Ein Leitfaden für das Datenrisikomanagement

Daten sind das Lebenselixier eines jeden Unternehmens. Eine falsche oder mangelhafte Nutzung von Daten kann die Abläufe und  Ergebnisse einer Organisation stark beeinträchtigen. Risiken müssen identifiziert, verstanden, quantifiziert und in Kategorien eingeteilt werden, z. B. Vermeiden, Übertragen, Abschwächen usw. Das Erkennen von Datenrisiken und der Umgang mit ihren Folgen sollte ein "mit offenen Augen" geführtes Unterfangen sein. Mit anderen Worten: Ein datengesteuertes Risikomanagement ist eine Notwendigkeit für alle Unternehmen.

Das Datenrisikomanagement umfasst alle Verfahren zur Identifizierung von Risiken, zur Risikobewertung und zur Reduzierung von Risiken auf ein akzeptables Niveau. Dies war schon immer wichtig, doch heutzutage steht mehr auf dem Spiel, denn es gibt neue Formen der Remote-Arbeit, Verletzungen der Cybersicherheit und Sicherheitsrisiken in der Cloud. Der jährliche Bericht über die Kosten von Datenschutzverletzungen, der vom Ponemon Institute durchgeführt wurde, hat ergeben, dass Datenschutzverletzungen Unternehmen mittlerweile im Durchschnitt 4,24 Millionen US-Dollar pro Vorfall kosten - die bislang höchsten Kosten in der 17-jährigen Geschichte des Berichts. Ponemon stellt fest, dass die Sicherheit den raschen IT-Veränderungen wie Remote-Arbeit und Cloud-basierten Aktivitäten hinterherhinkt. Die Ergebnisse haben erhebliche Konsequenzen. Fast 20 % der untersuchten Unternehmen gaben an, dass Remote-Arbeit ein signifikanter Faktor bei der Verletzung der Datensicherheit war,  die die Unternehmen am Ende 4,96 Millionen US-Dollar (fast 15 % mehr als die durchschnittliche Verletzung) gekostet haben. Bei Unternehmen, die während eines Cloud-Migrationsprojekts einer Sicherheitsverletzung erlagen, lagen die Kosten um 18,8 % über dem Durchschnitt.

In Anbetracht der oben genannten Trends und der Tatsache, dass die Cloud- und Remote-Mitarbeiter auf Dauer Bestand haben werden, müssen Sie sich im Rahmen Ihrer Strategie für das Datenrisikomanagement auf dessen Absicherung konzentrieren und die potenziellen Risiken und Bedrohungen, die Wahrscheinlichkeit ihres Auftretens und ihre potenziellen Auswirkungen, Ihre aktuelle Sicherheitslage und mögliche Lösungen verstehen. Jedes dieser Systeme bringt einzigartige Herausforderungen mit sich, die Sie bewältigen müssen. Cloud-Risiken werden durch mangelnde Cloud-Transparenz, Big-Data-Risiken, Datenmigrationsrisiken, Sicherheitsrisiken bei der Cloud-Speicherung, Cloud-Fehlkonfigurationen und vieles mehr erschwert. Andererseits ergeben sich Sicherheitsbedenken bei der Remote-Arbeit durch Datenlecks, geringe Sichtbarkeit von Benutzern, die außerhalb des Unternehmensnetzwerks arbeiten, und Phishing-Angriffen, um nur einige Probleme zu nennen.

Daten-Risikomanagement

Datenrisikomanagement ist die Praxis, die eine Organisation mit Governance, Prozessen, Verfahren und Compliance für die Beschaffung, Speicherung, Verarbeitung, Umwandlung und Nutzung von Daten anwendet, um Datenrisiken zu verwalten und zu beseitigen. Bei der Risikoanalyse werden die Vermögenswerte des Unternehmens, mögliche Bedrohungen und Schwachstellen untersucht, um das Risiko zu bestimmenund Gegenmaßnahmen zur Risikoverwaltung zu ergreifen.

Ursachen für das Datenrisiko:

• Schlechte Datenverwaltung - Unternehmen müssen sicherstellen, dass ihre Daten von hoher Qualität sind, um organisatorische Entscheidungen unterstützen zu können. Eine gute Data Governance schafft ein Gleichgewicht zwischen der Notwendigkeit, Daten zu demokratisieren, und der Notwendigkeit, Daten zu kennen und zu nutzen.
• Missmanagement von Daten - Der gesamte Lebenszyklus von Daten muss geschützt werden, wenn sie von einer Phase zur nächsten übergehen, einschließlich der Daten im Ruhezustand und bei der Übertragung. Alle Verfahren zur Beschaffung, Speicherung, Umwandlung, zum Laden und zur Verarbeitung von Daten müssen angemessen verwaltet werden.
• Unzureichende Datensicherheit - Unternehmen müssen ihre Umgebung vor Cyberangriffen und unbeabsichtigten internen Datenkompromittierungen mit Patches, Schulungen, einem Zero-Trust-Modell usw. schützen.
• Schlechte Patch-Verwaltung - System-Patches müssen immer auf dem neuesten Stand sein und rechtzeitig zur Verfügung gestellt werden. Wenn die Patch-Verwaltung nicht effektiv und effizient durchgeführt wird, bietet sich eine günstige Gelegenheit für Cyberangriffe. Die Patch-Verwaltung sollte so weit wie möglich Bulletin-basiert und automatisiert sein.
• Continuous Diagnostics and Mitigation (CDM) - In Übereinstimmung mit US-CERT sollten Unternehmen ein automatisiertes, risikobasiertes IT-Sicherheitsprogramm implementieren, das die gesamte Infrastruktur, alle Anwendungen und Daten sowohl On-Premises als auch in den Cloud-Bereitstellungen abdeckt. Es ist selten, dass die Hardware- oder Anwendungsumgebung dauerhaft beschädigt wird oder unvorhersehbare Folgen nach sich zieht; das Gleiche gilt für Datenrisiken. Eine Risikoanalyse "Vorsorgen - Erkennen - Reagieren" muss sich auf Datenrisiken als Kernstück eines CDM-Cybersicherheitsprogramms konzentrieren.

Einige Vorteile des Managements von Datenrisiken:

• Die Kosten für ein Unternehmen können in vielerlei Hinsicht gesenkt werden, z. B. durch Bußgelder, Zeitverlust, Kundenbindung und viele andere Aspekte.
• Verringern Sie das Risiko, indem Sie mit einer Strategie für das Management aller Risiken proaktiv statt reaktiv handeln.
• Erhöhen Sie die Flexibilität ihres Unternehmens, um schnell reagieren zu können. Die Bewertung und Verwaltung von Datenrisiken ist ein proaktives Verfahren zur Unterstützung der geschäftlichen Verfügbarkeit des Unternehmens auf der Grundlage einer schnellen Reaktion auf Herausforderungen.
• Die Langlebigkeit eines Unternehmens hängt von der Fähigkeit ab, Dienstleistungen und Produkte bereitzustellen und zu unterstützen. Ohne ein angemessenes Datenrisikomanagement besteht für Unternehmen die Gefahr des Scheiterns.
• Die Zufriedenheit der Kunden basiert auf der Fähigkeit eines Unternehmens, durch den Schutz der für die Geschäftsabwicklung gemeinsam genutzten Daten eine sichere Leistung zu erbringen. Umfragen zur Kundenzufriedenheit und Net Promoter-Bewertungen basieren auf der Fähigkeit des Unternehmens, Datenrisiken angemessen zu verwalten.

Der Nutzen des Datenrisikomanagements ist damit auch die Kosten wert. Mit der Einbindung dieser Praxis innerhalb einer Organisation steigt der Erfolg der Organisation. Der folgende Leitfaden zum Datenrisikomanagement enthält einige Tipps und Anleitungen, wie Sie in Ihrem Unternehmen mit dem Datenrisikomanagement vorgehen sollten.

Leitfaden zum Datenrisikomanagement

Das Datenrisikomanagement darf in keinem Unternehmen vernachlässigt werden. Damit das Datenrisikomanagement erfolgreich ist, bedarf es einer strategischen Absicht, der Unterstützung durch die Geschäftsleitung und eines kulturellen Wandels. Beginnen Sie mit der Gründung eines Teams, das für Datenrisiken verantwortlich und zuständig ist. Erstellen Sie eine allgemeine RACI-Matrix für die Datenrisikomanagementpolitik. Stellen Sie einen Datenschutzbeauftragten (DSB) ein, der für ein Datenrisikomanagement-Framework verantwortlich ist. Fügen Sie dem Framework Ziele, Vorgaben und Messungen hinzu.

