Umfassender Schutz für Ihre Informationen die zehn wichtigsten Erfolgsfaktoren

Transkript

1 WHITE PAPER Schutz und Kontrolle Ihrer Informationen Oktober 2010 Umfassender Schutz für Ihre Informationen die zehn wichtigsten Erfolgsfaktoren Gijo Mathew CA Security Management we can

2 Inhaltsverzeichnis Kurzfassung ABSCHNITT 1 Warum die Vorbeugung von Datenverlusten heute so wichtig ist 4 Informationen sind überlebenswichtig 4 Informationen sind schwer zu schützen 4 ABSCHNITT 3 Schlussfolgerungen 10 CA DLP für alle Anforderungen 10 ABSCHNITT 4 Informationen zum Autor 10 ABSCHNITT 2 Die zehn wichtigsten Erfolgsfaktoren für eine umfassende Datenkontrolle 1. Auffinden und Schützen sensibler Daten an vielen Speicherorten 5 2. Bessere Kontrolle über die Nachrichtenübermittlung 5 3. Flexible, maßgeschneiderte Abhilfemaßnahmen 6 Identitätsorientierter Ansatz 6 4. Identitätsbasierte Richtlinie 6 5. Verwaltung identitätsbasierter Richtlinien 7 6. Identitätsbasierte Abhilfemaßnahmen 7 Schnelle Amortisierung 8 7. Genauigkeit 8 8. Skalierbarkeit 8 9. Modularer Aufbau 9 Unterstützung für Content-Aware IAM Integration von Datenschutz und IAM 9

3 Kurzfassung Ausgangssituation Informationen sind das Rückgrat Ihres Unternehmens. Die Geschwindigkeit, mit der digitale Informationen erstellt und ausgetauscht werden, nimmt kontinuierlich zu. Nur wenn Sie in der Lage sind, diese Informationen effektiv und effizient zu schützen und unter Kontrolle zu behalten, und zwar unabhängig von ihren Speicherorten oder Nutzern, können Sie Sicherheits- und Compliancevorgaben wirklich erfüllen. Die Technologien, die diese neue Offenheit, Konnektivität und Zusammenarbeit zwischen Mitarbeitern, Kunden und Partnern erst ermöglichen, wie z. B. Cloud Computing, Virtualisierung und soziale Netzwerke, stellen gleichzeitig aber auch ein enormes Sicherheitsrisiko für Ihr Unternehmen dar. Ein einziger Missbrauch vertraulicher Daten sei es aus Versehen, absichtlich oder gar mutwillig kann für Unternehmen weitreichende finanzielle und juristische Folgen haben, große Vertrauensverluste bedeuten und das Markenimage schädigen. Chance Wenn Sie wissen, wo sich wertvolle Informationen in Ihrem Unternehmen befinden, wie und wohin sie bewegt werden und welche Gefahr sie darstellen, können Sie die Risiken minimal halten. Ihre Lösung für den Schutz und die Kontrolle von Informationen sollte nicht nur Verstöße gegen die Sicherheit von Daten (z. B. personenbezogene Daten, geistiges Eigentum und andere nicht öffentliche Informationen) verhindern, sondern auch die Risiken durch eine unachtsame, ungeschützte oder unrechtmäßige Nutzung dieser Daten verringern. Datenverluste sind immer auf ineffektive Schutz- und Kontrollmechanismen für Informationen zurückzuführen. Nun gibt es für Sie jedoch Möglichkeiten, nicht nur Datenverlust zu verhindern, sondern auch Ihre wichtigsten Informationen im Griff zu behalten. Nutzen Mit einer zuverlässigen Lösung können Sie sensible Daten in Ihrem Unternehmen aufspüren, klassifizieren und kontrollieren und so folgende Ziele erreichen: Identifizierung und Analyse der Daten an den wichtigsten Kontrollpunkten Vermeidung einer versehentlichen oder vorsätzlichen Veröffentlichung vertraulicher Informationen Erfüllung gesetzlicher und branchenspezifischer Datenschutzbestimmungen Verhinderung von Verstößen gegen allgemeine Sicherheits- und Verhaltensrichtlinien des Unternehmens Überwachung und Kontrolle der Verwendung von Informationen abhängig von Identität und Rolle Aufklärung der Benutzer hinsichtlich der richtigen Nutzung kritischer Daten Bedenkenloser Einsatz neuer Technologien und Plattformen 3

