Die Verbreitung von Daten und eine datenzentrierte Sicherheitsstrategie
Adam Strange, Global Marketing Director bei Titus, von HelpSystems, veranschaulicht die Fallstricke der Informationssicherheitsarchitektur und erklärt, wie die Umstellung auf datenzentrierte Strategien Daten auf Dateiebene während ihres gesamten Lebenszyklus schützen wird.
Unabhängig davon, in welchem Geschäft Sie tätig sind, ist eine Verletzung der Datensicherheit ein Szenario mit zunehmender Wahrscheinlichkeit, das alle Unternehmen abschwächen müssen. Mit der eskalierenden Cyberkriminalität ist dies jedoch weit verbreitet Wachstum im Cloud-Computing, und die explosionsartige Zunahme mobiler Geräte und die unterschiedliche Nutzung von Technologien und Apps durch Mitarbeiter und Partner, liegen Schlüsselaspekte der Unternehmenssicherheit jetzt und für immer außerhalb unserer Kontrolle.
In der Tat Gartner hat prognostiziert dass die Ausgaben für Sicherheit und Risikomanagement weltweit um 12.4 % auf 150.4 Milliarden US-Dollar im Jahr 2021 steigen werden. Selbst mit dieser Investition steigt die Zahl der Datenschutzverletzungen.
Die Verbreitung von Daten und die Komplexität der zugrunde liegenden Umgebung nehmen weiterhin um Größenordnungen zu. Die erhöhte Anfälligkeit für sensible Daten wird für alle Unternehmen bestehen bleiben. Aber ist es für CISOs nur eine Frage der kontinuierlichen Stärkung der Kernabwehr einer Organisation – der Systeme, Anwendungen, Geräte und Netzwerke, die Daten enthalten?
Tatsache ist, dass mit mehr Apps, mehr Daten, mehr Netzwerken und mehr Anmeldungen als je zuvor sensible Daten außerhalb der Sichtweite und außerhalb der Reichweite von Sicherheitsteams gefährdet sein können. Infolgedessen wird es immer Lücken in der Sicherheitsrichtlinie und dem Prozess geben, und eine Richtlinie zum „Bauen von Mauern“ mit starker Perimeter-basierter Sicherheit, Authentifizierung, Verschlüsselung und mehr wird manchmal scheitern.
Die vier wichtigsten Lücken in der Informationssicherheitsarchitektur
Es gibt vier wesentliche Lücken in der Informationssicherheitsarchitektur, die sich um das Verhalten von Mitarbeitern und externen Partnern drehen und nur durch datenzentrierte Sicherheitspraktiken (und durch die Schaffung einer soliden Sicherheitskultur innerhalb des Unternehmens) behoben werden können. Für CISOs stellen diese Schmerzpunkte ernsthafte Risiken in Bezug auf die Aufrechterhaltung der Compliance dar und können ein reaktionäres Umfeld schaffen, in dem sie ständig aufholen müssen.
Die Verhaltenslücke: Usability stellt CISOs vor große Herausforderungen. Menschen wollen den schnellsten und bequemsten Weg finden, etwas zu erledigen. In der Tat, Menschliches Versagen ist auch 1 die häufigste Ursache für Datenschutzverletzungen. Sensible Dateien werden zu USB-Sticks hinzugefügt oder Daten in ungesicherte Dokumente kopiert, sichere FTP-Server können umgangen werden und Menschen übernehmen möglicherweise nicht immer die vorhandenen Sicherheitsprozesse.
Die Sichtbarkeitslücke: Sensible Daten reisen. Durchschnittliche Mitarbeiter versenden Zehntausende E-Mails pro Jahr und viele erhalten Dateien, die sie nicht sehen sollten. IT-Governance listet eine erstaunliche Anzahl schwerwiegender Datenschutzverletzungen in Unternehmen auf allein im März 2021.
Wer auf Daten zugreift, nachdem sie über die Geräte, Netzwerke und Anwendungen eines Unternehmens hinaus geteilt wurden, und wie sie verwendet werden, liegt außerhalb Ihrer Kontrolle und liegt außerhalb Ihrer Überwachungs-, Audit- und Tracking-Technologien.
Wenn Dateien und Daten außerhalb Ihres Unternehmens geteilt werden, kann die Art der Informationen nicht nachverfolgt oder geprüft werden, sobald sie Ihren Server verlassen.
Die Kontrolllücke: Verlorene Dateien oder durchgesickerte Informationen können sich der Kontrolle eines Unternehmens entziehen. Identitäts- und Zugriffsmanagement, Verwaltung mobiler Geräte und Prävention vor Datenverlust (DLP)-Systeme helfen bei der Überwachung und Kontrolle des Mitarbeiterzugriffs auf Daten. Aber Daten, die die Systeme und Netzwerke in Ihrem Einflussbereich verlassen, entziehen sich effektiv Ihrer Kontrolle.
