Ein Leitfaden zum Datenrisikomanagement

Daten sind das Lebenselixier jedes Unternehmens. Eine falsche oder unsachgemäße Nutzung von Daten kann den Geschäftsbetrieb und die erwarteten Ergebnisse eines Unternehmens erheblich beeinträchtigen. Risiken müssen identifiziert, verstanden, quantifiziert und in Kategorien wie Vermeidung, Übertragung, Minderung usw. unterteilt werden. Die Akzeptanz von Datenrisiken und der Umgang mit deren Folgen sollten mit vollem Bewusstsein erfolgen. Mit anderen Worten: Datenbasiertes Risikomanagement ist eine unverzichtbare Kompetenz für alle Unternehmen.

Das Datenrisikomanagement umfasst alle Maßnahmen zur Identifizierung, Bewertung und Reduzierung von Risiken auf ein akzeptables Maß. Dies war schon immer wichtig, doch angesichts neuer Herausforderungen wie Remote-Arbeit, Cybersicherheitsverletzungen und Cloud steht heute noch mehr auf dem Spiel. Der vom Ponemon Institute erstellte „Annual Cost of a Data Breach Report“ ergab, dass Datenverstöße Unternehmen mittlerweile durchschnittlich 4,24 Millionen US-Dollar pro Vorfall kosten – die höchsten Kosten in der 17-jährigen Geschichte des Berichts. Ponemon stellt fest, dass die Sicherheit hinter den rasanten IT-Veränderungen wie Remote-Arbeit und Cloud Aktivitäten zurückbleibt. Und die Ergebnisse haben erhebliche Konsequenzen. Fast 20 % der untersuchten Unternehmen gaben an, dass Remote-Arbeit ein Faktor bei der Datenschutzverletzung war, und diese Verstöße kosteten die Unternehmen letztlich 4,96 Millionen US-Dollar (fast 15 % mehr als der durchschnittliche Vorfall). Unternehmen in der Studie, bei denen es während eines Cloud zu einer Sicherheitsverletzung kam, hatten um 18,8 % höhere Kosten als der Durchschnitt.

Angesichts der oben genannten Trends und der Tatsache, dass Cloud Remote-Arbeit nicht mehr wegzudenken sind, müssen Sie sich im Rahmen Ihrer Strategie zum Datenrisikomanagement auf deren Absicherung konzentrieren. Dabei sollten Sie die potenziellen Risiken und Bedrohungen, deren Eintrittswahrscheinlichkeit und mögliche Auswirkungen, Ihre aktuelle Sicherheitslage sowie Ihre Abhilfemaßnahmen berücksichtigen. Tatsächlich bringt jedes dieser Themen einzigartige Herausforderungen mit sich, denen Sie sich stellen müssen. Cloud werden durch mangelnde Cloud in Cloud , Risiken im Zusammenhang mit Big Data, Risiken bei der Datenmigration, Sicherheitsrisiken Cloud , Cloud und vieles mehr erschwert. Auf der anderen Seite ergeben sich Sicherheitsbedenken bei der Remote-Arbeit unter anderem aus Datenlecks, mangelnder Transparenz hinsichtlich der Aktivitäten von Benutzern außerhalb des Unternehmensnetzwerks und Phishing-Angriffen, um nur einige Probleme zu nennen.

Datenrisikomanagement

Datenrisikomanagement: Die Vorgehensweise einer Organisation, die Governance, Prozesse, Verfahren und Compliance-Maßnahmen umfasst, um Daten zu erfassen, zu speichern, zu verarbeiten, umzuwandeln und zu nutzen, mit dem Ziel, Datenrisiken verwalten zu beseitigen. Die Risikoanalyse beinhaltet die Betrachtung der Vermögenswerte der Organisation, möglicher Bedrohungen und Schwachstellen, um Risiken zu ermittelnund anschließendGegenmaßnahmen zur Risikosteuerung zu ergreifen.

Datenrisiken sind auf folgende Ursachen zurückzuführen:

• Mangelhafte Data Governance Unternehmen müssen sicherstellen, dass ihre Daten von hoher Qualität sind, um unternehmensweite Entscheidungen zu unterstützen. Data Governance gute Data Governance zwischen der Notwendigkeit, Daten zugänglich zu machen, und dem Bedarf, Daten zu kennen und zu nutzen.
• Unsachgemäßer Umgang mit Daten – Der gesamte Lebenszyklus von Daten muss geschützt werden, während diese von einer Phase zur nächsten gelangen, einschließlich Data-at-Rest Daten während der Übertragung. Alle Verfahren zur Erfassung, Speicherung, Umwandlung, Einlesung und Verarbeitung von Daten müssen angemessen verwaltet werden.
• Unzureichende Datensicherheit – Unternehmen müssen ihre Umgebung durch Patches, Schulungen, ein Zero-Trust-Modell usw. vor Cyberangriffen und unbeabsichtigten internen Datenlecks schützen.
• Mangelhaftes Patch-Management – System-Patches müssen auf dem neuesten Stand sein und rechtzeitig installiert werden; wenn das Patch-Management nicht effektiv und effizient durchgeführt wird, kann dies eine Angriffsfläche für Cyberangriffe bieten. Das Patch-Management sollte so weit wie möglich auf Sicherheitsbulletins basieren und automatisiert ablaufen.
• Continuous Diagnostics and Mitigation (CDM) – Gemäß den Empfehlungen des US-CERT sollten Unternehmen ein automatisiertes, risikobasiertes IT-Sicherheitsprogramm implementieren, das die gesamte Infrastruktur, alle Anwendungen und Daten sowohl On-Premises in ihren Cloud abdeckt. Nur selten kommt es vor, dass die Hardware- oder Anwendungsumgebung dauerhaft beschädigt wird oder unvorhersehbare Folgewirkungen nach sich zieht; für Datenrisiken gilt dies jedoch nicht. Eine „Prevent-Detect-Respond“-Risikoanalyse muss sich auf Datenrisiken als Kern eines CDM-Cybersicherheitsprogramms konzentrieren.

Einige Vorteile des Datenrisikomanagements:

• Die Kosten für ein Unternehmen lassen sich auf vielfältige Weise senken, unter anderem durch die Vermeidung von Bußgeldern, die Einsparung von Zeit, die Stärkung der Kundenbindung und viele weitere Maßnahmen.
• Verringern Sie Risiken, indem Sie proaktiv statt reaktiv handeln und eine Strategie zum Management aller Risiken verfolgen.
• Steigern Sie die Agilität des Unternehmens, um schnell handeln zu können. Die Bewertung und das Management von Datenrisiken sind proaktive Maßnahmen, die die Geschäftsverfügbarkeit des Unternehmens sichern, indem sie eine schnelle Reaktion auf Herausforderungen ermöglichen.
• Die langfristige Existenzfähigkeit eines Unternehmens hängt von seiner Fähigkeit ab, Dienstleistungen und Produkte bereitzustellen und zu unterstützen. Ohne ein angemessenes Datenrisikomanagement laufen Unternehmen Gefahr, zu scheitern.
• Kundenzufriedenheit beruht auf der Fähigkeit eines Unternehmens, durch den Schutz der für die Geschäftstätigkeit genutzten Daten sicher zu arbeiten. Gute Umfragen zur Kundenzufriedenheit und Net Promoter Scores basieren auf der Fähigkeit des Unternehmens, verwalten zu verwalten .

Der Nutzen Datenrisikomanagements wiegt die damit verbundenen Kosten auf. Wenn es als Praxis und Disziplin in einer Organisation etabliert ist, steigt der Erfolg der Organisation. Der folgende Leitfaden zum Datenrisikomanagement gibt Ihnen einige Tipps und Anleitungen, wie Sie das Datenrisikomanagement in Ihrer Organisation umsetzen können.

Leitfaden zum Datenrisikomanagement

Das Datenrisikomanagement darf in keinem Unternehmen eine nachträgliche Überlegung sein. Damit das Datenrisikomanagement erfolgreich sein kann, sind eine strategische Ausrichtung, die Unterstützung durch die Führungsspitze und ein kultureller Wandel erforderlich. Beginnen Sie damit, ein Team zu bilden, das für Datenrisiken verantwortlich ist und entsprechende Zuständigkeiten trägt. Erstellen Sie eine übergreifende RACI-Matrix in Bezug auf die Richtlinie zum Datenrisikomanagement. Stellen Sie einen Datenschutzbeauftragten (DSB) ein, der für die Erstellung eines Framework für das Datenrisikomanagement verantwortlich ist. Nehmen Sie Framework , Vorgaben und Messgrößen in das Framework auf.

Einige Aufgaben, Tipps und Hinweise zum Datenrisikomanagement:

• Risiken, Bedrohungen und Schwachstellen identifizieren – eine Risikobewertung für das Rechenzentrum durchführen.
• Bewerten Sie die Wahrscheinlichkeit und die Auswirkungen und führen Sie eine Geschäftsauswirkungsanalyse durch – dabei kann es hilfreich sein, Unterstützung durch Dritte in Anspruch zu nehmen. Berücksichtigen Sie die finanziellen Auswirkungen sowie die langfristigen Folgen, um Prioritäten und Maßnahmen zur Bewältigung von Datenrisiken festzulegen.
• Festlegung von Governance-Rahmenbedingungen, Richtlinien, Vorschriften und Compliance-Anforderungen, einschließlich der Ermittlung und Einführung bewährter Verfahren für das Datenrisikomanagement
• Bewerten Sie die derzeit bestehenden Kontrollmaßnahmen und passen Sie diese kontinuierlich an das sich wandelnde Risikoumfeld an. Implementieren Sie Kontrollmaßnahmen in den Arbeitsabläufen, Prozessen und Arbeitsanweisungen im gesamten Unternehmen.
• Strategie und Plan zum Umgang mit Risiken – Vermeidung, Minderung, Übertragung, Akzeptanz. Der Abschluss einer Cybersicherheitsversicherung ist eine Möglichkeit, Datenrisiken, die durch Cyberangriffe entstehen, zu übertragen. Stellen Sie sicher, dass Sie für jeden Aspekt des Risikomanagements einen Plan haben.
• Testen Sie den Plan, um sicherzustellen, dass er funktioniert; falls nicht, passen Sie den Plan an und überarbeiten Sie gegebenenfalls andere Aspekte des Datenrisikomanagements.
• Überwachen Sie Risiken und geben Sie Rückmeldung, nutzen Sie so weit wie möglich automatisierte Tools und holen Sie sich Rückmeldungen von Mitarbeitern aus dem gesamten Unternehmen ein.
• Plan und Maßnahmen zur kontinuierlichen Verbesserung sowie Risikomanagement sind für eine Organisation stets unverzichtbar.

Einige potenzielle Risiken, die es zu identifizieren und zu verwalten gilt:

• Datenverfälschungen können jederzeit auftreten – beim Lesen, Schreiben, Übertragen, Laden, Verarbeiten usw. Stellen Sie sicher, dass Sie verwalten mit jeder Phase des Datenmanagement verbundenen verwalten in Bezug auf Datenreplikation, -duplizierung, backup -wiederherstellung identifizieren und verwalten .
• Es ist von entscheidender Bedeutung, Geräteausfälle sowohl vor Ort als auch Cloud sich die Daten befinden, zu berücksichtigen. Unternehmen sollten sich einen Überblick über die gesamte IT-Geräteinfrastruktur und die damit verbundenen Daten verschaffen und entsprechende Pläne sowie Maßnahmen zum Umgang mit Datenrisiken ausarbeiten.
• Stellen Sie sicher, dass die Datenkonformität sowohl die Vorschriften für den Umgang mit Kunden und Partnern als auch branchen- und länder-/regionsspezifische Vorschriften wie die Datenschutz-Grundverordnung (DSGVO), den Health Insurance Portability and Accountability Act (HIPAA), die Criminal Justice Information Services (CJIS), den Family Educational Rights and Privacy Act (FERPA), die International Traffic in Arms Regulations (ITAR) und den California Consumer Privacy Act (CCPA) erfüllt. Datenschutz und Vertrauen müssen gewährleistet und Risiken berücksichtigt werden – jede dieser Vorschriften unterstreicht die Notwendigkeit eines Datenrisikomanagements.
• Lieferanten-Lock-in Datenmanagement kostspielig sein. Prüfen Sie Ihre Verträge und wägen Sie die Kosten gegen den Nutzen ab.
• Wenn die Datenlöschung nicht ordnungsgemäß durchgeführt wird, kann dies zu einem Risiko für das Unternehmen führen. Stellen Sie sicher, dass dies ordnungsgemäß erfolgt.
• Sicherheitslücken und Schwachstellen lassen sich durch Audits aufdecken. Daten-Audits sind innerhalb von Organisationen stets eine sinnvolle Maßnahme zum Risikomanagement.
• Die langfristige Speicherung und Verwaltung ungenutzter Daten ist kostspielig. Ungenutzte Daten haben keinen Wert und stellen, wenn sie ohne konkreten Zweck verwaltet werden, eine Verschwendung von Zeit und Aufwand dar. Dazu gehören auch Fragen der Governance und der Compliance.
• Verhalten und Umgang der Mitarbeiter – Malware, Phishing, Spyware usw.
• Die Risiken Cloud , PaaS- und IaaS-Diensten sollten für jeden einzelnen Dienst ermittelt und gesteuert werden. Viele Unternehmen nutzen zwar nicht alle Cloud , sollten sich aber dennoch bewusst sein, wie sich die anderen Dienste auf sie auswirken können, insbesondere im Hinblick auf das Datenrisikomanagement.
• Es sollten Notfallpläne für Denial-of-Service-Angriffe, Datenlecks, Datenverluste und andere Probleme erstellt werden.
• Für den Fall eines Datenmanagement ist es unerlässlich, über einen Plan für die Bewältigung schwerwiegender Vorfälle zu verfügen. Dieser Plan sollte zudem geübt oder simuliert werden, um seine Wirksamkeit sicherzustellen.
• Die physische Sicherheit muss stets im Zusammenhang mit Sicherheitsverletzungen durch Menschen oder durch äußere Einflüsse betrachtet und verstanden werden, einschließlich der Cloud Sicherheit vor Ort und Cloud . Unternehmen sollten nicht nur ihre eigenen Gegebenheiten kennen, sondern auch wissen, wie ein Anbieter die physische Sicherheit handhabt – insbesondere in Büroumgebungen, in denen zwischen Homeoffice- und Rückkehr-ins-Büro-Richtlinien gewechselt wird.
• Risiken im Zusammenhang mit Software und Infrastruktur von Drittanbietern sollten ermittelt werden. Jeder^{Drittanbieter} ist anfällig für Datenpannen, die sich auf seine Kunden auswirken können. Datenpannen, die dazu führen, dass Software gehackt und anschließend in den Umgebungen der Kunden installiert wird, können langfristige Folgen für das Unternehmen haben. Alle Unternehmen sollten wissen, wie ihre Anbieter ihre Daten schützen, insbesondere die Daten ihrer Kunden.

