Uw bedrijf beschermen met NIST CSF-naleving
Tegenwoordig is het uitwisselen van content essentieel voor het bedrijfsresultaat van elke organisatie. Samenwerking met klanten, partners, adviseurs en andere stakeholders is cruciaal geworden voor zakelijk succes. Telkens wanneer content extern wordt gedeeld, neemt echter het risico op blootstelling toe. Het beheren van dat risico wordt nog lastiger als de content gevoelig is (wat vaak het geval is). Naast het risico op blootstelling is het aantonen van naleving van regelgeving, telkens wanneer gevoelige content wordt gedeeld en dus buiten uw controle valt, lastig te bewijzen.
Bij Kiteworks begrijpen we dat er een fundamenteel zakelijk probleem bestaat als het gaat om gevoelige content. Daarom ben ik enthousiast om te delen hoe wij binnen Kiteworks een aanpak hanteren om dit zakelijke pijnpunt op te lossen binnen ons Private Content Network.
Het NIST Cybersecurity Framework en Kiteworks
De afgelopen tien jaar heeft het National Institute of Standards and Technology (NIST) een essentiële rol gespeeld bij het identificeren en ontwikkelen van een cybersecurity framework voor vrijwillig gebruik ter ondersteuning van het algehele risicobeheer cyberbeveiliging voor elke organisatie in de Verenigde Staten. Het doel van dit framework is om bedrijven een essentiële ondersteunende structuur te bieden waarmee zij hun huidige structuur kunnen uitbreiden naar iets dat effectiever is in het beschermen tegen een cyberaanval.
Voor Kiteworks-klanten passen wij dit framework toe met betrekking tot het beschermen van gevoelige content, zodat de juiste businessgroep die verantwoordelijk is voor het beheer van risicobeheer cyberbeveiliging volledige controle heeft. De toepassing van het NIST Cybersecurity Framework (NIST CSF) binnen het Kiteworks Private Content Network vult bestaande mogelijkheden aan en zal beschikbaar worden gesteld aan alle Enterprise Package-klanten.
De kernprincipes van NIST CSF zijn: Identificeren, Beschermen, Detecteren, Reageren en Herstellen. Om cyberbeveiligingsrisico’s adequaat te beheren, is het belangrijk dat assets die beheerd moeten worden GEÏDENTIFICEERD worden, zodat passende maatregelen kunnen worden genomen om deze assets te BESCHERMEN. Zodra assets zijn geïdentificeerd en beschermd, kunnen organisaties alle activiteiten rondom deze assets DETECTEREN. Dit maakt op zijn beurt tijdige REACTIE en HERSTEL mogelijk in het geval van een cyberaanval.
Uiteindelijk is risicobeheer een continu proces van het identificeren, beoordelen en reageren op risico’s tegen de kans dat een gebeurtenis zich voordoet. Kiteworks ondersteunt onze klanten bij het identificeren en beschermen van hun meest gevoelige content via asset management, waarmee we onze klanten een uniek hulpmiddel bieden.
Kernprincipes van het NIST Cybersecurity Framework afgestemd op Kiteworks
Hieronder volgt een overzicht van de kernprincipes van NIST CSF en hoe de mogelijkheden van Kiteworks hierop aansluiten.
Identificatie van gevoelige content voor cyberbescherming
Kiteworks hanteert een flexibele aanpak die helpt bij het identificeren van welke content als asset moet worden aangemerkt. Klanten van Kiteworks die al hebben geïnvesteerd in data-classificatie (MIP, Titus, enz.) behouden deze classificatiemethode, waardoor de classifier kan worden ingezet om die content als te beschermen asset te identificeren.
Ook als data-classificatie niet aanwezig is, kan Kiteworks content als asset identificeren op basis van andere kenmerken, zoals mapstructuur, content-eigenaar en bestandstype, onder andere. Bovendien, als de content niet specifiek bekend is, kunt u identificeren wie met gevoelige content werkt, zodat alle content die zij aanraken als asset wordt beschouwd.
Kiteworks begrijpt dat klanten zich in verschillende stadia bevinden als het gaat om asset-classificatie. Onze aanpak voor asset-classificatie is erop gericht om aan klantvereisten te voldoen, ongeacht hun huidige gebruik van data-classificatie.
Kiteworks beschikt over een lange lijst van behaalde compliance- en certificeringsprestaties.
Bescherming van gevoelige content met contentgebaseerde risicobeleid
Zodra assets die via Kiteworks bewegen zijn geïdentificeerd, is de volgende stap het specificeren en toepassen van contentgebaseerde risicobeleid om deze assets op de juiste manier te beschermen. In gesprekken met klanten begrijpen we dat elke assetklasse verschillende niveaus van risico met zich meebrengt, afhankelijk van wie toegang heeft tot de content; daarom zijn er diverse niveaus van contentcontrole nodig.
In 2023 ondersteunen we drie belangrijke contentgebaseerde risicobeleid die volledig kunnen worden aangepast aan de behoeften van de klant. Voor elk beleid kunnen de gebruiker, actie en asset verder worden gedefinieerd:
- Verzamelen van rechtvaardiging voor toegang
[BELEID] Sta iemand toe om actie te ondernemen op de asset zolang hun reden voor toegang wordt verzameld en vastgelegd in de asset audit log.
