Security
Websense hat einen Ratgeber für die Data Loss Prevention zusammengestellt
So lassen sich Datenlecks abdichten
13. August 2009
|
|
Verrat von Betriebsgeheimnissen, Image-Verlust, Regressforderungen – der Verlust sensibler Informationen kann für jedes Unternehmen zum Desaster werden. Die Security-Experten von Websense nennen die wichtigsten Grundregeln, um Pannen und Missbrauch verhindern.
„Bei uns ist noch nie etwas passiert“, heißt es oft in IT-Abteilungen – leichtsinniger Weise, denn in den letzten Jahren gab es genügend abschreckende Beispiele für genau das Gegenteil, in Form der hinreichend bekannt gewordenen Datenskandale. Viele Unternehmen haben bereits ein böses Erwachen erlebt. Und wie so oft lagen in diesen Fällen Unachtsamkeit im Umgang mit vertraulichen Kundendaten und böse Absicht nahe beieinander.
Nach Ansicht des Security-Spezialisten Websense geht es beim Thema Data Loss Prevention (DLP) vornehmlich um zwei Probleme: Erstens, festzustellen, wo sensible Daten im Unternehmen einem Risiko ausgesetzt sind, und zweitens, wie diese Daten das Unternehmen verlassen. Einer der zentralen Punkte ist Transparenz: Unternehmen sollten wissen, wie sensible Daten genutzt werden und welche Regeln und Vorschriften beim Umgang mit den Daten gelten.
Dazu gibt Websense acht Tipps:
1. Regeln für die IT-Security definieren.
Jedes Unternehmen braucht eine schriftlich fixierte und an alle Mitarbeiter kommunizierte IT-Sicherheitsstrategie. Sie enthält sämtliche Vorschriften und Regeln, wie sensible Daten intern und mit Kunden, Lieferanten und Geschäftspartnern ausgetauscht werden dürfen. Ohne verpflichtende und zentral überwachte Sicherheitsregeln geht es nicht. Die Security-Vorschriften umfassen interne Anordnungen, aber auch branchenweite Regeln und die gültigen Datenschutzgesetze.
2. Unternehmensdaten segmentieren.
Soll eine Lösung zum Schutz vor Datenverlusten eingeführt werden, muss ein Unternehmen zunächst einmal die vorhandenen Daten ermitteln und klassifizieren. Dabei wird festgelegt, welche Informationen allgemein zugänglich, welche vertraulich und welche streng geheim sind. Dazu kommt eine Dokumentation der Geschäftsprozesse, in denen sensible Daten zum Einsatz kommen. Für die Kontrolle der Einhaltung von Sicherheitsmaßnahmen ist dieser Punkt unerlässlich.