GDPR: Schaffung einer Kultur des Datenschutzes und der konzeptionellen Sicherheit

Dies ist der zweite Teil einer Reihe von Blog-Beiträgen, mit denen Sicherheitsverantwortliche und Führungskräfte in Unternehmen auf die Datenschutz-Grundverordnung (DSGVO) 2017 vorbereitet werden sollen.

Denken Sie bei der neuen EU-Datenschutz-Grundverordnung (DSGVO) nicht in erster Linie an Bußgelder. Denken Sie dabei an die Schaffung einer Kultur des Datenschutzes und der konzeptionellen Sicherheit.

Was bedeutet das? Bei diesem Ansatz geht es zwar um den Schutz persönlicher Daten und um Cyber-Sicherheit, doch dies umfasst viel mehr als persönliche Daten und Technologie. Nur weil das „D“ in DSGVO für „Daten“ steht, können Sie nicht einfach eine Lösung zum Schutz vor Datenkompromittierungen (DLP) aktivieren und die Arbeit dann als erledigt betrachten. Auch mit einem technologieorientierten Ansatz – und verstehen Sie mich bitte nicht falsch, der vermehrte Einsatz von DLP-Technologie ist durchaus eine gute Sache – muss sich jedes Unternehmen dennoch Gedanken machen über die davon betroffenen Geschäftsprozesse, die davon betroffenen Prozesse zur Erkennung von Kompromittierungen, die Mitarbeiter, die diese Technologie anwenden, und die Personen, deren Daten verarbeitet werden – denn sie sind einem persönlichen Risiko ausgesetzt.

Lassen Sie uns kurz bei den Mitarbeitern bleiben. Innerhalb eines Unternehmens muss man im Blick haben, inwieweit die verschiedenen Rollen davon betroffen sind. Dies reicht vom allgemeinen Nutzer bis hin zu Nutzern mit erhöhten Berechtigungen, leitenden Angestellten und Führungskräften.

Was die Geschäftsprozesse betrifft, muss man sich fragen, welche Datenflüsse es gibt und was von der Erfassung, Speicherung und Nutzung persönlicher Daten betroffen ist. Es müssen geeignete Technologien und Verfahrenskontrollen vorhanden sein.

Um all dies umsetzen zu können, müssen Rahmenbedingungen wie die folgenden zur Anwendung kommen. Denken Sie zunächst an die Sicherheitsstrategie im Hinblick auf Governance, Mitarbeiter, Prozesse und Technologie. Dann bedenken Sie die erforderlichen Sicherheitsergebnisse, um für die DSGVO gerüstet zu sein, sowie die entsprechenden Lösungen.

Prüfung der Sicherheitsstrategie

Angesichts dieser neuen Verordnung hängt die Messlatte für Datenschutz innerhalb eines Unternehmens definitiv höher. Die Vorbereitung auf die verschiedenen Sicherheits- und Meldebestimmungen der neuen Verordnung – innerhalb eines vernetzten, dynamischen digitalen Unternehmens – erfordert eine ganzheitliche Prüfung der Sicherheitsstrategie hinsichtlich Governance, Mitarbeitern, Prozessen und Technologie:

• In vielen Fällen muss zur Vorbereitung auf die neue Verordnung zunächst ein Datenschutzbeauftragter ernannt werden, der für die Einhaltung der Vorschriften und die Kommunikation mit den Aufsichtsbehörden verantwortlich ist. Darüber hinaus erfordert die DSGVO in Anbetracht der hohen Geldbußen bei Verstößen die Aufmerksamkeit der Unternehmensführung, sodass wohl neue interne Berichtsstrukturen geschaffen werden müssen und eine Kultur der kontinuierlichen Compliance erforderlich ist. Diese Strukturen sind für die Entwicklung eines erfolgreichen, langfristigen Datenschutzprogramms unerlässlich.
• Innerhalb eines Unternehmens trägt jeder Einzelne Verantwortung für die Datensicherheit, nicht nur die Personen im Sicherheitsbereich. Es ist wichtig, dass alle Mitarbeiter, angefangen bei den Führungskräften bis hin zu Nutzern, Administratoren und Entwicklern, im Schutz von Daten geschult werden und bereit für die Herausforderungen sind, wenn abgekürzte Verfahren vorgeschlagen werden. Wenn man die Mitarbeiter als Teil der Lösung betrachtet, und nicht als Teil des Problems, hilft dies bei der Entwicklung einer Kultur der konzeptionellen Sicherheit und des Datenschutzes.
• Mehrere wichtige Sicherheits- und Geschäftsprozesse sollten im Hinblick auf deren Anwendbarkeit und die derzeitigen Fähigkeiten geprüft werden. Bei dieser Prüfung sollte man sich eingehend mit Datenflüssen, der Datenerfassung, -verarbeitung, -speicherung und -verwaltung befassen, um das Ausmaß des Problems zu verstehen. Wichtige Datenschutzprozesse umfassen die Klassifizierung und Überwachung sowie die Anwendungsentwicklung und Sicherheitsprüfung.
• Wir sollten über ein Sicherheitssystem nachdenken, das den Schutz gespeicherter, übertragener oder verwendeter Daten ermöglicht und eine schnelle Erkennung und Reaktion auf Kompromittierungen gewährleistet. Unternehmen sollten prüfen, ob ihre derzeitige erstklassige Sicherheitstechnologiestrategie die erforderliche Effektivität bietet, um mit neuen Bedrohungen Schritt halten zu können, und die betriebliche Effizienz ermöglicht, die zur Einhaltung der Budgetvorgaben erforderlich ist.

