von Brian Vecci
Hier und anderswo geht es oft um die vielen unterschiedlichen Probleme, mit der die IT bei der Zugriffskontrolle konfrontiert wird. Meiner Erfahrung nach schaffen sich unsere Kunden entweder DatAdvantage oder DataPrivilege (oder beides) an, um eine bestimmte Aufgabe zu erfüllen. Ein Kunde, den ich vor kurzem traf, kaufte beispielsweise DatAdvantage für Windows, weil er entdeckt hatte, dass eine besonders sensible Datei für zu viele Nutzer zugänglich war. Nun wollte er sicherstellen, dass deren Berechtigungen künftig bereinigt und überwacht werden. Es kommt häufig vor, dass Kunden mit einem bestimmten Anwendungsfall zu uns kommen. Nachdem dieser dann rasch gelöst wurde, wollen sie wissen, was als nächstes zu tun ist.
Im Prinzip geht es darum, herauszufinden, welche Berechtigungen fehlerhaft sind, um sie zu reparieren und künftig auf dem aktuellen Stand zu halten. Dazu gehören auch die Verwendung der Auditing-Funktion und der Missbrauch von Flags. Um zu gewährleisten, dass die richtigen Nutzer auf die richtigen Daten zugreifen können, müssen Sie derartige Probleme rasch identifizieren und beheben. Normalerweise heißt das auch, die Data Owner zu bestimmen und die Verantwortung für die Informationssicherheit nicht mehr allein der IT zuzumuten, sondern auf die Unternehmensleitung zu übertragen – schließlich geht es um ihre Daten.
Ohne einen Plan oder eine Methode wissen Sie jedoch gar nicht, wo Sie anfangen sollen – und dies bringt uns zurück zu dem vorher erwähnten Kunden. Er wollte wissen, wie er – ausgehend von seiner chaotischen Filesharing-Umgebung, in der niemand wusste, welche Berechtigungen Fehler aufwiesen, geschweige denn, wie diese behoben werden konnten – kontrollierte, dauerhaft gesicherte Collaboration gewährleisten könnte. Die Antwort liegt nicht nur in der eingesetzten Technologie. Vielmehr geht es darum, eine Methode und Unternehmenskultur zu implementieren, in der Daten als Unternehmensressource und nicht als Technologieposten betrachtet werden. Die Grundlagen unseres Ansatzes sowie unsere Erfahrungen aus der Praxis möchte ich nun in einer Blog-Serie vorstellen.
Nicht alle Daten auf Filesharing-Systemen sind gleich wertvoll. Die erste Herausforderung besteht also darin, herauszufinden, was wichtig ist und was nicht. Das Problem ist, dass 80 % aller Unternehmensdaten unstrukturiert sind und ein Großteil davon für zu viele Nutzer zugänglich ist. Deshalb kann es schwierig sein, Prioritäten zu setzen und zu bestimmen, welchen Aufgaben Sie zuerst Ihre Zeit und Energie widmen sollten.
In den letzten Jahren wurde massiv in DLP-Produkte und in die Klassifizierung von „ruhenden“ Daten (also Informationen, die auf Servern liegen) investiert. Zur Datenklassifizierung gehören viele Aufgaben. Im Mittelpunkt steht für uns jedoch, so viele Daten wie möglich unter die Lupe zu nehmen, um zu bestimmen, was für die Organisation wichtig ist und was nicht. Ein Beispiel: Ein Dienstleister im Gesundheitsbereich möchte alle Patientenakten finden. Er sucht also möglicherweise nach Krankenversicherungs- oder Patientennummern. Eine Bank sucht dagegen vielleicht nach Kreditkarten- oder Kontonummern. Doch Content-Überwachung allein reicht nicht immer aus – möglicherweise möchten Sie auch nach Mustern in Dateien suchen, die von bestimmten Nutzern erstellt oder verwendet werden. Der erste Schritt unserer Methode besteht in jedem Fall darin, die Muster sensibler Daten zu identifizieren: Was erachten wir als wichtig? Denn solange wir das nicht festgelegt haben, wissen wir gar nicht, wo wir überhaupt ansetzen sollen. Dies führt uns auch zum Kern des Problems: Wenn diese Daten wertvoll sind, müssen wir sie schützen.
In künftigen Blog-Beiträgen werde ich die Varonis-Methode weiter ausführen. Bleiben Sie dran.
The post Varonis nutzen: mit der Datenklassifizierung beginnen appeared first on Varonis Deutsch.