Beheer communicatie-apps van derden om uw workflows van derden te beschermen
Net als een druk kantoorgebouw met medewerkers en gasten die in- en uitlopen, is het onmogelijk om alle informatie die uw organisatie binnenkomt en verlaat te monitoren. Alledaagse communicatie-apps van derden, zoals e-mail, gedeelde mappen of bestandsopslag, zijn de toegangsdeuren waardoor kwaadwillenden rechtstreeks toegang krijgen tot de PII, PHI en IP van uw bedrijf. Om deze kroonjuwelen te beschermen, moet u het aantal ingangen tot uw content beperken om het dreigingsoppervlak te verkleinen: de virtuele ruimte waarin uw organisatie wordt blootgesteld aan aanvallen die zich richten op workflows van derden.
Wie zijn derden in het bedrijfsleven?
Derden in organisaties zijn alle entiteiten die niet direct betrokken zijn bij de activiteiten van het bedrijf, maar toch op een bepaalde manier met het bedrijf te maken hebben. Voorbeelden van derden zijn leveranciers, klanten, banken, investeerders en de overheid. Deze partijen kunnen op diverse manieren betrokken zijn bij de bedrijfsvoering, bijvoorbeeld door het leveren van goederen of diensten, of het verstrekken van financiering. Ze kunnen ook belang hebben bij het succes van het bedrijf, hetzij via direct eigendom, hetzij via contractuele overeenkomsten.
Het risico van communicatie-apps van derden
Communicatie-apps van derden brengen diverse risico’s met zich mee voor organisaties. Ten eerste kan het gebruik van deze apps door medewerkers leiden tot een datalek, omdat de uitgewisselde gegevens mogelijk niet zijn versleuteld en de derde partij mogelijk niet voldoet aan de normen voor gegevensbeveiliging. Daarnaast zijn deze apps mogelijk niet geschikt voor de branche van de organisatie en kunnen ze zelfs in strijd zijn met branchevoorschriften. Tot slot kunnen deze apps een organisatie blootstellen aan malware, omdat kwaadwillenden mogelijk hetzelfde platform gebruiken als legitieme gebruikers. Door risicobeheer door derden te omarmen, zorgen organisaties ervoor dat hun data en de communicatie-apps van derden die worden gebruikt om die data te verplaatsen veilig zijn, en vergroten ze hun kans om naleving van regelgeving aan te tonen.
Dreigingen in workflows van derden hebben een gemeenschappelijk thema: een gebruiker is de actor en een bestand is het middel. Volledige bescherming vereist een verdediging die het volledige dreigingsoppervlak dekt: de gezamenlijke paden van alle bestanden die uw organisatie binnenkomen en verlaten. Een allesomvattende verdediging betekent het beveiligen, monitoren en beheren van alle workflows van derden, waaronder beveiligde e-mail, SFTP en beveiligde bestandsoverdracht.
In mijn vorige Blog Post besprak ik het belang van inzicht krijgen in wie binnen uw organisatie wat naar wie verstuurt door het creëren van een CISO-dashboard. In deze post deel ik een andere strategie om uw organisatie te beschermen tegen dreigingen in workflows van derden: controleer en bescherm communicatie-applicaties van derden.
Beperk en handhaaf het aantal communicatie-apps in uw workflows van derden
Gebruikers delen bestanden vanaf diverse endpoints: e-mail, webbrowsers, mobiele apps en bedrijfsapplicaties zoals Oracle en Salesforce. Hoe minder communicatie-apps van derden u hoeft te monitoren, beheren en beveiligen, hoe beter. Beperk het aantal applicaties op uw netwerk door ongeautoriseerde software-installaties te verbieden en een Cloud Access Security Broker (CASB) in te zetten om ongeautoriseerde clouddiensten te blokkeren.
Het verminderen van het aantal toegangsdeuren, oftewel de geverifieerde apps in uw organisatie, kan helpen als een aannemer, accountant of andere digitale leverancier uit de toeleveringsketen wordt getroffen door een datalek. Hackers proberen toegang te krijgen tot uw netwerk via uw minder goed beveiligde partners, en een van de grootste toegangspoorten tot een organisatie is via externe applicaties. Financiële tracking-apps of communicatie-apps zijn bijvoorbeeld poreuze systemen die aanvallers kunnen binnendringen, waardoor ze direct toegang krijgen tot de kern van uw organisatie en uw meest gevoelige data. Door het aantal toegangspoorten tot uw organisatie te beperken, vermindert u de ingangen die deze aanvallers tot uw bedrijf hebben.
Hoe gebruikt u een app van derden om uw apps van derden te beheren?
Organisaties kunnen een app van derden gebruiken om, jawel, andere apps van derden te beheren en monitoren. Ze kunnen de app inzetten om toegangsrechten te beheren, zodat alleen geautoriseerde gebruikers toegang krijgen tot de benodigde apps en ongeautoriseerde gebruikers worden geblokkeerd. Daarnaast kunnen ze gebruikersactiviteiten beheren en het gebruik volgen om realtime inzicht te krijgen in hoe de apps worden gebruikt. Tot slot kunnen organisaties de app gebruiken om beleid in te stellen, zodat gebruikers zich houden aan de databeveiligingsrichtlijnen van de organisatie bij het gebruik van apps van derden.
Wat is de beste app voor teamcommunicatie?
