Die goldenen Regeln der Data Loss Prevention

Transkript

1 Die goldenen Regeln der Data Loss Prevention ISSS Zürcher Tagung , WIDDER Hotel, Zürich Johann Petschenka Channel Manager für internationale Sales Partner, SECUDE IT Security GmbH Information Security Society Switzerland 1

2 Die goldenen Regeln der Data Loss Prevention Der einfache Weg zur Umsetzung und Anwendung von DLP

3 Die SECUDE AG mit Sitz in Regensdorf zählt seit über 10 Jahren zu den führenden Anbietern von IT Security- Lösungen in den Bereichen Identity und Access Management, Datenintegrität, Verschlüsselung von Daten und Kommunikation und SAP Sicherheit. Das Unternehmen bietet hochwertige Lösungen für Single Sign-On und die Sicherheit von Dokumenten, Anwendungen und Transaktionen und ist Marktführer im Bereich SAP Sicherheit SECUDE IT Security GmbH, Darmstadt

4 ^Data Loss Prevention? Ich hab doch eine Firewall

5

6 Presse Die Studie IT-Sicherheit 2008 der Beratungsfirma Steria Mummert Consulting ergab, dass rund 45% der betrieblichen IT-Sicherheitsverstöße im Jahr 2008 aufgrund von Fehlern der Mitarbeiter geschahen. Die IT-Sicherheit in Deutschland hat sich gegenüber 2007 deutlich verschlechtert, da zu wenig Sicherheitsprojekte durchgeführt wurden. Quelle: IHK Magazin, März 09 Unternehmen mit Mitarbeitern haben das größte Schadensrisiko. Die häufigsten Angriffe sind Diebstahl, Einbruch und Überfall (20,1%), Korruption, Betrug und Untreue (15,1%) und Hackerangriffe (14,1%). Der Staat wird das Bundesdatenschutzgesetz verschärfen, da die Datensicherheit auch durch entlassene Mitarbeiter gefährdet ist. Quelle: Computerwoche,

7 Maßnahmen

8 Die goldenen Regeln zur Nutzung von Data Loss Prevention

9 Regel Nr. 1 Risiken akzeptieren und abschätzen! Wenn Sie die Risiken nicht akzeptieren und Ernst nehmen, handeln Sie grob fahrlässig und riskieren Datenverlust mit einem damit verbundenen Unternehmensschaden. Stellen Sie sich nicht in die gleiche Reihe der bereits geschädigten Unternehmen

10 Regel Nr. 2 Nehmen Sie die Umsetzung der Sicherheitsmaßnahmen in die eigene Hand. Definieren sie einen eigenen Sicherheitsbeauftragten, der die Sicherheit zusammen mit den Fachbereichen regelt und definiert. Tipp: Orientieren sie sich an bereits erfolgreich umgesetzten Projekten anderer Unternehmen die sie kennen

11 Regel Nr. 3 Einführung einer Unternehmensethik! Einführung einer Unternehmensethik und des Elements sicheres Verhalten als karrierefördernder Faktor. Tipp: Führen sie Sicherheitsschulungen als Weiterbildungsmaßnahme durch. Verteilen Sie dafür eine interne Zertifizierung

12 Regel Nr. 4 Führen Sie eine zentrale Benutzerverwaltung ein! Rechte müssen schnell entzogen und gegeben werden können. Beides ist gleichwichtig! Beschränkung des Zugriffs auf Informationen auf die jeweiligen Bereiche, die ein Mitarbeiter wirklich benötigt

13 Regel Nr. 5 Identifizieren Sie vertrauliche Daten! Welche Daten sind vertraulich? Wer arbeitet wie damit? Wo werden diese Daten gehalten und wie werden sie im Unternehmen gehalten bzw. verteilt? Tipp: Klassifizieren sie

14 Regel Nr. 6 Schützen Sie vertrauliche Daten dort, wo sie entstehen, am Arbeitsplatz. Mit Endpoint Security Produkten: Verschlüsseln sie mobile Datenträger und Geräte Tipp: Setzen Sie Lösungen ein, die verlorengegangene Geräte ferngesteuert löschen

15 Regel Nr. 6 Sorgen Sie für Content-basierte Security im Bezug zum Kontext Setzen Sie Netzwerkbasierte DLP Lösungen ein, die die Inhalte von Web, Mail, IM usw. prüfen und kontrollieren. Setzen Sie Endpoint Security ein, die lokal Daten verschlüsseln und die Dateioperationen, wie verschieben, kopieren und löschen über die lokalen Schnittstellen wie USB und Firewire, prüfen und kontrollieren. Idealerweise in Abstimmung mit den netzwerkbasierten DLP Systemen(API für Portcontent Kontrolle)

16 Regel Nr. 7 Sichern Sie den lokalen Zugang und Remote Access durch Starke Authentisierung und durch Verschlüsselung ab. Tipp: Setzen Sie auf Lösungen die starkes Authentisieren durch Zertifikate unterstützen aber einen Migrationsweg bieten

17 Regel Nr. 8 Machen Sie Sicherheit einfach! Setzen Sie auf Lösungen die die Mitarbeiter im Prozess nicht behindern. Das fördert die Akzeptanz. Komplexität reduzieren: nicht das Produkt mit der größten Funktionalität wählen, sondern das mit den Funktionen, die Sie wirklich benötigen. Setzen Sie auf Lösungen die sich in vorhandene Management Infrastrukturen,(IDM) integrieren lassen und dazu Standarisierte Schnittstellen bieten

18 Regel Nr. 9 Kontrollieren Sie nicht zu stark! Sie riskieren sonst das die Mitarbeiter eine Big Brother Mentalität empfinden und das an die Öffentlichkeit tragen

19 Regel Nr. 10 Datensicherheit kostet, aber spart langfristig! Setzen Sie auf Lösungen die von zertifizierten Spezialisten implementiert und gewartet werden Evaluieren Sie Lösungen die auf Standards basieren, und integrierbar sind, denn das garantiert Ihnen die Nutzung der vorhandenen Technologien und gewährleistet den Investitionsschutz

20 Lösungsansätze: was wird benötigt? Festplattenverschlüsselung File/Folder Verschlüsselung FDE, Diebstahlschutz, Power Off Security Gruppenbasierte Verzeichnis-Verschlüsselung Leitungsverschlüsselung VPN, sicheres SAP, Remote Access usw. Kontrolle von Schnittstellen Vertrauenswürdige Anwendungen Wechselmedien Verschlüsselung Starke Authentisierung Content Kontrolle Digital Rights Management USB, Firewire, DVD, harwarespez. Zuordnung sicheres Applikations-Umfeld USB, DVD Zertifikate, Token Filterprogramme zur Analyse des Datenstroms Tiefgehende Rechteverwaltung für Daten

21 Resume Es gibt heute keine All-in-One DLP Lösung die allen Anforderungen gerecht wird All-in-One Lösung ist nicht sinnvoll, aufgrund der unterschiedlichen technologischen Ansätze Das Unternehmen muss mit den Lösungen mehreren Hersteller eine umfassende DLP Lösung umsetzen

22 Ihre Fragen bitte Vielen Dank! Johann Petschenka Country Manager Switzerland SECUDE AG Althardstrasse Regensdorf, Switzerland T +41 (44) M +41 (79) F +49 (0) johann.petschenka@secude.com