SaaS-oplossingen: gemak versus controle – hoe houd je grip op je data?

We maken ons er allemaal wel eens schuldig aan. Je moet een groot bestand delen met een klant of leverancier, maar e-mail is geen optie vanwege de bestandsgrootte. Wat doen veel medewerkers dan? Ze grijpen naar snelle, gratis en gebruiksvriendelijke tools zoals Dropbox, Google Drive of WeTransfer. SaaS-oplossingen die in een paar klikken beschikbaar zijn, zonder tussenkomst van IT.

Een simpele zoekopdracht naar “gratis bestanden delen” levert miljoenen resultaten op, inclusief handige top 10-lijstjes. Maar achter dat gemak schuilt een risico: het verlies van controle over je data.

In deze blog gaan we dieper in op het gebruik van SaaS binnen organisaties, de risico’s die daarbij komen kijken en hoe het Tesorion Security Operations Center (T-SOC) kan helpen om incidenten vroegtijdig te detecteren.

SaaS-gebruik in organisaties: populair, maar niet zonder risico

Met de opkomst van cloud computing is ook het gebruik van SaaS-oplossingen explosief toegenomen. Organisaties kiezen vaak voor deze tools vanwege de lage kosten en het gebruiksgemak. Toch worden er steeds vaker kritische vragen gesteld:

Waar wordt mijn data opgeslagen?
Wie heeft er toegang tot mijn data?
Voldoet de leverancier aan de AVG?

Als een SaaS-provider data opslaat in de VS, kan dat bijvoorbeeld leiden tot conflicten met Europese privacywetgeving. Het is daarom erg belangrijk om bij de selectie van SaaS-diensten niet alleen naar functionaliteit te kijken, maar ook naar compliance en databeveiliging.

Leveranciersmanagement in het licht van de Cyberbeveiligingswet

NIS2, dat in Nederland tot uitvoer gaat worden gebracht via de Cyberbeveiligingswet (Cbw), onderstreept het belang van goed leveranciersmanagement. Al in de oriëntatiefase moet je nadenken over informatiebeveiliging. Stel jezelf vragen als:

Met wie werk ik samen?
Hoe wordt data uitgewisseld?
Welke beveiligingsmaatregelen zijn getroffen?
Wat is de procedure bij een datalek?

Het T-SOC kan hierin ondersteunen door te monitoren of er grote hoeveelheden data worden verstuurd naar bijvoorbeeld onbekende of niet-goedgekeurde SaaS-diensten. Zo krijg je als organisatie inzicht in mogelijk risicovol gedrag. Immers, het laatste wat je wilt is dat er oplossingen gebruikt worden met een grote kans op een datalek terwijl je tegelijkertijd geen enkele grip hebt op jouw data. Want al staat de data in de cloud, als organisatie blijf je verantwoordelijk voor jouw data.

Verbieden of faciliteren? Kies voor bewust beleid

Het is niet realistisch om alle niet-goedgekeurde SaaS-oplossingen te verbieden. Medewerkers zoeken nu eenmaal naar manieren om hun werk efficiënt te doen. Daarom is het belangrijk om veilige alternatieven te bieden die passen binnen de bestaande werkprocessen. Denk aan tools die:

Geïntegreerd zijn in de e-mailomgeving
Bestanden versleuteld versturen
Centraal beheerd worden door IT

Toch kan het nodig zijn om bepaalde applicaties te blokkeren (blacklisting) of juist goedgekeurde tools te whitelisten. Zeker in sectoren waar met gevoelige data wordt gewerkt, zoals persoonsgegevens of bedrijfsgeheimen, is dit belangrijk. Ook het gebruik van Data Loss Prevention (DLP)-oplossingen kan helpen om ongewenste datastromen te voorkomen. Bijvoorbeeld door te voorkomen dat gevoelige informatie wordt gekopieerd, via mail verstuurd, gedownload of geupload naar een andere locatie en zo het netwerk (of de organisatie) verlaat.

Hackers loggen steeds vaker in

Het zal je niet verbazen dat de meeste hackers tegenwoordig inloggen. Medewerkers hergebruiken bijvoorbeeld een wachtwoord. Wanneer een wachtwoord is buitgemaakt bij een datalek, dan is het voor een kwaadwillende eenvoudig om te kijken bij welke applicaties dit wachtwoord nog meer gebruikt wordt. Daarnaast komt het regelmatig voor dat medewerkers een phishingbericht ontvangen met het verzoek om in te loggen. De medewerker doet wat er gevraagd wordt en laat zo onbedoeld gegevens achter voor een kwaadwillende. Deze gebruikt vervolgens de sessiecookies of aanmeldgegevens om binnen te komen. Deze scenario’s zien we bij het T-SOC met regelmaat voorbij komen. Door hierop te monitoren, kunnen incidenten vroegtijdig worden gesignaleerd en schade worden beperkt.

