Wat zijn schaduwgegevens en hoe kun je de schade beperken?
U kunt er niet op vertrouwen dat de gegevens van uw organisatie verborgen blijven voor nieuwsgierige ogen, zelfs niet na het implementeren van de nieuwste oplossingen voor gegevensbeveiliging. Bedreigers kunnen zich richten op schaduwgegevens in uw bedrijf om een datalek te veroorzaken, waardoor de reputatie en financiën van uw bedrijf in gevaar komen.
Schaduwgegevens verwijst naar informatie die buiten de formele gegevensbeheersystemen van een organisatie bestaat, maar nog steeds kan worden gebruikt of waarop kan worden vertrouwd voor besluitvormingsdoeleinden. Schaduwgegevens zijn vaak afkomstig van verschillende bronnen, zoals apparaten van werknemers, applicaties van derden en cloudservices. Om de risico’s van schaduwdata te beperken, moeten organisaties een uitgebreide strategie voor data governance implementeren die beleidsregels en procedures omvat voor het beheren van gevoelige informatie, het monitoren van gebruikspatronen en het waarborgen van de naleving van relevante regelgeving. Daarnaast kan het trainen van medewerkers in best practices voor het omgaan met gegevensbeveiliging helpen om de kans op onbedoelde blootstelling of opzettelijk misbruik van schaduwgegevens te verkleinen.
Wat zijn schaduwgegevens?
Schaduwdata, ook wel ‘dataschaduw’ genoemd, omvat informatie die verborgen blijft voor de overkoepelende structuur voor datagovernance van een individu of organisatie.
Organisaties maken gebruik van een reeks gegevensbeveiligingsmaatregelen om gevoelige informatie te identificeren, categoriseren en beveiligen. Schaduwgegevens - die buiten het bereik van traditionele monitoring- en loggingsystemen vallen - vormen echter aanzienlijke uitdagingen op het gebied van compliance en beveiliging omdat ze niet worden gemonitord.
Voorbeelden van schaduwgegevens zijn:
Het gebruik van authentieke klantinformatie in ontwikkelingscontexten is een gangbare praktijk, hoewel het inherente gevaren met zich meebrengt vanwege de kans op inbreuken en onbedoeld gebruik.
Een bedrijf kan verouderde software bezitten die het niet meer gebruikt, die cruciale informatie kan bevatten en onderhevig kan zijn aan potentiële veiligheidslekken door gebrek aan onderhoud.
Het genereren van applicatielogs kan resulteren in het aanmaken van records die vertrouwelijke gegevens bevatten, wat mogelijk kan leiden tot compromittering als het niet actief wordt gecontroleerd en beheerd.
Het is niet ongewoon dat bedrijven verschillende verantwoordelijkheden delegeren aan externe serviceproviders, maar dit kan bepaalde gevaren met zich meebrengen als dergelijke entiteiten niet beschikken over robuuste beveiligingsprotocollen.
Laten we een discussie aangaan over de verschillen tussen schaduwgegevens en schaduw-IT.
Hoe verschilt schaduwdata van schaduw-IT?
Schaduw-IT, dat niet-goedgekeurde hardware en software omvat die door organisaties wordt gebruikt, kan zich in verschillende vormen manifesteren, zoals werknemers die verboden communicatietoepassingen gebruiken of projectteams die externe software gebruiken buiten het bereik van het bewustzijn van de afdeling Informatietechnologie (IT).
Hoewel schaduwdata verwijst naar informatie die verborgen blijft voor de gegevensbeveiligingsmaatregelen en operationele protocollen van de organisatie, omvat het alle vormen van gevoelig materiaal die buiten het bereik vallen van dergelijke beveiligingen en beleidsregels.
Aangezien de IT-afdeling van je organisatie zich niet bewust is van het bestaan van Shadow IT, kunnen alle gegevens die worden verwerkt met behulp van niet-goedgekeurde hardware- en softwarebronnen onopgemerkt blijven door de cyberbeveiligingsmaatregelen van je instelling. Dientengevolge zal alle gevoelige informatie die wordt verzonden of opgeslagen binnen dit illegale domein bestaan als “schaduwgegevens”, buiten het bereik van conventionele strategieën voor gegevensbescherming.
Inderdaad, alle werkgerelateerde informatie die werknemers opslaan op hun persoonlijke cloudplatforms vormen schaduwgegevens binnen een bedrijfscontext.
Hoewel zowel schaduw-IT als schaduwgegevens verschillende gevaren inhouden, verschillen hun respectieve gevaren in karakter. Het gebruik van schaduw-IT kan resulteren in ongeadresseerde zwakke plekken in de beveiliging van de netwerkinfrastructuur van een organisatie en in het niet naleven van vastgesteld beleid en regelgeving. Aan de andere kant vormt de omgang met schaduwgegevens een verhoogd risico op ongeautoriseerde toegang tot vertrouwelijke dossiers en gevoelige informatie.
