de noodzaak om gevoelige inhoud uit te wisselen vergroot de dreiging.

Toen we de 2024-cohort vroegen om te schatten hoeveel derde individuen gevoelige inhoud van hun bedrijven ontvangen, schatte tweederde (66%) meer dan 1.000 (Figuur 58). Onder de grootste ondernemingen met meer dan 30.001 medewerkers wisselt 33% inhoud uit met meer dan 5.000 derden (Figuur 59). 77% van de organisaties in Azië-Pacific wisselt gevoelige gegevens uit met 1.000 derden, 66% voor Noord-Amerika en 63% voor EMEA (Figuur 60).

De federale overheid wisselt gevoelige inhoud uit op een aanzienlijk hoger tempo dan de meeste andere sectoren (28% verstuurt en deelt gegevens met meer dan 5.000 derden) (Figuur 61). Ook het hoger onderwijs houdt een hoog uitwisselingspercentage met derden aan; 47% van de respondenten gaf aan dit te doen met meer dan 2.500 derden.

Zodra gevoelige inhoud een organisatie verlaat, gaf 39% van de organisaties aan dat ze slechts in staat zijn om toegang tot 50% of minder te volgen en te controleren. De EMEA-regio heeft hier de grootste uitdaging, waarbij 46% toegeeft het vermogen te verliezen om toegang tot 50% of minder van gevoelige inhoud te volgen en te controleren zodra deze hun organisatie verlaat (Figuur 62). Sectoren met het hoogste risico zijn hoger onderwijs en olie & gas—respectievelijk 69% en 66% gaf aan slechts 50% of minder van de tijd toegang tot gevoelige inhoud te kunnen volgen en controleren wanneer deze hun organisatie verlaat (Figuur 63). Aan de andere kant doet de deelstaatregering het het beste, met 38% die aangeeft altijd toegang tot gevoelige inhoud te kunnen volgen en controleren.

Vergelijking van het voorkomen van datalekken met het aantal derden waarmee organisaties gevoelige inhoud uitwisselen, toont een aanzienlijk hoger risico (Figuur 64). Zo heeft 35% van degenen die aangeven gevoelige inhoud uit te wisselen met meer dan 5.000 derden, vorig jaar meer dan 10 datalekken meegemaakt. 50% van degenen die gevoelige inhoud uitwisselen met 2.500 tot 4.999 derden heeft meer dan zeven datalekken meegemaakt. Hetzelfde geldt voor de kosten van rechtszaken (Figuur 65). Voor degenen die gevoelige gegevens uitwisselen met 5.000 of meer derden, heeft de helft meer dan $5 miljoen uitgegeven aan proceskosten. 44% van degenen die gevoelige inhoud uitwisselen met 2.500 tot 4.999 derden heeft ook meer dan $5 miljoen uitgegeven.

Twee derde van de organisaties wisselt gevoelige inhoud uit met meer dan 1.000 derden. 35% van degenen die aangeven gevoelige inhoud uit te wisselen met meer dan 5.000 derden, heeft vorig jaar meer dan 10 datalekken meegemaakt.

Wildgroei aan communicatietools en risico

Er is sprake van een wildgroei aan communicatietools als het gaat om het verzenden en delen van gevoelige inhoud: e-mail, bestandsoverdracht, beheerde bestandsoverdracht, SFTP, webformulieren en dergelijke. Pogingen om risico’s te beperken, kosten te verlagen en operationele efficiëntie te verbeteren lijken te hebben geleid tot een consolidatie van communicatietools: de helft van de respondenten in 2023 gaf aan zes of meer communicatietools voor inhoud te hebben, tegenover 32% dit jaar (Figuur 66). Noord-Amerika kent de grootste wildgroei aan tools, met 59% die vijf of meer tools gebruikt, tegenover 50% voor EMEA en 52% voor APAC (Figuur 67). Maar liefst 77% in Noord-Amerika gebruikt vier of meer tools, en dat cijfer is 80% of meer in de financiële sector, juridische sector, professionele dienstverlening en olie & gas (Figuur 68).