4 Abschnitt 1: Warum die Vorbeugung von Datenverlusten heute so wichtig ist Informationen sind überlebenswichtig Die Welt ist heute geprägt von vielerlei Veränderungen, aus technologischer und geschäftlicher Perspektive, aber auch in Bezug auf potenzielle Gefährdungen. Technisch übernehmen neue Kommunikationsmodelle die Führung. Soziale Netzwerke erfreuen sich zunehmender Beliebtheit, und Cloud Computing bzw. Virtualisierung setzen sich immer mehr durch. Mobile Geräte verfügen über Funktionen, mit denen Menschen überall nahtlos in Verbindung bleiben können. Auch die Art und Weise, wie wir Geschäfte tätigen, verändert sich, z. B. gehören heute der Austausch von Daten und der gemeinsame Zugriff auf Systeme und Anwendungen unbedingt dazu. Die Grenze zwischen den Benutzern auf Seiten der Arbeitgeber, Arbeitnehmer und Partner verschwimmt zusehends. Neben den technologischen Paradigmenwechseln und den Veränderungen in der Geschäftswelt gibt es jedoch auch neue Bedrohungen. Cyberkriminelle haben einen sehr profitablen und expansiven Markt geschaffen. Sie investieren in das Erforschen und Aufspüren von Sicherheitslücken, bevor diese von den Unternehmen selbst entdeckt werden. Daraus ist ein Geschäftsmodell entstanden, bei dem es rein darum geht, den Zugriff auf Rechner und Daten zu erlangen. Der nächste Schritt wird sein, sich auch der Menschen zu bedienen, die in den Unternehmen arbeiten. Und dies wird durch die neue Art der unternehmensübergreifenden Zusammenarbeit begünstigt. Derartige Bedrohungen waren in jüngster Zeit vermehrt zu beobachten, in Zukunft wird dieser Trend sicher noch zunehmen. Informationen gehören zu Ihren wichtigsten Ressourcen. Ihr Unternehmen möchte aber auch in der Lage sein, von überall und jedem Gerät auf Informationen zuzugreifen und mit praktisch jedermann zusammenzuarbeiten. Der Wunsch nach freien Informationen geht mit vielen Herausforderungen im Zusammenhang mit dem Sicherheits- und Risikomanagement einher. Die Unternehmen schützen heute nicht mehr nur ihre IT-Infrastruktur, sondern die Informationen direkt. Und dazu müssen sie verstehen, wie kritische Daten verwendet werden und wo sie abgelegt sind. Den Unternehmen war der Schutz ihrer Daten schon immer wichtig. Nun bekommt diese Herausforderung angesichts der vielen Compliance-Anforderungen, Firmenstandards, Auflagen für den Schutz von Kunden- und Mitarbeiterdaten und steigenden Kosten bei Datenverlusten aber eine ganz neue Dimension. Informationen sind schwer zu schützen Um die Risiken im Zusammenhang mit unkontrollierten Datenaktivitäten zu minimieren, müssen Sie wissen, wo sich wertvolle Informationen in Ihrer Umgebung befinden, wie und wann diese verwendet werden und welche Gefahr jeweils von ihnen ausgeht. Vor allem aber müssen Sie sicherstellen, dass sie nicht in die falschen Hände geraten, ob vorsätzlich oder nicht und sowohl innerhalb als auch außerhalb des Unternehmens. Am Markt gibt es unzählige Produkte zur Data Loss Prevention (DLP), die alle ähnlich für sich beanspruchen, Datenverluste verringern zu können. Deshalb ist es für Sie schwierig zu wissen, wie Sie das Risiko Ihres Unternehmens proaktiv senken und vertrauliche und sensible Daten effektiv schützen können. Paradoxerweise brauchen die meisten Unternehmen eigentlich gar kein DLP-Tool. Was sie brauchen, ist eine Lösung für den Schutz und die Kontrolle von Informationen, bei der die Vermeidung von Datenverlusten nur ein Teilaspekt ist. Mit unkomplizierter Sprache, viel gesundem Menschenverstand und unter Anlehnung an vorhandene Standards soll Ihnen dieser Leitfaden die zehn wichtigsten Anforderungen an eine Lösung für den Schutz und die Kontrolle von Informationen nahe bringen eine Lösung, die Sie wirklich dabei unterstützt, Ihre Informationen unter Kontrolle zu behalten und nicht nur Datenverlusten vorzubeugen. Wir haben in diesem aufschlussreichen Leitfaden die wichtigsten Erfolgsfaktoren für die Bereitstellung basierend auf praktischen Erfahrungen zusammengestellt. 4