Informatiebeveiliging

Naast monitoring door het T-SOC kun je als organisatie ook zelf veel doen om risico’s te beperken:

Maak je medewerkers bewust van de risico’s van hergebruik van wachtwoorden en SaaS-oplossingen die niet zijn afgestemd met IT.
Werk vanuit een zero-trust gedachte. Geef medewerkers alleen toegang tot de gegevens die nodig zijn voor het uitoefenen van de werkzaamheden. Neem dit ook mee bij het inrichten van bijvoorbeeld Teams-omgevingen. Het is erg makkelijk om iedereen edit-rechten of administrator-rechten te geven op folders of documenten, dit vergroot echter de kans op misbruik mocht het account gehackt zijn.
Maak medewerkers bewust van de risico’s van het delen van linkjes binnen een Teams-omgeving. Wanneer de rechten niet goed zijn ingesteld kunnen deze linkjes met derden gedeeld worden waardoor je geen controle meer hebt op de data. We zien regelmatig dat linksharing staat ingesteld op ‘iedereen met link’, in plaats van dit te beperken tot een selecte groep.
Werk met een data los prevention oplossing voor gevoelige informatie. Alleen geautoriseerde accounts kunnen specifieke informatie op basis van toegekende rechten data downloaden, mailen, uploaden of bewerken.
Wees alert op het gebruik van Large Language Models (LLMs) en AI binnen organisaties. Stel regels op voor het gebruik van LLMs en AI binnen jouw organisatie. Daarbij is het belangrijk om zaken aan te geven als: welke applicaties mogen er worden gebruikt en welke niet? En welke informatie mag er wel en welke informatie mag er niet worden gebuikt binnen een LLM of AI?

Het T-SOC ziet steeds vaker dat AI wordt gebruikt als vraagbaak. Sommige LLM-diensten die worden gebruikt claimen geen data voor trainingsdoeleinden te gebruiken. Toch bestaat er een kans dat er onbewust gevoelige data gedeeld wordt zonder dat er controle is op hoe die data wordt gebruikt. Soms is het gemak te groot voor medewerkers om stil te staan bij het soort data dat wordt ingevoerd.

Conclusie

SaaS-oplossingen bieden veel voordelen, maar brengen ook risico’s met zich mee. Zonder duidelijke afspraken over gebruik en beveiliging kan het gemak van vandaag leiden tot de datalekken van morgen. Door medewerkers te faciliteren met veilige alternatieven, goed leveranciersmanagement toe te passen en het T-SOC actief te betrekken, houd je grip op je data én voldoe je aan wet- en regelgeving.

Dit is een ingezonden bijdrage van Tesorion. Via deze link vind je meer informatie over de mogelijkheden van het bedrijf.

Blijf op de hoogte, abonneer!

SaaS-oplossingen: gemak versus controle – hoe houd je grip op je data?

SaaS-gebruik in organisaties: populair, maar niet zonder risico

Leveranciersmanagement in het licht van de Cyberbeveiligingswet

Verbieden of faciliteren? Kies voor bewust beleid

Hackers loggen steeds vaker in

Informatiebeveiliging

Conclusie

Waarom medewerkers moe worden van cybersecurity

‘Ingreep Nexperia na diefstal bedrijfsgeheimen door topman’

Alles over Google Gemini: modellen, verschillen, kosten en meer

Nederland telt meer dan dubbel zoveel IT’ers als België

ServiceNow goes after the mid-market with its AI-based Core Business Suite

Nutanix CTO explains their VMware alternative and multi-cloud strategy

How VMware VCF 9 and Tanzu simplify enterprise automation

SAP Business Network: $6.5 trillion B2B collaboration platform

SaaS-oplossingen: gemak versus controle – hoe houd je grip op je data?

Werknemers zijn de sleutel tot sterkere digitale weerbaarheid

Digitaal vertrouwen opbouwen met slimme cybersecurity

Discover Why Northern Europe Chooses Redgate Monitor

Dell Technologies Forum

BrickCon The Databricks Community Conference

Appdevcon

Webdevcon

Dutch PHP Conference

Ontgrendel het volledige potentieel van je SAP-omgeving

Hoffmann Tips Special – Cybersecurity Risk management

Een cloudstrategie is essentieel voor het succes van uw bedrijf

Is Your Environment Adaptive Enough for Zero Trust?