Überall auf der Welt gibt es Schlagzeilen über Datenschutzverletzungen und Sicherheitsverstöße. Für die meisten Unternehmen ist es daher offensichtlich, dass personenbezogene Informationen und die sensiblen Daten, die sie in ihrem Besitz haben, eine extrem kostbare Währung sind. Unternehmen wie Google und Facebook haben sich durch ein „kostenloses“ Leistungsangebot zu milliardenschweren Organisationen entwickelt – einfach indem sie Nutzer dazu ermutigt haben, persönliche Informationen zu „teilen“. Die erhaltenen Daten setzten sie dann ein, um mehr über diese Nutzer zu erfahren und die Informationen mit zahlenden Sponsoren und Werbetreibenden zu „teilen“.
Allerdings kann die unbefugte Preisgabe sensibler Daten, ob sie nun versehentlich oder durch eine Sicherheitsverletzung zustande kam, erhebliche finanzielle Folgen für Unternehmen haben und das Vertrauen der Kunden im Handumdrehen schwinden lassen. Für Unternehmen bedeuten solche Vorfälle nicht nur regulatorische Strafen, Zensur und potenzielle zivil- und strafrechtliche Haftbarkeit, sondern können noch Jahrzehnte nach dem Vorfall verstärkte Beobachtung durch staatliche Auditoren nach sich ziehen.
Gleichzeitig haben viele Organisationen in raschem Tempo den Schritt in die Cloud gewagt. Die Verlagerung Ihrer Informationen in die Cloud hat viele Sicherheitsvorteile, aber Sie sind immer noch für das Verständnis und den Schutz der Inhalte darin verantwortlich! Um dieses Risiko zu mindern, müssen Unternehmen ein Programm implementieren, das es ihnen ermöglicht, Informationen kontinuierlich denjenigen zur Verfügung zu stellen, die sie haben sollten, und sie vor denjenigen zu schützen, die sie nicht haben sollten. Der Weg zur Einrichtung solcher Maßnahmen setzt sich aus drei wichtigen Fragen zusammen:
1. Welche sensiblen Daten haben Sie und wo befinden sie sich?
Jedes Unternehmen besitzt vertrauliche Informationen. Egal ob personenbezogene Daten, Gesundheitsinformationen, Finanzdaten, vertragliche Informationen, Forschungsdaten, Geschäftsgeheimnisse oder geistiges Eigentum (und die Liste lässt sich noch weiter fortsetzen) – diese Informationen müssen identifiziert und geschützt werden. Doch der Kontext ist denkbar schwierig: Globale Organisationen und rapide verschwimmende Netzwerkperimeter, Mitarbeitende, die von überall her auf Daten zugreifen, und Geschäftsführer, die unter der fehlgeleiteten Annahme, dass im Hinblick auf Daten „mehr“ auch immer „besser“ sei, Sicherheitsaspekte als Produktivitätsblockaden für die datengestützte Wirtschaft betrachten. Wie also soll ein CISO bei der Priorisierung und Überarbeitung seines Datenschutz- und Informationssicherheitsprogramms vorgehen?
AvePoint Compliance Guardian schafft Abhilfe und ermöglicht es Ihnen, sensible Daten in Office 365 zu identifizieren, zu kennzeichnen, zu klassifizieren, zu verschieben und zu schützen. Besser noch, es kann bei der Anwendung von Office 365-Etiketten zur weiteren Kontrolle dieser Daten helfen. Zudem lassen sich damit detaillierte forensische Analysen rund um den Datenschutz, die Informationssicherheit und die Zugänglichkeit in Ihrer Organisation durchführen und Verantwortlichkeit für die Behebung von Vorfällen zuweisen, um mit der Zeit die Compliance zu verbessern. Die „datenbewussten“ Sicherheitsrichtlinien von Compliance Guardian bieten Unternehmen die Möglichkeit, einen mehrschichtigen Ansatz für die Sicherheit zu entwickeln, Prioritäten zu setzen, wo Anstrengungen (und Kosten) investiert werden sollten und mehrere Verteidigungslinien aufzubauen.
