Seclore FileSecure: beveiliging zonder grenzen!
Naam auteur
: S. Liethoff
Type document
: Whitepaper
Datum versie
: 14-02-2013
1. Seclore FileSecure: Beveiliging zonder grenzen! Seclore FileSecure is een Information Rights Management oplossing. Information Rights Management (IRM) is een systeem voor het beschermen van vertrouwelijke informatie. Een documenteigenaar kan gebruikersrechten toekennen aan een vertrouwelijk document. Wanneer een ontvanger een document wil openen, dan moet men zich eerst de gebruikersrechten opvragen bij een centraal systeem. De meerwaarde van IRM is dat men de beveiliging van het document verbetert en tegelijkertijd samenwerking en efficiënte informatie-uitwisseling mogelijk maakt.
Waarom is een “nieuwe kijk” op informatiebeveiliging nodig? Hedendaagse security oplossingen zijn prima geschikt voor het beveiligen van netwerken, systemen en applicaties. Echter deze security maatregelen werpen tegelijkertijd allerlei blokkades op bij het uitwisselen van informatie tussen organisaties ten behoeve van samenwerkingsverbanden. Informatie wordt in toenemende mate gedeeld via Cloud oplossingen. Ook willen werknemers door ontwikkelingen als het Nieuwe Werken en BYOD tijd-, locatie- en apparaat-onafhankelijk de beschikking hebben over de informatie die nodig is om hun werk te kunnen doen. Voor informatie die toegankelijk is vanuit een applicatie, is dit doorgaans eenvoudig op te lossen door de realisatie van een veilige toegangsoplossing tot die applicatie. Bijvoorbeeld een CRM systeem met een klantendatabase, waarin de informatie gestructureerd is opgeslagen. Voor ongestructureerde informatie (documenten, rapportages, e-mails, tekeningen, images, etc.) is de toegang tot die informatie niet eenvoudig te realiseren. Deze informatie heeft de eigenschap zich ongecontroleerd te verspreiden via e-mail, dropbox (en varianten), USB sticks, social media, et cetera. Ook zijn er vaak meerdere kopieën aanwezig van deze informatie (op de fileserver, in de e-mail, op de PC van de ontvanger, in dropbox, etc). Traditionele security maatregelen stellen zogenaamde grenzen aan hoe informatie zich kan verspreiden of hoe de informatie is opgeslagen. Informatie mag zich verspreiden binnen deze grenzen en dus niet daar buiten. Bijvoorbeeld vertrouwelijke informatie mag niet op een USB stick worden opgeslagen of documenten met persoonsgegevens mogen niet het netwerk verlaten. Of als de informatie is opgeslagen op een laptop dan moet deze zijn versleuteld. In de praktijk blijkt dat deze maatregelen moeilijk te handhaven zijn of te beperkt zijn. Bijvoorbeeld: een medewerker verstuurd een document dat versleuteld is opgeslagen op zijn laptop. De ontvanger krijgt dit document onversleuteld en kan vervolgens alles met dit document doen, zoals: aanpassen, printen of doorsturen naar de concurrent. Een Pagina 1 van 6
document, opgeslagen in een Document Management Systeem (DMS), is beveiligd met de beschikbare beveiligingsmaatregelen binnen het DMS. Echter zodra dit document het DMS verlaat, doordat het wordt gedownload op een tablet of doordat het per e-mail wordt verzonden, dan is de beveiliging op dit document niet meer van kracht! Een voorbeeld van een DMS is Sharepoint. In 2003 is het Jericho Forum opgericht (www.opengroup.com/jericho). Dit forum richt zich op de hierboven geschetste problematiek en heeft een visie ontwikkeld gebaseerd op de-perimeterisation. Dit wil zeggen dat de beveiliging zich moet richten op de bescherming van de data zelf, in plaats van te vertrouwen op de traditionele firewalls. Grote internationale organisaties bewegen met hun beveiligingsarchitectuur richting deze Jericho visie. Men heeft dus de behoefte aan concrete oplossingen om vorm te geven aan deze visie.
