Bescherm uw intellectueel eigendom met volledig inzicht in elk uitgewisseld gevoelig bestand
Wat als u elk uitwisselingsmoment van gevoelige content tussen uw organisatie en uw klanten, leveranciers, partners, advocaten, investeerders en alle andere externe partijen kon zien? Waar gaat het naartoe? Waar komt het vandaan? Wie verstuurt het? Wie ontvangt het? Hoe gevoelig is het? Is het geïnfecteerd? Wat als u een CISO-dashboard had dat deze communicatie kon analyseren op relevante dimensies, zoals gevoeligheid van de content, herkomst en bestemming, tijdstip en bestandstype. Wat als u op basis van die informatie dynamische beveiligings- en governancebeleid kon implementeren, zoals het blokkeren van een overdracht van uitzonderlijk gevoelige informatie naar een specifiek land door een specifieke gebruiker op een bepaald tijdstip? Beveiliging, privacy, transparantie, governance en compliance zijn allemaal afhankelijk van zichtbaarheid. Als u het niet meet, kunt u het niet beheren. Begin daarom met het einddoel voor ogen: volledige zichtbaarheid van alle activiteiten binnen uw beveiligde content sharing-kanaal, inclusief een complete, realtime audittrail van alle gedeelde content die kan worden vastgelegd, geaggregeerd, gefilterd, geanalyseerd en gearchiveerd.
CISO’s moeten veilige online samenwerking mogelijk maken die het beschermen van gevoelige content in balans brengt met de grote behoefte om deze te delen, waarbij toegang wordt vergemakkelijkt en datalekken worden voorkomen, privacy wordt gewaarborgd naast transparantie, en wordt voldaan aan complexe regelgeving zonder de efficiënte communicatie te belemmeren. Elke afweging brengt risico’s met zich mee. Deze blogserie onderzoekt deze afwegingen en biedt zes leidende principes voor het creëren van een beveiligd content sharing-kanaal dat samenwerking binnen de extended enterprise mogelijk maakt en uw meest gevoelige digitale bezittingen beschermt.
In mijn vorige blog post besprak ik de noodzaak voor CISO’s om soepele online workflows te bieden door middel van eenvoudig, makkelijk delen van digitale content, zelfs wanneer die informatie zeer vertrouwelijk is. Vandaag bespreek ik hoe CISO’s hun meest waardevolle digitale bezittingen kunnen beschermen door elk bestand dat hun organisatie binnenkomt of verlaat te controleren en te monitoren.
Toegankelijkheid van content in balans brengen met beveiliging en governance is makkelijker gezegd dan gedaan
De eenvoudigste manier om volledige zichtbaarheid te realiseren, zou zijn om alle communicatie met gevoelige content te forceren via één gebruikersapplicatie gekoppeld aan één contentrepository, bijvoorbeeld een geconsolideerde private cloudopslag- en bestandsoverdrachtdienst. Dan zou u één centraal punt voor gegevensverzameling hebben. Helaas werken mensen niet op deze manier. Ze gebruiken e-mail, webbrowsers, mobiele apps en zelfs SFTP-clients om gevoelige content uit te wisselen. En die content wordt overal opgeslagen: op lokale schijven, netwerkbestandsservers, bedrijfsapplicaties, ECM-systemen en cloudopslagdiensten. Bovendien zal de meest gevoelige content waarschijnlijk gescheiden en lokaal worden bewaard. Hoewel enige consolidatie van gebruikersapplicaties en opslaglocaties zeker voordelen biedt, zal dit in elke redelijk grote, complexe organisatie altijd beperkt blijven.
Bereik volledige zichtbaarheid met een koppeling naar elke gegevensbron en elk endpoint
Volledige zichtbaarheid van alle gedeelde gevoelige content is duidelijk makkelijker gezegd dan gedaan. Toch is het niet slechts een streven. Met strenge privacywetgeving zoals HIPAA en GDPR is het een vereiste. In de praktijk betekent volledige zichtbaarheid dat u verbinding maakt met alle endpoints waar gebruikers content delen, evenals alle locaties waar content wordt opgeslagen. Wat de uiteindelijke systeemarchitectuur ook is, een essentiële vereiste van uw beveiligde content sharing-kanaal is een koppeling met elke contentrepository en sharingapplicatie die elk verzoek om een bestand op te slaan, op te halen, te verzenden of te ontvangen monitort en beheert. Elke ontbrekende koppeling is een blinde vlek die een potentieel datalek mogelijk maakt.
