Data Loss Prevention Best Practices

Data Loss Prevention

Durch einen schrittweisen Ansatz, der sich darauf konzentriert, die schädlichsten Lecks zu verhindern und bessere Möglichkeiten für den sicheren Informationsaustausch zwischen Benutzern zu schaffen, kann Data Loss Prevention effektiv, praktisch und erfolgreich sein.

Ein effektives Programm zur Verhinderung von Datenverlust sollte über die folgenden Funktionen verfügen:

  • Verwalten: Definieren Sie Datennutzungsrichtlinien, richten Sie eine Incident Response-Funktion ein, um Korrekturmaßnahmen zur Behebung von Verstößen zu ermöglichen, und melden Sie Datenverlustvorfälle. Data Loss Prevention ist nicht nur ein Technologieproblem – es ist auch ein Problem mit Richtlinien und Richtlinienmanagement. Datennutzungsrichtlinien sollten sich mit Problemen befassen, z. B. wie der Datenzugriff bestimmt und authentifiziert wird und wie Richtlinien erzwungen werden. Die Verwaltungsfunktionen sollten auch Datenverlustberichterstattungsfunktionen und das Workflow-Management für die Behebung von Vorfällen umfassen. Schulen Sie Benutzer in Bezug auf Datennutzungsrichtlinien.
  • Entdecken: Definieren Sie die Klassifizierung sensibler Unternehmensdaten basierend auf ihrer Sensibilität, Kritikalität und regulatorischen Anforderungen, erstellen Sie ein Inventar sensibler Daten basierend auf der Klassifizierung, identifizieren Sie, wo sensible Daten gespeichert sind, identifizieren Sie, wer Zugriff auf sensible Daten hat, und verwalten Sie die Datenbereinigung. Dazu gehört die Sicherstellung, dass sensible Daten, die sich im Ruhezustand befinden oder auf Endpunkten gespeichert sind, in das Inventar aufgenommen oder an einen Ort verlagert werden, der verwaltet und kontrolliert wird.
  • Map: Ordnen Sie den Fluss sensibler Daten aus externen Quellen sowie intern von System zu System und zu Benutzern zu. Führen Sie eine Bestandsaufnahme aller Datenausgangspunkte (ein guter Ausgangspunkt ist die Analyse Ihres Netzwerkdiagramms und die Überprüfung der Firewall- und Router-Regelsätze).
  • Monitor: Überwachen Sie die Verwendung sensibler Daten. Dies kann die Überwachung von bewegten Daten umfassen, indem die Netzwerkkommunikation unter Verstoß gegen die Datensicherheitsrichtlinien überprüft und Daten an den Endpunkten überwacht werden, um festzustellen, ob sie auf lokale Laufwerke heruntergeladen, auf USB oder andere Wechselmedien kopiert, auf CD / DVDs gebrannt und elektronisch gedruckt oder gefaxt wurden.
  • Schützen: Erzwingen Sie Sicherheitsrichtlinien, um Daten proaktiv zu sichern und zu verhindern, dass sie das Unternehmen verlassen. Der automatische Schutz sensibler Daten über Endpunkt-, Netzwerk- und Speichersysteme hinweg sollte den Schutz ruhender Daten mit automatischer Verschlüsselung, Quarantäne und Entfernung umfassen. Beschränken Sie das Drucken, Speichern, Kopieren, Zugreifen, Verschieben und Herunterladen vertraulicher Daten auf Wechselmedien oder andere Laufwerke. Verhindern Sie, dass Daten in Bewegung gesendet werden, wenn sie gegen Sicherheitsrichtlinien verstoßen, oder verschlüsseln Sie sie automatisch für einen sicheren Austausch.

Fokus auf Risiko

Obwohl ein umfassendes Programm zur Bewältigung aller relevanten Aspekte des Datenverlusts das Ziel ist, ist es taktisch und finanziell weitaus sinnvoller, zunächst die Daten zu schützen, die die größte Gefahr für das Unternehmen darstellen. Dies bedeutet, dass zunächst alle potenziellen Datenverlustmodi identifiziert und dann anhand von Kriterien wie früheren Verstößen, Kommunikationsvolumen, Datenvolumen, Wahrscheinlichkeit eines Verstoßes und Anzahl der Benutzer mit Zugriff auf diese Modi priorisiert werden. Wenn Sie sich zunächst auf die wichtigsten und wirkungsvollsten Bereiche konzentrieren, können Sie Lösungen leichter rechtfertigen und mit dem Verstopfen der Lecks beginnen. Eine Studie des Poneman Institute aus dem Jahr 2009 schätzte beispielsweise, dass 88 Prozent der Vorfälle mit Datenlecks auf Fahrlässigkeit der Benutzer zurückzuführen waren und nur 12 Prozent auf böswillige Absichten zurückzuführen waren.

Data Loss Prevention-Lösungen sollten legitime Geschäftsaktivitäten nicht unterbrechen. Um effektiv arbeiten zu können, muss eine Lösung zur Verhinderung von Datenverlust funktionieren, ohne die Systemleistung zu beeinträchtigen oder Mitarbeiter daran zu hindern, ihre Arbeit zu erledigen. Lösungen, die nicht skalierbar sind, können mit dem Wachstum von Unternehmen zu Leistungsproblemen führen. Lösungen, die nicht ordnungsgemäß getestet und abgestimmt werden, können auch zu falsch positiven und falsch negativen Ergebnissen führen, die wertvolle Ressourcen verbrauchen.

Data Loss Prevention-Lösungen werden ständig weiterentwickelt, ohne dass eine einzige Option alle Funktionen bietet, die die meisten Unternehmen benötigen. Unternehmen müssen das Problem des Datenverlusts angehen, indem sie eine flexible und modulare Architektur schaffen, die es ihnen ermöglicht, ihre kritischsten Schutzanforderungen kostengünstig zu erfüllen und gleichzeitig neue Steuerelemente hinzuzufügen, wenn sich diese Anforderungen ändern.

Mehr Informationen:

  • http://www.csoonline.com/article/2134517/strategic-planning-erm/7-strategies-for-a-successful-dlp-strategy.html
  • http://www.isaca.org/Groups/Professional-English/security-trend/GroupDocuments/DLP-WP-14Sept2010-Research.pdf
  • http://csrc.nist.gov/groups/SNS/rbac/documents/data-loss.pdf
  • http://www.sans.org/reading-room/whitepapers/dlp/data-loss-prevention-32883

Verzichtserklärungen

Im Anschluss an das FRSecure-Verzichtsverfahren können Verzichtserklärungen von bestimmten Richtlinienbestimmungen beantragt werden.

Durchsetzung

Mitarbeiter, die gegen diese Richtlinie verstoßen haben, können disziplinarischen Maßnahmen bis hin zur Beendigung des Arbeitsverhältnisses und damit verbundenen zivil- oder strafrechtlichen Sanktionen unterliegen.

Jeder Anbieter, Berater oder Auftragnehmer, der gegen diese Richtlinie verstoßen hat, kann mit Sanktionen bis hin zur Entfernung von Zugriffsrechten, Kündigung von Verträgen und damit verbundenen zivil- oder strafrechtlichen Sanktionen belegt werden.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.