5 Abschnitt 2: Die zehn wichtigsten Erfolgsfaktoren für eine umfassende Datenkontrolle 1. Auffinden und Schützen sensibler Daten an vielen Speicherorten Die ungewollte interne oder externe Offenlegung vertraulicher Informationen (Finanz-, Geschäfts-, Personaldaten, juristische oder behördliche Informationen), persönlicher Daten (Sozialversicherungsnummern, Kreditkarteninformationen, Patienteninformationen) und geistigen Eigentums (Patente, Markenzeichen, Entwürfe) kann an vielen verschiedenen Stellen in Ihrem Unternehmen passieren. Deshalb muss eine zuverlässige Lösung für den Schutz und die Kontrolle von Informationen wirklich alle potenziellen Schwachstellen in Ihrem Unternehmen schützen. Die meisten Unternehmen beginnen zunächst mit dem reinen Schutz vor Datenverlust und dehnen den Schutz dann auf weitere Gebiete aus, wie den Missbrauch von Informationen. Ihre DLP-Lösung sollte neben der Vermeidung von Verstößen gegen die Sicherheit persönlicher Daten, geistigen Eigentums und anderer nicht öffentlichen Informationen auch in der Lage sein, Gefahren durch ungeschützte und nicht regelkonforme elektronische Datenübertragungen zu mindern. Dazu gehören auch unangemessenes oder anstößiges Verhalten von Mitarbeitern, eine Kommunikation, die gegen behördliche und gerichtliche Vorgaben verstößt, Verhalten, das Rechtsansprüche und Strategie des Unternehmens gefährdet, unkontrollierte Finanztransaktionen und unangemessene Behandlung von Kundendaten. Die Lösung sollte außerdem weiter gefasste Vorschriften und länderspezifische Compliance-Anforderungen erfüllen, z. B. HIPAA, SOX, GLBA und PCI DSS, sowie Best Practices für die IT-Sicherheit wie CoBIT und ISO. Fazit: Es gibt immer mehr Kanäle, über die Informationen verloren gehen können (z. B. soziale Netzwerke, mobile Geräte, Virtualisierung und Cloud Computing), und auch die Menge sensibler Informationen in Ihrem Unternehmen nimmt stetig zu. Die meisten DLP-Produkte gehen den Datenverlust auf taktische Weise an. Was Sie brauchen, ist jedoch eine strategische Lösung für den Schutz und die Kontrolle von Informationen, um den zunehmenden Anforderungen gerecht zu werden. 2. Bessere Kontrolle über die Nachrichtenübermittlung Eine zuverlässige Lösung für den Schutz und die Kontrolle von Informationen muss wirklich alle potenziellen Schwachstellen in Ihrem Unternehmen schützen. Sie möchten zwar vor allem einen lückenlosen Schutz sämtlicher Arten und Zustände von Daten sicherstellen, es macht jedoch aus taktischer und auch finanzieller Sicht weitaus mehr Sinn, zunächst die Daten zu schützen sowie die Mechanismen zur Bewegung dieser Daten, die für Ihr Unternehmen das größte Risiko darstellen. Für die meisten Unternehmen ist als meist genutzte elektronische Anwendung sicherlich das anfälligste Medium für Datenmissbrauch. Da in einem typischen Unternehmen jeder Mitarbeiter sehr viele Nachrichten pro Tag versendet und empfängt, stellt eine wahrlich offensichtliche Gefährdung dar, denn sensible und vertrauliche Informationen können allzu leicht in falsche Hände geraten. Eine zusätzliche Gefahr sind die unterschiedlichen -Quellen, von denen nicht wenige Sicherheitslücken aufweisen, z. B. Desktops, mobile Geräte, öffentliche Computer, webbasiertes Firmen- und vom Netzwerk getrennte Laptops. für den Datenschutz als Ausgangspunkt zu nehmen, hat einen weiteren Grund: Zahlreiche Vorschriften verlangen von den Unternehmen, dass sie ihre Nachrichtenumgebungen überwachen und kontrollieren, um eine unangemessene interne Kommunikation bis hin zu ungesetzlicher Nachrichtenübermittlung außerhalb des Unternehmens oder Landes zu verhindern. Fazit: stellt auch weiterhin das am wenigsten kontrollierte System dar und trägt deshalb ein besonders hohes Missbrauchsrisiko. Durch die Überwachung und den Schutz von -Anwendungen lässt sich das Risiko von Datenmissbrauch und einer unrechtmäßigen Veröffentlichung drastisch verringern. 5

6 3. Flexible, maßgeschneiderte Abhilfemaßnahmen Anstelle eines allgemeinen Ansatzes, der nur die passive Prüfung nach einem Verstoß oder wahlloses Sperren aller vermeintlichen Datenschutzverletzungen ermöglicht, sollte Ihre Lösung für den Schutz und die Kontrolle von Informationen ausreichend Flexibilität bieten, damit bei jedem Richtlinienverstoß die richtige Maßnahme erfolgen kann. Sobald ein Ereignis als Verstoß identifiziert wurde, sollte die Lösung in Echtzeit mit einer geeigneten Aktion darauf reagieren, z. B. Warnmeldungen ausgeben, Objekte sperren, in Quarantäne stellen, Daten verschlüsseln oder digitale Rechte anwenden. Jede Antwort sollte speziell auf die Art und den Schweregrad der Verletzung zugeschnitten sein. Insbesondere muss