Gepresenteerd door Capital One
Gegevensbeveiliging blijft een van de minst volwassen domeinen in de cyberbeveiliging van ondernemingen. Volgens IBM35% van de inbreuken in 2025 had betrekking op onbeheerde gegevensbronnen of ‘schaduwgegevens’. Dit brengt een systemisch gebrek aan basisgegevensbewustzijn aan het licht. Het komt niet door een gebrek aan gereedschap of investeringen. Dat komt omdat veel organisaties nog steeds worstelen met de meest fundamentele vragen: welke gegevens hebben we? Waar woont het? Hoe beweegt het? En wie is daarvoor verantwoordelijk?
In een steeds complexer wordend ecosysteem van databronnen, cloudplatforms, SaaS-applicaties, API’s en AI-modellen worden deze vragen alleen maar moeilijker te beantwoorden. Het dichten van de volwassenheidskloof op het gebied van gegevensbeveiliging vereist een cultuurverandering waarbij beveiliging niet langer als een bijzaak wordt beschouwd. In plaats daarvan is bescherming ingebed gedurende de volledige levenscyclus van gegevens, gebaseerd op een robuuste inventarisatie, duidelijke classificatie en schaalbare mechanismen die beleid vertalen in geautomatiseerde vangrails.
Zichtbaarheid als basis
De meest hardnekkige barrière voor de volwassenheid van databeveiliging is fundamentele zichtbaarheid. Organisaties richten zich vaak op de hoeveelheid data die ze bezitten, maar niet op de samenstelling van die data. Bevat het persoonlijk identificeerbare informatie (PII)? Financiële gegevens? Gezondheidsinformatie? Intellectueel eigendom? Zonder dit niveau van begrip en inventarisatie is het een stuk moeilijker om zinvolle bescherming te implementeren.
Dit kan echter worden vermeden door prioriteit te geven aan bedrijfsmogelijkheden die gevoelige gegevens op schaal over een grote en gevarieerde footprint kunnen detecteren. Detectie moet gepaard gaan met actie, het verwijderen van gegevens waar deze niet langer nodig zijn en het beveiligen van gegevens waar deze zich bevinden, door de handhaving af te stemmen op een goed gedefinieerd beleid.
Volwassen organisaties moeten beginnen met het behandelen van gegevensbeveiliging als een probleem van ‘het begrijpen van uw omgeving’. Houd een inventaris bij, classificeer wat zich in het ecosysteem bevindt en stem de beveiliging af op de classificatie in plaats van uitsluitend te vertrouwen op perimetercontroles of puntoplossingen op schaal.
Chaotische gegevens beveiligen
Eén van de redenen waarom gegevensbeveiliging achterblijft bij andere beveiligingsdomeinen is dat gegevens zelf inherent chaotisch zijn. In tegenstelling tot perimeterbeveiliging, die afhankelijk is van expliciete poorten en gedefinieerde grenzen, zijn gegevens grotendeels onvoorspelbaar. Dat wil zeggen dat dezelfde onderliggende informatie in zeer verschillende formaten kan verschijnen: gestructureerde databases, ongestructureerde documenten, chattranscripties of analysepijplijnen. Elke code kan enigszins verschillende coderingen of transformaties hebben die onvoorziene en vaak onopgemerkte wijzigingen in de gegevens zelf introduceren.
Menselijk gedrag maakt de uitdaging nog groter, waarbij verschillende acties risico’s introduceren op manieren waarop de perimetercontroles eenvoudigweg niet kunnen anticiperen. Dit kan van alles zijn, van een creditcardnummer dat in een vrij commentaarveld is gekopieerd, een spreadsheet die buiten de beoogde doelgroep per e-mail wordt verzonden, of een dataset die opnieuw wordt gebruikt voor een nieuwe workflow.
Wanneer bescherming aan het einde van een workflow wordt aangebracht, creëren organisaties blinde vlekken. Ze vertrouwen op controles stroomafwaarts om ontwerpfouten stroomopwaarts op te sporen. In de loop van de tijd stapelt de complexiteit zich op en wordt het risico van blootstelling een kwestie van wanneer, niet of.
Een veerkrachtiger model gaat ervan uit dat gevoelige gegevens op onverwachte plaatsen en in onverwachte formaten naar boven komen, zodat bescherming is ingebed vanaf het moment dat gegevens worden vastgelegd. Diepteverdediging wordt een ontwerpprincipe: segmentatie, encryptie in rust en onderweg, tokenisatie en gelaagde toegangscontroles.
Het is van cruciaal belang dat deze waarborgen meegaan met de levenscyclus van de gegevens, van opname tot verwerking, analyse en publicatie. In plaats van controles achteraf in te bouwen, ontwerpen organisaties voor chaos. Ze accepteren variabiliteit als een gegeven en bouwen systemen die veilig blijven, zelfs als de gegevens afwijken van de verwachtingen.