In de volgende blogpost bespreek ik de valkuilen die gepaard gaan met het bieden van eenvoudige, naadloze toegang tot content. Gezien de diversiteit aan applicaties en gebruikersworkflows is het bieden van eenvoudige toegang een zeer complexe uitdaging, en het beveiligen van geautoriseerde toegang is slechts de eerste stap.
Wilt u meer weten over hoe u uw meest waardevolle digitale bezittingen kunt beschermen door elk bestand dat uw organisatie binnenkomt of verlaat te controleren en te monitoren? Plan dan vandaag nog een aangepaste demo van Kiteworks.
Veelgestelde vragen
Risicobeheer door derden is een strategie die organisaties inzetten om risico’s te identificeren, beoordelen en beperken die samenhangen met hun interacties met externe leveranciers, toeleveranciers of partners. Deze risico’s kunnen uiteenlopen van datalekken en beveiligingsdreigingen tot complianceproblemen en operationele verstoringen. Het proces omvat doorgaans het uitvoeren van zorgvuldigheidsonderzoek voordat men met een derde partij in zee gaat, het continu monitoren van de activiteiten en prestaties van de derde partij, en het implementeren van controles om geïdentificeerde risico’s te beheren. Het doel is te waarborgen dat de acties of tekortkomingen van de derde partij geen negatieve impact hebben op de bedrijfsvoering, reputatie of wettelijke verplichtingen van de organisatie.
Risicobeheer door derden is cruciaal omdat het helpt om de risico’s die samenhangen met relaties met derden te identificeren, beoordelen en beperken. Dit kan onder meer gaan om cyberbeveiligingsdreigingen, complianceproblemen, operationele risico’s en reputatieschade.
Beleidscontroles zijn essentieel in risicobeheer door derden omdat ze duidelijke verwachtingen vastleggen voor het gedrag van derden, omgang met data en beveiligingspraktijken. Ze helpen het risico op beveiligingsincidenten te beperken door acceptabel gedrag te definiëren en zorgen ervoor dat derden voldoen aan relevante wetten, regelgeving en industrienormen. Daarnaast vormen beleidscontroles de basis voor het monitoren van activiteiten van derden en het afdwingen van naleving, zodat de organisatie gepaste maatregelen kan nemen bij beleidsinbreuken. Beleidscontroles vormen dus een cruciaal kader voor effectief risicobeheer door derden.
Audittrail is onmisbaar voor risicobeheer door derden omdat het een volledig overzicht biedt van alle activiteiten van derden binnen uw systemen. Ze helpen potentiële risico’s te identificeren door ongebruikelijke of verdachte activiteiten te signaleren, zijn een belangrijk hulpmiddel bij incidentrespons en forensisch onderzoek, en ondersteunen de naleving van regelgeving door bewijs te leveren van effectieve beveiligingsmaatregelen en monitoring van derden. Bovendien bevorderen ze een cultuur van verantwoordelijkheid en transparantie bij derden, ontmoedigen ze kwaadwillende activiteiten en stimuleren ze naleving van beveiligingsbeleid.
Kiteworks ondersteunt risicobeheer door derden door een veilig platform te bieden voor het delen en beheren van gevoelige content. Het platform is ontworpen om gevoelige content die binnen, naar en uit een organisatie beweegt te controleren, te volgen en te beveiligen, wat het risicobeheer aanzienlijk verbetert. Kiteworks biedt daarnaast twee niveaus van e-mailencryptie, Enterprise en Email Protection Gateway (EPG), om gevoelige e-mailcommunicatie te beveiligen. Dit helpt om risico’s van derden die samenhangen met e-mailverkeer te beperken.