In meinem letzten Beitrag zur Verhinderung von Datenlecks haben wir uns mit der Roadmap für 30, 60 und 90 Tage zur produktiven Zusammenarbeit von Organisationen bei gleichzeitigem Schutz vertraulicher Informationen befasst. Nun ist es Zeit für den nächsten Schritt zum Schutz der Daten Ihrer Organisation.
Die Verbesserung der Datenermittlung, die Änderung und Aktualisierung Ihrer Regeln zur Anpassung an Organisationsrichtlinien und das Versehen von Dokumenten mit korrekten Bezeichnungen bilden nur den Anfang einer erfolgreichen Roadmap zur Vermeidung von Datenverlust (Data Loss Prevention, DLP). Es kann auch sein, dass Sie Ihr Konzept gegen Ende der 90-Tage-Roadmap mehrmals anpassen müssen. Das ist völlig normal! Nicht alle Daten sind vertraulich, und nicht nur die Daten selbst stellen ein Risiko dar. Die menschliche Komponente ist der Auslöser für Verstöße.
Organisationen müssen die Informationen in einem bestimmten Dokument, Artikel oder System genauso identifizieren, wie alle umgebenden Elemente zur Schaffung von Kontext (beispielsweise der Verwendung der Informationen). Zum Beispiel könnte eine typische DLP-Lösung wahrscheinlich sensible Dokumente mit Kreditkarteninformationen in Ordnern der Finanzabteilung identifizieren. Allerdings können Sie so nicht bestimmen, ob die Informationen gefährdet sind, weil jeglicher Kontext fehlt. Die Compliance-Guardian-Software von AvePoint glänzt in beiden Bereichen: Sie erkennt sowohl Inhalte als auch Kontext.
Die guten, die schlechten und die Albtraumszenarien
Nicht alle Informationen sind vertraulich und nicht alle Verstöße haben dieselben negativen Auswirkungen auf Ihre Organisation. Sehen wir uns folgende drei Szenarien mit verschiedenen Risikofaktoren an, bei denen ein Verstoß vorliegt:
John aus dem Marketing hat per SharePoint/SharePoint Onlineeine Datei mit jemandem außerhalb der Organisation geteilt.
Mary aus HR hat per SharePoint/SharePoint Online eine Datei mit weniger als zehn Sozialversicherungsnummern mit jemandem außerhalb der Organisation geteilt.
Bob aus dem Callcenter hat per SharePoint/SharePoint Online eine Datei mit mehr als zehn Sozialversicherungsnummern mit jemandem außerhalb der Organisation geteilt.
In Johns Beispiel kennen wir den Inhalt nicht, wir wissen allerdings, dass eine Datei mit jemandem außerhalb der Organisation geteilt wurde. Hierbei kann es sich um ein Risiko handeln oder auch nicht; das Teilen dieser Inhalte kann in seinen alltäglichen Aufgabenbereich fallen. Trotzdem ist es gut, über diese Vorgänge Bescheid zu wissen. Wir bewerten das Risiko in diesem Beispiel als minimal (abhängig davon, mit wem die Informationen geteilt werden).
In Marys Beispiel kann das Risiko auf Grundlage der Aktion (externes Teilen) und der Informationen (Teilen von persönlichen Daten) moderat sein. Sie arbeitet in HR, wir können also annehmen (Vertrauen und Kontrolle), dass es in ihren alltäglichen Aufgabenbereich fällt.
In Bobs Beispiel ist das Risiko aufgrund der Aktion (externes Teilen), der Menge an Informationen (mehr als zehn Sozialversicherungsnummern) und wie Bob diese Informationen überhaupt erhalten hat (aber das ist ein Thema für einen kommenden Blog-Artikel) recht hoch.
Automatisierung der risikobasierten Vermeidung von Datenverlust mit Compliance Guardian
Mit Compliance Guardian von AvePoint können Sie ganz einfach eine Analyse von Bobs Szenario erstellen und automatisieren. Das Ganze beginnt mit der Erstellung einer Kontextprüfung. In diesem Fall wollen wir überprüfen, ob ein Dokument extern geteilt wird. Nach Abschluss des Prozesses bestimmen wir die Wahrscheinlichkeit (die Aktivität hat eine Wahrscheinlichkeit von 100 %) und die Schwere (wenn ein Dokument extern geteilt wird, können die Auswirkungen minimal sein, es sei denn der Inhalt des Dokuments birgt ein höheres Risiko).
