De behoefte om altijd en overal toegang tot data te hebben, is de afgelopen twee jaar sterk toegenomen. Kenniswerkers zijn tijdens de pandemie immers overgestapt op werken op afstand waarvoor zij op afstand toegang moeten hebben tot bedrijfsapplicaties en -gegevens. Dit heeft voor veel organisaties de overstap naar de cloud versneld.
Deze grote verandering in de manier waarop bedrijven zaken doen, betekent dat gegevens overal heengaan en beschikbaar zijn, met als gevolg dat deze gegevens ook overall beschermd moeten zijn.
Bedrijven die gebruikers toestaan om in te loggen op cloudservices om toegang te krijgen tot onbeschermde gegevens, worden niet langer geconfronteerd met de vraag óf hun gegevens worden gestolen, maar wanneer – en wanneer kan al gisteren zijn geweest.
Om de behoefte aan betere toegang tot gegevens te ondersteunen en tegelijkertijd te beschermen, waarbij het niet uitmaakt waar ze zich bevinden – op systemen voor werknemers op afstand, opgeslagen in de cloud of in cloudapplicaties van derden – moeten bedrijven moderne technologieën, zoals ‘format-preserving’ databescherming, inzetten.
Format-preserving databescherming zorgt ervoor dat gegevens in hun beschermde vorm overal beschikbaar worden gesteld, maar zonder de noodzaak de data steeds opnieuw te beschermen. De referentiële integriteit blijft behouden, waardoor analyses kunnen worden uitgevoerd terwijl de gegevens beschermd zijn.
Hier zijn vijf dataprotectie tips die het overwegen waard zijn in dit tijdperk van werken op afstand, alles-in-de-cloud en veelvuldige bedreigingen.
1. Ga ervan uit dat onbeschermde gegevens kwetsbaar zijn, overal en altijd
De opkomst van bring-your-own-device, SaaS- en andere diensten uit de cloud betekent dat bedrijven databeveiliging niet langer kunnen afbakenen. De opkomst van constante in- en externe bedreigingen, logenstraft het idee dat je mensen of zelfs software binnen je organisatie kunt vertrouwen. In plaats van gegevens “ingeschakeld” te houden en te proberen ze te beschermen waar en wanneer ze risico’s lopen, kan je er beter van uitgaan dat je gegevens overal en altijd kwetsbaar zijn en worden aangevallen. Gebruik daarom technologieën die tokens toekennen zoals format-preserving encryption (FPE). Deze houden gegevens “uitgeschakeld” zonder aanpassingen van gegevensarchieven, systemen of applicaties. Alleen voor specifieke gebruiksscenario’s waarbij feitelijke gegevens absoluut nodig zijn, komen tijdelijke – en misschien slechts gedeeltelijke – decodering of detokenisatie beschikbaar.
Een voorbeeld: een medewerker van de klantenservice heeft voor het verifiëren van de identiteit van een klant alleen toegang nodig tot de laatste vier cijfers van het burgerservicenummer. In dit geval zorgt het verlenen van gedeeltelijke toegang tot alleen die vier cijfers ervoor dat het volledige BSN niet openbaar wordt gemaakt. Naast het verbeteren van de beveiliging, kan dit het vertrouwen van klanten in de bescherming van hun persoonsgegevens doen toenemen.
2. Bescherm alles, niet alleen je kroonjuwelen
Proberen te identificeren waar je meest kostbare gegevens zijn opgeslagen, zodat je deze op die locaties kunt beveiligen en slechts een beperkt aantal interne mensen toegang geven, werkt niet.
Het bewaren van gegevens, bijvoorbeeld in on-premises of cloud datawarehouses of datalakes om ze vervolgens dynamisch te verbergen wanneer ze worden gebruikt door onbevoegde gebruikers, is ook niet de juiste manier. De gegevens zijn dan in de basis onbeschermd wanneer ze niet gebruikt worden en daarom kwetsbaar. Zet het model op zijn kop: bescherm de gegevens standaard en geef ze dynamisch bloot wanneer geprivilegieerde gebruikers om toegang vragen.
In plaats van te proberen muren rond je kroonjuwelen te bouwen, moet je zoveel mogelijk gegevens beschermen – meer dan alleen de paar duidelijk gevoelige. Naast de nutteloze poging om data af te bakenen en te controleren waar gegevens worden gebruikt, minimaliseert dit de dreiging van heridentificatie van gegevens door de analyse van bijbehorende, onbeschermde elementen.
