Datensicherheit
Zehn Empfehlungen zur Einhaltung der Daten-Compliance
Datensicherheit einhalten – Ransomware eindämmen
Unzureichende Richtlinien zur Einhaltung von Datensicherheit können es Ransomware-Angreifern erleichtern, Daten von Unternehmen als Druckmittel zu benutzen. Wie Sophos kürzlich berichtete, gehen einige Angreifer zu erpresserischen Taktiken über. Anstatt Dateien einfach nur zu verschlüsseln, drohen sie damit, die Daten zu veröffentlichen, wenn kein Lösegeld gezahlt wird. Sie bringen so das geschädigte Unternehmen in eine Lage, in der es mit Geldstrafen belegt wird, ganz zu schweigen von der Rufschädigung seiner Marke. Aus diesem und vielen anderen Gründen sind die Einhaltung von Vorschriften und die Informationssicherheit eng miteinander verwoben. Die Einhaltung von Datenschutzbestimmungen wird damit nach Meinung von Pure Storage zu einer noch wichtigeren Säule jeder Sicherheitsstrategie.
Die folgende kurze Liste von Pure Storage zeigt Best Practices, also bewährten Maßnahmen auf, die Unternehmen helfen, die Vorschriften einzuhalten und Ransomware-Kriminellen aus dem Weg zu gehen.
Erstellen eines Compliance-Frameworks
Ein Rahmenwerk für die Sicherheit oder die Reaktion auf Vorfälle erklärt, wie man Vorfälle erkennt, darauf reagiert und sich davon erholt. In ähnlicher Weise bietet ein Compliance-Framework eine Struktur für alle Compliance-Vorschriften, die sich auf ein Unternehmen beziehen, z. B. wie interne Compliance- und Datenschutzkontrollen zu bewerten sind. Ein solches Rahmenwerk hilft auch bei der Identifizierung von Daten, z. B. von personenbezogenen oder sensiblen Daten, die strengere Sicherheitsprotokolle erfordern.
Definieren von Richtlinien darüber, welche Daten gesammelt werden und warum
Dieser Schritt ist Teil der Erstellung eines Rahmenwerks. Es gibt viele Gründe, das Was und das Warum der Datenerfassung zu dokumentieren. Die Aufsichtsbehörden können verlangen, dass solche Richtlinien festgelegt werden; wenn die Daten von Verbrauchern stammen, können sogar noch strengere Anforderungen an die Beschreibung der Erfassungsrichtlinien gestellt werden (siehe Nr. 4).
Erstellen von Datenschutzrichtlinien
Information der Kunden darüber, welche Daten gesammelt werden, wofür sie verwende werden und wie und wie lange sie gespeichert werden. Kunden auch drüber informieren, wie sie Zugang zu ihren persönlichen Daten erhalten oder „vergessen“ werden können, d. h. wie ihre Daten aus den Systemen entfernt werden.
Verstärken des Engagements für die Offenlegung
Öffentlich zugängliche Datenschutzrichtlinien weitergeben, diese veröffentlichen und pflegen.
Auf dem Laufenden über die neuesten gesetzlichen Bestimmungen, die sich auf die Compliance auswirken, bleiben
Ein „Privacy by Design“-Betriebsmodell kann Ihnen helfen, mit den sich ständig ändernden Vorschriften Schritt zu halten und sich an sie anzupassen. Das bedeutet, dass Sie den Datenschutz in die Entwicklung und den Betrieb von IT-Systemen, Infrastrukturen und Geschäftspraktiken einbeziehen, anstatt zu versuchen, ihn nachträglich einzubauen.
Richtlinien zur Aufbewahrung und Löschung von Daten festlegen
Dieser Schritt ist von entscheidender Bedeutung. Aufbewahrungszeitpläne legen fest, wie lange Daten auf einem System gespeichert werden, bevor sie gelöscht werden, und die Zeitpläne können je nach Branche variieren. Ein regelkonformes, ausgereiftes und sicheres Unternehmen zeichnet sich dadurch aus, dass es solide Richtlinien für die Datenaufbewahrung und -löschung entwickelt, die ständig überprüft werden.
Ein Datenverschlüsselungsprotokoll wählen
Festlegen, welche Art von Datenverschlüsselung eingesetzt werden soll und wo – vor Ort, in der Cloud etc. Je nachdem, wo die Daten gespeichert sind, können die Entscheidungen unterschiedlich ausfallen.
Mit dem CISO über Netzwerkkontrollen sprechen
Da Compliance eng mit Sicherheit zusammenhängt, sollten Unternehmen ihren CISO in Gespräche über die Konfiguration von Netzwerkgeräten, die Zugriffskontrolle mit minimalen Rechten, die Ereignisprotokollierung und die mehrstufige Authentifizierung miteinbeziehen.
Anonymisierung sensibler Daten
Falls erforderlich, sollten Daten anonymisiert werden, um persönliche Identifizierungsdaten durch Maskierung, Tokenisierung, Hashing oder Anonymisierung zu entfernen.
Dokumentieren, wie alle von einer Sicherheitsverletzung betroffenen Parteien benachrichtigen werden
Entsprechend der DSGVO sind solche Benachrichtigungen obligatorisch – und Unternehmen möchten auf jeden Fall, dass der Benachrichtigungsprozess reibungslos abläuft. Es gilt festzulegen, wer für die Benachrichtigung verantwortlich ist, wie man das Problem löst und was man tun, um weitere Vorfälle zu verhindern.
Fazit
Die Nutzung von Daten ist mit immensen Möglichkeiten verbunden, aber auch mit Verantwortung. Unternehmen, die an die Weisheit „Daten sind das neue Öl“ glauben, müssen auch die Compliance berücksichtigen, denn anderenfalls gehören die Daten vielleicht nicht mehr lange dem Unternehmen.