Kruisanalyse van bovenstaande wijst uit dat organisaties met een hoger aantal datalekken meer communicatietools hebben (Figuur 69). Zo heeft 32% van de organisaties met 10 of meer datalekken meer dan zeven communicatietools, en 42% van degenen met zes communicatietools heeft zeven tot negen datalekken meegemaakt. Deze aantallen liggen aanzienlijk hoger dan het gemiddelde aantal datalekken onder alle respondenten: slechts 9% meldde 10 datalekken (tegenover de 32% met zeven of meer communicatietools) en slechts 23% meldde zeven tot negen datalekken (Figuur 6). Dit komt neer op een factor 3,55x meer voor degenen met 10 of meer communicatietools en een 2x hogere factor voor degenen met zeven tot negen communicatietools. Hetzelfde geldt voor het bedrag dat organisaties betalen aan proceskosten door datalekken: 26% van degenen die aangaven vorig jaar meer dan $7 miljoen te hebben betaald, heeft meer dan zeven communicatietools (3,25x hoger dan het gemiddelde van 8%) (Figuur 70).

32% van de organisaties met 10 of meer datalekken heeft meer dan zeven communicatietools.

Logreconciliatie die optelt

Het reconciliëren van logs van gevoelige inhoudcommunicatie voor auditrapporten is een tijdrovende taak voor veel respondenten; 48% gaf aan meer dan 11 logs te moeten consolideren, waarbij 14% meer dan 20 logs moet consolideren. Niet weten welke logs moeten worden gereconcilieerd is op zich al een risico; 8% gaf aan niet te weten hoeveel ze er hebben (Figuur 71). Grotere organisaties gaven aan hogere aantallen audittrail te moeten consolideren; bijvoorbeeld, 34% van degenen met meer dan 30.001 medewerkers consolideert er meer dan 20 (tegenover 14% voor organisaties met 20.001 tot 25.000 medewerkers en 11% voor degenen met 25.001 tot 30.000 medewerkers) (Figuur 72).

Al deze logreconciliatie kost waardevolle tijd en middelen; 20% van de respondenten gaf aan dat het meer dan 40 uur personeelstijd per maand kost, en nog eens 40% gaf aan dat het meer dan 25 uur per maand kost (Figuur 73). Naarmate de organisatie in omvang toeneemt, wordt het samenvoegen van logs moeilijker; 24% van de organisaties met meer dan 30.001 medewerkers gaf aan meer dan 40 uur per maand te besteden (Figuur 74). Nog eens 9% van de organisaties met meer dan 30.001 medewerkers gaf aan dat het niet haalbaar is om hun logs te aggregeren, wat aangeeft dat er een aanzienlijk beveiligings- en nalevingsrisico is. In de sector (Figuur 75) zijn juridische kantoren het segment dat het vaakst toegeeft dat het onmogelijk is om hun logs te reconciliëren (10%). Instellingen voor hoger onderwijs voeren de lijst aan qua tijd die wordt besteed aan het consolideren van logs—met 30% die 40 uur of meer per maand besteedt.

Van de sectoren gaf een groter aandeel federale overheidsrespondenten (34%) aan meer dan 20 logs van communicatiekanalen te moeten consolideren.

Bestandsgroottebeperkingen en risico

Bestandsgroottebeperkingen zijn een uitdaging voor veel communicatietools voor inhoud. Frustratie bij medewerkers die gewoon hun werk proberen te doen, kan er soms toe leiden dat ze ongeautoriseerd gebruikmaken van consumentgerichte diensten voor bestandsoverdracht om de beperkingen te omzeilen. Maar zelfs voor gebruikers die zich aan de regels houden, kunnen de resulterende omwegen leiden tot een aanzienlijke besteding van personeelstijd.

Met uitzondering van SFTP (op 27%), moet meer dan drie op de tien organisaties workarounds implementeren vanwege bestandsgroottebeperkingen voor e-mail, bestandsoverdracht en beheerde bestandsoverdracht meer dan 50 keer per maand (Figuur 76). Ongeveer 10% gaf aan dit meer dan 100 keer per maand te moeten doen (10% voor e-mail, 11% voor bestandsoverdracht, 8% voor SFTP en 11% voor beheerde bestandsoverdracht). Meer dan de helft doet dit meer dan 25 keer per maand over deze vier communicatiekanalen. Regionaal ligt het frequentiepercentage hoger in Noord-Amerika dan in EMEA en Azië-Pacific; degenen die dit meer dan 100 keer per maand moeten doen, zijn meer dan twee keer zo talrijk over elk van de communicatiekanalen (Figuur 77).

