CA DataMinder Schulung und Sensibilisierung

Transkript

1 LÖSUNGSBLATT CA DataMinder Schulung und Sensibilisierung agility made possible Aktuellen Untersuchungen zufolge sind 41 % der Datenverluste auf Fahrlässigkeiten zurückzuführen, und die Kosten der einzelnen Vorfälle für die Unternehmen belaufen sich jeweils auf durchschnittlich 7,2 Millionen US-Dollar. Damit sind die Kosten von 2009 auf 2010 um 7 % angestiegen. Als Reaktion darauf initiieren 63 % der Unternehmen Schulungsprogramme, um nach solchen Vorfällen zukünftig Datenverlusten besser vorzubeugen. Aber genau diese Fahrlässigkeit, fehlende Sensibilisierung und reaktiven Schulungsansätze tragen dazu bei, dass Unternehmen sich vermeidbaren finanziellen Problemen ausgesetzt sehen und frustriert nach effizienten Lösungen für die Kontrolle über Informationen suchen. CA Technologies bietet eine Lösung für die Schulung und Sensibilisierung, die die Mitarbeiter für die Informationssicherheit sensibilisiert, indem ihr Verhalten entsprechend beeinflusst und das Risiko eines Verlusts von Unternehmensressourcen verringert wird. Ausgangssituation Die meisten Unternehmen hätten Probleme damit, einen einzigen Mitarbeiter auszumachen, der das Geschäft so gut kennt, dass er unter der ungeheuren Menge von Daten im Unternehmen alle relevanten Arten von sensiblen Informationen identifizieren und kategorisieren könnte. Ganz gleich, ob es darum geht, Wettbewerbsvorteile zu erzielen, den Service für die Kunden zu verbessern, Leistungsprognosen oder Risikoprofile zu erstellen oder Vorschriften einzuhalten für den Geschäftsbetrieb werden innerhalb und außerhalb des Unternehmens sensible Daten erstellt, gespeichert und kommuniziert. Aber mit diesen für den Geschäftsbetrieb notwendigen Daten sind auch erhebliche Risiken verbunden. Aus diesem Grund müssen Unternehmen Standards für die Datenklassifizierung sowie Richtlinien zur Datenverarbeitung und -nutzung erstellen und veröffentlichen, um Daten zu kontrollieren und zu schützen und so negative Auswirkungen für das Geschäft zu verhindern. Es gibt unterschiedliche organisatorische Maßnahmen zur Schulung von Mitarbeitern zur ordnungsgemäßen Datennutzung. Diese bestehen aber vorrangig im Lesen und Unterzeichnen von Richtlinien und Verfahrensbeschreibungen oder in der Teilnahme an Schulungspräsentationen oder Videovorführungen. Einige Unternehmen halten Live-Schulungen für besonders effizient,

2 um ihre Mitarbeiter einzubinden. Allerdings ist diese Option auf Dauer auch kostspieliger als andere Lösungen. Außerdem wird bei herkömmlichen Schulungslösungen das Vertiefen der vermittelten Kenntnisse vernachlässigt. In den meisten Fällen finden Schulungen zur Datensicherheit statt, wenn neue Mitarbeiter ins Unternehmen kommen. Dann werden diesen Mitarbeitern Verfahrensbeschreibungen vorgelegt, die verlangen, dass vertrauliche Unternehmensdaten nur an befugte Geschäftspartner weitergegeben werden. Allerdings erfahren die Mitarbeiter dabei nicht, wie sie vertrauliche Daten identifizieren und welche Geschäftspartner eigentlich Einsicht erhalten dürfen. Normalerweise finden im Anschluss an die erste Schulung nur wenige Folgemaßnahmen statt, um die erörterten Konzepte zu vertiefen. Und schließlich beziehen sich die zum Messen des Erfolgs der meisten Schulungsmaßnahmen herangezogenen Daten auf das Abschließen des Schulungsprogramms oder auf das Vermögen der Teilnehmer, die präsentierten Inhalte zu erfassen, nicht aber auf das Verhalten der Mitarbeiter hinsichtlich der Einhaltung von Richtlinien und Verfahren. Geschäftlicher Nutzen CA DataMinder ist ein marktführendes Produkt für den Schutz und die Überwachung von Informationen und bietet eine Reihe vorbeugender und aufdeckender Steuermechanismen, um das Risiko eines Datenverlusts aufgrund fehlender Compliance in Ihrem Unternehmen zu verringern. Einer der wichtigsten Mechanismen zur Vorbeugung von Datenverlusten, die bei CA DataMinder zum Einsatz kommen, ist die kognitive Verstärkung. Einfach ausgedrückt handelt es sich bei der kognitiven Verstärkung um das Vorgehen gegen unerwünschtes Benutzerverhalten durch ein positives Zeichen oder eine Autorität. Mit anderen Worten: Das System erkennt Aktivitäten, die nicht den Richtlinien und Verfahrensbeschreibungen entsprechen und informiert den End User über die möglichen Konsequenzen, bietet aber gleichzeitig konstruktiv Optionen zur Abhilfe an. Dieser Ansatz bietet u. a. die folgenden Vorteile: Die Schulungen werden nach Bedarf während der Beschäftigung der einzelnen Mitarbeiter in Ihrem Unternehmen durchgeführt und vertieft (die durchschnittliche Schulungsdauer pro Mitarbeiter wird erhöht). Die Wirkung der durchgeführten Schulungsmaßnahmen auf das tatsächliche Verhalten ist viel unmittelbarer als bei herkömmlichen Schulungsmethoden (verbesserte Compliance im Hinblick auf interne Richtlinien und Verfahren). Ziel und Inhalt der Schulungen können schneller angepasst und umgesetzt bzw. bereitgestellt werden zu einem Bruchteil der Kosten (dies bietet mehr Flexibilität zur Anpassung an das Unternehmenswachstum). 2