Beheer opschalen met automatisering
Gegevensbeveiliging wordt operationeel duurzaam wanneer governance vanaf het begin wordt afgedwongen door middel van automatisering. Gecombineerd met duidelijke verwachtingen om begrensde contexten te creëren: teams begrijpen wat is toegestaan, onder welke omstandigheden en met welke bescherming gegevens effectief kunnen worden gebruikt.
Dit is vandaag de dag meer dan ooit van belang. AI-systemen hebben vaak toegang nodig tot enorme hoeveelheden gegevens, over verschillende domeinen heen. Dit maakt de uitvoering van beleid bijzonder uitdagend. Om dit effectief en veilig te kunnen doen, zijn diepgaande kennis, een krachtig governancebeleid en geautomatiseerde bescherming nodig.
Beveiligingstechnieken zoals synthetische gegevens en tokenvervanging stellen organisaties in staat de analytische context te behouden en tegelijkertijd gevoelige waarden moeilijker leesbaar te maken. Beleid-als-code-patronen, API’s en automatisering kunnen omgaan met tokenisatie, verwijdering, bewaarbeperkingen en dynamische toegangscontroles. Doordat er vangrails zijn ingebouwd in de platforms die ze gebruiken, kunnen ingenieurs zich meer concentreren op het innoveren met data en het veilig verbeteren van de bedrijfsresultaten.
AI-systemen moeten ook binnen dezelfde governance- en monitoringverwachtingen opereren als menselijke workflows. Machtigingen, telemetrie en controle over waartoe modellen toegang hebben, samen met de informatie die ze kunnen publiceren, zijn essentieel. Bestuur zal altijd een zekere mate van wrijving met zich meebrengen. Het doel is om die wrijving goed te begrijpen, bevaarbaar en in toenemende mate geautomatiseerd te maken. Het bevestigen van het doel, het registreren van een gebruiksscenario en het dynamisch verlenen van toegang op basis van rol en behoefte moeten duidelijke, herhaalbare processen zijn.
Op bedrijfsschaal vereist dit gecentraliseerde capaciteiten die het cyberbeveiligingsbeleid in het datadomein implementeren. Dit omvat detectie- en classificatie-engines, tokenisatie- en detokenisatiediensten, handhaving van de retentie en eigendoms- en taxonomiemechanismen die de verwachtingen van risicobeheer in de dagelijkse uitvoering doorvoeren.
Als het goed wordt gedaan, wordt governance eerder een faciliterende laag dan een knelpunt. Metadata en classificatie sturen automatisch beveiligingsbeslissingen en versnellen de ontdekking en het gebruik van bedrijven. Gegevens worden gedurende de hele levenscyclus beschermd door sterke verdedigingen zoals tokenisatie en worden verwijderd wanneer dit vereist is door regelgeving of intern beleid. Het zou voor teams niet nodig moeten zijn om bij elke controlebeslissing handmatig ‘de gegevens aan te raken’, waarbij het beleid door het ontwerp wordt afgedwongen.
Bouwen aan de toekomst
Simpel gezegd gaat het dichten van de volwassenheidskloof op het gebied van databeveiliging niet zozeer over het adopteren van één enkele baanbrekende technologie, maar meer over operationele discipline. Bouw de kaart. Classificeer wat je hebt. Integreer bescherming in workflows, zodat beveiliging op schaal herhaalbaar is.
Voor bedrijfsleiders die de komende 18 tot 24 maanden meetbare vooruitgang willen boeken, vallen drie prioriteiten op.
Zorg eerst voor een robuuste inventarisatie en metagegevensrijke kaart van het data-ecosysteem. Over zichtbaarheid valt niet te onderhandelen. Ten tweede: implementeer classificatie die gekoppeld is aan duidelijke, uitvoerbare beleidsverwachtingen. Maak duidelijk welke bescherming elke categorie vereist. En ten slotte: investeer in schaalbare, geautomatiseerde beveiligingsprogramma’s die rechtstreeks in ontwikkelings- en gegevensworkflows kunnen worden geïntegreerd.
Wanneer de bescherming verschuift van reactieve, aanvullende controles naar proactieve ingebouwde vangrails, wordt compliance eenvoudiger, wordt het bestuur sterker en wordt AI-gereedheid haalbaar, zonder dat dit ten koste gaat van de nauwkeurigheid.
Meer informatie over hoe Capital One Databoltde oplossing voor bedrijfsgegevensbeveiliging van Capital One Software, kan uw bedrijf helpen AI-ready te worden door gevoelige gegevens op schaal te beveiligen.
Andrew Seaton is vice-president, Data Engineering – Enterprise Data Detection & Protection, Capital One.
Gesponsorde artikelen zijn inhoud die is geproduceerd door een bedrijf dat voor de post betaalt of een zakelijke relatie heeft met VentureBeat, en deze is altijd duidelijk gemarkeerd. Voor meer informatie kunt u contact opnemen met sales@venturebeat.com.