Klicken Sie auf das Bild, um zu erfahren, wie eine Kontextprüfung zur Feststellung, ob ein Dokument extern geteilt wurde, erstellt wird.
Im nächsten Schritt wird die Prüfung einer Testsuite (Vorlage) hinzugefügt. Hier können wir dann die Aktionen von Mary und Bob identifizieren. Wir können direkt in unserer Testsuite von Compliance Guardian eine Prüfung auf externes Teilen und Dokumente mit Sozialversicherungsnummern durchführen lassen. Wir können auch noch weitere Aufgaben zu einer Testsuite hinzufügen, falls wir mehrere Anwendungsfälle oder Datenarten in einem Durchlauf identifizieren müssen.
Bei der Erstellung einer Testsuite können Sie eine Logik aufbauen, die auf mehreren Kriterien beruht, z. B.:
„Klassifizierung der Aktion als extremes Risiko in Bobs Anwendungsfall (externes Teilen von mehr als zehn Sozialversicherungsnummern)“, oder
„Klassifizierung der Aktion als moderates Risiko in Marys Anwendungsfall (externes Teilen von weniger als zehn Sozialversicherungsnummern)“.
Klicken Sie auf das Bild, um zu erfahren, wie in Compliance Guardian Prüfungen hinzugefügt und Vorlagen erstellt werden.
Der letzte Schritt ist die Erstellung eines Scan-Plans und die Automatisierung von Sicherheitskontrollen auf Grundlage der Risiken in unseren Beispielen. Wir haben als Quelle SharePoint ausgewählt, die von uns erstellte Testsuite hinzugefügt und dann unsere Aktionsregeln wie folgt aufgebaut:
Bei einer moderaten Risikostufe (Johns Szenario) erfolgt eine automatische Benachrichtigung der IT und die Erstellung einer später zu prüfenden und zu bearbeitenden Vorfallsmeldung. In diesem Fall wird John nicht daran gehindert, die Datei zu teilen, aber es ist bekannt, wer was wann und wo getan hat.
Das nächste ist Marys Szenario. Das Teilen von Dateien mit einer Person außerhalb der Organisation ist Mary nicht untersagt und daher werden wir ggf. die Dateien einfach unter Quarantäne stellen und einen Vorfallsbericht für das potenzielle Risiko erstellen. Dieses Szenario taucht beim Einsatz von DLP-Lösungen im Rahmen der Roadmap für 30, 60 und 90 Tage häufig auf und erfordert eine laufende Identifizierung dessen, wer welche Tätigkeiten in Ihrer Organisation durchführt. Bedenken Sie, dass Vertrauen UND Kontrolle die beste Handlungsanweisung bei jeglichen Verstößen ist. Somit ist das Vorhandensein eines Mechanismus zur Überwachung, Meldung und Vermeidung ungewollter Aktionen besser als kein Mechanismus.
In Bobs Szenario schließlich wollen wir eine Löschung automatisieren, die das Risiko vermeidet oder begrenzt. Außerdem können wir einen Vorfall erstellen, der dann von einer verantwortlichen Person bearbeitet und per Prüfpfad nachverfolgt wird.
Klicken Sie auf das Bild, um zu erfahren, wie in Compliance Guardian eine Richtlinie für Aktionen zur Vermeidung von Datenverlust erstellt wird.
Beim Einsatz einer DLP-Lösung sind die oben genannten Beispiele einfach, effektiv und zugleich sehr wichtig. Der Vorteil von Compliance Guardian ist die Automatisierung des Ermittlungsprozesses in mehreren Systemen. Hier können Sie sowohl inhalts- als auch kontextbezogene Aktionsregeln aktivieren, die ohne Behinderung der Zusammenarbeit vertrauliche Daten schützen.
Im nächsten Blog-Artikel befassen wir uns mit der Frage, die sich jeder CISO und jeder im Bereich Informationssicherheit sicherlich stellt: „Wie hat Bob Zugriff auf die Datei mit mehr als zehn Sozialversicherungsnummern erhalten?“
Fordern Sie eine Demo an und erfahren Sie, wie Compliance Guardian Ihnen mit leistungsstarken Tools zur Datenklassifizierung und -prüfung dabei hilft, immer einen genauen Überblick über die Daten Ihrer Organisation zu behalten.
During his tenure as a Senior Compliance Technical Specialist at AvePoint, Esad was responsible for research, technical and analytical support on current as well as upcoming industry trends, technology, standards, best practices, concepts and solutions for information security, risk analysis and compliance.