dabei berücksichtigt werden, wer der Verursacher ist. So muss z. B. eine Verletzung, die durch den Vorstand des Unternehmens verursacht wurde, anders behandelt werden als ein Verstoß durch Vertriebsmitarbeiter oder Forschungsteammitglieder. Weitere geeignete Reaktionen sind: Umleitung eines Benutzers auf eine Website mit Angaben zu den Sicherheitsrichtlinien des Unternehmens, Unterstützung bei der Durchführung der aktuellen Aufgabe, Klassifizierung der entsprechenden Nachricht oder Datei, Aktualisierung eines Incident-Dashboards oder die unbemerkte Aufzeichnung problematischer Aktivitäten. Wenn Sie inaktive Daten erkennen, sollten Sie Dateien je nach Art des Verstoßes verschieben, kopieren, löschen oder kennzeichnen können. Viele Unternehmen sind auf der Suche nach einer Lösung, mit der sie zusätzlich die legitime Verwendung vertraulicher Informationen sicherstellen, entsprechende Kontrollen implementieren sowie den geeigneten Schutz überwachen können. Hierzu benötigen IT- und Sicherheitsexperten eine engere Integration zwischen Datenschutzlösung, Verschlüsselungsmechanismus und Digital Rights Management (DRM). Wird Inhalt und Kontext der Daten automatisch erkannt, lassen sich durch Lösungen für den Schutz und die Kontrolle von Informationen sowohl Verschlüsselungs- als auch DRM-Technologien erweitern. Ohne eine derartige Integration sind Verschlüsselungs- und DRM-Lösungen weniger wirkungsvoll, da die Endbenutzer Daten manuell klassifizieren müssen. Und dies bedeutet wiederum Einschränkungen für die Bereitstellung und eine höhere Belastung für die Datenbenutzer. Fazit: Beim Datenschutz geht es um mehr als um die reine Überwachung oder Verhinderung von Missbrauch. Auch die Benutzer müssen entsprechend vorbereitet und aufgeklärt werden. Bei einer Lösung für den Schutz und die Kontrolle von Informationen können Sie abhängig von der Klassifizierung der Daten, der Identität des Verursachers der Datenverletzung und der Verwendungsweise der Daten entsprechende Gegenmaßnahmen einleiten. Dies steigert das Bewusstsein der Endbenutzer für die Datenrichtlinie und dient zudem als Grundlage für die Verschlüsselungs- und DRM-Technologien. Identitätsorientierter Ansatz 4. Identitätsbasierte Richtlinie Die Identität der Benutzer hat beim Schutz Ihrer Infrastruktur sicher schon immer eine wichtige Rolle gespielt. So hat Ihre IT-Organisation möglicherweise Richtlinien implementiert, die steuern, wer auf welche Systeme und Anwendungen zugreifen darf. Dieses Paradigma muss nun auf den Schutz von Informationen ausgedehnt werden. Oft reicht es nicht aus, einfach nur die Datenklassifizierung zu kennen. Sondern es ist mehr Kontext erforderlich (z. B. wer die Daten verwendet), um die Informationen zu schützen und zu kontrollieren. Eine effektive Lösung für den Schutz und die Kontrolle von Informationen muss richtlinienbasierte Kontrollen auf die Identitäten anwenden oder in der Richtlinienlogik ein Identitätsattribut verwenden. Dann kann beispielsweise ein Mitarbeiter der Personalabteilung HR-Daten nur an Kollegen mit entsprechender Berechtigung senden. Werden Lösungen eingesetzt, die die Identität der Benutzer nicht berücksichtigen, müssen allgemeine Regeln implementiert werden. Ein Beispiel hierfür wäre: Niemand darf Personaldaten außerhalb der Unternehmensgrenzen verschicken. Dies ist allerdings in Umgebungen, wo Personaldaten in dieser Weise verwendet werden dürfen, nicht machbar. Fazit: Bei der Analyse bestimmter Datenereignisse sind Informationen zum Benutzer erforderlich, um den geeigneten nächsten Schritt zu unternehmen. Es ist wichtig, dass eine Lösung für den Schutz und die Kontrolle von Informationen mit Benutzerattributen arbeitet, um die Umgebung effektiv zu schützen und bei Datenverstößen entsprechende Gegenmaßnahmen einzuleiten. 6

