Zo laat je chatplatforms je documenten niet gijzelen

Nu telewerken de norm is, communiceren we met de collega’s massaal digitaal. In een businessomgeving zal je nog niet zo snel Telegram of Signal als samenwerkingstool tegenkomen. Daar zijn chatplatformen zoals Slack en Teams goed ingeburgerd. Maar je kan je afvragen of het delen van professionele data via die kanalen veilig is.

[vc_row][vc_column][vc_column_text]

Er zijn aan Slack en Teams veel voordelen verbonden. Ze zijn toegankelijk en gemakkelijk te installeren. Over de end-to-end-versleuteling hoef je je ook niet te veel zorgen te maken. In het slechtste geval zou je je nog kunnen afvragen wie de versleuteling in handen heeft. Meer zorgen kun je hebben over de privacy. Is het je opgevallen dat, Slack en Teams eenmaal geïnstalleerd, veel van de chatapps onmiddellijk contacten uit jouw vriendenkring voorstellen of met wie je professioneel gelinkt bent via bijvoorbeeld LinkedIn. Uiteraard zal dat ergens in de kleine lettertjes van de gebruiksvoorwaarden staan, maar eerlijk: wie leest die? We klikken snel op ‘akkoord’ en gaan ermee aan de slag.

Uh, WhatsApp doc?

“Het is beter om je te concentreren op de data en de datahygiëne binnen je bedrijf”

Het is aan te raden om bij het gebruik van deze apps toch eens stil te staan. Ze verbinden in deze moeilijke periode wel jouw medewerkers, maar wat met jouw (kritieke) data of concepten over een innovatief idee? Kunnen die zomaar gedeeld worden? En heb je op elk moment een overzicht wie wat deelt? Via welk toestel? Want in geval van verlies of diefstal, heeft de it-dienst geen vat meer op wat er in die chatprogramma’s gedeeld is. Bij een gestolen bedrijfslaptop of smartphone kan de it-dienst nog vanop afstand alles vergrendelen en de bedrijfsapplicaties en data wipen. In WhatsApp lukt hen dat niet.
Het gebruik compleet verbieden is niet haalbaar, tenzij je een goed alternatief kan aanbieden dat wel voldoet op vlak van gebruiksgemak, veiligheid en beheer. Het is daarom beter om je te concentreren op de data en de datahygiëne binnen je bedrijf. Data-governance met dataclassificatie geeft je opnieuw de touwtjes in handen. Een simpele dataclassificatie kan bijvoorbeeld slechts drie categorieën bevatten: bruikbaar, confidentieel, secret. Maar je kan dit ook uitbreiden door enkel bepaalde profielen toegang te geven tot een categorie of beperkt in tijd en ruimte. In theorie lijkt dataclassificatie eenvoudig, maar in de praktijk is het niet zo evident. Zeker nu we in terabytes rekenen in plaats van megabytes.
Toch is data-governance cruciaal. Het gaat verder dan classificatie. Het doet je ook stilstaan bij hoe je bedrijfsdata mag en kan delen. Het brengt het gehele dataproces in kaart en het zorgt ervoor dat je tevens kan monitoren en bij audits kan rapporteren. In een worstcasescenario is het track & trace-luik belangrijk voor de bewijslast bij een eventueel datalek. Heeft werknemer X effectief document Y kunnen doorsturen via een gratis tool of heb je er echt alles aangedaan om dit onmogelijk te maken? Voor AVG/GDPR-boetes kan dat een groot verschil uitmaken en daarbij kijken ze niet of je een klein bedrijfje bent of een grote multinational.
Je hoeft die tools uiteraard niet vanaf morgen links te laten liggen. Je moet ze gewoon anders gebruiken. Tijdens een project is bijvoorbeeld een gemeenschappelijke Teams-pagina op te zetten. Het liefst nog in de omgeving van de klant waardoor zijn data nooit extern gaan. Na de opdracht kan de klant jou de toegang ontzeggen of de pagina afsluiten. Alle (tijdelijke) links naar bijvoorbeeld een Sharepoint-map vervallen dan ook automatisch. Het chatplatform dient dus gewoon als transportmiddel terwijl de data in de bedrijfsomgeving blijven staan. Wij evolueren zelfs naar een zerotrustmodel waarbij de veiligheid van de it-omgeving (toestel, netwerk) van de werknemer bepalend is om hem effectief vanop afstand toegang te geven.
Dat vraagt dus om ingebakken afspraken. Ja, zelfs zwart op wit in het arbeidscontract, al dan niet met sancties. Het is continu de awareness aanwakkeren. Zodat medewerkers weten welke bedrijfsdocumenten ze via welk kanaal mogen delen en wat het risico is dat de onderneming loopt als ze iets delen buiten de geijkte bedrijfstools om.