Einige Aufgaben, Tipps und Anleitungen zum Datenrisikomanagement:

• Identifizierung von Risiken, Bedrohungen und Schwachstellen - Durchführung einer Risikobewertung für das Rechenzentrum.
• Bewerten Sie die Wahrscheinlichkeit und die Auswirkungen und führen Sie eine Analyse der Auswirkungen auf das Geschäft durch - es kann hilfreich sein, die Unterstützung Dritter in Anspruch zu nehmen. Berücksichtigen Sie die finanziellen Auswirkungen und den zeitlichen Verlauf, um Prioritäten und Maßnahmen zur Behebung von Datenrisiken zu bestimmen.
• Definition von Governance, Richtlinien, Vorschriften und Compliance-Anforderungen, einschließlich der Ermittlung und Übernahme bewährter Verfahren für das Datenrisikomanagement
• Bewertung der bestehenden Kontrollen und kontinuierliche Durchführung dieser Tätigkeit im Hinblick auf die sich verändernde Risikolandschaft. Implementierung von Kontrollen in Praktiken, Prozessen und Arbeitsanweisungen in der gesamten Organisation.
• Risikoreaktionsstrategie und -plan - Vermeidung, Abschwächung, Übertragung, Akzeptanz. Der Abschluss einer Cybersicherheitsversicherung ist eine Möglichkeit, das aus Cyberangriffen resultierende Datenrisiko zu übertragen. Stellen Sie sicher, dass Sie einen Plan für jeden Aspekt des Risikomanagements haben.
• Testen Sie den Plan, um sicherzugehen, dass er funktioniert; falls nicht, passen Sie den Plan an und definieren Sie alle anderen Aspekte des Datenrisikomanagements neu.
• Überwachen Sie die Risiken und geben Sie Rückmeldungen, verwenden Sie so weit wie möglich automatisierte Tools und holen Sie Feedback von den Mitarbeitern des Unternehmens ein.
• Plan und Aktivitäten zur kontinuierlichen Verbesserung, Risikomanagement ist für immer eine notwendige Fähigkeit der Organisation.

Einige potenzielle Risiken, die es zu erkennen und zu bewältigen gilt:

• Daten können jederzeit beschädigt werden, beim Lesen, Schreiben, Übertragen, Laden, Verarbeiten usw. Stellen Sie sicher, dass Sie die Replikation, Duplizierung, Sicherung und Wiederherstellung von Daten identifizieren und das Risiko in jeder Phase des Lebenszyklus der Datenverwaltung verwalten können.
• Der Ausfall von Geräten vor Ort und in Cloud , in der sich die Daten befinden, ist von entscheidender Bedeutung. Unternehmen sollten den gesamten IT-Gerätestapel und die damit verbundenen Daten verstehen und Pläne und Maßnahmen für Datenrisiken vorbereiten.
• Bei der Daten-Compliance ist darauf zu achten, dass sowohl kunden- und partnerspezifische als auch branchen- und regionalspezifische Vorschriften eingehalten werden, z. B. die General Data Protection Regulation (GDPR), der Health Insurance Portability and Accountability Act (HIPAA), Criminal Justice Information Services (CJIS), Family Educational Rights and Privacy Act (FERPA), International Traffic in Arms Regulations (ITAR) und California Consumer Privacy Act (CCPA). Datenschutz und Vertrauen müssen verwaltet und Risiken berücksichtigt werden - jede dieser Vorschriften unterstreicht die Notwendigkeit eines Datenrisikomanagements.
• Lieferanten-Lock-in für Datenmanagement kann kostspielig sein. Prüfen Sie Verträge und verstehen Sie die Kosten im Verhältnis zum Wert.
• Die Wiederverwendung von Daten durch Datenausmusterung kann - wenn  nicht korrekt durchgeführt - zu einem Risiko für das Unternehmen führen. Vergewissern Sie sich, dass dies in angemessener Weise geschieht.
• Die Identifizierung von Sicherheitsmängeln und Schwachstellen kann durch Audits erfolgen. Datenaudits sind immer eine gute Idee, um Risiken in Organisationen zu managen.
• Die langfristige Speicherung und Verwaltung ungenutzter Daten ist kostspielig. Ungenutzte Daten haben keinen Wert und sind, wenn sie ohne Zweck verwaltet werden, reine Zeitverschwendung. Dies gilt auch für Fragen der Governance und Compliance.
• Personalpolitik und -verhalten - Malware, Phishing, Spyware usw.
• Cloud-SaaS-, PaaS- und IaaS-Risiken sollten für jeden Dienst ermittelt und verwaltet werden. Viele Unternehmen nutzen nicht alle Cloud-Dienste, sollten sich aber dennoch bewusst sein, wie sich die anderen Dienste auf sie auswirken können, wenn es um die Verwaltung eines Datenrisikos geht.
• Es sollte eine Notfallplanung für Denial of Service, Datenschutzverletzungen, Datenverluste und andere Probleme erstellt und geplant werden.
• Die Reaktion auf schwerwiegende Vorfälle ist von entscheidender Bedeutung, wenn ein Datenmanagementproblem auftritt. Diese Maßnahme sollte auch geübt oder simuliert werden, um sicherzustellen, dass sie effektiv ist.
• Die physische Sicherheit muss immer im Verhältnis zu menschlichen oder umweltbedingten Verstößen erkannt und verstanden werden, einschließlich der physischen Sicherheit vor Ort und in Cloud . Unternehmen sollten nicht nur sich selbst verstehen, sondern auch, wie ein Anbieter mit der physischen Sicherheit umgeht - insbesondere in Büroumgebungen, die zwischen Richtlinien für die Arbeit von zu Hause aus und die Rückkehr ins Büro schwanken.
• Die Risiken für Software und Infrastruktur von Drittanbietern sollten ausgewiesen werden. Jeder^{Drittanbieter} kann von einer Datenpanne betroffen sein, die sich auf seine Kunden auswirken kann. Datenschutzverletzungen, die dazu führen, dass Software gehackt und dann in den Umgebungen der Kunden installiert wird, können nachhaltige Auswirkungen auf das Unternehmen haben. Alle Unternehmen sollten sich darüber im Klaren sein, wie ihre Anbieter ihre Daten, insbesondere die Daten ihrer Kunden, schützen.

