RSA hat neue Lösungen vorgestellt, um Unternehmen zu unterstützen, die mit aktuellen und kommenden Datenschutzregelungen konfrontiert sind – vor allem mit der ab Mai 2018 gültigen Datenschutz-Grundverordnung der Europäischen Union (EU-DSGVO). Die neuen Archer-Lösngen für Data Governance und Privacy Program Management lassen sich laut RSA mit NetWitness kombinieren, um die Reaktion auf Sicherheitsvorfälle zu beschleunigen. In Verbindung mit SecurID biete man Identitäts- und Datenzugriffssicherheit zur Einhaltung geltender Vorschriften.

RSA bietet eine Kombination von Lösungen und Service-Leistungen für die Compliance mit Datenschutzvorschriften, darunter zwei neue Use Cases (Anwendungsfälle) der Archer Suite:
* Der Archer Data Governance Use Case soll Unternehmen bei der Dokumentation von Data-Governance-Anforderungen unterstützen, wie sie in den US-Gesetzen HIPAA (Health Insurance Portability and Accountability Act) und GLBA (Gramm-Leach-Bliley Act), aber auch in der EU-DSGVO gefordert sind.
* Der Archer Privacy Program Management Use Case dient dem Management von Datenschutzprogrammen und der Prozessanpassung an Anforderungen und Vorschriften, darunter zum Beispiel eine Datenschutz-Folgenabschätzungen und die Überwachung aufsichtsrechtlich relevanter Fälle.

RSA betont, die DSGVO betreffe nicht nur Governance, Risiko-Management und Compliance (GRC). Vielmehr wirke sie sich auf Unternehmen als Ganzes aus und zwinge sie zur Einführung eines solideren Datenschutz- und Sicherheitskonzepts in vier kritischen Bereichen: Risikobewertung, Abwehrbereitschaft, Daten-Governance und Compliance-Management.

Im Artikel 32 der DSGVO sind die Bestandteile eines Prozesses zur Sicherheitsrisikobewertung aufgeführt, der die korrekte Konzeption und Umsetzung von Kontrollmechanismen gewährleistet. Die hauseigene Archer Suite, so RSA, erlaube Unternehmen das Management verschiedener Risikodimensionen mit Lösungen, die auf Industriestandards und Best Practices sowie einer konfigurierbaren, integrierten Plattform basieren.

Den Überblick über den Status der Compliance mit Datenschutzvorschriften erhält der Verantwortliche durch ein „Privacy Program Management Dashboard“. Bild: RSA

Den Überblick über den Status der Compliance mit Datenschutzvorschriften erhält der Verantwortliche durch ein „Privacy Program Management Dashboard“. Bild: RSA

Artikel 33 der DSGO enthält Vorschriften zur Meldung von Verletzungen des Schutzes personenbezogener Daten an die Aufsichtsbehörde. Dies erfordert umfassende Detailkenntnisse über eine Datenschutzverletzung. Die DSGVO verlangt zudem die Meldung eines Vorfalls an die Aufsichtsbehörde möglichst binnen 72 Stunden, nachdem die Datenschutzverletzung dem Verantwortlichen bekannt wurde. Die neueste Edition der NetWitness Suite, eingeführt diesen Sommer, sucht laut Hersteller die gesamte Infrastruktur eines Unternehmens nach Hinweisen auf einen Angriff ab. Mithilfe von Verhaltensanalysen und maschinellen Lernverfahren gebe sie Aufschluss über Art und Umfang einer Datenschutzverletzung und ermögliche eine schnellere Meldung dank genauerer Details zum Angriffsverlauf.

Ein weiterer kritischer Aspekt der DSGVO-Compliance ist die Kontrolle des Zugriffs auf personenbezogene Daten. Die Unternehmen müssen personenbezogene Daten nicht nur schützen, sondern sind zur nachweislich ordnungsgemäßen Dokumentation von Verarbeitungsvorgängen verpflichtet. Dokumentieren müssen sie unter anderem die Kategorien der verarbeiteten personenbezogenen Daten, den Zweck der Verarbeitung, Übertragungen an Drittländer außerhalb des Europäischen Wirtschaftsraums und die relevanten technischen und organisatorischen Sicherheitsmaßnahmen.

Die SecurID Suite mit SecurID Access und Identity Governance and Lifecycle ermöglicht Unternehmen laut RSA, das Risiko von Identitätsbetrug zu minimieren und einfachen und sicheren Zugriff für ihre Mitarbeiter bereitzustellen. Durch Risikoanalysen und kontextbasierte Erkennung gewährleiste die Suite, dass die richtigen Mitarbeiter von jedem Ort und jedem Gerät aus den erforderlichen Zugriff haben.

Außerdem, so RSA, unterstütze man Unternehmen mit strategischen Services dabei, eine unternehmensbezogene Sicherheitsstruktur zu entwickeln, ein Sicherheitszentrum (Security Operations Center, SOC) aufzubauen und das GRC-Programm zu überarbeiten. Dazu erweitere man das Angebot um Implementierungsunterstützung und Post-Implementation-Support. Ein strukturierter Prozess zur Eskalation von Problemen, die per Kontrollprüfung festgestellt wurden, gebe einem Unternehmen Aufschluss über Risiken, sodass es zeitnah reagieren könne.

Weitere Informationen finden sich unter www.rsa.com.

Dr. Wilhelm Greiner ist Stellv. Chefredakteur der LANline.