Gastbeitrag von Yubico

5 Grundsätze zur Verbesserung des Datenschutzes in Unternehmen

5 Grundsätze zur Verbesserung des Datenschutzes in Unternehmen

Management und Mitarbeiter müssen sensibilisiert werden

In einer zunehmend digitalen Welt werden Sicherheitsmechanismen für Unternehmen immer wichtiger.

Jesper Johansson, CISO, Yubico

Aufgrund der Komplexität des Themas kann es allerdings schwierig sein, einen Anfang zu finden. Bei etablierten Unternehmen, die über ein hohes Maß an IT-Security verfügen, haben sich fünf Merkmale herauskristallisiert, die bei allen Organisationen gleich oder zumindest ähnlich sind. Unternehmen, die die Sicherheitslage ihres Unternehmens verbessern wollen, sollten diese fünf einfachen Prinzipien berücksichtigen.

1. Managementunterstützung

Wenn der Daten- und Systemschutz innerhalb eines Unternehmens Vorrang haben soll, muss der Wunsch dazu ganz oben beginnen. Das gesamte Management-Team, einschließlich des CEO und des Verwaltungsrats, muss sich darauf einigen, dass Sicherheit für den Geschäftserfolg von größter Bedeutung ist. Andernfalls wird die Security in puncto Mittel und Ressourcen benachteiligt.

Obwohl der Erhalt dieser Art von Leadership-Buy-in entmutigend erscheinen mag, ist es keine unmögliche Aufgabe. Ein Blick in die Nachrichten kann schon helfen. Sicherheitsvorfälle, die große Schäden verursacht haben – nicht nur in finanzieller Hinsicht, sondern auch im Hinblick auf die Markenreputation – ereignen sich immer häufiger. Daher erscheint es vernünftig, dass der Vermeidung solcher Vorfälle in Zukunft höchste Priorität eingeräumt werden sollte.

2. Einstellung eines Sicherheits- und Datenschutzbeauftragten

Ein IT-Sicherheitsbeauftragter kann bei der Durchsetzung von Sicherheitsrichtlinien im gesamten Unternehmen helfen. Dazu gehört die Schaffung einer Führungsposition, deren Inhaber für alle Aspekte der Sicherheit und des Datenschutzes sowie für Rechts- und Compliance-Risiken verantwortlich ist. Damit wird nicht nur sichergestellt, dass die Sicherheits- und Datenschutzstrategie ganzheitlich und umfassend angegangen wird, sondern auch die Akzeptanz im Unternehmen gefördert und dazu beigetragen wird, dass das Thema Sicherheit im Vorstand und in den Entscheidungsprozessen ihren Platz hat.

Wenn Sicherheit und Datenschutz für den Sitzungssaal von Bedeutung sind, können Sicherheitsteams proaktiv Datenverstöße berücksichtigen und verhindern, anstatt unvorbereitet erwischt zu werden. Unternehmensziele und Sicherheit können sich daher gegenseitig ergänzen.

3. Eine Kultur der Sicherheit und des Datenschutzes

Es ist kein Wunder, dass Datenschutzverletzungen oft das Ergebnis von Fehlern bei der Einhaltung von Sicherheitsrichtlinien sind. Bei knappen Fristen und engen Zeitplänen kann es für ambitionierte, gut meinende Mitarbeiter verlockend sein, Abkürzungen zu nehmen. Sicherheit ist in der Regel einer der ersten Bereiche, die auf der Strecke bleiben. Die Wiederverwendung von Passwörtern, die Wahl einfacher Passwörter, die gemeinsame Nutzung von Zugangsdaten, unbeaufsichtigt gelassene Geräte und das versehentliche Aufrufen bösartiger Links sind nur einige der Verhaltensweisen von Mitarbeitern, die häufig zu Sicherheitsverletzungen führen.

Die Mitarbeiter müssen ihre Arbeit erledigen. Wenn Sicherheitsmaßnahmen eher ein Hindernis als eine Hilfe darstellen, werden sie anfangen, Kontrollen zu umgehen, die ein Vorteil sein sollten. Unternehmen, die sich der Sicherheit und dem Datenschutz bewusst sind, implementieren konsequent Programme, die sicherstellen, dass jeder Mitarbeiter die bestehenden Sicherheitsrichtlinien kennt, versteht und befolgt. Darüber hinaus werden klare Erwartungen an die Mitarbeiter gestellt und die Folgen klargemacht, die eine Nichteinhaltung für das Unternehmen haben kann.

Dies sollte und darf jedoch nicht bedeuten, dass die Arbeitnehmer Angst haben. Vielmehr bedeutet es, sich die Zeit zu nehmen, verschiedene Zielgruppen über die negativen Auswirkungen eines Datenverstoßes auf Umsatz, Sicherheit und Reputation des Unternehmens aufzuklären. Die besten Sicherheits- und Datenschutzteams helfen den Mitarbeitern, alles richtig zu machen, wenn es um Sicherheit geht, damit sie die bestmögliche Arbeit leisten können.

4. Klare Prozesse und Richtlinien

Die besten Sicherheitsrichtlinien sind nutzlos, wenn die Mitarbeiter nicht mit den Richtlinien vertraut sind. Ein klar definierter Satz von Prozessen muss eingerichtet werden, um sicherzustellen, dass die Sicherheitsziele des Unternehmens tatsächlich erreicht werden können.

Es muss auch klar sein, wie der Erfolg des Programms gemessen werden kann. Für CEOs und Vorstände ist es von unschätzbarem Wert, den Return on Investment (ROI) für Sicherheitsprodukte und -dienstleistungen nachweisen zu können. Der Return on Mitigation (ROM) ist ein weiterer wertvoller Indikator. Es ist wichtig, dass die Früchte einer erfolgreichen Sicherheitsstrategie den Entscheidungsträgern eines Unternehmens präsentiert werden können.

5. Ein Notfallplan

Natürlich will kein Unternehmen mit einer Sicherheitslücke konfrontiert werden, aber Unternehmen, die sich darauf vorbereitet haben, werden künftigen Herausforderungen gewappnet gegenüberstehen. Beispielsweise sollte es einen Plan für den Fall einer Verletzung geben. Dieser sollte Dinge wie die Art und Weise und den Zeitpunkt der Benachrichtigung von Kunden und Mitarbeitern umfassen. Ein klarer und bewährter Notfallplan stellt sicher, dass alle Beteiligten wissen, was zu tun ist, welche Rolle sie spielen und wie sie intern und extern kommunizieren.

Letztendlich sind IT-Sicherheit und Datenschutz zentrale Aspekte des Unternehmensbetriebs. Ob Unternehmen diese fünf Prinzipien oder andere befolgen – die Sicherheit des Betriebs hängt von der Fähigkeit ab, Mitarbeiter und Management für das Gewicht des Problems zu sensibilisieren. Richtlinien, Prozesse, korrekte Planung, Leadership Buy-In und klare Eigenverantwortung werden es nur einfacher machen, dorthin zu gelangen.

Von Jesper Johansson, CISO, Yubico