Messung der Sicherheitsergebnisse

Um bewerten zu können, ob man für die DSGVO hinreichend gerüstet ist, muss das aktuelle Sicherheitsprogramm des Unternehmens geprüft werden. Die folgenden Cyber-Sicherheitsergebnisse sind für jedes Unternehmen, das einen digitalen Wandel vollzieht, von kritischer Bedeutung und stellen die Hauptsäulen für die Vorbereitung auf die DSGVO dar. Ihre Sicherheitslösungen müssen dafür sorgen können, dass die technischen Bausteine von Endgeräten, Netzwerken, der Cloud und von Sicherheitskontrollzentren als abgestimmtes System zusammenarbeiten, um die erforderlichen Funktionen zur Vorbeugung, Erkennung und Reaktion bereitzustellen, sodass die wichtigsten Ergebnisse erzielt werden können.

• Ausschaltung aufkommender Bedrohungen. Malware-Infektionen und die Ausnutzung von Anwendungsschwachstellen sind wichtige Angriffsvektoren, die zu einer Datenexfiltration führen. Fortschrittlicher Bedrohungsschutz auf Endgeräten und in Netzwerken kann die Angriffsfläche für bekannte und unbekannte Malware wesentlich verringern. In Sicherheitskontrollzentren müssen Bedrohungsdaten von mehreren Quellen genutzt werden, um proaktiv nach Angreifern zu suchen.
• Schutz wichtiger Daten. Ein gutes Datensicherheitsprogramm muss die Möglichkeit bieten, Daten zu schützen und versehentliche Datenverluste oder böswillige Diebstahlversuche zu erkennen und dagegen vorzugehen. Verschlüsselungstechnologien sowie Technologien zum Schutz vor Datenkompromittierung sind überaus wichtig, um versehentliche Datenverluste zu verhindern. In den Sicherheitskontrollzentren sind SIEM-Lösungen in Kombination mit erweiterten Analysen des Nutzerverhaltens wichtige Faktoren bei der Erkennung und Untersuchung von Insider-Bedrohungen.
• Schutz von Cloud-Umgebungen. Software-as-a-Service (SaaS) and Cloud-gehostete Anwendungen stellen besondere Herausforderungen bei der Vorbereitung auf die DSGVO dar. Viele Unternehmen nutzen jedoch separate Cloud- und Unternehmens-Sicherheitslösungen, die Lücken bei der Transparenz und Sicherheit mit sich bringen können. Wie wäre es denn mit einem einheitlichen Sicherheitssystem, das eine problemlose Erweiterung der Schutz-, Erkennungs- und Korrekturfunktionen für Cloud-Umgebungen ermöglicht?
• Optimierung der Sicherheitsprozesse. Viele Sicherheitskontrollzentren haben nicht die Möglichkeit, Datenkompromittierungen zu erkennen und entsprechend darauf zu reagieren. Eine kritische Anforderung hinsichtlich der Vorbereitung auf die DSGVO ist die Fähigkeit, Vorfälle innerhalb von drei Tagen zu melden. Daher ist es unerlässlich, innerhalb von Sicherheitsprozessen Playbooks zu Datenkompromittierungen zu entwickeln. Zudem können Orchestrierungstechnologien bei der Schließung von Lücken und einer beschleunigten Reaktion auf Vorfälle helfen.

Dies sind meine empfohlenen Rahmenbedingungen, die bei den vier Dimensionen der Sicherheitsstrategie beginnen, um eine Kultur des Datenschutzes und der konzeptionellen Sicherheit zu schaffen.

In der zweiten Hälfte der Rahmenbedingungen wird gezeigt, wie mit dem Thema Sicherheit umgegangen werden muss, um die gewünschten Ergebnisse zu erzielen und für die DSGVO gerüstet zu sein.

Dies sollte bei Sicherheitsverantwortlichen und Führungskräften in Unternehmen in diesem Jahr im Vordergrund stehen. Sie sollten Investitionen priorisieren und neue Programme oder Lösungen implementieren, um sicherzustellen, dass das Unternehmen den verschärften regulatorischen Rahmenbedingungen gewachsen ist.

Wie bereit sind Sie?

The information provided on this GDPR page is our informed interpretation of the EU General Data Protection Regulation, and is for information purposes only and it does not constitute legal advice or advice on how to achieve operational privacy and security. It is not incorporated into any contract and does not commit promise or create any legal obligation to deliver any code, result, material, or functionality. Furthermore, the information provided herein is subject to change without notice, and is provided “AS IS” without guarantee or warranty as to the accuracy or applicability of the information to any specific situation or circumstance. If you require legal advice on the requirements of the General Data Protection Regulation, or any other law, or advice on the extent to which McAfee technologies can assist you to achieve compliance with the Regulation or any other law, you are advised to consult a suitably qualified legal professional. If you require advice on the nature of the technical and organizational measures that are required to deliver operational privacy and security in your organization, you should consult a suitably qualified privacy professional. No liability is accepted to any party for any harms or losses suffered in reliance on the contents of this publication.