Behoud de controle over uw meest gevoelige inhoud met een private of on-premise cloud
Iedereen die ooit een product heeft geproduceerd en verkocht in een competitieve markt, zal Benjamin Franklin’s uitspraak bevestigen: “de bitterheid van slechte kwaliteit blijft lang nadat de zoetheid van een lage prijs is vergeten.” De drang om minder uit te geven en meer te besparen is in wezen een overlevingsinstinct. In het bedrijfsleven kan geld besparen je promotie opleveren. In cyberbeveiliging kan geld besparen je echter je baan kosten.
Bedreigingen binnen derde-partij-workflows hebben een gemeenschappelijk kenmerk: een gebruiker is de actor en een bestand is het middel. Volledige bescherming vereist een verdediging die het volledige bereik van het bijbehorende dreigingsoppervlak omvat: de gezamenlijke paden van alle bestanden die je organisatie binnenkomen en verlaten. Een allesomvattende verdediging betekent het beveiligen, monitoren en beheren van alle derde-partij-workflows, waaronder beveiligde e-mail, SFTP en beveiligde bestandsoverdracht, en meer.
In mijn vorige blog post onderzocht ik hoe het verenigen van toegang tot bedrijfscontentopslag een interne beveiligingscontrole biedt waarmee je de meest waardevolle informatie van je organisatie kunt beschermen. In deze post leg ik uit waarom je de verleiding van goedkope cloudopslag moet weerstaan bij het opslaan van zeer gevoelige informatie.
Wat is jouw gevoelige data waard?
Als je wist dat je gevoelige data een miljard dollar waard was, zou je dan een miljard dollar uitgeven om het te beschermen? Is het überhaupt mogelijk om de waarde van je gevoelige data te kwantificeren? Misschien is het eenvoudiger om de kosten van een datalek te schatten. Voordat je antwoordt, bedenk dan alles wat komt kijken bij het herstel van een datalek. Forensisch onderzoek, juridisch advies, public relations en boetes van toezichthouders zijn slechts enkele van de gerelateerde kosten. Er zit veel subjectiviteit in het schatten van een kostenpost, maar een rapport uit 2019 schat dat een gemiddeld datalek een bedrijf ongeveer 3,9 miljoen USD kost. Voor zorgbedrijven zijn de kosten bijna het dubbele: 6,5 miljoen USD. (Ter vergelijking: een ander rapport noemt dat de gemiddelde kosten van een datalek in de publieke sector 2,3 miljoen USD bedragen.)
Met deze schattingen kan een datalek rampzalig zijn voor kleinere bedrijven. Grotere organisaties zijn beter in staat om een datalek van meerdere miljoenen te doorstaan, maar de langetermijnschade, zoals collectieve rechtszaken en omzetverlies door consumentenafkeer, kan onoverkomelijk blijken.
Goedkoop is duurkoop
Een goedkope publieke cloudopslagoplossing lijkt aantrekkelijk, maar schijn bedriegt. Om Franklin’s gezegde in een modern jasje te steken: “je krijgt waar je voor betaalt.” Publieke cloudopslagoplossingen zijn doorgaans ontworpen voor flexibiliteit en functionaliteit, niet voor beveiliging of privacy. Bovendien besteden kleine en middelgrote bedrijven het beheer en onderhoud van cloudopslag vaak uit aan een aanbieder van beveiligingsdiensten (MSSP) of een cloud access security broker (CASB). Wanneer deze derde partijen vergeten basisbeveiligingsmaatregelen in te schakelen, stellen ze de inhoud bloot aan iedereen met een internetverbinding. Helaas hebben deze verkeerd geconfigureerde datalekken de PII en PHI van miljoenen mensen blootgesteld in diverse spraakmakende incidenten.
Hackers zijn niet de enige partijen die proberen toegang te krijgen tot gevoelige informatie die is opgeslagen op publieke cloudservers. De Amerikaanse US CLOUD Act van 2018 staat Amerikaanse wetshandhavingsinstanties toe om technologiebedrijven te dagvaarden voor toegang tot data die op hun servers is opgeslagen, ongeacht of de data in de VS of in het buitenland staat. Simpel gezegd: als je gevoelige data op een publieke cloud staat, kan deze in bulk worden verzameld zonder jouw medeweten of toestemming.