Meer dan 30% van de organisaties moet 50 keer per maand workarounds voor bestandsgrootte implementeren voor e-mail, bestandsoverdracht, beheerde bestandsoverdracht en SFTP.

Belangrijkste drijfveren om risico’s bij communicatie van gevoelige inhoud aan te pakken

Lezers zullen inmiddels enkele van de problemen herkennen die ontstaan door het gebruik van veel communicatietools voor gevoelige inhoud—de risico’s en uitdagingen van beveiliging en naleving, het gebrek aan transparante zichtbaarheid over gegevenssoorten en inefficiënte handmatige processen. Om te peilen hoe deelnemers aan de enquête met deze complexiteit omgaan, vroegen we hen hun twee belangrijkste drijfveren te kiezen voor het unificeren en beveiligen van hun communicatie van gevoelige inhoud (Figuur 78). De meest genoemde reden (56%) was het beschermen van intellectueel eigendom en bedrijfsgeheimen. Kort daarachter volgden het beperken van proceskosten (51%) en het vermijden van overtredingen van regelgeving (48%).

Er waren interessante verschillen in het belang van proceskosten afhankelijk van de functie (Figuur 79). Het werd genoemd door 79% van de IT-professionals en 61% van de beveiligingsteammedewerkers—maar slechts 39% van de medewerkers op het gebied van risico en naleving. Respondenten in de juridische sector (75%), olie & gas (75%) en de federale overheid (69%) maakten zich vooral zorgen over het lekken van intellectueel eigendom (Figuur 80).

Regionaal waren er ook interessante verschillen (Figuur 81). Respondenten uit Azië-Pacific noemden het vermijden van schadelijke merkimpact veruit het vaakst als belangrijkste drijfveer (79%), gevolgd door het beperken van langdurige en dure proceskosten (61%). Voor EMEA was het voorkomen van het lekken van vertrouwelijk intellectueel eigendom en bedrijfsgeheimen de belangrijkste drijfveer (62%), gevolgd door het beperken van langdurige en dure proceskosten (51%). Respondenten uit Noord-Amerika noemden het vermijden van operationele uitval en omzetverlies als belangrijkste reden (57%), gevolgd door het voorkomen van het lekken van vertrouwelijk intellectueel eigendom en bedrijfsgeheimen (51%).

De belangrijkste drijfveren achter het streven om communicatie van gevoelige inhoud te unificeren en beveiligen waren bescherming van intellectueel eigendom en bedrijfsgeheimen (56%), beperking van proceskosten (51%) en het vermijden van overtredingen van regelgeving (48%).

Conclusie

De bevindingen uit het Sensitive Content Communications Privacy and Compliance Report van dit jaar benadrukken de kritieke noodzaak voor organisaties om proactieve maatregelen te nemen ter bescherming van hun gevoelige content. Een belangrijk inzicht is het consolideren van communicatietools op één platform. Door het aantal verschillende tools voor contentcommunicatie te verminderen, kunnen organisaties het risico op datalekken aanzienlijk verlagen en de operationele efficiëntie verbeteren. Organisaties met minder communicatietools ervaren namelijk minder datalekken, wat wijst op een verband tussen toolconsolidatie en verbeterde beveiliging.

Het rapport benadrukt ook de aanzienlijke risico’s die gepaard gaan met niet-gelabelde en niet-geclassificeerde data. Organisaties die geen robuuste systemen voor datatagging en classificatie implementeren, lopen een groter risico op datalekken doordat ze onvoldoende zicht en controle hebben over hun gevoelige content. De exponentiële groei van data, verder versneld door de adoptie van GenAI, maakt het voor organisaties noodzakelijk om dataclassificatie te prioriteren om deze risico’s effectief te beperken.

