Hoewel de overstap naar de (publieke) cloud ruim voor de coronapandemie al op de it-agenda stond, nam de ‘versaasing’ van de zakelijke it-wereld het afgelopen anderhalf jaar pas echt een vlucht. Organisaties die géén gebruikmaken van saas-oplossingen zijn op een hand te tellen. Werknemers hebben hierdoor via meerdere devices toegang tot data. Het beveiligen van deze endpointdevices klinkt dan ook als een logische oplossing om datalekken te voorkomen, maar het goed beheren en beveiligen van de data zelf is minstens zo belangrijk, zo niet belangrijker.
Uit recent onderzoek van HP blijkt dat endpoint-security voor veel organisaties belangrijk is omdat een groeiend aantal werknemers hybride zal werken. Een valkuil bij het optimaliseren van endpoint-security is dat een vals gevoel van veiligheid wordt gecreëerd. Zo blijkt namelijk dat drie op de vijf Nederlandse respondenten zijn privételefoon of persoonlijke laptop gebruikt voor toegang tot werkapplicaties of netwerken. Met een steeds verdere versaasing van de it-omgeving leeft zakelijke data overal, en privé-devices vormen slechts één van de vele vertakkingen waarlangs data geleid worden. Daarmee verschuift de security-perimeter van het device naar de data en applicaties zelf.
De ransomware-aanvallen van de afgelopen maanden laten eens te meer zien hoe belangrijk het is om juist ook die data en bestanden goed te beveiligen. Ondanks goede security-maatregelen kunnen endpoints voor hackers een interessante manier zijn om (eenvoudig) toegang te krijgen tot zakelijke data. En eenmaal binnen kunnen ze hun gang gaan. Organisaties doen er dan ook goed aan hun it-omgeving zo in te richten dat ongewone gebruikersactiviteiten snel worden gedetecteerd. Kijk naar wat er met data gebeurt en signaleer op deze manier snel opvallende zaken. Het plotseling op grote schaal versleutelen van data vraagt bijvoorbeeld veel rekenkracht en zou direct aanleiding moeten zijn om alle data uit voorzorg te blokkeren.
Databeheer en -beveiliging
In de nieuwe wereld van hybride werken staan gebruikers ook bloot aan een grote hoeveelheid applicaties, en die genereren en verwerken grote hoeveelheden data. Door bijvoorbeeld het toenemende gebruik van synchronisatie- en samenwerkingstools als Microsoft OneDrive en Teams kan in korte tijd een wijdverbreide kopieslag van alle zakelijke data plaatsvinden. Daarom is het belangrijk om bij het gebruik van dergelijke applicaties te bepalen welke gebruikers waar toegang toe hebben, en welke data bijvoorbeeld niet gesynchroniseerd mogen worden naar endpoints.
Een belangrijke eerste stap om het beheer en de beveiliging van data op orde te krijgen, is in kaart brengen wáár data zich bevinden. Vervolgens is het belangrijk inzichtelijk te maken wie binnen de organisatie toegang heeft tot welke data.
De populariteit van SaaS-oplossingen en het feit dat data en documenten met iedereen gedeeld kunnen worden, hebben de productiviteit op het werk een flinke impuls gegeven. Maar het kan zoals hierboven omschreven ook voor uitdagingen zorgen op het gebied van databeheer en –beveiliging.
Rol cio
De grote hoeveelheid beschikbare tooling als gevolg van onder meer de overgang naar hybride werken maakt een duidelijk databeleid noodzakelijk. De cio kan hierin een leidende rol pakken door de data-governance naar zich toe te trekken. En stel daarbij vragen als: hoe is oneigenlijk gebruik van data te detecteren? Worden alle data binnen de organisatie op de juiste manier geclassificeerd? En welke maatregelen zijn genomen om data te beveiligen?
Op deze manier levert de it-organisatie een cruciale bijdrage aan het voorkomen van datachaos, en wordt de kans op datalekken sterk verminderd. En wanneer naast een goede data governance ook de endpoint security op orde is, bevindt een organisatie zich in de ideale uitgangspositie om optimaal beschermd eventuele cyberaanvallen succesvol af te weren.
(Auteur Ruben van der Zwan is cto van Sentia.)
Ik onderschrijf het advies aangaande het beschermen van data alleen de leidende rol van de CIO aangaande data governance hierin zie ik niet zo zitten omdat – zie uitspraak Europese Hof – de business uiteindelijk verantwoordelijk blijft voor haar eigen data. Of beter gezegd haar eigen informatie want versleutelde data is ook data alleen heb je er geen ‘raid’ aan en wat betreft de CIA-triade in de data goverance is het dan ook vooral de business die moet gaan bewegen. Tenslotte is een oneigenlijk gebruik van de data erg lastig te bepalen als het informatiebeleid niet is afgestemd op het databeleid. Want naast geheimhouding is er ook integriteit want elke kopie wordt zijn eigen waarheid en er zijn datavernietigingen bekend die onrechtmatig waren want cybercriminaliteit komt niet alleen van buiten.
Wat betreft de classificering van data moeten we daarom zeker niet de metadata vergeten, de DIKW datasynthese betekent namelijk dat je data combineert tot informatie welke je verkregen kennis de nodige waarde geeft. Hackers weten op deze manier waar de aanval het meeste pijn doet en het succes het grootst, ze versleutelen niet alleen data maar ook de back-up. Wáár data zich bevinden is dus zeker een nuttig inzicht alleen heeft data naar de gebruiker, lees end-point, brengen als nadeel dat je als organisatie de controle erop kwijt raakt. Want end-point hoeft tenslotte niet een device van de organisatie te zijn en met de vele filesharing in de cloud niet eens een device van de gebruiker. Ik weet niet of Sentia ook beschermt tegen datalekken die veroorzaakt worden door de gebruiker maar ik begreep uit rapportage van AP dat hier nog altijd een grote uitdaging in het informatiebeleid ligt.
Detectie van ongewone gebruikersactiviteiten betekent als eerste dat je weet wat wel de gewone gebruikersactiviteiten want er zijn ook medewerkers die, omdat er geen goede logging is, gegevens aan de hoogste bieder verkopen. AIVD wijst al enige tijd op het risico van bedrijfsspionage maar de meeste organisaties leggen de adviezen naast zich neer omdat ze geen idee hebben van de waarde van de informatie die in de data zit. Want met een steeds verdere versaasing van de it-omgeving leeft de zakelijke data niet overal maar LIGT deze overal want het op de juiste manier verwijderen van data als de dienst beëindigd wordt doen maar erg weinig organisaties. Uiteraard geldt die verplichting ook als het arbeidscontract beëindigd wordt want je wilt niet dat de medewerker de bruidsschat van een klantenbestand meeneemt, de waardevermeerdering van kennis door 12 ambachten en 13 ongelukken is feitelijk gewoon een leerproces.