Krijg volledige controle over je gevoelige data
Gelukkig hebben bedrijven diverse inzetopties om hun gevoelige data te beveiligen, en elk daarvan is aanzienlijk veiliger dan een publieke cloudoptie. Met een private cloud, FedRAMP virtual private cloud of on-premises inzet beschermen bedrijven gevoelige data zoals klantgegevens, financiële rapportages en intellectueel eigendom tegen ongeautoriseerde toegang. Kritieke beveiligingsfuncties en mogelijkheden zoals data-encryptie en eigenaarschap van encryptiesleutels zorgen ervoor dat alleen geautoriseerde gebruikers toegang hebben tot je waardevolle digitale bezittingen.
Het beheren van je eigen systeem hoeft ook niet moeilijk of duur te zijn. De meeste organisaties beschikken over voldoende IT-expertise om zelfstandig een private of on-premise cloud te beheren en tijdig efficiënte schaalvoordelen te behalen.
Nu je de risico’s kent van het opslaan van gevoelige informatie in een publieke cloud, is het tijd om de praktische aspecten van het beveiligen van die data te verkennen. Volgende keer bespreek ik het belang van het versleutelen van je gevoelige content tijdens verzending en opslag.
Wil je meer weten over het opbouwen van een holistische verdediging van het derde-partij-workflow-dreigingsoppervlak? Plan vandaag nog een aangepaste demo van Kiteworks.
Veelgestelde vragen
Risicobeheer door derden is een strategie die organisaties toepassen om risico’s te identificeren, beoordelen en beperken die samenhangen met hun interacties met externe leveranciers, leveranciers of partners. Deze risico’s kunnen variëren van datalekken en beveiligingsdreigingen tot complianceproblemen en operationele verstoringen. Het proces omvat doorgaans het uitvoeren van zorgvuldigheidsonderzoek voordat je met een derde partij in zee gaat, het continu monitoren van de activiteiten en prestaties van de derde partij, en het implementeren van controles om geïdentificeerde risico’s te beheren. Het doel is ervoor te zorgen dat de acties of tekortkomingen van de derde partij geen negatieve impact hebben op de bedrijfsvoering, reputatie of wettelijke verplichtingen van de organisatie.
Risicobeheer door derden is essentieel omdat het helpt om risico’s die samenhangen met relaties met derden te identificeren, beoordelen en beperken. Dit kan onder meer cyberbeveiligingsdreigingen, complianceproblemen, operationele risico’s en reputatieschade omvatten.
Beleidscontroles zijn essentieel bij risicobeheer door derden omdat ze duidelijke verwachtingen vastleggen voor het gedrag van derden, omgang met data en beveiligingspraktijken. Ze helpen het risico op beveiligingsincidenten te beperken door acceptabele handelingen te definiëren en zorgen ervoor dat derden voldoen aan relevante wet- en regelgeving en industriestandaarden. Daarnaast vormen beleidscontroles de basis voor het monitoren van derde-partij-activiteiten en het afdwingen van compliance, zodat de organisatie gepaste maatregelen kan nemen bij beleidsinbreuken. Beleidscontroles vormen dus een cruciaal kader voor effectief beheer van risico’s door derden.
Audittrail is onmisbaar bij risicobeheer door derden omdat het een volledig overzicht biedt van alle activiteiten van derden binnen je systemen. Ze helpen bij het identificeren van potentiële risico’s door ongebruikelijke of verdachte activiteiten te signaleren, dienen als belangrijke bron tijdens incidentrespons en forensisch onderzoek, en ondersteunen naleving van regelgeving door bewijs te leveren van effectieve beveiligingsmaatregelen en monitoring van derden. Bovendien bevorderen ze een cultuur van verantwoordelijkheid en transparantie bij derde partijen, ontmoedigen ze kwaadwillende activiteiten en stimuleren ze naleving van beveiligingsbeleid.
Kiteworks ondersteunt risicobeheer door derden door een beveiligd platform te bieden voor het delen en beheren van gevoelige content. Het platform is ontworpen om gevoelige content die binnen, naar en uit een organisatie beweegt te controleren, traceren en beveiligen, wat het risicobeheer aanzienlijk verbetert. Kiteworks biedt daarnaast twee niveaus van e-mailencryptie, Enterprise en Email Protection Gateway (EPG), om gevoelige e-mailcommunicatie te beveiligen. Dit helpt om risico’s door derden die samenhangen met e-mailverkeer te beperken.