Einige Bereiche des Datenmanagements, die zu beachten sind:

• Die Bedeutung von Sicherungskopien darf nicht unterschätzt werden, sowohl für die Organisation als auch für uns persönlich. Sie ermöglichen die Wiederherstellung von Daten im Falle von Stromausfällen, Hackerangriffen, Umweltkatastrophen, menschlichem Versagen usw. Dies ist für die Bewältigung von Datenrisiken unerlässlich.
• Redundanz verbessert die Verfügbarkeit Ihrer Organisation für Ihre Geschäfte. Die Redundanz von Daten trägt dazu bei, das Risiko von Datenverlusten durch unerwartete und erwartete Ausfälle, die jederzeit auftreten können, zu bewältigen.

Menschliches Versagen im Zusammenhang mit der Datenverwaltung sollte erkannt und bewältigt werden. Eine sinnvolles Vorgehen dagegen besteht darin, die Mitarbeiter zu schulen und ihnen beizubringen, wie sie Datenrisiken innerhalb der Organisation verwalten können. Stellen Sie sicher, dass die Mitarbeiter Datenrisiken verstehen und bei Bedarf handeln können. Die Praktiken, die sie bei der Arbeit erlernen, können auch bei Datenlecks und persönlichen Datenrisiken helfen.

Heutzutage, wo Unternehmen Big-Data-Praktiken, -Implementierungen und -Technologien einsetzen, ist eine Strategie für das Datenrisikomanagement unbedingt erforderlich. Ein Unternehmen sollte seine Big-Data-Architekturen überprüfen und Datenrisiken in seinen On-Premise-, Cloud- und Hybrid-Cloud-Umgebungen identifizieren. Die Risiken der Datenmigration in die Cloud und die Sicherheitsrisiken bei der Cloud-Speicherung von Daten sollten sorgfältig geprüft werden. Möglicherweise sind Anpassungen der Cloud-Architektur erforderlich, um die Risiken und Kosten von Cloud-Daten anzugehen. Das Big-Data-Risikomanagement sollte eine Komponente einer Gesamtstrategie für das Datenrisikomanagement sein.

Schlussfolgerung

Das Datenrisikomanagement liegt generell in der Verantwortung aller Geschäftsbereiche, also dem Marketing, Vertrieb, Personalwesen, Betrieb, Anwendungen, Recht usw. Ein proaktiver Ansatz, bei dem Risiken identifiziert, Kontrollen hinzugefügt und Maßnahmen vorbereitet werden, kann im Bedarfsfall einen großen Unterschied machen. Vernachlässigen Sie das Datenrisikomanagement auf keinen Fall, sondern investieren Sie stattdessen darin. Das Datenrisikomanagement ist Teil der Geschäftskosten und sollte auch als solcher verstanden werden. Seien Sie gerade hier vorsichtig und vermeiden Sie die sonst üblichen abgekürzten Verfahren, so strategisch sinnvoll sie auch klingen mögen.

Darüber hinaus sollten Sie sich über Frameworks und bewährte Verfahren informieren; insbesondere das NIST ist einer der führenden Experten für Risikomanagement mit umfangreichen Rahmenregelungen für Cybersicherheit, Risikomanagement, Integration von Cybersicherheit und Enterprise Risk Management (ERM), Datenschutz und mehr. Die NIST Guidelines for Managing the Security of Mobile Devices in the Enterprise (Draft NIST SP 800-124 Rev. 2, Guidelines for Managing the Security of Mobile Devices in the Enterprise) sind eine weitere aktuelle Ressource, die Ihnen den Einstieg erleichtert. Sie können auch auf den 2021 DBIR Master's Guide (2021 DBIR Master's Guide | Verizon) zurückgreifen.