De beste app voor teamcommunicatie binnen een organisatie moet veilig, gebruiksvriendelijk en compleet zijn. Het moet een beveiligd platform bieden waarop teamleden kunnen communiceren en gevoelige informatie kunnen delen zonder risico op toegang door derden of datalekken. De app moet intuïtief en eenvoudig te gebruiken zijn, zodat leden snel en efficiënt kunnen communiceren. Daarnaast moet het een breed scala aan functies bieden, zoals bestandsoverdracht, groepschat, videoconferencing en taaktoewijzing. Dit veelzijdige aanbod aan functies stelt organisaties in staat effectieve samenwerking en communicatie tussen teams te faciliteren.
Apps van derden versus native apps
De keuze tussen apps van derden of native apps hangt af van de specifieke behoeften en voorkeuren van de organisatie. Apps van derden bieden vaak meer flexibiliteit, maatwerk en schaalbaarheid, terwijl native communicatie-apps mogelijk een intuïtievere gebruikerservaring en betere beveiligingsfuncties bieden. Organisaties moeten hun behoeften en voorkeuren grondig evalueren om te bepalen welk type app het beste aansluit bij hun situatie.
Toon naleving van wetgeving voor gegevensbescherming aan
Beheren welke applicaties medewerkers gebruiken om gevoelige content te delen is niet alleen essentieel om PII, PHI en IP te beschermen tegen compromittering, maar ook noodzakelijk om naleving van regelgeving aan te tonen, zoals HIPAA, GDPR, GLBA, NIST 800-171 en andere. Deze regelgeving stelt strikte vereisten aan het verwerken, opslaan en uitwisselen van klantgegevens, zodat dataprivacy in elke stap wordt gewaarborgd. Niet-naleving kan leiden tot hoge boetes, publieke reputatieschade, omzetverlies, collectieve rechtszaken en meer.
Het beveiligen van communicatie-apps van derden is een cruciale strategie om uw gevoelige content te beschermen, maar het is niet de enige. In mijn volgende Blog Post bespreek ik hoe u geautoriseerde bestandsoverdracht door derden eenvoudig maakt voor medewerkers, zodat zij niet op zoek gaan naar shadow IT-alternatieven.
Wilt u meer weten over het opbouwen van een holistische verdediging van het dreigingsoppervlak van workflows van derden? Plan dan vandaag nog een aangepaste demo van Kiteworks.
Veelgestelde vragen
Risicobeheer door derden is een strategie die organisaties inzetten om risico’s die samenhangen met interacties met leveranciers, partners of andere externe partijen te identificeren, beoordelen en beperken. Deze risico’s kunnen variëren van datalekken en beveiligingsdreigingen tot compliance-kwesties en operationele verstoringen. Het proces omvat doorgaans het uitvoeren van zorgvuldigheidsonderzoek voordat men met een derde partij in zee gaat, het continu monitoren van de activiteiten en prestaties van de derde partij, en het implementeren van controles om geïdentificeerde risico’s te beheersen. Het doel is te waarborgen dat de acties of tekortkomingen van de derde partij geen negatieve impact hebben op de bedrijfsvoering, reputatie of wettelijke verplichtingen van de organisatie.
Risicobeheer door derden is cruciaal omdat het helpt om risico’s die samenhangen met relaties met externe partijen te identificeren, beoordelen en beperken. Dit kan onder meer gaan om cyberbeveiligingsdreigingen, compliance-kwesties, operationele risico’s en reputatieschade.
Beleidscontroles zijn essentieel in risicobeheer door derden omdat ze duidelijke verwachtingen scheppen voor het gedrag van derden, omgang met data en beveiligingspraktijken. Ze helpen het risico op beveiligingsincidenten te beperken door acceptabel gedrag te definiëren en zorgen ervoor dat derden voldoen aan relevante wetten, regelgeving en industrienormen. Daarnaast vormen beleidscontroles de basis voor het monitoren van activiteiten van derden en het afdwingen van compliance, zodat de organisatie gepaste maatregelen kan nemen bij beleidsinbreuken. Beleidscontroles vormen dus een cruciaal kader voor effectief risicobeheer door derden.
Audittrail is onmisbaar bij risicobeheer door derden, omdat het een volledig overzicht biedt van alle activiteiten van derden binnen uw systemen. Ze helpen bij het identificeren van potentiële risico’s door ongebruikelijke of verdachte activiteiten te signaleren, zijn een belangrijk hulpmiddel bij incidentrespons en forensisch onderzoek, en ondersteunen naleving van regelgeving door bewijs te leveren van effectieve beveiligingsmaatregelen en monitoring van derden. Daarnaast bevorderen ze een cultuur van verantwoordelijkheid en transparantie bij derden, wat kwaadwillende activiteiten ontmoedigt en naleving van beveiligingsbeleid stimuleert.
Kiteworks ondersteunt risicobeheer door derden door een beveiligd platform te bieden voor het delen en beheren van gevoelige content. Het platform is ontworpen om gevoelige content die binnen, naar en uit een organisatie beweegt te controleren, te volgen en te beveiligen, waardoor risicobeheer aanzienlijk wordt verbeterd. Kiteworks biedt daarnaast twee niveaus van e-mailencryptie, Enterprise en Email Protection Gateway (EPG), om gevoelige e-mailcommunicatie te beveiligen. Dit helpt om risico’s van derden die samenhangen met e-mailverkeer te beperken.