Schaduw-IT en schaduwgegevens vormen samen een potentiële bedreiging voor de beveiliging, omdat ze respectievelijk het middel en het doel vormen.
Hoe verschilt schaduwdata van dark data?
Zoals Dark Data verwijst naar informatie die wordt verzameld door een organisatie in de loop van haar reguliere activiteiten, maar ongebruikt blijft voor een extra doel. Vaak worden dit soort gegevens bewaard om te voldoen aan compliance-eisen en kunnen ze op verschillende afdelingen binnen het bedrijf staan. Als deze gegevens niet goed worden beheerd, kunnen ze een bedreiging vormen voor de cyberveiligheid van het bedrijf.
Donkere gegevens omvatten een verscheidenheid aan ongebruikte informatiebronnen, zoals historische personeelsdossiers, verouderd presentatiemateriaal, verouderde onderzoeken naar feedback van klanten en gearchiveerde e-mails.
Donkere data verwijst naar informatie die wordt gegenereerd door de eigen IT-infrastructuur van een bedrijf tijdens de normale bedrijfsactiviteiten, maar die niet wordt gebruikt voor andere doeleinden en die na verloop van tijd verouderd, overbodig of niet langer waardevol kan worden geacht.Dit staat in contrast met schaduwdata, die alle soorten ongestructureerde en semigestructureerde data omvat buiten de formele systemen en databases van een organisatie die worden gecreëerd als gevolg van het gedrag en de interacties van werknemers op verschillende digitale platforms zoals sociale media, messaging apps, cloudopslagdiensten, enz. en die vaak worden verzameld zonder expliciete toestemming van individuen.
Er zijn daarentegen twee methoden om schaduwgegevens te creëren:
Opzettelijk geïnduceerd buiten de grenzen van het geautoriseerde informatietechnologiekader van een organisatie, vaak “schaduw-IT” genoemd, is een fenomeen dat ontstaat uit verschillende motivaties en behoeften binnen het bedrijf of de werkomgeving.
⭐ Onbewust veroorzaakt door overmatig delen binnen uw bedrijf.
Het concept van “dark data” kan bepaalde gevallen van “schaduwgegevens” omvatten, die verwijzen naar informatie die in de systemen van een organisatie aanwezig is, maar niet gemakkelijk kan worden geopend of geanalyseerd vanwege technische beperkingen of andere factoren. In die zin kunnen alle gegevens die onder een van beide categorieën vallen, mogelijk worden beschouwd als onderdeel van de bredere definitie van dark data.
Hoe ontstaan dark data?
Schaduwgegevens ontstaan door verschillende cruciale factoren.
In de eerste plaats is het denkbaar dat je DevOps-personeel, in hun haast om activiteiten te versnellen, essentiële beveiligingsmaatregelen over het hoofd ziet. Zo’n onoplettendheid kan leiden tot latente bedreigingen die afkomstig zijn van “schaduwgegevens”. Tijdens het snel leveren en ontmantelen van cloudgebaseerde bronnen bestaat de mogelijkheid dat onopgemerkte informatieactiva onopzettelijk worden achtergelaten en aan de aandacht van zowel IT-afdelingen als gegevensbeschermingseenheden ontsnappen.
Bovendien heeft de toename van telewerken geleid tot een grotere afhankelijkheid van niche-softwareoplossingen die gericht zijn op het vergemakkelijken van real-time communicatie en samenwerking, waardoor onbedoeld het fenomeen van “schaduwgegevens” ontstaat. Dit doet zich voor wanneer personeel ongeautoriseerde applicaties van derden gebruikt die buiten het bereik van IT-beheer vallen, wat leidt tot een heimelijke accumulatie van gevoelige informatie.
Daarnaast leidt het gebruik van niet-goedgekeurde technologische middelen door personeel tot wat bekend staat als schaduw-IT. Het gebruik van dergelijke hulpmiddelen voor het opslaan of delen van informatie resulteert in het creëren van schaduwgegevens, die buiten de grenzen van de geautoriseerde systemen en het toezicht van een bedrijf bestaan.
Het beheren van een bedrijf dat in meerdere clouds actief is, vormt een uitdaging als het gaat om het efficiënt bewaken van gegevens en het identificeren van schaduwgegevens.
Tot slot is het mogelijk dat je medewerkers gevoelige informatie opslaan op hun persoonlijke apparaten of cloudopslagdiensten zoals Google Drive of OneDrive zonder de juiste autorisatie, waardoor de protocollen voor gegevensbeheer van je organisatie worden omzeild.
Hoe de risico’s van schaduwgegevens te minimaliseren
Het bestaan van schaduwgegevens is tot op zekere hoogte onvermijdelijk, aangezien ze vaak voortkomen uit de dagelijkse activiteiten van een bedrijf.
Toch kan het implementeren van bepaalde maatregelen de potentiële bedreigingen die schaduwgegevens vormen voor een bedrijf verlichten.
