Ik hoef je niet te vertellen over de Apple iCloud-hack die eind vorig jaar is gebeurd, natuurlijk - er is al genoeg over gezegd sinds het plaatsvond. Ik wil u echter wel vertellen wat uw organisatie moet afnemen van dit beruchte incident: het is van cruciaal belang om na te denken over de beveiliging van uw informatie op bestandsniveau in plaats van op apparaatniveau.

Gegevensgerichte beveiliging is van cruciaal belang, vooral in het bedrijfsleven en met name voor bestanden, of het nu gaat om selfies of strategische PowerPoints. Met de niet-aflatende groei van Dropbox en iCloud zijn de muren rondom de typische organisatie verdwenen. De enige oplossing is om nieuwe muren rond de data zelf te bouwen.

Geen controle

Informatiebeveiligingsgroepen zoals het Jericho Forum hebben lang gewerkt om organisaties te helpen begrijpen dat hun firewalls hun gegevens niet langer op een zinvolle manier beschermden. Omdat de iCloud-aanvallen overduidelijk zijn, gaan bestanden nu op zowel geautomatiseerde als handmatige manier over tussen clouds en apparaten. De meeste daarvan betreffen precies nul knelpunten voor IT om die gegevensstroom te controleren.

In de iCloud-aanval van vorig jaar bijvoorbeeld, is de heersende theorie dat de iCloud-accounts van beroemdheden gecompromitteerd zijn via ingewikkelde social engineering en dat de back-ups van hun persoonlijke foto's niet naar hun eigen apparaten zijn gesynchroniseerd, maar naar apparaten van de aanvallers.

Dit type compromis is buitengewoon moeilijk te verdedigen. Een IT-organisatie die de beveiliging van de bestanden in overweging neemt waar bijna al haar gebruikers mee werken, zal weinig goede opties vinden. Het gebruik van software voor het beheer van mobiele apparaten om iCloud uit te schakelen kan een optie zijn, maar dat zal gebruikers (die toch vooral geïnteresseerd zijn in het uitvoeren van hun werk) in de armen van gratis of freemium-bestandssynchronisatie en -sservices brengen.

Onwetende gelukzaligheid

De simpele waarheid is dat veel bedrijven last hebben van een vals gevoel van veiligheid als het gaat om populaire boxopslagdiensten. Op dit moment gebruiken medewerkers deze services om toegang te krijgen tot gevoelige bedrijfsgegevens zonder zich echt bewust te zijn van de kwetsbaarheden die inherent zijn aan deze freemium-services. De inhoud die erin is opgeslagen, is alleen zo veilig als de mensen die er toegang toe hebben, met toegangscontroles die verdwijnen op het moment dat een gebruiker bestanden synchroniseert met een niet-beheerd apparaat of een bestand opent in een app van derden. Bovendien creëren deze diensten veel verwarring over wie wat bezit, vooral wanneer een werknemer vertrekt.

Bestandssynchronisatie- en deeltechnologieën zijn aanzienlijk geëvolueerd sinds bedrijven massaal zijn begonnen met het gebruik ervan. Het belangrijkste kenmerk om ervoor te zorgen is dat ze veilig kunnen worden gebruikt door organisaties met gevoelige gegevens om te beschermen. Het versleuteld houden van bestanden totdat een geautoriseerde gebruiker zich authenticeert om ermee te werken, waardoor organisaties functies zoals het delen en afdrukken kunnen besturen, evenals het opstellen van een audittrail van acties die met de bestanden op een geauthenticeerd apparaat worden ondernomen, zijn cruciale overwegingen.

Bovendien stellen deze technologieën (ook bekend als Information Rights Management of IRM) organisaties in staat de toegang tot gevoelige bestanden te herroepen wanneer ze maar willen, waardoor aanvallers, voormalige werknemers of ontevreden insiders in het bezit blijven van een veelheid aan gecodeerde gegevens en niet de bedrijfskroon juwelen, ongeacht waar het bestand is gekopieerd, gesynchroniseerd of verzonden.

Beveiliging en bruikbaarheid

Cruciaal is echter dat IRM geen belemmering kan zijn voor gebruikers als dit allemaal werkt zoals ontworpen - er zijn simpelweg te veel oplossingen in elke app store. IRM moet werken op alle apparaten (en op het internet) en de technologieën die het gebruiken, moeten voldoen aan de dubbele uitdaging om bestanden zowel veilig als bruikbaar te maken overal waar ze nodig zijn in de loop van een zakelijke workflow.

Dat betekent dat het volgende mogelijk moet zijn:

  • Werk mogelijk maken waar u ook bent en met wie u ook werkt
  • Een willekeurig apparaat gebruiken dat geschikt of beschikbaar is om te lezen of een document annoteert
  • Delen van onderhanden werk met een paar, en publiceren van gezaghebbende inhoud aan de velen
  • Bescherming van intellectueel eigendom en gevoelige informatie (in rust of onderweg) op locatie, in de cloud of op een apparaat
  • Bevredigend de verschillende behoeften van de toevallige gebruiker en de machtsgebruiker
  • Net zo nuttig zijn op een mobiel apparaat als op een traditionele computer
  • Werken met line-of-business- en samenwerkingssystemen die het bedrijf al bezit, evenals de systemen waarvan wordt verwacht dat ze deze krijgen

Efficiëntie van bedrijven, naleving van wet- en regelgeving, informatiebeveiliging en productiviteit van medewerkers worden allemaal beïnvloed door de manier waarop medewerkers documenten maken, bewerken, verwerken en delen, dus de selectie van zakelijke bestandssynchronisatie en delen van producten zit heel erg op het kritieke pad van IT-gerelateerde zakelijke investeringen.

Laten we eerlijk zijn: een van de belangrijkste uitdagingen voor CIO's en IT-managers van vandaag is BYOD beheren en hoe ze de controle over bedrijfsinhoud proberen terug te winnen zonder de productiviteit te beïnvloeden en massale gebruikersontgoocheling te creëren..

De basis

Gezien hoe digitaal geavanceerd we zijn geworden, zijn we nog steeds opmerkelijk naïef over elementaire internetbeveiliging. De meest gebruikelijke technieken die door hackers worden gebruikt, zijn al jaren hetzelfde: social engineering, phishing-aanvallen, RAT's (Remote Access Tools) en wachtwoordherstel en reset-prompts. Hoewel dit geen al te geavanceerde methoden zijn, worden gebruikers keer op keer het slachtoffer.

Ondernemingen moeten veilige mobiele en onlinepraktijken een prioriteit maken. Ze moeten ook rekening houden met een meer op bestanden gerichte beveiligingsaanpak - vooral als inhoud toegankelijk wordt gemaakt voor medewerkers van persoonlijke mobiele apparaten of gedeeld met externe zakenpartners.

Phishing-aanvallen kunnen geavanceerder zijn - slecht geschreven e-mails van buitenlandse prinsen die hun fortuin weggeven, worden steeds zeldzamer - maar deze pogingen zijn nog steeds vrij voor de hand liggend als u weet waar u op moet letten. Daarom moet frequente beveiligingstraining ook een vereiste zijn om ervoor te zorgen dat werknemers weten hoe ze deze taken moeten identificeren en vermijden.

Hoewel de meeste bedrijven niet bang zijn dat hun eigen privacy als voer voor de publieke consumptie zal fungeren op de manier waarop de selfies van beroemdheden dat deden, moet de iCloud-affaire nog steeds dienen als een waarschuwend verhaal over op consumenten gebaseerde cloudservices die elke zakelijke werknemer en werkgever zouden moeten overwegen.

  • Ryan Kalember is Chief Product Officer bij WatchDox