7 5. Verwaltung identitätsbasierter Richtlinien Identitäten sowie die Beziehung zwischen Identität und Information sind genauso dynamisch wie die Daten selbst. Die Benutzer wechseln ihre Rollen und Verantwortlichkeiten im Unternehmen ständig, deshalb müssen Datenrichtlinien entsprechend den Änderungen der Rollen und Identitäten dynamisch anpassbar sein. Die meisten IT-Organisationen verwalten Änderungen für den System- und Anwendungszugriff mithilfe einer Identitätsmanagementlösung. Die Prozesse und die Technologie für das Identitätsmanagement sollten nun weiter ausgedehnt und mit der Lösung für den Schutz und die Kontrolle von Informationen integriert werden. Durch eine solche Integration lassen sich sensible Daten abhängig von Identität und Rolle besser schützen. So kann beispielsweise ein Mitarbeiter der Personalabteilung keine Personaldaten mehr an jemanden im Vertrieb schicken. Ohne Berücksichtigung der Identitäten und Rollen müssten bei herkömmlichen DLP-Lösungen allgemeine Regeln implementiert werden, die dann auf jeden Benutzer im Unternehmen angewandt werden. Fazit: Was ein Benutzer mit Daten tun kann und was nicht, ist eng mit seiner Rolle im Unternehmen verknüpft. Eine effektive Lösung für den Schutz und die Kontrolle von Informationen nutzt dieses Wissen, um die richtigen Datenrichtlinien für die richtigen Benutzer zum richtigen Zeitpunkt anzuwenden. 6. Identitätsbasierte Abhilfemaßnahmen Eine ganzheitliche Lösung für den Schutz und die Kontrolle von Informationen analysiert und verfolgt sämtliche Daten in Ihrem Unternehmen. Die Prüfung und Meldung dieser Ereignisse erfordern identitätsorientierte und rollenbasierte Kontrollen. Ein optimaler Problembehebungsprozess sollte stets systemeigene Sichtbarkeitskontrollen enthalten, mit denen sich eindeutig bestimmen lässt, welche Person eine bestimmte Datenschutzverletzung überprüfen darf. Der Prüfer muss in der Lage sein, alle relevanten Informationen anzuzeigen, d. h. die vollständige Nachricht, ganze Dateien und Anhänge im Originalformat. Außerdem muss er automatisch bzw. ad hoc Suchläufe durchführen und ähnliche Vorfälle leicht auffinden können, die ihm bei weiteren Nachforschungen helfen. Die Lösung muss den Datenzugriff kontrollieren und die Prüfung abhängig von Zugriffsrechten und Rollen delegieren. Hierzu ein Beispiel: Nur Personalleiter dürfen Verletzungen von Personaldaten anzeigen und Gegenmaßnahmen ergreifen. Ohne eine solche differenzierte Kontrollmöglichkeit könnten auch Sicherheitsmanager sämtliche Verstöße anzeigen und hätten so auch Einsicht in die entsprechenden vertraulichen Daten. Ihre Lösung für den Schutz und die Kontrolle von Informationen sollte nicht nur alle tatsächlichen Richtlinienverstöße erkennen, sondern auch schnelle und identitätsbasierte Gegenmaßnahmen ermöglichen. Fazit: Datenschutzverletzungen finden zweifellos in jedem Unternehmen statt. Die Bearbeitung dieser Verstöße liegt jedoch nicht immer in Verantwortung des Sicherheitsteams. Die meisten Verstöße müssen an einen Manager, Personalleiter, Complianceverantwortlichen o. Ä. delegiert werden, je nach Art der Verletzung. Die Lösung muss die Datenschutzverletzungen erkennen und an die richtigen Identitäten weiterleiten können. Und es dürfen nur die Personen Einsicht in die Verletzungen haben, die für die jeweiligen Daten zuständig sind. 7

8 Schnelle Amortisierung 7. Genauigkeit Genauigkeit ist der Dreh- und Angelpunkt jeder Lösung für den Schutz und die Kontrolle von Informationen. Wenn nur einfache Methoden zur Erkennung von Inhalten zur Verfügung stehen, wie es bei den meisten DLP- Lösungen der Fall ist, steigt die Wahrscheinlichkeit von Datenverlusten drastisch an, da tatsächliche Verstöße unerkannt bleiben und die Kennzeichnung zu vieler Ereignisse zu signifikanter Beeinträchtigung des Betriebs führen kann. Die einzige Möglichkeit, potenzielle Verstöße wirksam zu bekämpfen, ist der Einsatz einer Analysetechnik, die Identitäten und Geschäftsabläufe erkennt, d. h. wirkliche Verletzungen aufdeckt, aber legitime Geschäftsaktivitäten zulässt. Bei Lösungen für den Schutz und die Kontrolle von Informationen werden parameterbasierte Datenrichtlinien definiert. Werden die Parameter der Richtlinie erfüllt, wird ein Ereignis erstellt. Als Parameter in einer Datenrichtlinie können individuelle Inhalte oder Metadaten verwendet werden. Es gibt zwei leistungsstarke Techniken für die