Met Seclore FileSecure heeft u volledige controle over uw informatie Seclore heeft met het product FileSecure een concrete invulling gegeven aan de visie van Jericho. FileSecure richt zich namelijk op de beveiliging van informatie zelf en de controle op het gebruik van deze informatie. Hierdoor is het voor organisaties mogelijk om flexibel informatie te delen met andere partijen en dus efficiënte samenwerkingsverbanden mogelijk te maken, maar toch de volledige controle te houden over wat er met deze informatie gebeurt. Bijvoorbeeld:
Bij het beëindigen van een samenwerking, kan de toegang tot documenten worden ingetrokken. Ook al staan de documenten bij de samenwerkende partij. Indien een medewerker gaat werken bij de concurrent, kan de toegang tot alle documenten, waar de medewerker toegang toe had, volledig worden geblokkeerd; De financiële rapportage is alleen toegankelijk voor de accountant. De accountant kan alleen aanpassingen maken in de rapportage, maar niets uitprinten of doorsturen; Het project waar externe specialisten aan meewerken, is opgeleverd op 31 januari 2013. Na deze datum kunnen de externen geen toegang meer krijgen tot de projectdocumentatie. Ook al staan kopieën hiervan op de laptop van de externe specialist. De externe adviseur kan het hem toegezonden document alleen openen vanaf zijn kantoor. Het is voor hem onmogelijk om het document te openen vanaf een andere locatie.
Pagina 2 van 6
SECLORE FILESECURE biedt een raamwerk om: 1. Autorisaties definiëren voor het gebruik van informatie Deze autorisatie bestaat uit de volgende onderdelen: a. WIE heeft toegang tot de informatie (medewerkers, groepen, binnen en buiten de organisatie); b. WAT kan deze persoon doen met de informatie (lezen, edit, print, kopiëren, doorsturen); c. WANNEER heeft deze persoon toegang tot de informatie (tijdsperiode of tot een bepaalde datum); d. WAAR vandaan de informatie ingezien kan worden (vanaf specifieke computers, tablet. kantoor, netwerk). 2. Autorisaties koppelen aan individuele documenten Er zijn diverse manieren om een autorisatie te koppelen aan documenten, waardoor de informatie is beveiligd. De informatie wordt beveiligd: a. Op het moment dat de informatie wordt gecreëerd. De gebruiker krijgt de gelegenheid om de informatie te beveiligen protecten op eigen initiatief of door van te voren ingestelde parameters; b. Op het moment dat het document op een bepaald niveau wordt geclassificeerd. Dus het document moet verplicht beveiligd worden met een autorisatie wanneer er een bepaalde classificatie van kracht is. De gebruiker hoeft niets te doen als het document “Openbaar” is. c. Op het moment dat het document in een bepaalde folder of fileshare wordt geplaatst. Dit is volledig transparant voor de gebruiker; d. Op het moment dat de informatie wordt meegestuurd met een e-mail; e. Op het moment dat een document wordt geplaatst in een document management systeem (DMS). Hierbij worden de autorisaties toegekend aan het document. Deze autorisaties worden actief als het document uit het DMS wordt gehaald; f. Op het moment dat er een rapport wordt gegenereerd vanuit een BI systeem; g. Op het moment dat het document wordt herkent als een document met vertrouwelijk gegevens of persoonlijke data door een discovery systeem of Data Leak Prevention systeem.
Pagina 3 van 6
3. In control zijn over het gebruik van de informatie, voorzien van een autorisatie Men heeft de volledige controle over het gebruik van informatie, beveiligd door Seclore FileSecure. Men bepaalt wie toegang heeft tot de documenten. Welke handelingen zijn geoorloofd. Tot wanneer er toegang tot de documenten is verleend. En waar de documenten kunnen worden geraadpleegd. De beveiliging is onafhankelijk van de locatie waar de informatie is opgeslagen (lokale harde schijf, fileserver, SharePoint, Mail of Cloud) of de wijze waarop de informatie is getransporteerd. Met Seclore FileSecure bent u de zeker van dat het daadwerkelijke gebruik van de informatie in lijn is met de autorisatie die aan de informatie is toegekend. 4. Audit het gebruik van de informatie Alle activiteiten op informatie, dat is beveiligd door Seclore FileSecure, worden vastgelegd in een audit trial: a. b. c. d.