Gegijzeld

Thuiswerken heeft de grens tussen thuis en werk vervaagd. Niet alleen qua tijdsindeling, maar ook wat de tools en toestellen betreft. Dat heeft impact op het bewustzijn over security. Als jouw policy niet rigide wordt opgevolgd en werknemers gebruiken om het even welk device en applicaties om bedrijfsdata door te sturen, dan wordt jouw aanvalsoppervlak exponentieel groter. Waarbij cybercriminelen telkens de zwakste schakel zoeken.
Vergelijk het met een bankoverval. Vroeger liepen de gangsters het bankkantoor roekeloos binnen. Vandaag zijn de banken en kluizen zo goed elektronisch beveiligd dat overvallers overschakelen op ‘tiger kidnapping’ waarbij ze het gezin van de directeur thuis gijzelen – waar de beveiliging zwakker is – en de directeur zo dwingen om zijn credentials en sleutels te geven.
Als ze gemakkelijk toegankelijk zijn via privé-toestellen of chattools, kan met jouw data en credentials net hetzelfde gebeuren. Zelfs zonder kidnapping.

[/vc_column_text][/vc_column][/vc_row]

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

Diese Website verwendet künstliche Intelligenz und maschinelles Lernen, um Spam zu reduzieren. Erfahren Sie, wie Ihre Kommentardaten verarbeitet werden.

Ähnliche Beiträge

Große Sicherheitslücke in der beliebten 3CX-Desktop-App entdeckt, ausführliche Erklärung und Zusammenfassung.

In diesem Blogbeitrag wird eine Sicherheitslücke besprochen, die in der beliebten 3CX-Desktop-App entdeckt wurde, einer Software, die von vielen großen Unternehmen weltweit verwendet wird. Der Blog-Beitrag beginnt damit, die offizielle 3CX-Desktop-App zu beschreiben und wie sie als Ersatz für herkömmliche Geschäftstelefonleitungen verwendet wird. Anschließend wird auf die Entdeckung unerwarteter bösartiger Aktivitäten eingegangen, die von der 3CX-Desktop-App durch Sicherheitsanalysten von CrowdStrike stammen. Die Reaktion des Unternehmens auf die Entdeckung wird kritisiert und auf den Mangel an Vorbereitung vieler großer Unternehmen auf Malware-Angriffe hingewiesen. Der Blogbeitrag geht weiter mit einer technischen Erläuterung, wie die Sicherheitslücke funktioniert, einschließlich der Präsenz von bösartigen DLL-Dateien und der Verschlüsselung von bösartigen Nutzlasten. Die Schwere der Sicherheitslücke wird betont, da sie Hunderte oder sogar Tausende von Unternehmen betreffen kann, die die 3CX-Desktop-App verwenden.

Weiterlesen

Autodiefstal met USB-kabels

In deze blog bespreken we de ontwikkelingen op het gebied van autodiefstal met USB-kabels. We leggen uit hoe autodieven met deze methode te werk gaan en hoe fabrikanten proberen dit probleem aan te pakken. We bespreken enkele mogelijke oplossingen, waaronder software-updates en fysieke beveiligingsmaatregelen, om deze vorm van autodiefstal te voorkomen.

Weiterlesen

Hackers nemen Iraanse televisie over

Hackers hebben onlangs Iraanse live televisie overgenomen en kijkers aangespoord om geld van hun bankrekeningen op te nemen om de valuta van het land te ontwrichten. De hackers roepen op tot opstand tegen de regering.

Weiterlesen
Sie sind auf dem neuesten Stand, das war die letzte Nachricht.
  • Schlagwörter

  • Kategorien

  • Archive

  • Skip to content