Definition dieser Parameter, um eine präzise Inhaltsanalyse zu gewährleisten. Erstens: Die Inhaltsbeschreibung ist eine Möglichkeit, eine Ausdruckssprache für Richtlinien zu verwenden, um den Inhalt der Daten zu beschreiben, nach denen die Lösung suchen soll. Mithilfe dieser Methode kann Ihre Organisation auch Verstöße aufdecken, die nicht explizit im System hinterlegt sind. Zweitens: Die Inhaltsregistrierung (mitunter auch als Datenfingerabdruckmethode bezeichnet) durchsucht sowohl strukturierte als auch unstrukturierte Daten, unabhängig von Dateityp und Dateiformat. Sie ermöglicht die Erstellung eines Fingerabdrucks, der in Datenrichtlinien für das Aufspüren exakt der gewünschten Daten verwendet werden kann. Diese Methode kann für verschiedene Arten von Daten äußerst effektiv sein. Sie müssen zuvor jedoch Fingerabdrücke erstellen. Beide Erkennungsmethoden haben ihre Vor- und Nachteile und müssen von den IT-Organisationen mit großer Sorgfalt angewandt werden. Wichtiger jedoch ist, dass sie auch Kontext hinzufügen, z. B. Identitäten, damit die Richtlinien entsprechend dem jeweiligen Konzept und Ziel vorgehen. Wie einfach die Konfiguration einer Richtlinie auch sein mag ein DLP-Tool mit zu vereinfachten oder funktional eingeschränkten Richtlinienfähigkeiten ist nicht in der Lage, Datenverlusten wirksam vorzubeugen bzw. Daten effektiv zu kontrollieren. Fazit: Wenn Ihre Lösung für den Schutz und die Kontrolle von Informationen keine umfassende und präzise Inhaltsanalyse vornehmen kann, werden Sie nicht ohne Weiteres in der Lage sein, unter unzähligen Fehlalarmen tatsächliche Verstöße auszumachen und zu beheben. Ein derart wirkungsloses Erkennungssystem wird Sie also sogar daran hindern, potenzielle Datenschutzverletzungen sicher und proaktiv abzuwehren, da viele der gekennzeichneten Aktionen zulässige Geschäftsaktivitäten sind. 8. Skalierbarkeit Ständig werden Daten erstellt und verwendet. Dies macht es so schwierig, wirklich alle Daten zu schützen. Eine effektive Lösung für den Schutz und die Kontrolle von Informationen muss sich in gleich mehreren Dimensionen skalieren lassen. Zum einen muss sie die Datenmengen verarbeiten können, die über verschiedene Kanäle übertragen werden. Zum anderen muss sie mehrere Petabyte Informationen, die möglicherweise in einem Unternehmen gespeichert sind, analysieren können. Dazu müssen ohne Überbeanspruchung der vorhandenen Systeme Analysen auf dedizierte Systeme ausgelagert werden, die sich horizontal skalieren lassen, um hohe Netzwerkgeschwindigkeiten und große Datenmengen zu unterstützen. Eine flexible Architektur wie diese beschleunigt die Bereitstellung, eliminiert einzelne Fehlerquellen, lässt sich problemlos skalieren und sorgt so für den Schutz von 500 oder auch Mitarbeitern. Die Plattform sollte die automatische Verteilung der Richtlinien sicherstellen, sodass unmerklich für den Benutzer die richtige Richtlinie schnell, sicher und an der richtigen Stelle angewendet wird. Fazit: Das Volumen digitaler Daten steigt weiterhin in einer unglaublichen Geschwindigkeit an. Zudem werden diese Daten auf unterschiedliche Weise von immer mehr Personen verwendet. Eine effektive Lösung für den Schutz und die Kontrolle von Informationen muss in der Lage sein, große Datenmengen zu analysieren und zu verwerten, ohne die Performance vorhandener Systeme und Anwendungen zu beeinträchtigen. 8

9 9. Modularer Aufbau Mit einer auf modularen, verteilten Komponenten basierenden Lösung können Unternehmen ihren dringendsten Anforderungen unmittelbar und kosteneffektiv nachkommen und neue Kontrollmöglichkeiten einführen, sobald dies nötig ist. Eine derartige Plattformarchitektur ermöglicht es Systemadministratoren zu bestimmen, welche Kombination von Kontrollpunkten den für ihr Unternehmen erforderlichen Schutz bietet. In manchen Fällen sind vielleicht nur Kontrollen für Desktops oder Laptops erwünscht, während in anderen Kontrollpunkte im Netzwerk erforderlich sind. Die Endpunkt- oder Clientkomponenten sollten auch dann Schutz bieten, wenn sie von einem zentralen Server oder dem Firmennetzwerk getrennt