Het toepassen van zero-trust principes en geavanceerde beveiligingsmogelijkheden is essentieel voor het versterken van de beveiliging van gevoelige contentcommunicatie. De onderzoeksresultaten tonen aanzienlijke beveiligingsgaten aan en de noodzaak voor strikte contentgedefinieerde zero trust, inclusief op attributen gebaseerde toegangscontrole, uitgebreide encryptie, realtime monitoring en preventie van gegevensverlies. Zoals onze bevindingen laten zien, bestaan er in bepaalde sectoren, regio’s en landen grotere beveiligingsgaten dan in andere.

De data benadrukt ook aanzienlijke risico’s bij het uitwisselen van gevoelige content met derden: hoe meer derden waarmee respondenten gevoelige content versturen en delen, hoe meer datalekken en hogere proceskosten zij ervaren. Daarom moeten organisaties zorgen voor uitgebreide governance-tracking en -controles en geavanceerde beveiligingsmogelijkheden om risico’s van derden te beperken.

Tot slot is een laatste opmerking over de kosten van datalekken, met name die in verband met juridische procedures, op zijn plaats. Uit de enquête van dit jaar blijkt dat veel organisaties aanzienlijke juridische kosten maken die vaak niet worden meegenomen in traditionele schattingen van de kosten van datalekken. Een beschadigde merknaam, omzetverlies en verstoorde bedrijfsvoering zijn slechts één aspect van de gevolgen van datalekken. Boetes en sancties wegens niet-naleving en langdurige proceskosten hebben vaak een langdurig effect dat over langere perioden voelbaar is. Dit onderstreept het belang van het zorgvuldig selecteren van communicatietools voor gevoelige content die voldoen aan beveiligingsstandaarden zoals FedRAMP, ISO 27001, SOC 2 Type II, NIST CSF 2.0 en andere.

Referenties

  1. “2024 Data Breach Investigations Report,” Verizon, april 2024.
  2. Matt Kapko, “Progress Software’s MOVEit meltdown: uncovering the fallout,” Cybersecurity Dive, 16 januari 2024.
  3. Bill Toulas, “Fortra deelt bevindingen over GoAnywhere MFT zero-day aanvallen,” BleepingComputer, 1 april 2023.
  4. “2024 Gartner Technology Adoption Roadmap for Larger Enterprises Survey,” februari 2024.
  5. Eileen Yu, “Werknemers voeren gevoelige gegevens in generatieve AI-tools in ondanks de risico’s,” ZDNet, 22 februari 204.
  6. “2024 Global Threat Report,” CrowdStrike, februari 2024.
  7. “Ondanks hogere budgetten hebben organisaties moeite met naleving,” Help Net Security, 24 mei 2024.
  8. “Data Protection and Privacy Legislation Worldwide,” U.N. Trade & Development, geraadpleegd op 7 juni 2024.
  9. “U.S. State Privacy Legislation Tracker,” IAPP, laatst bijgewerkt op 28 mei 2024.
  10. Martin Armstrong, “EU-boetes voor gegevensbescherming bereiken recordhoogte in 2023,” Statistica, 8 januari 2024.
  11. “Health Information Privacy: Enforcement Highlights,” U.S. Health and Human Services, geraadpleegd op 30 april 2024.
  12. “2024 Data Breach Investigations Report,” Verizon, april 2024.
  13. “2023 Data Breach Report,” ID Theft Center, januari 2024.
  14. “Cost of a Data Breach Report 2023,” IBM Security, juli 2023.
  15. “2023 Cost of a Data Breach Report,” IBM Security, juli 2023.
  16. “2024 Global Threat Report,” CrowdStrike, februari 2024.
  17. “2024 Data Breach Investigations Report,” Verizon, mei 2024.
  18. “Privacy in Practice 2024,” ISACA, januari 2024.
  19. “Fortinet Global Zero Trust Report: meerderheid van organisaties implementeert actief Zero Trust, maar velen ondervinden nog integratie-uitdagingen,” Fortinet Persbericht, 20 juni 2023.

Aan de slag.

Het is eenvoudig om te beginnen met het waarborgen van naleving van regelgeving en het effectief beheren van risico’s met Kiteworks. Sluit je aan bij de duizenden organisaties die vol vertrouwen privégegevens uitwisselen tussen mensen, machines en systemen. Begin vandaag nog.

Plan een demo
Share
Tweet
Share
Explore Kiteworks