Huidige Kiteworks-klanten gebruiken dit beleid om de reden voor rechtvaardiging te verzamelen wanneer een asset uit Kiteworks wordt gehaald, wat wordt vastgelegd naast het download-evenement in de audit log. Voor compliance maakt deze uitgebreide audittrail een groot verschil wanneer het tijd is om bewijs te verzamelen en aan te tonen voor gerechtvaardigde toegang tot gevoelige content.
- Niveau van toegang aanpassen
[BELEID] Sta iemand toe om actie te ondernemen op de asset zolang hun toegangs-niveau voldoet aan de compliance vereiste, ongeacht eerder verleende toegangsrechten.
Kiteworks next-generation digital rights management wordt aangedreven door SafeVIEW en SafeEDIT. SafeVIEW stelt gebruikers in staat om documenten veilig te bekijken binnen een gecontroleerde omgeving, waarbij toegangsbeleid wordt afgedwongen op basis van gebruikers- en documentkenmerken. Het voorkomt ongeautoriseerd downloaden, afdrukken of delen van gevoelige informatie. SafeEDIT daarentegen stelt geautoriseerde gebruikers in staat om documenten samen te bewerken, terwijl dezelfde granulaire toegangscontrole behouden blijft. Het zorgt ervoor dat alleen gebruikers met de juiste kenmerken specifieke delen van een document kunnen aanpassen. Beide functies zijn afhankelijk van door de beheerder gedefinieerde beleidsregels die de toegang dynamisch regelen op basis van kenmerken, zodat gevoelige data gedurende de hele levenscyclus veilig blijft.
- Toegang blokkeren en toegang laten aanvragen
[BELEID] Sta iemand toe om actie te ondernemen op de asset zolang zij compliance-goedkeuring hebben ontvangen voor hun aangevraagde toegang.
Voor Kiteworks-klanten die meer gecontroleerd beheer willen over wie wel en niet toegang kan krijgen tot een asset op basis van behoefte, faciliteert dit beleid een kanaal waarmee toegang kan worden aangevraagd en later kan worden goedgekeurd of geweigerd door een compliance officer. Extra beleidsinstellingen helpen om goedgekeurde toegang te laten verlopen na een bepaalde periode of na een vastgesteld aantal weergaven.
Detecteren van beweging van gevoelige content via rapportage-inzichten
Terwijl we de NIST CSF-identificatie- en beschermingsmogelijkheden in het Kiteworks Private Content Network verder ontwikkelen, staat de manier waarop asset management compliance wordt weergegeven in een audit log centraal in ons ontwikkelproces. Deze audit log biedt volledige transparantie over de toewijzing van een assetklasse, waardoor volledige tracking en rapportage van gebeurtenissen rond een assetklasse mogelijk is. Bovendien wordt alle unieke informatie die als onderdeel van het contentbeleid wordt verzameld, weergegeven in de audittrail.
Dit biedt een niveau van transparantie over de beweging van gevoelige content dat voor de meeste bedrijven anders uiterst moeilijk te realiseren is.
Hoe organisaties ontwikkelingspartners kunnen worden
Als deze blog post aansluit bij de zakelijke uitdagingen van uw organisatie, kunt u input leveren aan ons productteam door ontwikkelingspartner te worden. Voordelen zijn onder andere vroege toegang tot feature-ontwikkeling en direct contact met ons product- en designteam. Neem contact op via victoria.foster@kiteworks.com.
Veelgestelde vragen
Naleving van regelgeving verwijst naar het voldoen aan wetten, regels, richtlijnen en specificaties die relevant zijn voor de bedrijfsprocessen van een organisatie. Naleving is cruciaal voor het behouden van de reputatie van het bedrijf, het vermijden van juridische sancties en het waarborgen van de veiligheid en beveiliging van de bedrijfsvoering.
Naleving van regelgeving beïnvloedt diverse sectoren op verschillende manieren, afhankelijk van de specifieke regelgeving die op elke sector van toepassing is. Zo moeten zorgorganisaties voldoen aan regelgeving zoals HIPAA die patiëntgegevens beschermt, terwijl financiële instellingen zich moeten houden aan regelgeving zoals de PCI DSS die financiële crises moet voorkomen. Defensie-aannemers moeten voldoen aan CMMC. Niet-naleving kan leiden tot zware sancties, waaronder boetes en reputatieschade.
Enkele veelvoorkomende uitdagingen zijn het bijhouden van veranderende regelgeving, het beheren en beveiligen van data, het trainen van medewerkers op compliance vereiste en het toewijzen van voldoende middelen voor compliance-activiteiten. Daarnaast kunnen wereldwijde organisaties te maken krijgen met de extra complexiteit van het voldoen aan regelgeving in meerdere rechtsbevoegdheden.
Organisaties kunnen hun naleving van regelgeving aantonen op diverse manieren, zoals het bijhouden van uitgebreide documentatie van hun compliance-activiteiten, het uitvoeren van regelmatige audits en het verstrekken van opleidingsregistraties. Daarnaast kunnen sommige regels vereisen dat organisaties regelmatig rapportages indienen of externe audits ondergaan om hun naleving aan te tonen.
Data-encryptie speelt een cruciale rol bij naleving van regelgeving, omdat het helpt om gevoelige data te beschermen tegen ongeautoriseerde toegang. Veel regelgeving vereist dat organisaties passende beveiligingsmaatregelen implementeren, waaronder encryptie, om data te beschermen. Door data te versleutelen, kunnen organisaties de vertrouwelijkheid en integriteit ervan waarborgen en zo helpen bij het behouden van compliance.