Balans tussen contentbeveiliging en contenttoegang met granulaire governance
Elke CISO weet dat privacy niet mogelijk is zonder beveiliging, maar dat beveiliging wel mogelijk is zonder privacy. Multi-factor authentication, data-encryptie en Advanced Threat Protection beschermen tegen externe bedreigingen, maar garanderen niet dat gevoelige inhoud correct wordt behandeld door geautoriseerde gebruikers. Terwijl gebruikers binnen uw uitgebreide organisatie verwachten eenvoudig toegang te hebben tot hun gevoelige inhoud, verwachten ze ook volledige vertrouwelijkheid: transparante samenwerking bestaande uit privécommunicatie.
CISO’s moeten beveiligde bestandsoverdracht mogelijk maken die de bescherming van gevoelige inhoud in balans brengt met de grote behoefte om deze te delen. Dit betekent het vergemakkelijken van toegang terwijl datalekken worden voorkomen, privacy waarborgen naast transparantie, en voldoen aan complexe regelgeving zonder efficiënte communicatie te belemmeren. Elk compromis brengt risico’s met zich mee. Deze blogserie onderzoekt deze afwegingen en biedt zes leidende principes voor het creëren van een beveiligd kanaal voor het delen van inhoud, waarmee samenwerking binnen de uitgebreide organisatie mogelijk wordt gemaakt en uw meest gevoelige digitale bezittingen worden beschermd.
In mijn vorige Blog Post deelde ik enkele valkuilen die gepaard gaan met het bieden van eenvoudige, naadloze toegang tot inhoud. Vandaag bespreek ik de uitdaging waarmee organisaties worden geconfronteerd bij het bieden van eenvoudige toegang tot gevoelige inhoud, maar ook het waarborgen dat deze inhoud met volledige vertrouwelijkheid wordt gedeeld.
Begrijp gebruikersrollen om beleidscontroles af te dwingen
Vertrouwelijkheid is het resultaat van sterk beheer van communicatie over inhoud – ervoor zorgen dat alleen geautoriseerde gebruikers specifieke inhoud op specifieke manieren kunnen openen, bewerken en delen. Dit kan niet worden afgedwongen op netwerkniveau—waar de meeste beveiligingsmaatregelen worden geïmplementeerd—omdat daarvoor informatie nodig is zoals wie, wat, waar, wanneer en hoe. Het moet worden afgedwongen op het niveau van gebruiker-applicatie-inhoud, omdat deze informatie daar aanwezig is. Bijvoorbeeld: voorkomen dat een financieel manager gecontroleerde jaarrekeningen openbaar deelt vóór een winstbericht vereist inzicht in gebruikersrollen, het type inhoud en het tijdstip van het verzoek. Deze vereisten weerspiegelen mijn eerdere Blog Post over de vereiste voor totale zichtbaarheid: verbinding met elke gebruiker die een endpoint deelt en elk inhoudsarchief. Nu is echter meer nodig dan alleen verbinding—vertrouwelijkheid vereist controle.
Volledige vertrouwelijkheid van inhoud vereist volledige controle over inhoud
Uw beveiligde kanaal voor het delen van inhoud moet zeer gedetailleerde beleidscontroles hebben op basis van een breed scala aan input, waaronder gebruikersrollen en -rechten, evenals contentmetadata zoals bestandsgrootte, type, locatie, lees- en schrijfrechten en gevoeligheid van de inhoud. Denk aan bestandsrechten in een ziekenhuis. Moet een podotherapeut toegang hebben tot het dossier van een verloskundige patiënt? Moet een baliemedewerker de dosering van een recept van een patiënt kunnen aanpassen? Niet als het ziekenhuis HIPAA-naleving wil aantonen. Dit is de basis voor het beheer van gegevens in rust. Om gegevens in beweging te beheren wanneer deze uw organisatie binnenkomen en verlaten, moeten beleidscontroles ook metadata over delen bevatten, zoals afzender, ontvanger, herkomst, bestemming, tijdstip van overdracht en beschikbaarheidsperiode. Hoe gedetailleerder het beheer, hoe groter uw vermogen om vertrouwelijkheid af te dwingen en de juiste balans te vinden tussen privacy en transparantie.