Detecteer en bescherm uw gegevens
Het is noodzakelijk dat uw beveiligings- en compliance-afdelingen alle gegevensopslagfaciliteiten grondig onderzoeken, inclusief data lakes, cloudgebaseerde systemen en Software as a Service-platforms (SaaS), om alle bedrijfsmiddelen te identificeren die gevoelige informatie bevatten.
Om effectief de juiste beveiligingsmaatregelen te implementeren voor de gegevens van je organisatie, is het essentieel om eerst alle relevante informatie die is opgeslagen in verschillende opslagplaatsen te identificeren en categoriseren. Dit proces moet zich niet beperken tot gestructureerde gegevens, maar ook semigestructureerde en ongestructureerde gegevensbronnen omvatten.
In het ideale geval wordt een hulpprogramma gebruikt dat alle gegevensbronnen van een organisatie consolideert in één platform en tegelijkertijd toegang geeft tot een uitgebreid dashboard. Met een dergelijke oplossing kunnen afwijkende trends of patronen in de gegevens snel worden geïdentificeerd.
Door beperkingen op te leggen aan gegevensmachtigingen en toegang, kunnen organisaties voorkomen dat onbevoegden toegang krijgen tot vertrouwelijke informatie. Mechanismen voor toegangscontrole maken selectieve openbaarmaking van gevoelige gegevens mogelijk door toestemming te verlenen aan specifiek personeel dat de gegevens nodig heeft voor legitieme doeleinden. Deze maatregel beschermt tegen misbruik van gevoelige informatie en handhaaft de privacy van gegevens.
Voorkomen en accumulatie van schaduw-IT beheren
Effectief beheer van schaduw-IT kan de potentiële gevaren van schaduwgegevens beperken. Door toezicht te houden op de gebruikte software en platforms wordt het haalbaarder om de informatie die daarin is opgeslagen te beveiligen.
Ervoor zorgen dat ons personeel toegang heeft tot geschikte middelen om hun taken effectief uit te voeren, de evaluatie- en autorisatieprocedure voor de integratie van nieuwe technologische oplossingen stroomlijnen en ons personeel bewust maken van de potentiële gevaren die verbonden zijn aan ongeautoriseerde softwaretoepassingen kunnen bijdragen aan een effectief beheer van schaduw-IT binnen onze organisatie.
In het licht hiervan is het mogelijk om de hoeveelheid schaduwgegevens te reguleren die binnen een organisatie worden geproduceerd als gevolg van schaduw-IT-praktijken.
Implementeer Security-First Beleid
Het integreren van robuuste cyberbeveiligingsmaatregelen in de Software Development Lifecycle (SDLC) moet een prioriteit zijn voor elke organisatie, waarbij compliance- en beveiligingsteams uitgebreid toezicht houden op DevOps-activiteiten en de omgang van ontwikkelaars met gevoelige informatie.
Het implementeren van de juiste beveiligings- en regelgevingsrichtlijnen aan het begin van de levenscyclus van softwareontwikkeling (SDLC) kan het genereren van schaduwgegevens als gevolg van DevOps-praktijken en ontwikkelaarsactiviteiten effectief verminderen.
Daarnaast is het sterk aan te raden om uitgebreide richtlijnen op te stellen voor het systematisch wissen van alle resterende schaduwgegevens in de database op een consistente basis.
Train uw medewerkers
Om potentiële bedreigingen in verband met schaduwgegevens te beperken, is het voor organisaties van cruciaal belang om prioriteit te geven aan de ontwikkeling van robuuste onderwijsprogramma’s op het gebied van cyberbeveiliging die zich richten op bewustmaking van medewerkers met betrekking tot de gevaren van onbeveiligde gegevensopslag en de maatregelen die nodig zijn om het ontstaan ervan te voorkomen.
Daarnaast is het essentieel om cyberbeveiliging niet te behandelen als een eenmalige gebeurtenis binnen uw organisatie. Overweeg in plaats daarvan om frequente, kleinere trainingssessies te implementeren, verspreid over het jaar, met de nadruk op het herkennen van schaduwgegevens, het veilig beveiligen van opgeslagen informatie en het beschermen van kritieke gegevens tegen mogelijke bedreigingen.
Schaduwgegevens zijn een groot beveiligingsrisico
Het is noodzakelijk om de potentiële gevaren van ongereguleerde gegevens te beperken om de veiligheid van vertrouwelijke informatie te waarborgen. Informatie die buiten de bevoegdheid van een bedrijf valt, kan gevoelig zijn voor ongeoorloofde indringing, cyberaanvallen en openbaarmaking. Dergelijke voorvallen kunnen juridische gevolgen hebben, de reputatie schaden en het vertrouwen van de consument aantasten.
Het beheren van schaduwgegevens is van het grootste belang voor een allesomvattende cyberbeveiliging.