Ein Leitfaden für das Management von Daten-Risiken

Das Datenrisikomanagement darf in keinem Unternehmen vernachlässigt werden. Damit das Datenrisikomanagement erfolgreich ist, bedarf es einer strategischen Absicht, der Unterstützung durch die Geschäftsleitung und eines kulturellen Wandels. Beginnen Sie mit der Gründung eines Teams, das für Datenrisiken verantwortlich und zuständig ist. Erstellen Sie eine allgemeine RACI-Matrix für die Datenrisikomanagementpolitik. Stellen Sie einen Datenschutzbeauftragten (DSB) ein, der für ein Datenrisikomanagement-Framework verantwortlich ist. Fügen Sie dem Framework Ziele, Vorgaben und Messungen hinzu.

Einige Aufgaben, Tipps und Anleitungen zum Datenrisikomanagement:

• Identifizierung von Risiken, Bedrohungen und Schwachstellen - Durchführung einer Risikobewertung für das Rechenzentrum.
• Bewerten Sie die Wahrscheinlichkeit und die Auswirkungen, führen Sie eine Analyse der Auswirkungen auf das Geschäft durch - es kann hilfreich sein, die Unterstützung Dritter in Anspruch zu nehmen. Berücksichtigen Sie die finanziellen Auswirkungen und den zeitlichen Verlauf, um Prioritäten und Maßnahmen zur Behebung von Datenrisiken festzulegen.
• Definition von Governance, Richtlinien, Vorschriften und Compliance-Anforderungen, einschließlich der Ermittlung und Übernahme bewährter Verfahren für das Datenrisikomanagement
• Bewertung der bestehenden Kontrollen und kontinuierliche Durchführung dieser Tätigkeit im Hinblick auf die sich verändernde Risikolandschaft. Implementierung von Kontrollen in Praktiken, Prozessen und Arbeitsanweisungen in der gesamten Organisation.
• Risikoreaktionsstrategie und -plan - Vermeidung, Abschwächung, Übertragung, Akzeptanz. Der Abschluss einer Cybersicherheitsversicherung ist eine Möglichkeit, das aus Cyberangriffen resultierende Datenrisiko zu übertragen. Stellen Sie sicher, dass Sie einen Plan für jeden Aspekt des Risikomanagements haben.
• Testen Sie den Plan, um sicherzugehen, dass er funktioniert; falls nicht, passen Sie den Plan an und definieren Sie alle anderen Aspekte des Datenrisikomanagements neu.
• Überwachen Sie die Risiken und geben Sie Rückmeldungen, verwenden Sie so weit wie möglich automatisierte Tools und holen Sie Feedback von den Mitarbeitern des Unternehmens ein.
• Plan und Aktivitäten zur kontinuierlichen Verbesserung, Risikomanagement ist eine notwendige Fähigkeit der Organisation.

Einige potenzielle Risiken zu identifizieren und zu verwalten:

• Daten können jederzeit beschädigt werden, beim Lesen, Schreiben, Übertragen, Laden, Verarbeiten usw. Stellen Sie sicher, dass Sie die Datenreplikation, -duplizierung, backup und -wiederherstellung identifizieren und verwalten Risiko in jeder Phase des Datenmanagement verwalten .
• Der Ausfall von Geräten vor Ort und in Cloud, wo sich die Daten befinden, ist von entscheidender Bedeutung. Unternehmen sollten den gesamten IT-Gerätestapel und die damit verbundenen Daten verstehen und Pläne und Maßnahmen für Datenrisiken vorbereiten.
• Datenkonformität: Achten Sie darauf, dass Sie sowohl kunden- und partnerspezifische als auch branchen- und regionalspezifische Vorschriften einhalten, z. B. die General Data Protection Regulation (GDPR), den Health Insurance Portability and Accountability Act (HIPAA), Criminal Justice Information Services (CJIS), Family Educational Rights and Privacy Act (FERPA), International Traffic in Arms Regulations (ITAR) und California Consumer Privacy Act (CCPA). Datenschutz und Vertrauen müssen verwaltet und Risiken berücksichtigt werden - jede dieser Vorschriften unterstreicht die Notwendigkeit eines Datenrisikomanagements.
• Lieferanten-Lock-in für Datenmanagement kann kostspielig sein. Prüfen Sie Verträge und verstehen Sie die Kosten im Verhältnis zum Wert.
• Die Wiederverwendung von Daten durch Datenausmusterung kann - wenn  nicht korrekt durchgeführt - zu einem Risiko für das Unternehmen führen. Vergewissern Sie sich, dass dies in angemessener Weise geschieht.
• Die Identifizierung von Sicherheitsmängeln und Schwachstellen kann durch Audits erfolgen. Datenaudits sind immer eine gute Idee, um Risiken in Organisationen zu managen.
• Die langfristige Speicherung und Verwaltung ungenutzter Daten ist kostspielig. Ungenutzte Daten haben keinen Wert und sind, wenn sie ohne Zweck verwaltet werden, reine Zeitverschwendung. Dies gilt auch für Fragen der Governance und Compliance.
• Personalpolitik und -verhalten - Malware, Phishing, Spyware usw.
• Cloud-SaaS-, PaaS- und IaaS-Risiken sollten für jeden Dienst ermittelt und verwaltet werden. Viele Unternehmen nutzen nicht alle Cloud-Dienste, sollten sich aber dennoch bewusst sein, wie sich die anderen Dienste auf sie auswirken können, wenn es um die Verwaltung eines Datenrisikos geht.
• Es sollte eine Notfallplanung für Denial of Service, Datenschutzverletzungen, Datenverluste und andere Probleme erstellt und geplant werden.
• Die Reaktion auf schwerwiegende Vorfälle ist von entscheidender Bedeutung, wenn ein Datenmanagementproblem auftritt. Diese Maßnahme sollte auch geübt oder simuliert werden, um sicherzustellen, dass sie effektiv ist.
• Die physische Sicherheit muss immer im Verhältnis zu menschlichen oder umweltbedingten Verstößen erkannt und verstanden werden, einschließlich der physischen Sicherheit vor Ort und in Cloud . Unternehmen sollten nicht nur sich selbst verstehen, sondern auch, wie ein Anbieter mit der physischen Sicherheit umgeht - insbesondere in Büroumgebungen, die zwischen Richtlinien für die Arbeit von zu Hause aus und die Rückkehr ins Büro schwanken.
• Die Risiken für Software und Infrastruktur von Drittanbietern sollten ermittelt werden. Jeder Drittanbieter kann von einer Datenpanne betroffen sein, die sich auf seine Kunden auswirken kann. Datenschutzverletzungen, die dazu führen, dass Software gehackt und dann in den Umgebungen der Kunden installiert wird, können nachhaltige Auswirkungen auf das Unternehmen haben. Alle Unternehmen sollten sich darüber im Klaren sein, wie ihre Anbieter ihre Daten, insbesondere die Daten ihrer Kunden, schützen.

Einige zu beachtende Bereiche Datenmanagement :

• Die Bedeutung von Sicherungskopien darf nicht unterschätzt werden, sowohl für die Organisation als auch für uns persönlich. Sie ermöglichen die Wiederherstellung von Daten im Falle von Stromausfällen, Hackerangriffen, Umweltkatastrophen, menschlichem Versagen usw. Dies ist für die Bewältigung von Datenrisiken unerlässlich.
• Redundanz verbessert die Verfügbarkeit Ihrer Organisation für Ihre Geschäfte. Die Redundanz von Daten trägt dazu bei, das Risiko von Datenverlusten durch unerwartete und erwartete Ausfälle, die jederzeit auftreten können, zu bewältigen.

Menschliches Versagen im Zusammenhang mit der Datenverwaltung sollte erkannt und bewältigt werden. Eine sinnvolles Vorgehen dagegen besteht darin, die Mitarbeiter zu schulen und ihnen beizubringen, wie sie Datenrisiken innerhalb der Organisation verwalten können. Stellen Sie sicher, dass die Mitarbeiter Datenrisiken verstehen und bei Bedarf handeln können. Die Praktiken, die sie bei der Arbeit erlernen, können auch bei Datenlecks und persönlichen Datenrisiken helfen.

Heutzutage, wo Unternehmen Big-Data-Praktiken, -Implementierungen und -Technologien einsetzen, ist eine Strategie für das Datenrisikomanagement unbedingt erforderlich. Ein Unternehmen sollte seine Big-Data-Architekturen überprüfen und Datenrisiken in seinen On-Premise-, Cloud- und Hybrid-Cloud-Umgebungen identifizieren. Die Risiken der Datenmigration in die Cloud und die Sicherheitsrisiken bei der Cloud-Speicherung von Daten sollten sorgfältig geprüft werden. Möglicherweise sind Anpassungen der Cloud-Architektur erforderlich, um die Risiken und Kosten von Cloud-Daten anzugehen. Das Big-Data-Risikomanagement sollte eine Komponente einer Gesamtstrategie für das Datenrisikomanagement sein.