Verlorene oder durchgesickerte Informationen können schwerwiegende Folgen haben, ohne dass die einmal durchgesickerten Informationen geschlossen werden können, und potenzielle Verstöße müssen mit Auswirkungen auf die Einhaltung von Vorschriften gemeldet werden.
Die Reaktionszeitlücke: Es gibt eine Zeitverzögerung zwischen der Aufnahme einer neuen Anwendung oder eines neuen Verhaltens und der Fähigkeit von CISOs, diese zu verstehen und darauf zu reagieren. Dies versetzt Sicherheitsteams in einen reaktionären Modus, und es kann Wochen oder Monate dauern, bis sie erkannt werden, während dieser Zeit wissen Sie nicht, was mit sensiblen Informationen passiert.
Die Technologie ändert sich schnell, und in vielen Organisationen bringen Mitarbeiter ihre eigenen Geräte, Anwendungen und Erwartungen an die Arbeitsweise mit. Darüber hinaus kaufen Abteilungen Anwendungen und Geräte, die wiederum sensiblere, proprietäre Informationen generieren.
In der Eile, Geschäfte zu erledigen, muss die Sicherheit oft aufholen, und Sicherheitsverletzungen können die unbeabsichtigten Folgen dieser Lücke sein.
Die Sicherheit muss mit der Geschwindigkeit des Geschäfts Schritt halten und sich flexibel an Unbekanntes anpassen können. Ihre Antwortzeitlücke kann in Tagen, Wochen, Monaten oder Quartalen gemessen werden. Je länger sie ist, desto größer ist das Risiko, dass Menschen Maßnahmen selbst in die Hand nehmen oder sensible Daten ungetrackt in neue Anwendungen gelangen.
Schließen der Datensicherheitslücke mit datenzentrierten Sicherheitsstrategien
Zusammenarbeit, Innovation, Partnerschaften und Geschäftsentwicklung sind die Verhaltensweisen, die das Unternehmenswachstum vorantreiben, und alle sind auf den vertrauenswürdigen Austausch wichtiger Informationen angewiesen.
Wenn diese neuen unvorhergesehenen Verstöße auftreten, müssen CISOs reagieren, indem sie sich von infrastrukturzentrierten Sicherheitsmaßnahmen mit mehreren Verteidigungsebenen zu entwickeln datenzentrierte Ansätze die schützen, was wirklich zählt: die Daten selbst.
Data Loss Prevention (DLP)-Lösungen, Datenverschlüsselungslösungen und Digital Rights Management (DRM)-Tools haben oft einen eingeschränkten Blick auf die zu schützenden Daten, beispielsweise Dateien auf einem Server oder E-Mails, die das Netzwerk verlassen, und sind dennoch auf die angewiesen Idee von Wänden – Systemen, Geräten oder Netzwerken, die Daten einschließen.
Unternehmen müssen in der Lage sein, Sicherheit auf Dateiebene zu gewährleisten – um jede Art von Daten zu sichern, zu verfolgen und zu teilen, unabhängig davon, wo sie gespeichert oder gespeichert sind, mit robuster Richtliniendurchsetzung, starker Verschlüsselung und strengen Zugriffskontrollen. Datenzentrische Sicherheitslösungen ermöglichen es den Mitarbeitern auch, frei zusammenzuarbeiten und gleichzeitig ein hohes Maß an Sicherheit und Transparenz zu gewährleisten, und sogar den Zugriff auf vertrauliche Daten zu widerrufen, die versehentlich per E-Mail geteilt wurden. Darüber hinaus kann durch Hinzufügen eines Cloud-basierten Tethers der Zugriff auf Daten mit Zugriffsrechten verwaltet und die Daten entschlüsselt werden, wenn die Person zugelassen ist.
WEITERLESEN:
- Biometrische Authentifizierung: das Gute, das Schlechte und das Hässliche
- Sie hatten einen Datenleck – wie rollt man erfolgreich einen Notfall-Patch aus?
- Wie Sie Ihr Büro in einer Post-Covid-19-Welt erfolgreich wiedereröffnen
- Häufige Migrationsfallen und wie man sie vermeidet
Daten sind das Lebenselixier des Geschäfts, und wenn sie zu streng gesperrt werden, verlangsamt sich das Geschäft und verringert möglicherweise seinen Wert. CISOs sollten eine datenzentrierte Sicherheitslösung einführen, die sensible Daten während ihres gesamten Lebenszyklus schützt, überall, wo sie transportiert werden, unabhängig davon, wer sie hat oder wo sie gespeichert sind. Durch Hinzufügen dieser zusätzlichen Sicherheitsebene werden Daten während der Übertragung, Verwendung oder Speicherung innerhalb oder außerhalb der Organisation geschützt.
Folge uns auf LinkedIn und Twitter