werden. Wenn sich der Benutzer wieder mit dem Firmennetzwerk verbindet, müssen neue Richtlinien automatisch heruntergeladen und erfasste Vorfälle sofort hochgeladen werden. Alle Funktionen müssen unabhängig von der Anzahl verwendeter Richtlinien oder Kontrollpunkte unterstützt werden. Darüber hinaus muss die Lösung für den Schutz und die Kontrolle von Informationen in beliebiger Abfolge an unterschiedlichen Stellen (z. B. Desktops, Netzwerk, Messaging-Server und Repositorys) funktionieren, und ergänzende Module müssen mit wenig Aufwand später hinzugefügt werden können. Fazit: Bei Einführung neuer Datentypen, Kanäle und Protokolle sollte sich die Lösung auch auf diese neuen Anforderungen umstellen lassen. Im Vergleich zu einer starren oder unerprobten Lösung ist eine modulare, verteilte Architektur, die höchste Flexibilität, Skalierbarkeit, Performance und Fehlertoleranz bietet, der beste Weg, um sowohl aktuelle als auch künftige Anforderungen im Bereich Datenschutz zu erfüllen. Unterstützung für Content-Aware IAM 10. Integration von Datenschutz und Identitäts- und Zugriffsmanagement (IAM) DLP ist Teil einer umfassenderen Lösung für den Schutz und die Kontrolle von Informationen, mit der Sie den Lebenszyklus von Daten und Nachrichten von der Erstellung über die Speicherung bis hin zur Discovery verwalten können. Lösungen für IAM (Identity and Access Management) sorgen für eine reibungslose Verwaltung und Autorisierung des Zugriffs auf Systeme und Anwendungen. Werden Datenschutz sowie Identitätsund Zugriffsmanagement integriert, profitieren Sie von inhaltsabhängigem IAM (Content-Aware IAM). Inhaltsabhängiges IAM ist für den IAM-Zyklus unverzichtbar für das rollenbasierte Management der Benutzer, die Durchsetzung von Zugriffsrichtlinien auf Basis dieser Rolle, die Kontrolle der Verwendung der Informationen, auf die zugegriffen wird, die Überprüfung des gesamten Prozesses und die Verfeinerung der Vorgänge und Richtlinien, sofern die Verwendung der Informationen nachvollzogen werden kann. Dadurch soll letztlich das Identitäts- und Zugriffsmanagement effizienter gestaltet werden. Ob inhaltsabhängiges IAM seine volle Leistung entfalten kann, hängt von der Fähigkeit der IAM-Komponenten ab, wichtige Informationen über Benutzer, ihre Berechtigungen und am allerwichtigsten den Inhalt der Informationen, auf die sie zugreifen, weiterzugeben. So lässt sich die Kontrolle über die Benutzer und deren Zugriff innerhalb der IAM-Plattform verbessern. Fazit: Bei der Sicherheit ging es bislang immer um die verschiedenen Ebenen der Sicherheitskontrollen. Es ist aber auch Integration vonnöten, damit gewisse Risiken nicht übersehen werden. Der Schutz und die Kontrolle von Informationen darf nicht eine weitere isolierte Sicherheitsmaßnahme sein, sondern muss vielmehr den nächsten Schritt in Ihrem Identitäts- und Zugriffsmanagementprozess darstellen. 9

10 Unternehmen, die inhaltsabhängige Technologien nutzen, sind nicht nur besser in der Lage, sensible Daten anderen zur Verfügung zu stellen, sondern auch, sie zu schützen. Derek Brink, CISSP Aberdeen The 2010 Data Loss Prevention Report Abschnitt 3: Schlussfolgerungen CA DLP für alle Anforderungen Datenverluste sind immer auf ineffektive Schutz- und Kontrollmechanismen für Informationen zurückzuführen. CA DLP ist eine Lösung für den Schutz und die Kontrolle von Informationen. CA DLP schützt Unternehmen vor den verschiedensten Formen des Datenverlusts und Missbrauchs. Die Lösung erkennt tatsächliche Datenschutzverletzungen mit weitreichenden finanziellen und juristischen Folgen, großem Vertrauensverlust und Schädigung des Markenimage, und behandelt sie angemessen. Branchenführende Erkennungs- und Analysemethoden verhindern, dass riesige Warteschlangen mit Fehlalarmen entstehen. So können sich Unternehmen auf die Überwachung von Richtlinienverstößen und Datenverlusten durch tatsächliche Verletzungen konzentrieren und sofort Abhilfemaßnahmen ergreifen. CA DLP überwacht und erkennt Verstöße an vielen Kontrollpunkten, darunter , IM, Internet, Mobile Mail, FTP, Dateirepositorys und Aktivitäten am