3. Vermijd het opheffen van de bescherming van gegevens om ze te verplaatsen
Veel bedrijven proberen alleen te vertrouwen op de beveiligingsmogelijkheden die worden aangeboden door cloudserviceproviders. Maar als ze meerdere cloudserviceproviders gebruiken – elk met een aantal beveiligingsservices, maar alleen voor hun eigen omgevingen en zonder volledige dekking voor meerdere services – kunnen bedrijven niet garanderen dat hun gegevens worden beschermd, niet door de serviceproviders zelf, en ook niet als ze tussen cloudservices en applicaties bewegen. Een betere strategie is om ervoor te zorgen dat gegevens voortdurend veilig blijven terwijl ze zich verplaatsen. Applicatie- en platformspecifieke, omgevingsgebaseerde beveiliging kan dat doel niet bereiken.
Een wereldwijde, formaatbeschermende benadering van gegevensbescherming voorkomt de creatie van een ‘aanvalstijdsframe’ dat ontstaat door het deblokkeren en opnieuw beschermen van gegevens telkens wanneer ze de grens van een service, organisatie of leverancier overschrijden – een steeds vaker voorkomend scenario naarmate organisaties multi-cloudstrategieën toepassen en meer cloudservices gebruiken.
4. Behoud de mogelijkheid om gegevens in beschermde vorm te analyseren
Het verkrijgen van bescherming ten koste van bruikbaarheid van data is een slechte afweging voor elke technologie voor dataprotectie. Een infrastructuur voor gegevensbeveiliging moet selectief gebruik van onbeschermde gegevens mogelijk maken, zoals bijvoorbeeld voor gebruik door bedrijfsanalisten, datawetenschappers en anderen die het recht hebben om die gegevens in te zien. Daarnaast hebben bedrijven een soort van bescherming nodig waarbij het wel mogelijk is om analyses uit te voeren op de beschermde gegevens. Dit vereist dat informatie op een logische manier van tokens wordt voorzien, met behoud van de interne referenties van de gegevens. Terugkerend naar het voorbeeld van BSN’s – vaak gebruikt als primaire databasesleutels voor persoonlijke informatie en als refererende sleutels elders – databases moeten een consistente referentie hebben om specifieke persoonlijke records aan elkaar te koppelen voor rapportage en analyse.
5. Zorg ervoor dat de bescherming van uw provider gevalideerd is door een onafhankelijke partij
Vertrouw niet blindelings op beweringen van leveranciers die claimen dat hun proces voor tokens, codering of het verbergen van gegevens veilig is. Een aanvaller met toegang tot veel cijfertekst kan een bedreiging vormen voor die gegevens als de geboden bescherming zwak is. Op standaarden gebaseerde beschermingstechnologieën bieden de zekerheid dat de technologie solide is door middel van rigoureuze cryptanalyse, dus de gegevensbescherming van je leveranciers moet waar mogelijk op standaarden zijn gebaseerd. Wanneer er geen normen bestaan, is onafhankelijke deskundige beoordeling een minimumkwalificatie. Het negeren van deze eisen is vragen om problemen.
Wees goed voorbereid
Het nieuw leven inblazen van je benadering van gegevensbeveiliging zou deel moeten uitmaken van een transitie naar een concept van cyberweerbaarheid – niet alleen werken aan het beveiligen van data en systemen, maar ook aan processen, technologie en mechanismen voor wanneer die beveiligingsmaatregel faalt.
We weten allemaal dat gegevens voortdurend in beweging zijn in hybride IT, worden gedeeld met derde partijen en internationaal verstuurd worden. Je bedrijf moet gevoelige gegevens goed beschermen, waar ze zich ook bevinden, het moet aantoonbaar de eisen aan privacy en beveiliging ondersteunen en tegelijkertijd de bruikbaarheid van gegevens garanderen. Het is een uitdaging die aangegaan moet worden – format-preserving gegevensbescherming kan daarbij helpen.
———————
Lees in deze cloud data security whitepaper meer over het CSP-aanbod in cloud crypto en key management en de aanbevelingen voor de (strategische) selectie van cloud crypto-services.
15 uur geleden