3 Lösung für die Schulung und Sensibilisierung CA DataMinder bietet eine Architektur mit Sicherheitsbarrieren, um Sie dabei zu unterstützen, die kritischsten Informationsressourcen Ihres Unternehmens zu sichern und zu schützen. Eine der zentralen Komponenten dieser Architektur ist CA DataMinder Endpoint. Mit CA DataMinder Endpoint können Unternehmen ihre Mitarbeiter im Hinblick auf deren Umgang mit sensiblen Daten überwachen, schulen und steuern. Auch kann damit kontrolliert werden, wie Daten ausgedruckt, im Internet veröffentlicht, auf CD/DVD gebrannt bzw. auf Wechselmedien oder in den Netzwerkspeicher kopiert werden. Die ausgeklügelte Inhaltserkennungs-Engine von CA DataMinder kann genau erfassen, welche Arten von Informationen von den Mitarbeitern genutzt werden, und die soliden Richtlinienfunktionen bieten umfassende Interaktionsmöglichkeiten, um zu ermitteln, inwieweit die Benutzer Unternehmensrichtlinien und -verfahren verstanden haben. Abbildung A. Inhaltserkennung. 3

4 CA DataMinder kann die Benutzer aber nicht nur beim Identifizieren und Unterscheiden verschiedener Arten sensibler und zu schützender Daten unterstützen, sondern auch dazu beitragen, die Kenntnis der Maßnahmen zu vertiefen, die zum Schutz dieser Daten ergriffen werden sollten. Abbildung B. Kognitive Verstärkung. Die Lösung kann also für die Überwachung und Förderung von Verhalten eingesetzt werden, wurde darüber hinaus aber auch konzipiert, um die Kontrolle über Daten zu ermöglichen. Wenn beispielsweise eine Unternehmensrichtlinie die Verschlüsselung von Krankenakten oder geschützten medizinischen Daten vor dem Sichern oder dem Kopieren auf Wechselmedien vorsieht, informiert CA DataMinder den betreffenden Mitarbeiter und erzwingt dann die Verschlüsselung. Ebenso kann CA DataMinder entsprechende Aktionen unterbinden, wenn z. B. laut Unternehmensrichtlinie keine Kreditkartennummern ausgedruckt werden dürfen. Nach den Erfahrungen, die wir im Rahmen der Zusammenarbeit mit Kunden gesammelt haben, können die Funktionen von CA DataMinder zur Schulung und Sensibilisierung dazu beitragen, die Anzahl der unbeabsichtigten Verstöße um bis zu 70 % zu verringern. Allerdings wird es immer einzelne Personen geben, die Richtlinien und Verfahren nicht beachten oder bei denen Schulungen nicht zu den gewünschten Ergebnissen führen. Daher ist es wichtig, dass diese Personen mit CA DataMinder ermittelt und gemeldet werden können, um entsprechend auf ihre Aktionen zu reagieren. 4