Einige Datenmanagement , die zu beachten sind:

• Die Bedeutung von Backups darf weder für das Unternehmen noch für uns persönlich unterschätzt werden. Sie ermöglichen die Wiederherstellung von Daten im Falle von Stromausfällen, Hackerangriffen, Naturkatastrophen, menschlichem Versagen usw. Dies ist für das Datenrisikomanagement von entscheidender Bedeutung.
• Redundanz verbessert die Betriebsbereitschaft Ihres Unternehmens. Durch Datenredundanz lässt sich verwalten Risiko eines Datenverlusts aufgrund unerwarteter oder erwarteter Ausfälle verwalten .

Risiken im Zusammenhang mit Datenmanagement identifiziert und gesteuert werden. Ein wesentlicher Ansatz besteht darin, die Mitarbeiter zu schulen und ihnen zu vermitteln, wie verwalten innerhalb der Organisation verwalten . Es muss sichergestellt werden, dass die Mitarbeiter Datenrisiken verstehen und bei Bedarf entsprechend handeln können. Die Vorgehensweisen, die sie am Arbeitsplatz erlernen, können auch beim Umgang mit dem Verlust personenbezogener Daten und entsprechenden Risiken hilfreich sein.

Da Unternehmen heute zunehmend Big Data und -Technologien einsetzen, ist eine Strategie zum Datenrisikomanagement erforderlich, um die mit Big Data verbundenen Risiken zu bewältigen. Ein Unternehmen sollte seine Big Data überprüfen und Datenrisiken in seinen lokalen, Cloud und Cloud identifizieren. Risiken Cloud sowie Sicherheitsrisiken im Zusammenhang mit Cloud sollten sorgfältig geprüft werden. Anpassungen Cloud können erforderlich sein, um Cloud und -Kosten zu bewältigen. Big Data sollte Bestandteil einer umfassenden Strategie zum Datenrisikomanagement sein.

Fazit

Das Datenrisikomanagement liegt in der Verantwortung aller Bereiche, darunter Geschäftsbereiche, Marketing, Vertrieb, Personalwesen, Betrieb, Anwendungsentwicklung, Rechtsabteilung usw. Ein proaktiver Ansatz, bei dem Risiken erkannt, Kontrollmechanismen eingerichtet und Maßnahmen vorbereitet werden, kann im Ernstfall den entscheidenden Unterschied ausmachen. Betrachten Sie das Datenrisikomanagement nicht als Nebensache oder als etwas, in das es sich nicht lohnt zu investieren. Datenrisikomanagement ist Teil der Geschäftskosten und sollte auch als solches verstanden werden. Hüten Sie sich vor Abkürzungen und gehen Sie strategisch und umfassend vor.

Darüber hinaus sollten Sie sich mit Rahmenwerken und Best Practices befassen; insbesondere das NIST ist einer der führenden Experten für Risikomanagement und verfügt über umfassende Rahmenwerke für Cybersicherheit, Risikomanagement, die Integration von Cybersicherheit und Unternehmensrisikomanagement (ERM), Datenschutz und vieles mehr. Die NIST-Richtlinien für das Sicherheitsmanagement mobiler Geräte im Unternehmen (Entwurf NIST SP 800-124 Rev. 2, Guidelines for Managing the Security of Mobile Devices in the Enterprise) sind eine weitere aktuelle Ressource, die Ihnen den Einstieg erleichtern kann. Sie können auch auf den 2021 DBIR Master’s Guide (2021 DBIR Master’s Guide | Verizon) zurückgreifen.