WIE heeft de informatie gebruikt; WAT heeft die persoon met de informatie gedaan WANNEER heeft de persoon toegang gehad tot de informatie WAAR vandaan heeft de persoon toegang gehad tot de informatie De audit trail wordt centraal op een veilige locatie opgeslagen en is toegankelijk voor zowel compliancy rapportage tools als Security Information Event Management tools. Daarnaast kan de audit trail worden gebruikt in forensisch onderzoek. 5. Toegang tot informatie vanaf ieder willekeurig device en operating system Seclore FileSecure heeft de mogelijkheid om beveiligde documenten te openen in een browser sessie. Hierdoor is het mogelijk om documenten te lezen op ieder willekeurig device en operating system. Voor de I-PAD en Android device is een speciale App ontwikkeld, waarmee documenten ook op deze device toegankelijk kunnen worden gemaakt. 6. Classificatie van informatie Een speciale optie binnen Seclore FileSecure is de mogelijkheid om informatie te classificeren. De werking van de classificatie module is als volgt: a. De gebruiker creëert een document en sluit het document af;
Pagina 4 van 6
b. Op het moment dat het document wordt afgesloten, verschijnt er een pop-up waarbij aan de gebruiker wordt gevraagd om het document te classificeren; c. De classificatie van het document wordt opgeslagen in de metadata van het document; d. Afhankelijk van het niveau van de classificatie wordt er een trigger gestart om het document te voorzien van een bepaalde autorisatie. Een voorbeeld: i. Document is “openbaar” -> document wordt niet beveiligd; ii. Document is “bedrijfsvertrouwelijk” -> document wordt automatisch beveiligd met standaard policy; iii. Document is “zeer vertrouwelijk” -> de gebruiker wordt gevraagd om een policy toe te kennen aan het document of om een policy te creëren. Deze classificatie is ook leesbaar voor andere tools, zoals discovery tools, workflow management systemen, DLP, et cetera.
Toepassingen Seclore FileSecure in de praktijk Seclore FileSecure kan ingezet worden in vrijwel iedere sector. Binnen de overheid wordt Seclore FileSecure ingezet voor het beschermen van vertrouwelijke gegevens in samenwerkingsverbanden met andere overheidsinstellingen en bedrijven. Seclore FileSecure wordt binnen de Zorg toegepast voor het beschermen van medische gegevens, maar ook bestuurlijk management informatie. Binnen het bedrijfsleven zijn er legio toepassingen, zoals het beschermen van Intellectual Property, Financiële informatie, Personeelsgegevens, Management Informatie, specifieke gevoelige informatie over fusies, overnames of inkrimpingen. Samengevat komen de toepassingen op het volgende neer: Informatie wordt uitgewisseld tussen medewerkers zowel binnen als buiten de organisatie. Dit wordt gesterkt door ontwikkelingen als het Nieuwe Werken; Informatie wordt uitgewisseld met derde partijen als partners, accountants, adviseurs, klanten en (semi-)overheidsinstellingen. Het risico ontstaat als:
De medewerker vertrekt naar de concurrent en gevoelige informatie meeneemt naar de nieuwe werkgever. De organisatie kan hier aanzienlijke schade van ondervinden;
Pagina 5 van 6
De relatie met de derde partij wordt beëindigt, terwijl de derde partij nog steeds vertrouwelijk documenten in haar bezit heeft; Als een medewerker een e-mail met vertrouwelijke informatie per ongeluk verstuurd naar de verkeerde ontvanger. Met Seclore FileSecure kan men het risico opheffen door:
Gebruiksrechten te koppelen aan vertrouwelijke document met behulp van autorisaties. Indien een medewerker de organisatie verlaat, dan worden de rechten van die medewerker ingetrokken. Hierdoor heeft de medewerker geen toegang meer tot het document ook al heeft hij/zij het document nog steeds in bezit; De gebruiksrechten op het document wordt ingetrokken, zodat de derde partij het document niet meer kan gebruiken; De ontvanger heeft geen rechten op het ontvangen bericht en kan dus het bericht en de eventuele bijlagen niet openen.
Heeft u naar aanleiding van deze whitepaper nog vragen of wilt u een afspraak om de toepassing van Seclore FileSecure binnen uw organisatie te bespreken, neem dan contact op met Novaccent BV, de premium partner van Seclore binnen de Benelux. De contactgegevens zijn
[email protected] of 033-4563663. Meer informatie vindt u op www.novaccent.nl.
Pagina 6 van 6