5 CA DataMinder bietet unterschiedliche sofort einsatzfähige Berichte, die Ihr Unternehmen für die Protokollierung der Datennutzung einsetzen kann, oder um zu erfassen, wie gut die Schulungsmaßnahmen zur Sensibilisierung für die Informationssicherheit im Lauf der Zeit greifen. Darüber hinaus können weitere Berichte angepasst werden, um Problembereiche in Ihrem Programm zur Vorbeugung von Datenverlusten zu ermitteln. Treten beispielsweise in bestimmten Abteilungen vermehrt Verstöße auf? Liegt dies daran, dass sensible Daten nicht identifiziert werden können? Liegt es an unzureichenden Kenntnissen der Datenverarbeitungsprozesse? Oder weist dies auf ein umfassenderes Geschäftsprozessproblem hin? Sind bestimmte Manager erfolgreicher bei der Schulung der Mitarbeiter als andere? Mit dem Echtzeit-Feedback von CA DataMinder erfahren Sie, welche Maßnahmen greifen und welche nicht. Kurz gesagt: CA DataMinder bietet Ihrem Unternehmen eine Lösung, mit der Sie Ihre kritischsten Informationsressourcen überwachen können. Ganz gleich ob es Ihr vorrangiges Ziel ist, interaktive Lernmethoden anzubieten, um die ordnungsgemäßen Datenverarbeitungsprozesse zu vermitteln, oder ob Sie Interventionsmaßnahmen einführen möchten, um Verstöße gegen Standards zu vermeiden und zu verhindern CA DataMinder kann Ihnen helfen, Ihr Sicherheitsprogramm zu verbessern und wird so zu einem zentralen Bestandteil der allgemeinen Informationsüberwachungsstrategie Ihres Unternehmens. Schutz und Überwachung von Informationen Best Practice CA DataMinder setzt eine Best Practice für den Schutz und die Überwachung von Informationen um, die bestimmte geschäftliche Herausforderungen mit Hilfe eines nachhaltigen prozessorientierten Ansatzes löst, der nach und nach Verbesserungen vorantreibt. Dieser sechs Schritte umfassende Best Practice-Ansatz bezieht die Entwicklung von Richtlinien, die Inhaltserkennung und den betrieblichen Kontext sowie Schutz und Kontrolle, Programmmanagement und Leistungsmessungen ein die wesentlichen Elemente eines effizienten Programms für den Schutz und die Überwachung von Informationen. Abbildung C. Schutz und Überwachung von Informationen Best Practice. 5

