Het wordt steeds moeilijker om een goed beveiligde ‘grens’ in te stellen voor uw bedrijfsinformatie. De snelle opkomst van de cloud, thuiswerken en hybride werken heeft ervoor gezorgd dat samenwerken met een team, met partners en met klanten – waar deze zich ook bevinden – makkelijker en sneller is geworden. Maar deze vrijheid betekent ook dat er veel meer informatie wordt uitgewisseld met mensen, apparaten, applicaties en netwerken waar de organisatie weinig of helemaal geen controle over heeft. Dit vormt niet alleen een risico voor de kostbare bedrijfsinformatie van uw organisatie, het wordt daarmee ook veel lastiger om te voldoen aan alle regelgeving. Wanneer informatie vooral wordt gebruikt buiten de beveiligde bedrijfsomgeving, wordt het moeilijk om locatie-gebaseerde toegang in te stellen of om versleuteling af te dwingen van gevoelige gegevens die vallen onder regelgeving.
Om ervoor te zorgen dat gegevens optimaal beschermd zijn en om tegelijkertijd de productiviteit op peil te houden, zouden organisaties moeten kijken naar een geïntegreerde cybersecurity-aanpak die geleverd wordt via de cloud. Security Service Edge (SSE) wordt gezien als het beste framework hiervoor. Een belangrijk onderdeel van een SSE-aanpak is het versleutelen van gegevens die op de een of andere manier buiten de bedrijfsomgeving komen. Enterprise Digital Rights Management (EDRM) zorgt daarvoor, ongeacht waar die gegevens naartoe gaan of met wie ze worden gedeeld.
Wat is EDRM?
Hoewel EDRM misschien een nieuw begrip is, kennen de meesten van ons inmiddels wel het begrip ‘DRM’ (Digital Rights Management). Deze beveiligingstechniek wordt vaak toegepast door uitgevers van films, muziek, games of andere software, om ervoor te zorgen dat deze content alleen toegankelijk is voor diegenen die daarvoor betaald hebben.
EDRM doet iets vergelijkbaars, maar dan om gevoelige bedrijfsgegevens te beschermen wanneer deze buiten de bedrijfsomgeving terechtkomen. Dit gebeurt door de gegevens in real-time te versleutelen terwijl ze worden uitgewisseld tussen gebruikers, apparaten en apps. Als onderdeel van een breder, geïntegreerd SSE-platform werkt EDRM dynamisch, waarbij contextuele informatie over gebruikers, apparaten, apps en gegevens wordt gebruikt om beslissingen te nemen op basis van het beleid van de organisatie voor gegevensbescherming.
Binnen een breder SSE-platform is EDRM slechts één van verschillende mogelijkheden om bedrijfsgegevens te beschermen. In de meeste gevallen is een DLP-oplossing (Data Loss Prevention) de eerste stap om gegevens in alle apps te identificeren en de categoriseren. Op basis van bijvoorbeeld User and Entity Behavior Analytics (UEBA) kan vervolgens worden bepaald welke acties er ondernomen moeten worden op gegevens in een bepaalde situatie. Er kunnen bijvoorbeeld lichte maatregelen voor gegevensbescherming worden toegepast op content, zoals het automatisch maskeren van bepaalde trefwoorden of documenten automatisch voorzien van watermerken.
EDRM komt in actie wanneer er strengere maatregelen nodig zijn. Daarbij worden alle gegevens versleuteld met behulp een aparte, unieke encryptiesleutel per bestand. Platformonafhankelijke controles zorgen er vervolgens voor dat alleen die apps en services die bedoeld zijn om de betreffende gegevens te gebruiken, de inhoud kunnen ontsleutelen. Doordat de versleuteling is gekoppeld aan de metadata van deze gegevens, vindt er telkens wanneer een gebruiker de informatie probeert te openen een autorisatiecheck plaats. Dit betekent dat organisaties altijd inzicht hebben in wie toegang heeft tot deze gegevens, dat ze tijdslimieten kunnen instellen die bepalen wanneer en hoe lang iemand toegang heeft of welke apparaten toegang hebben.
Waarom heb je EDRM nodig?
Het afdwingen van beleid voor gegevenstoegang wordt steeds complexer, omdat gegevens inmiddels verspreid zijn over talloze cloud- en privé-apps. Tegelijkertijd gebruiken gebruikers steeds vaker privé apparaten (BYOD) en thuisnetwerken die de security aan de rand van het bedrijfsnetwerk omzeilen. EDRM zorgt ervoor dat alles gegevens dynamisch worden beveiligd, zelfs ze zich verplaatsen buiten de organisatie.
Er zijn drie redenen waarom EDRM van cruciaal belang is:
- Voorkomen van datalekken
Eind 2020 raakte farmaceutisch bedrijf Pfizer 12.000 gevoelige documenten kwijt door iemand binnen de eigen organisatie. Hoewel het bedrijf deze datadiefstal ontdekte, konden ze het niet meer tegenhouden. Of het nu gaat om het opzettelijk downloaden of per ongeluk delen van gevoelige informatie, de versleutelingschecks van EDRM zorgen ervoor dat onbevoegde gebruikers geen toegang hebben tot waardevolle gegevens.
- Naleving van compliancy
Veel organisaties versleutelen de interne harde schijven of SSD’s van hun beheerde laptops. EDRM versleutelt echter de data zelf, waardoor deze altijd beschermd is, waar het zich ook bevindt. Daarnaast legt AVG (Algemene Verordening Gegevensbescherming) beperkingen op bij het exporteren van gegevens buiten de EU. Met continue controles van gebruikers, inclusief hun geografische locatie, is het met EDRM mogelijk om een policy in te stellen die voorkomt dat gebruikers buiten de EU gegevens kunnen ontsleutelen.
- Risico’s van derden verminderen
Grote organisaties vertrouwen voor diensten vaak op externe leveranciers, aannemers en partners. Maar het is mogelijk dat die derde partijen niet dezelfde securitynormen hanteren. EDRM zorgt ervoor dat alleen geautoriseerde gebruikers die voldoen aan specifieke voorwaarden gevoelige informatie kunnen ontsleutelen, of het nu gaat om financiële gegevens en klantgegevens of om intellectueel eigendom.
EDRM als onderdeel van geïntegreerd platform
Hoewel EDRM apart ingezet kan worden, is voor nauwkeurige gegevensbescherming meer nodig. Bijvoorbeeld informatie afkomstig van andere securityoplossingen, zoals DLP, UEBA en endpoint security. Het beste komt EDRM tot zijn recht als onderdeel van een geïntegreerd SSE-platform met een Cloud Access Security Broker (CASB), Zero Trust Network Access (ZTNA) en een Secure Web Gateway (SWG). Gezamenlijk maken deze oplossingen het mogelijk om de encryptie van EDRM toe te passen op cloud-apps, privé-apps, e-mail en ander internetverkeer.
Door Paul Visch, Regional Manager Benelux, Lookout