Data Leakage ein teures Leiden

Transkript

1 Data Leakage ein teures Leiden

2 Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die 7 goldene Regeln der Data Leakage Prevention Datenschutzmanagementsystem

3 Casinos Austria Gruppe

4 Organisation Die Business Units entwickeln in Abstimmung mit dem jeweils hauptverantwortlichen Vorstandsmitglied die strategische Ausrichtung und führen eigenverantwortlich das operative Tagesgeschäft. Benötigt eine Business Unit Spezialisten, etwa in Rechtsfragen oder im Einkauf, findet sie diese in den Corporate Functions (Gruppenfunktionen), deren Dienste auch in Anspruch genommen werden müssen.

5 Was ist DLP? DLP = ein Marketingbegriff aus dem Bereich der Informationssicherheit DLP gehört zu den Schutzmaßnahmen, die direkt den Schutz der Vertraulichkeit von Daten unterstützt (und je nach Ausprägung auch direkt oder indirekt die Integrität und Zuordenbarkeit)»Data Loss Prevention«= Schutz gegen den unerwünschten Abfluss von Daten, der Schaden verursacht und auch bemerkt wird»data Leakage Prevention«= Schutz gegen ein vermutetes Weitergeben von Informationen an unerwünschte Empfänger (Datendiebstahl)

6 Benötigte Funktionen einer DLP Lösung Dokumentieren was mit bestimmten Daten geschehen ist Schaffung von Awareness beim Betroffenen, Sensibilisierung im Umgang mit vertraulichen Daten Bestätigung des betroffenen Anwenders einholen, z. B. durch ein Eingabfeld im Popup Im Anlassfall blocken sämtlicher Aktionen, die mit Daten möglich sind Alarmanlagenfunktion

7 Rechtliche Rahmenbedingungen Richtlinie 95/46/EG des europäischen Parlamentes und des Rates vom 24. Oktober 1995 VERORDNUNG (EG) Nr. 45/2001 des europäischen Parlamentes und des Rates vom 18. Dezember 2000 Richtlinie 2002/58/EG des europäischen Parlamentes und des Rates vom 12. Juli 2002 Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz DSG 2000) Allgemein Bürgerliches Gesetzbuch, JGS Nr. 946/ und 1328a E-Commerce-Gesetz (ECG), BGBl. I Nr. 152/ Glücksspielgesetz Konsumentenschutzgesetz, BGBl. Nr. 140/ Mediengesetz, BGBl. Nr. 314/ Strafgesetzbuch, BGBl. Nr. 60/ a Verwaltungsstrafgesetz 1991, BGBl. Nr , Strafprozeßordnung 1975, BGBl. Nr Zivilprozeßordnung, RGBl. Nr. 113/ , 228

8 Gefühlte und wirkliche Bedrohung Abbildung von Dr. Volker Scheidemann

9 Die 7 goldenen Regeln von DLP 1. Akzeptieren Sie das Risiko Bedeutet nicht, dass Sie das Risiko tolerieren müssen! 2. Etablieren Sie Endpoint Security Schützen Sie vertrauliche Daten am einzelnen Arbeitsplatz, dort entstehen sie nämlich! 3. Steuern Sie die Sicherheit selbst durch zentrales Policy Management, Gewaltentrennung, Zugriffsrechten nach dem Need-to-know-Prinzip 4. Gestalten Sie Sicherheit so einfach wie möglich durch transparente Verschlüsselung, regelbasierte Lösungen, nicht das Produkt mit den meisten Features wählen sondern die am einfachsten zu betreibende Lösung

10 Die 7 goldenen Regeln von DLP 5. Sorgen Sie für den Notfall vor Entschlüsseln (für Berechtigte) muss jederzeit möglich sein, Recovery-Mechanismen sichern Datenverfügbarkeit 6. Beherzigen Sie die 80:20 Regel 100% gibt es nicht, 80% sind viel besser als gar nichts! 7. Datensicherheit kostet Data Loss Prevention ist ein komplexes Thema, vertrauen Sie Spezialisten.

11 Maßnahmen zur DLP Digital Rights Management (DRM) Mailverschlüsselung (Gateway, Point-to-Point) Content Filtering und Keyword Matching Fingerprinting

12 Technik vs Organisation? Technische DLP Lösungen ohne organisatorische Rahmenbedingungen sind (weitgehend) wirkungslos deswegen ist Nachfolgendes mindestens genauso wichtig

13 Die Datenschutzpolitik Regelung der Verantwortlichkeiten Gewährleistung der Privatsphäre Wahrung der Persönlichkeitsrechte Einhaltung der gesetzlichen Anforderungen und Weiterentwicklung der Vorgaben und Richtlinien

14 Datenschutzmanagementsystem

15 Datenschutzmanagementsystem Datenschutzrelevante Objekte identifizieren und bewerten Schutzmaßnahmen definieren Mitarbeiter sensibilisieren Vorfälle behandeln und daraus lernen Prozess überwachen und messen System regelmäßig kontrollieren Datenschutzprozesse aktuell halten

16 Datenschutzrelevante Objekte

17 Datenschutzrelevante Objekte

18 Messung des Datenschutzes Messgrößen: Bewusstsein und Kompetenz des Personals Absolvierung der Datenschutzschulungen Anzahl der Beauskunftungen in denen die Beauskunftung weniger als 49 Tage gedauert hat Konformitätsbewertung der datenschutzrelevanten Objekte Umsetzung des Standards (Reduzierung der im Zuge von Audits festgestellten non conformities ) Methoden: Definition von Zielwerten (z.b. Auskunftsdauer bei 90% kürzer als 49 Tage) Durchlauf des PDCA-Zyklus 1 x jährlich

19 Etablierte Datenschutzorganisation Data-Owner sind verantwortlich für: - Definition von Schutzbedarf & Sicherheitsanforderungen - Sicherstellung der Datenklassifizierung - Festlegung der Aufbewahrung und Sicherung - Genehmigung und Kontrolle der Zugriffsberechtigungen Führungskräfte sowie alle Mitarbeiter - unterstützen die DSV s - müssen Datenschutzverletzungen umgehend dem Data-Owner und dem Datenschutzbeauftragten melden

20 Der Datenschutzbeauftragte (DSB) sorgt für die Einhaltung der gesetzlichen und innerbetrieblichen Rahmenbedingungen berät die Unternehmensleitung und das Management entwickelt datenschutzrechtliche Vorgaben und Konzepte in Abstimmung mit der Geschäftsleitung

21 Der Datenschutzbeauftragte (DSB)

22 Management Review Jährlicher Bericht an den Vorstand Zusammenfassung interner und externer Audits Zusammenfassung aller Incidents Freigabe von Maßnahmen zur Verbesserung des Datenschutz und Datensicherheitsniveaus

23 Danke für Ihre Aufmerksamkeit!