6 Leistungsmerkmale Die folgenden Funktionen von CA DataMinder sind in der Lösung für die Schulung und Sensibilisierung enthalten. Funktion Richtlinien Inhaltserkennung Betrieblicher Kontext Schützen und Kontrollieren Programmmanagement Leistungsmessungen Beschreibung CA DataMinder umfasst mehr als 250 sofort einsatzfähige Richtlinien, die in unterschiedlichen Schulungsszenarios eingesetzt werden können: Einhaltung gesetzlicher Vorschriften: Mit CA DataMinder stehen sowohl für die USA als auch für das Ausland zahlreiche Richtlinien zur Erkennung von geschützten elektronischen Gesundheitsinformationen, personenbezogenen Daten, PCI-Daten und sonstigen geschützten Informationen zur Verfügung. Erstellung von Verhaltensprofilen: Abgesehen von den Richtlinien zur Einhaltung gesetzlicher Vorschriften werden mit CA DataMinder auch viele Verhaltensrichtlinien bereitgestellt, die Ihr Unternehmen dabei unterstützten, die Einhaltung von Personalrichtlinien zu protokollieren und zu überwachen (z. B. sexuelle Belästigung, Diskriminierung, Rassismus usw.). Neben den sofort einsetzbaren Richtlinien bietet CA DataMinder auch die Möglichkeit der Inhaltsregistrierung (auch als Datenfingerabdruckmethode bezeichnet) der vertraulichsten, proprietären oder geheimen Informationen Ihres Unternehmens. Zudem werden die Benutzer, die diese Daten verarbeiten und sich möglicherweise nicht über den Grad der Vertraulichkeit im Klaren sind, entsprechend aufgeklärt. CA DataMinder-Richtlinien berücksichtigen den Kontext, um die spezifischsten Richtlinien und Verfahren Ihres Unternehmens umzusetzen. Beispielsweise ist es ggf. erforderlich, dass Callcenter-Mitarbeiter gelegentlich intern s mit personenbezogenen Daten senden. Das Senden von personenbezogenen Daten an Google Mail-, Yahoo- oder andere persönliche -Adressen stellt jedoch einen Richtlinienverstoß dar. CA DataMinder kann zwischen diesen Aktivitäten unterscheiden und die Benutzer über die Richtlinie aufklären, gegen die sie verstoßen, oder die Aktivitäten ganz und gar unterbinden. CA DataMinder setzt beim Schutz und bei der Überwachung von Daten Methoden zur Inhaltserkennung ein und berücksichtigt gleichzeitig den betrieblichen Kontext. Abhängig von den erkannten Inhalten, dem Speicherort der Daten, dem Kommunikationsumfang und der Benutzeridentität werden entsprechende Maßnahmen ergriffen. Beispielsweise werden Aktivitäten überwacht, Benutzer aufgeklärt, Dateien und Nachrichten in Quarantäne gestellt und Inhalte verschlüsselt und gesperrt. Die Funktionen von CA DataMinder zur Schulung und Sensibilisierung tragen zur Optimierung von Compliance-, Risiko-, Sicherheits- und Unternehmensschulungen bei. Dabei verbessern nicht nur proaktive Benachrichtigungen zur Aufklärung den allgemeinen Schulungserfolg der einzelnen Mitarbeiter die Ergebnisse werden darüber hinaus direkt zur Gruppe bzw. zum Programmverantwortlichen zurückgeführt. Sämtliche Daten zu Rationalisierungs- und Vorfallmanagementaktivitäten werden ausschließlich den dafür vorgesehenen Prüfern bereitgestellt. Dies ermöglicht die ordnungsgemäße und kosteneffiziente Überprüfung der Schulungsergebnisse und den Schutz der Antworten, die nur für Benutzer mit entsprechenden Rollen bestimmt sind. Berichte zur Schulungseffizienz können sowohl für bestimmte Zeitpunkte als auch für längere Zeiträume abgerufen werden, um Trendanalysen zu erstellen. Es stehen folgende Messdaten zur Verfügung, um Schulungsprogramme anzupassen, zu verbessern oder auszubauen: Messdaten zur Einhaltung von Vorschriften Vorfälle pro Programm Vorfälle pro Mitarbeiter Vorfälle pro Schweregrad 6

7 Copyright 2012 CA. Alle Rechte vorbehalten. Alle Markenzeichen, Markennamen, Dienstleistungsmarken und Logos, auf die hier verwiesen wird, sind Eigentum der jeweiligen Unternehmen. Dieses Dokument dient ausschließlich zu Informationszwecken. CA übernimmt für die Genauigkeit oder Vollständigkeit der Informationen keine Haftung. Soweit nach anwendbarem Recht erlaubt, stellt CA dieses Dokument im vorliegenden Zustand ohne jegliche Gewährleistung zur Verfügung; dazu gehören insbesondere stillschweigende Gewährleistungen der Markttauglichkeit, der Eignung für einen bestimmten Zweck und der Nichtverletzung von Rechten Dritter. In keinem Fall haftet CA für Verluste oder unmittelbare oder mittelbare Schäden, die aus der Verwendung dieses Dokumentes entstehen; dazu gehören insbesondere entgangene Gewinne, Betriebsunterbrechung, Verlust von Goodwill oder Datenverlust, selbst wenn CA über die Möglichkeit solcher Schäden informiert wurde. CA bietet keine Rechtsberatung. Weder dieses Dokument noch irgendeines der Softwareprodukte, auf die hier verwiesen wird, dient als Ersatz für die Einhaltung Ihrerseits sämtlicher Gesetze (dazu gehören insbesondere verabschiedete Gesetze, Satzungen, Vorschriften, Regeln, Richtlinien, Normen, Regelwerke, Verordnungen, Verfügungen usw. (zusammenfassend als Gesetze bezeichnet)), auf die hier verwiesen wird, bzw. etwaig bestehender vertraglicher Verpflichtungen mit Dritten. Lassen Sie sich über solche Gesetze oder vertragliche Verpflichtungen von fachkundigem Rechtsbeistand beraten. CS2081_0212