Endgerät. Sobald eine Datenschutzverletzung gefunden wird, werden entsprechende Aktionen eingeleitet wie Sperren, Warnmeldungen, Quarantäne oder die Benachrichtigung von Vorgesetzten. Wichtig ist auch, dass der intelligente Prüfvorgang zahlreiche Funktionen bereithält, mit denen Administratoren sich ausschließlich auf die Sicherheitsverletzungen konzentrieren können, die in ihren Zuständigkeitsbereich fallen. Ein integrierter Workflow bietet erweiterte Suchfunktionen, Eskalationsmöglichkeiten und weitere Fallmanagementmaßnahmen, die alle automatisch in einem umfassenden Prüfprotokoll aufgezeichnet werden. Nicht zuletzt trägt die laufende Aufklärung dazu bei, dass Mitarbeiter Datenverlustrisiken verstehen, selbst korrigieren und in Zukunft vermeiden. Mit CA DLP können Unternehmen ihre vertraulichen und sensiblen Daten schützen und kontrollieren, wo auch immer sie gespeichert und verwendet werden. Dies senkt die Risiken durch unkontrollierte Informationen erheblich. Die Lösung zielt auf die ganze Bandbreite an Risiken ab, minimiert jedoch auch Beeinträchtigungen des Betriebs, die durch die Erkennung und Behebung dieser Risiken entstehen können. Die Verhinderung von Datenverlusten ist Teil einer ganzheitlichen IAM-Strategie. Mit einer vielschichtigen Lösung für inhaltsabhängiges IAM sind Unternehmen in der Lage, Identitäten zu verwalten, Zugriffe zu kontrollieren und die Datennutzung berechtigter Anwender zu schützen. Dieser Ansatz unterstützt Unternehmen bei der Rationalisierung ihrer IT-Sicherheitsumgebungen und der Einhaltung von Vorschriften und Datenschutzregelungen und bietet ihnen mehr Sicherheit und Flexibilität. Durch die Implementierung umfassender, automatisierter und integrierter Lösungen erhalten Unternehmen schlanke und effiziente IT-Systeme, erreichen eine schnellere Amortisierung und reduzieren Kosten, manuelle Prüfungen und Sicherheitsrisiken. Abschnitt 4: Informationen zum Autor Gijo Mathew Vice President, CA Technologies Gijo Mathew ist Certified Information Systems Security Professional und bringt zwölf Jahre Erfahrung mit Sicherheits- und IT-Management-Lösungen ein. In seiner Funktion zeichnet er verantwortlich für die Definition der Strategie, Ausrichtung und Kommunikationsvision des Unternehmens. Er verfügt über umfassende Erfahrungen in den folgenden Bereichen: Vorbeugung von Datenverlusten, Identitäts- und Zugriffsmanagement, Anwendungssicherheit, Netzwerksicherheit, Risikomanagement und die Entwicklung von Sicherheitsrichtlinien. 10

11 CA Technologies (NASDAQ: CA) ist ein Unternehmen für IT-Management-Software und -Lösungen mit Erfahrung in allen IT-Umgebungen, von Mainframes und verteilten Systemen bis hin zu virtuellen Systemen und Cloud Computing. CA Technologies verwaltet und schützt IT-Umgebungen und ermöglicht den Kunden die Bereitstellung flexiblerer IT-Services. Die innovativen Produkte und Services von CA Technologies bieten den Überblick und die Kontrolle, die IT-Organisationen brauchen, um geschäftliche Flexibilität zu unterstützen. Die meisten Fortune Global 500-Unternehmen nutzen Managementlösungen von CA Technologies für ihre wachsenden IT-Ökosysteme. Copyright 2010 CA Technologies. Alle Rechte vorbehalten. Alle erwähnten Marken, Handelsnamen, Dienstleistungsmarken und Logos sind Eigentum der jeweiligen Unternehmen. Dieses Dokument dient nur zur Information. CA Technologies übernimmt keine Verantwortung für die Richtigkeit oder Vollständigkeit der Informationen. Im Rahmen geltender Gesetze liefert CA Technologies dieses Dokument ohne Mängelgewähr und übernimmt keinerlei Gewährleistung, insbesondere in Bezug auf die stillschweigende Gewährleistung der Marktgängigkeit, der Eignung für einen bestimmten Zweck und der Nichtverletzung von Rechten Dritter. In keinem Fall haftet CA Technologies für Verluste oder unmittelbare oder mittelbare Schäden, die aus der Verwendung dieses Dokuments entstehen. Dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechung, Verlust von Goodwill oder Datenverlust, selbst wenn CA Technologies über die Möglichkeit solcher Schäden informiert wurde. 3023_1010