Der Inside-Out-Sicherheits Blog - Der Inside-Out-Sicherheits Blog

5 Aufgaben, die IT-Abteilungen durchführen sollten

Geschrieben von Michael Buckbee | Dec 23, 2012 5:59:00 AM

Ein klarer Weg zum Management und Schutz von Informationen.

1. Auditing des Datenzugriffs

Ohne einen Zugriffsbericht ist das effektive Management von Datensätzen unmöglich. Nur eine zuverlässige Kontrolle der Datennutzung ermöglicht eine Kontrolle des Nichtgebrauchs, Missbrauchs oder Fehlgebrauchs von Daten. Ohne einen Bericht über die Datennutzung können wichtige Fragen nicht beantwortet werden. Das betrifft einfachste Fragen, wie „Wer hat meine Dateien gelöscht, welche Daten verwendet diese Person und welche Daten werden nicht länger verwendet?“ aber auch komplexere Fragen, wie „Wer besitzt welche Daten, welche Daten unterstützen diesen Geschäftsbereich und wie kann ich Daten blockieren, ohne den Arbeitsablauf zu stören?“

2. Bestandsaufnahme von Berechtigungen und Gruppenobjekten diverser Verzeichnisdienste

Auch die Kenntnis darüber, wer Zugriff auf die Daten hat, ist wesentlich für das effektive Management von Datensätzen. Listen und Gruppen über Zugangskontrollen (in Active Directory, LDAP etc.) sind wesentliche Kontrollmechanismen zum Schutz unstrukturierter und semi-strukturierter Datenplattformen. Und dennoch können IT-Abteilungen häufig wesentliche Fragen zum Datenschutz nicht beantworten. Das sind Fragen, wie „Wer hat Zugriff auf die Datensätze?“ und „Auf welche Datensätze hat ein Benutzer oder eine Gruppe Zugriff?“ Die Antworten auf diese Fragen müssen präzise und verfügbar sein, sodass Datenschutz- und Managementprojekte fortgeführt werden können.

3. Priorisierung von aktionsbedürftigen Daten

Obwohl alle Daten geschützt werden sollten, gibt es Daten, deren Schutz Vorrang haben muss. Einige Datensätze haben bekannte Besitzer und gut definierte Schutzverfahren und -kontrollen, andere sind dagegen weniger eindeutig. Mit einem Audit Trail, einer Technologie zur Datenklassifizierung und Informationen über Zugangskontrollen können Unternehmen nicht nur aktive und redundante Daten identifizieren, sondern auch empfindliche, vertrauliche oder interne Informationen sowie Daten, die vielen Personen zur Verfügung stehen. Diese Datensätze sollten schnell geprüft und besprochen werden, um das Risiko zu verringern.

Klicken Sie hier für unseren KOSTENLOSEN vollständigen Bericht, einschließlich der kompletten Liste der IT-Aufgaben.

4. Entfernen der globalen Zugriffsgruppen von den ACL (wie „Jeder“) – besonders dort, wo sich empfindliche Daten befinden

Es ist nicht ungewöhnlich, dass Ordner mit gemeinsamen Datenzugriff Zugangskontrollen haben, die „Jedem“ oder (fast) allen „Domain-Benutzern“ Zugriff auf die darin enthaltenen Daten ermöglichen. SharePoint hat das gleiche Problem (besonders mit authentifizierten Benutzern). Exchange hat diese Berechtigungen und den Zugriff für „Anonyme Benutzer“. Das sorgt für ein erhebliches Sicherheitsrisiko, da alle in diesem Ordner gespeicherten Daten die „ungeschützten“ Berechtigungen übernehmen. Personen, die Daten in diese frei zugänglichen Ordner kopieren, sind sich wahrscheinlich nicht über die lockeren Zugriffseinstellungen bewusst. Wenn empfindliche Daten wie PII, Kreditkarteninformationen, geistiges Eigentum oder HR-Informationen in diesem Ordner liegen, ist das Risiko deutlich höher. Globaler Zugriff auf Ordner, SharePoint-Seiten und Postfächer sollte entfernt und durch Regeln ersetzt werden, die nur den Gruppen Zugriff gewähren, die diesen auch benötigen.

5. Identifizieren von Data Owner

Die IT-Abteilungen sollte immer einen Überblick darüber haben, wer die Verantwortung für Unternehmensdaten, Ordner und SharePoint-Seiten trägt. Durch Beteiligung der Data Owner kann die IT eine Reihe an zuvor identifizierten Aufgaben ausführen, darunter auch die Überprüfung von aufgehobenen Berechtigungen und die Identifizierung und Prüfung von Daten für das Archiv. Das Endergebnis ist ein deutlicher Anstieg in der Präzision der zugewiesenen Datenberechtigungen und somit auch des Datenschutzes.

The post 5 Aufgaben, die IT-Abteilungen durchführen sollten appeared first on Varonis Deutsch.