Beveilig en optimaliseer werknemersworkflows met enterprise-applicatieplug-ins
Er is een dunne lijn tussen het beschermen van gevoelige informatie tegen datalekken en het eenvoudig delen van die informatie met vertrouwde partners. Maak het proces te moeilijk voor medewerkers, en zij zullen ongeautoriseerde (lees: onveilige) omwegen vinden om hun werk gedaan te krijgen. Maak het te makkelijk, en PII, PHI en IP vallen onvermijdelijk in verkeerde handen, wat leidt tot een datalek en/of een compliance-overtreding. Hoe dan ook, als het gaat om het beveiligen van workflows met derden, blijven gebruikers altijd de zwakste schakel.
Bedreigingen in workflows met derden hebben een gemeenschappelijk thema: een gebruiker is de actor en een bestand is het middel. Volledige bescherming vereist een verdediging die het volledige dreigingsoppervlak bestrijkt: de gezamenlijke paden van alle bestanden die uw organisatie binnenkomen en verlaten. Een allesomvattende verdediging betekent het beveiligen, monitoren en beheren van alle workflows met derden, waaronder beveiligde e-mail, SFTP en beveiligde bestandsoverdracht, en meer.
In mijn vorige Blog Post besprak ik hoe u uw externe workflows kunt beschermen door het aantal toegestane communicatie-apps van derden binnen uw organisatie te beperken en deze geautoriseerde apps te beveiligen, zodat uw vertrouwelijke informatie altijd beschermd blijft. Hierop voortbouwend bespreek ik vandaag het belang van het gebruiksvriendelijk maken van de apps die u heeft geselecteerd en beveiligd, zonder concessies te doen aan beveiliging of compliance.
Sta uw medewerkers niet in de weg met enterprise application-plugins
Applicaties zoals Salesforce, Office 365 en Oracle zijn essentieel voor de workflows van medewerkers. CISO’s kunnen een veiligere alternatieve applicatie vinden, maar dat gaat ten koste van het verstoren van de bestaande workflows. In plaats daarvan kunnen CISO’s samenwerken met ontwikkelteams om beveiligings- en compliancefuncties in deze en andere applicaties te integreren via enterprise application-plugins. Het gezamenlijke doel is om beveiliging en compliance naadloos te laten aansluiten op de workflows van medewerkers. Zo werken gebruikers in de applicaties die zij dagelijks gebruiken, terwijl beveiligings- en privacybeleid op de achtergrond ervoor zorgen dat vertrouwelijke informatie privé blijft. Hoe minder CISO’s de workflows van medewerkers verstoren met nieuwe applicaties en extra stappen, hoe groter de kans dat medewerkers de gewenste methode voor het delen van gevoelige content daadwerkelijk gebruiken.
Als een CISO-dashboard u inzicht geeft in elk bestand dat de organisatie binnenkomt en verlaat, zoals een beveiligingscamera waarmee u iedere persoon ziet binnenkomen en vertrekken, dan zorgen enterprise application-plugins ervoor dat u alle uitgangen van uw organisatie kunt beveiligen én eenvoudig kunt vinden. Plugins moeten het verzenden, ontvangen, opslaan en terugvinden van bestanden heel eenvoudig maken. Doen ze dat niet, dan zoeken medewerkers naar makkelijkere manieren om hun werk te delen – vaak gevoelige informatie – en dat brengt uw organisatie in gevaar. Door het bestandverkeer via beveiligingscontroles te leiden, wordt elk bestand efficiënt geïnspecteerd en beveiligd, zodat het risico op een datalek wordt beperkt.
