von Manuel Roldan-Vega
Letzte Woche hatte ich die Gelegenheit, an einer Veranstaltung über Sicherheits-Risiken für die Daten Dritter teilzunehmen. Dabei unterhielt ich mich mit Leuten aus vielen unterschiedlichen Branchen und Positionen. Ich sprach mit Auditoren, IT-Managern, Speicheradministratoren, CIOs und natürlich Sicherheitsexperten.
Eine Frage beschäftigte alle:
Wie können wir das Risiko entschärfen und die Daten unserer Kunden schützen?
Ein Vorstandsmitglied wurde gefragt: „Welcher Bereich ist für Sie am wichtigsten, wenn es um Risikoreduzierung geht?“ Seine prompte Antwort: Unter allen Risikobereichen, mit denen sein riesiges Unternehmen konfrontiert sei, habe die Sicherheit unstrukturierterDaten oberste Priorität.
Das schockierte mich zunächst, doch wenn man darüber nachdenkt, ist es einleuchtend. Laut Gartner bestehen über 80 Prozent aller Unternehmensinformationen aus unstrukturierten Daten, und sie wachsen Jahr für Jahr um etwa 50 Prozent.
Selbst Daten, die normalerweise in Datenbanken oder Anwendungen gespeichert sind, werden regelmäßig zur Analyse in Tabellenkalkulationen, zur Präsentation in PowerPoint-Folien, zum Lesen in PDFs und zum Austausch zwischen Teams in E-Mails kopiert.
Von diesem Standpunkt aus ist es verständlich, dass unstrukturierte Daten für viele IT-Abteilungen den größten Risikobereich darstellen.
Organisationen schützen unstrukturierte Daten nicht nur aus eigener Motivation. Durch externe Richtlinien wie SOX, HIPAA und PCI sind sie gezwungen, Prozesse zum Schutz von Daten Dritter einzuführen. Leider verfügen die meisten Organisationen über keine effiziente und bezahlbare Methode, um diese Kontrollmechanismen zu implementieren und deren Umsetzung nachzuweisen.
Ein Auditor, mit dem ich mich unterhielt, meinte, dass das Erbringen dieser Nachweise äußerst schwierig und zeitintensiv sei und Berechtigungsprüfungen für die meisten Unternehmen manuelle, mühsame Prozesse darstellten, die nicht einmal ihr Ziel erfüllten – nämlich die Daten zu schützen.
Wenn Sie in Ihrer Organisation ein Risikomanagement-Projekt umsetzen möchten, finden Sie hier einige praktische Tipps zu den wichtigsten Punkten:
1. Identifizieren Sie Ihre wertvollsten Datenobjekte.
Alle Daten von Dritten sind wertvoll. Unsere Kunden vertrauen darauf, dass alle ihre Informationen verwaltet und geschützt werden. Doch es ist sehr wichtig, am richtigen Ende zu beginnen. Sprechen Sie mit Data Ownern und anderen Beteiligten, um herauszufinden, welche Arten von Daten am sensibelsten oder wertvollsten sind.
2. Finden Sie heraus, wo sich Ihre wertvollsten Datenobjekte befinden.
Sie können sensible Daten nur schützen, wenn Sie auch wissen, wo sie gespeichert sind. Vielleicht im Postfach des CEO? Oder sind sie über alle Windows-Dateiserver und NAS-Systeme verstreut? Dafür benötigen Sie ein Datenklassifizierungs-Framework , das die Dateien in Ihrem Netzwerk nach Indikatoren für sensible Inhalte durchsuchen kann.
3. Identifizieren Sie sensible Daten, auf die zu viele Nutzer zugreifen können.
In Schritt 2 haben Sie wahrscheinlich jede Menge wertvoller Daten gefunden. Jetzt müssen Sie herausfinden, wer auf diese Daten zugreifen kann, und diejenigen mit der höchsten Anzahl berechtigter Nutzer als Priorität behandeln.
Viele Leute tauschen die Schlösser aus, wenn sie in eine neue Wohnung ziehen. Warum? Weil sie nicht wissen, wer schon einen Schlüssel besaß – Eigentümer, Makler, vorherige Bewohner, Bauunternehmer? Dies stellt ein großes Risiko für sie und ihre Familien dar.
Dasselbe Prinzip gilt auch für die Daten von Dritten. Wir müssen wissen, welche Nutzer darauf zugreifen können und über welche Arten von Berechtigungen sie verfügen. Anschließend können wir die Daten identifizieren, zu denen zu viele Nutzer Zugang haben. Diesen müssen strengere Berechtigungen sowie Data Owner zugewiesen werden.
4. Überwachen Sie den Datenzugriff.
Wie mein guter Freund @rsobers sagt: Kontext ist König. Um das Risiko zu entschärfen, müssen Sie auch überwachen, wer tatsächlich auf die Daten zugreift und wozu. Durch die ständige Zugriffsüberwachung können wir Muster im Nutzerverhalten identifizieren und bei auffälligen Aktivitäten Alarm schlagen. Und wenn wir die Audit-Daten auf intelligente Weise speichern, können wir sie für juristische Zwecke, für den Helpdesk und zur Identifizierung veralteter Daten einsetzen.
5. Verwenden Sie automatisierte Prozesse.
Sind Sie bereit, die Schritte 1 bis 4 auszuführen? Verfügen Sie über eine ganze Armee von IT-Experten, die in den nächsten 50 Jahren nichts vorhaben? Zum Glück werden Sie sie nicht brauchen. Denn Sie können automatisierte Prozesse einsetzen, um herauszufinden, welche Daten wichtig sind und wer darauf zugreift. Und Sie können überwachen, wozu die Informationen verwendet werden.
Durch die Nutzung automatisierter Prozesse zur Ermittlung der Sicherheitslage können Sie Probleme ausfindig machen, Änderungen simulieren und Maßnahmen zur Fehlerbehebung ausführen – ganz automatisch.
Das ist also die Lösung! Warten Sie nicht länger und schützen Sie die Daten Ihrer Kunden. Übrigens: Es gibt noch einen 6. Schritt, der ganzohne die Beteiligung der IT-Abteilung auskommt. Fragen Sie uns danach.
Sie sind neugierig, wie Ihr Unternehmen abschneidet?Lassen Sie die Datenschutzsituation in Ihrer Organisation kostenlos überprüfen . Wir durchsuchen Ihre Infrastruktur nach Schwachstellen und helfen Ihnen, sie mithilfe der automatisierten Datenschutz- und Management-Software von Varonis zu beseitigen.
Foto: http://www.flickr.com/photos/fayjo/
The post Fünf Schritte zur Entschärfung des größten Datensicherheitsrisikos appeared first on Varonis Deutsch.