2. Wer hat Zugriff auf sichere Daten in Microsoft 365?
Unternehmen müssen kontinuierlich beurteilen und überprüfen, welche Akteure innerhalb und außerhalb ihrer Organisation Zugriff auf bestimmte Arten von Informationen benötigen. In Zusammenarbeit mit der IT ist es ratsam, die entsprechenden Kontrollmechanismen der unternehmenseigenen Systeme zu automatisieren, um Mitarbeitenden den verantwortungsvollen Zugriff auf Daten zu erleichtern.
Ein begrenzter und angemessener Zugriff ist immer von entscheidender Bedeutung. Wenn Zugriffsrechte zu weit gefasst werden oder die Einstellungen für die externe Freigabe und/oder den Gastzugriff nicht detailliert genug sind, um den spezifischen Bedarf des Unternehmens zu erfüllen, kann es vorkommen, dass Personen unbefugten Zugriff auf Daten haben, was das Risiko übermäßiger Weitergabe mit sich bringt.
AvePoint Policies and Insights (PI) baut auf der Arbeit auf die Microsoft bereits leistet. Es indexiert Ihre Daten und ermöglicht Ihnen, Zugriffskontrollen für Microsoft 365 zu finden, sie zu priorisieren, anzupassen und durchzusetzen. PI trägt Sensibilitäts- sowie Aktivitätsdaten aus Ihrem gesamten Tenant zusammen, sodass die wichtigsten Punkte zuerst behandelt werden können. Anschließend können Sie die einzelnen Aspekte auf zusammengefasster Basis bearbeiten und Richtlinien festlegen, die automatisch durchgesetzt werden sollen. Die Sicherung der Zusammenarbeit in Teams, Gruppen, Sites und OneDrive war noch nie so einfach.
3. Wer hatte wann Zugriff auf die sicheren Daten?
Um eine starke Sicherheitslage aufrechtzuerhalten, müssen Unternehmen wissen, wann jemand (intern oder extern) unbefugt Zugriff auf Daten erlangt hat. Mit AvePoint Policies and Insights können Sie Berechtigungen für ganze Arbeitsbereiche oder einzelne Dokumente mit sensiblen Informationen hinzufügen, bearbeiten, mit Ablaufdatum versehen oder entfernen. Sie können Berechtigungen in einem Stapel direkt aus objekt- oder nutzerbasierten Sicherheitsberichten aktualisieren und sicherstellen, dass Nutzeraktionen nicht gegen Inhalts- und Sicherheitsregeln verstoßen, indem Sie Richtlinienänderungen in Microsoft 365 automatisch rückgängig machen.
Einfach ausgedrückt: Der Schlüssel zu mehr Sicherheit besteht darin stets den Unterschied zwischen, was geteilt werden kann und was geteilt werden sollte zu kennen. Mit AvePoints sicheren Kollaborationsprodukten und den nativen Kollaborationstools von Microsoft 365 können Sie guten Gewissens und in dem Vertrauen zusammenarbeiten, dass Ihre geschäftlichen Informationen sicher sind.
Dana Louise Simberkoff is the Chief Risk, Privacy and Information Security Officer at AvePoint. She is responsible for AvePoint’s privacy, data protection, and security programs. She manages a global team of subject matter experts that provide executive level consulting, research, and analytical support on current and upcoming industry trends, technology, standards, best practices, concepts, and solutions for risk management and compliance. Ms. Simberkoff is responsible for maintaining relationships with executive management and multiple constituencies both internal and external to the corporation, providing guidance on product direction, technology enhancements, customer challenges, and market opportunities.
Ms. Simberkoff has led speaking sessions at data privacy and security events around the globe. She was featured in Forbes, writes a monthly column for CMSWire, and was highlighted in the CSO Online list of “12 Amazing Women in Security”. She is a current member of the Women Leading Privacy Advisory Board and a past member of the Education Advisory Board for the International Association of Privacy Professionals (IAPP). Ms. Simberkoff holds a BA from Dartmouth College and a JD from Suffolk University Law School.
LinkedIn: www.linkedin.com/in/danalouisesimberkoff/en
Twitter: http://www.twitter.com/danalouise