Zeg vaarwel tegen Shadow IT en hallo tegen naleving van de Wet bescherming persoonsgegevens 2018
Als u eenmaal de apps heeft beveiligd die uw medewerkers in hun workflows gebruiken, kunt u met een geruster hart werken omdat u uw blootstelling aan shadow IT heeft verkleind. Organisaties zullen nooit volledig vrij zijn van het risico op shadow IT, maar CISO’s hebben de verleiding weggenomen met beveiligde enterprise-applicaties. Geen paniek meer over medewerkers die gevoelige informatie extern delen via Dropbox, Google Drive of andere consumenten-apps voor bestandsoverdracht. Met enterprise application-plugins weten CISO’s bovendien zeker dat zij aantoonbaar voldoen aan regelgeving die klantprivacy beschermt.
In mijn volgende post bespreek ik het belang van het verenigen van toegang tot uw enterprise content repositories om het dreigingsoppervlak van uw workflows met derden te verkleinen.
Wilt u meer weten over het opbouwen van een holistische verdediging van het dreigingsoppervlak van workflows met derden? Plan dan vandaag nog een aangepaste demo van Kiteworks.
Veelgestelde vragen
Risicobeheer door derden is een strategie die organisaties inzetten om risico’s te identificeren, beoordelen en beperken die samenhangen met hun interacties met externe leveranciers, leveranciers of partners. Deze risico’s kunnen uiteenlopen van datalekken en beveiligingsdreigingen tot compliance-kwesties en operationele verstoringen. Het proces omvat doorgaans het uitvoeren van zorgvuldigheid voorafgaand aan samenwerking met een derde partij, het continu monitoren van de activiteiten en prestaties van de derde partij, en het implementeren van controles om geïdentificeerde risico’s te beheersen. Het doel is te waarborgen dat de handelingen of tekortkomingen van de derde partij geen negatieve impact hebben op de bedrijfsvoering, reputatie of wettelijke verplichtingen van de organisatie.
Risicobeheer door derden is cruciaal omdat het helpt om de risico’s die samenhangen met relaties met derden te identificeren, beoordelen en beperken. Dit kan onder meer cyberbeveiligingsdreigingen, compliance-kwesties, operationele risico’s en reputatieschade omvatten.
Beleidscontroles zijn essentieel in risicobeheer door derden omdat ze duidelijke verwachtingen scheppen voor het gedrag van derden, omgang met gegevens en beveiligingspraktijken. Ze helpen het risico op beveiligingsincidenten te beperken door acceptabele handelingen te definiëren en zorgen ervoor dat derden voldoen aan relevante wetten, regelgeving en industrienormen. Daarnaast bieden beleidscontroles een basis voor het monitoren van activiteiten van derden en het afdwingen van compliance, zodat de organisatie gepaste maatregelen kan nemen bij beleidsinbreuken. Beleidscontroles vormen dus een cruciaal kader voor effectief beheer van risico’s door derden.
Audittrail is onmisbaar voor risicobeheer door derden, omdat het een volledig overzicht biedt van alle activiteiten van derden binnen uw systemen. Ze helpen bij het identificeren van potentiële risico’s door ongebruikelijke of verdachte activiteiten te signaleren, dienen als belangrijk hulpmiddel bij incidentrespons en forensisch onderzoek, en ondersteunen naleving van regelgeving door bewijs te leveren van effectieve beveiligingsmaatregelen en monitoring van derden. Bovendien bevorderen audittrails een cultuur van verantwoordelijkheid en transparantie bij derden, wat kwaadwillende activiteiten ontmoedigt en naleving van beveiligingsbeleid stimuleert.
Kiteworks ondersteunt risicobeheer door derden door een beveiligd platform te bieden voor het delen en beheren van gevoelige content. Het platform is ontworpen om gevoelige content die binnen, naar en uit een organisatie beweegt te controleren, te volgen en te beveiligen, wat het risicobeheer aanzienlijk verbetert. Kiteworks biedt daarnaast twee niveaus van e-mailencryptie, Enterprise en Email Protection Gateway (EPG), om gevoelige e-mailcommunicatie te beveiligen. Dit helpt om risico’s door derden die samenhangen met e-mailverkeer te beperken.