Vilka datasäkerhetskontroller saknar du?

Medgrundare och VD för DoControlen SaaS-säkerhetsplattform.

Under 2023 rapporterades mer än 2 800 dataintrång. Av dessa komprometterades mer än 8 miljarder poster. Även om organisationer har proaktiva säkerhetsåtgärder på plats, saknar många kritiska kontroller, vilket gör att företagsdata är mottagliga för intrång.

Säkerhetsteam är alltför fokuserade på att skydda utsidan av sin teknologigård och inte tillräckligt på att föra kontroller närmare den faktiska data som deras organisation behöver skydda. Förbikopplade kontroller är nästan värre än inga kontroller alls.

Ur en angripares perspektiv är data det bästa målet eftersom de kan utnyttja det för lösen. Som ett resultat måste data skyddas under hela dess livscykel (när den skapas, nås, delas, redigeras, etc.). Detta innebär en betydande utmaning för företag när de skalar och producerar mer data, vilket kräver att automatisering byggs in i verktygen som försöker skydda data.

Placera automatiserade kontroller närmare data

Att hantera dataåtkomst i Software as a Service-applikationer (SaaS) är besvärligt med nuvarande verktyg och tekniker, så organisationer har två alternativ: göra en symbolisk ansträngning eller, i vissa fall, helt inaktivera samarbetet i deras kärnsystem.SaaS-datautbyte. plattform (vanligtvis Microsoft 365 eller Google Workspace).

Riskerna med de förstnämnda är uppenbara, eftersom cyberbrottslingar blir allt mer sofistikerade i sina attackmetoder. Även om det verkar mindre riskabelt att avbryta SaaS-samarbete för företag, är verkligheten att de flesta organisationer kommer att sluta med en andra universell SaaS-lösning för externt samarbete. Detta ändrar helt enkelt problemet och fördubblar kostnaderna för säkerhetsteam.

Verkligheten är att säkerhetsteam ofta är underbemannade och överväldigade. De kan omöjligen känna till intrikata detaljer om varje område av en organisations verksamhet. Därför kan de inte skriva effektiva policyer för förhindrande av dataförlust (DLP). Policyer är antingen för breda för att ge meningsfullt skydd eller för restriktiva för att hindra användarnas produktivitet och strypa samarbetet.

Genom att föra automatiserade säkerhetskontroller närmare data och dess ägare kan säkerhetsteam samarbeta med sina organisationers affärsenheter för att bättre identifiera och skydda viktig data utan att störa affärsprocesser eller sakta ner innovationstakten.

Datacentrerade och identitetscentrerade kontroller

Säkerhetskontroller bör fokusera på både data och identitet. För att framgångsrikt skydda IT-tillgångar behöver vi veta vad vi skyddar (data) och vem som ska ha tillgång till dem (identitet). För att ta itu med detta förlitar sig IT-säkerhetsledare ofta på “noll förtroende med minst privilegierad åtkomst.” Att implementera detta tillvägagångssätt är dock mycket lättare sagt än gjort.

IT-ledare möter många hinder under denna process, den största är den ständiga förändringen i takt. Även om en organisation perfekt implementerar sin nollförtroendemodell, vilket sällan händer, kommer verksamheten alltid att förändras. Eller så slutar en anställd, en annan flyttar till en annan affärsenhet, en ny leverantör kommer ombord, en konsult anställs eller en potentiell köpare anländer. Denna konstanta förändringstakt innebär att automatisering är avgörande för att upprätthålla en organisations nollförtroendemodell.

Datamärkning och klassificering

Märkning och klassificering av data är ett annat viktigt steg när det gäller datasäkerhet och efterlevnad. Det handlar om att tagga specifika tillgångar så att de är lättillgängliga för användare och ägare. Problemet med att märka eller klassificera data är dock föränderlighet.

Data ändras alltid när användare kommer åt dem, program uppdaterar dem och åtkomstbehörigheter ändras i abstraktionsskiktet. Att få etiketter eller klassificeringar korrekta är nästan omöjligt om inte själva data och dess åtkomstlista är oföränderliga. Detta är förmodligen inte fallet om inte en organisation använder ett dataarkiveringssystem eller datasjö.

En av huvudskälen till att märka eller klassificera data är att påskynda DLP-processen så att väntan på DLP inte orsakar en minskning av produktiviteten eller skapar en dålig användarupplevelse. Detta antar dock felaktigt att DLP är det enda sättet att skydda data. DLP är bara ett sammanhang bland många som kan och bör användas för att fastställa risken för överexponering av data.

Mänskligt beteende styr

Det är nödvändigt att överväga flera sammanhang när man observerar mänskliga handlingar och upprättar kontroller baserade på beteenden.

Till exempel, om en försäljningschef laddar ner konfidentiella rapporter från ett CRM, är detta ett potentiellt insiderhot eller gör han bara sitt jobb? När rapporten laddas ner från CRM kan säkerhetsteam fråga HRIS-plattformen för att samla in ytterligare sammanhang om medarbetaren. Om försäljningschefen nyligen lämnade in ett avskedsbrev är sannolikheten för ett insiderhot mycket högre och det är uppenbart att åtgärder måste vidtas.

Om organisationer endast betraktar datainnehåll som den primära faktorn när de implementerar mänskliga beteendekontroller, saknar de sannolikt ett viktigt sammanhang som kan skilja signalen från bruset när de identifierar verkliga hot.

Bästa metoder för omfattande dataskydd

Vilka bästa praxis bör organisationer tillämpa för att säkerställa adekvat dataskydd?

För det första bör företagsledare använda automatisering så mycket som möjligt för att ta itu med omfattningen och omfattningen av att skydda sina data över flera plattformar med olika typer av åtkomstmetoder (webbläsare, mobilappar, API:er, etc.). Det är omöjligt för säkerhetsteam att hantera antalet händelser och loggar som skapas på egen hand och separera signalen från bruset utan robusta automatiseringsverktyg.

För det andra bör säkerhetsteam samarbeta med användare för att skydda organisationens data. Till exempel är e-postsäkerhet ett delat ansvar mellan säkerhetsteamet och organisationens användarpopulation. Likaså måste datasäkerhet bli ett delat ansvar. Det innebär att utbilda användarna om vad som är acceptabelt och vad som inte är det, implementera säkerhetsbarriärer för att förhindra större dataintrång och använda automatisering med interaktiv kommunikation för att identifiera döda vinklar.

Slutligen bör organisationer överväga flera uppsättningar av sammanhang när det gäller dataskydd. DLP ensamt löser inte problemet, även om det görs på en fördröjd basis med hjälp av märknings- eller klassificeringsverktyg. Att analysera identitet, slutpunktstelemetri, användarstatus med mera kan ge tydliga riktlinjer för hur stor risk en åtgärd har skapat och om man ska agera därefter.


Forbes Technology Council är en inbjudningsgemenskap för CIO:er, CTO:er och teknikchefer i världsklass. Kvalificerar jag mig?


Leave a Reply

Your email address will not be published. Required fields are marked *