In de volgende post bespreek ik hoe organisaties kunnen voorkomen dat medewerkers hun eigen shadow IT creëren met eenvoudig toegankelijke, consumentgerichte cloudapplicaties. Zolang organisaties het niet eenvoudig maken om gevoelige inhoud veilig te delen, zullen medewerkers op zoek gaan naar minder omslachtige, maar ook minder veilige alternatieven.
Wilt u meer weten over het bieden van eenvoudige toegang tot gevoelige inhoud en tegelijkertijd waarborgen dat deze met volledige vertrouwelijkheid wordt gedeeld? Plan dan vandaag nog een aangepaste demo van Kiteworks.
Veelgestelde vragen
Risicobeheer door derden is een strategie die organisaties toepassen om risico’s te identificeren, beoordelen en beperken die samenhangen met interacties met externe leveranciers, leveranciers of partners. Deze risico’s variëren van datalekken en beveiligingsbedreigingen tot nalevingsproblemen en operationele verstoringen. Het proces omvat doorgaans het uitvoeren van zorgvuldigheid voorafgaand aan samenwerking met een derde partij, het continu monitoren van de activiteiten en prestaties van de derde partij, en het implementeren van controles om vastgestelde risico’s te beheren. Het doel is te waarborgen dat de handelingen of tekortkomingen van de derde partij geen negatieve impact hebben op de bedrijfsvoering, reputatie of wettelijke verplichtingen van de organisatie.
Risicobeheer door derden is essentieel omdat het helpt om risico’s die samenhangen met relaties met derden te identificeren, beoordelen en beperken. Dit kan onder meer cyberbeveiligingsdreigingen, nalevingsproblemen, operationele risico’s en reputatieschade omvatten.
Beleidscontroles zijn essentieel in risicobeheer door derden omdat ze duidelijke verwachtingen scheppen voor het gedrag van derden, omgang met gegevens en beveiligingspraktijken. Ze helpen het risico op beveiligingsincidenten te beperken door toelaatbare handelingen te definiëren en zorgen ervoor dat derden voldoen aan relevante wetten, regelgeving en industrienormen. Daarnaast vormen beleidscontroles de basis voor het monitoren van activiteiten van derden en het afdwingen van naleving, zodat de organisatie passende maatregelen kan nemen bij overtredingen. Beleidscontroles vormen dus een cruciaal kader voor effectief beheer van risico’s door derden.
Audittrail is onmisbaar voor risicobeheer door derden omdat het een volledig overzicht biedt van alle activiteiten van derden binnen uw systemen. Ze helpen bij het identificeren van potentiële risico’s door ongebruikelijke of verdachte activiteiten te signaleren, vormen een belangrijke bron bij incidentrespons en forensisch onderzoek, en ondersteunen naleving van regelgeving door bewijs te leveren van effectieve beveiligingsmaatregelen en monitoring van derden. Bovendien bevorderen ze een cultuur van verantwoordelijkheid en transparantie bij derden, ontmoedigen kwaadwillende activiteiten en stimuleren naleving van beveiligingsbeleid.
Kiteworks ondersteunt risicobeheer door derden door een beveiligd platform te bieden voor het delen en beheren van gevoelige inhoud. Het platform is ontworpen om gevoelige inhoud die binnen, naar en uit een organisatie beweegt te controleren, te volgen en te beveiligen, waardoor risicobeheer aanzienlijk wordt verbeterd. Kiteworks biedt daarnaast twee niveaus van e-mailencryptie, Enterprise en Email Protection Gateway (EPG), om gevoelige e-mailcommunicatie te beveiligen. Dit helpt om risico’s door derden die samenhangen met e-mailverkeer te beperken.