UNTERSTÜTZUNG BEI DER BEWÄLTIGUNG DER DATA GOVERNANCE FÜR DIE DSGVO MIT RSA SECURITY

Transkript

1 UNTERSTÜTZUNG BEI DER BEWÄLTIGUNG DER DATA GOVERNANCE FÜR DIE DSGVO MIT RSA SECURITY EINHALTUNG DER BEVORSTEHENDEN FRIST FÜR DIE DSGVO-COMPLIANCE

2 FRÜHE VORBEREITUNG AUF DIE DSGVO IST WELTWEIT ESSENZIELL Die DSGVO der EU legt Unternehmen eng miteinander verknüpfte Verpflichtungen zur Verarbeitung personenbezogener Daten von EU- Bürgern auf (unabhängig davon, wo die Daten enthalten sind), darunter: Einführung von Policies und Verfahren, die sicherstellen und nachweisen, dass personenbezogene Daten unter Einhaltung der Verordnung verarbeitet werden Pflege einer Dokumentation zu allen Verarbeitungsvorgängen Bewertung des elektronischen und physischen Datensicherheitsrisikos für personenbezogene Daten, einschließlich versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Änderung, unbefugter Weitergabe von oder Zugriff auf personenbezogene Daten, die übertragen, gespeichert oder anderweitig verarbeitet werden Implementierung geeigneter technischer und organisatorischer Kontrollen, um ein für das Risiko angemessenes Maß an Sicherheit zu gewährleisten Implementierung von Verfahren zur Überprüfung der Wirksamkeit der Kontrollen, die an den Ergebnissen der Risikobewertung ausgelegt sind Durchführung von Bewertungen der Auswirkungen der Data Protection auf die geplante Verarbeitung sehr sensibler personenbezogener Daten Bereitstellung transparenter Hinweise zu Verarbeitungsaktivitäten, Aufbewahrungs-Policies, Rechten der betroffenen Personen und anderen Angelegenheiten für EU- Bürger zu dem Zeitpunkt, an dem die Daten erfasst werden, und auf spätere Anfrage In einigen Unternehmen Ernennung eines Datenschutzbeauftragten, der mit der Überwachung der Compliance des Unternehmens mit den Anforderungen der DSGVO der EU beauftragt ist 2 Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union (EU), die im Mai 2018 in Kraft tritt, bringt Änderungen für Unternehmen mit sich, die personenbezogene Daten von Bürgern der Europäischen Union verarbeiten. Diese Verordnung soll die Datenschutzrechte und die Sicherheit solcher personenbezogener Daten von Personen in der EU stärken, unabhängig davon, ob die Daten innerhalb oder außerhalb der EU gespeichert sind. Die Regelungen der DSGVO betreffen alle Unternehmen mit Sitz in der EU sowie jedes Unternehmen außerhalb der EU, das personenbezogene Daten im Zusammenhang mit Personen in der EU kontrolliert oder verarbeitet. Damit ist die DSGVO eine wirklich globale Complianceanforderung. Eine Nichteinhaltung der DSGVO-Anforderungen kann erhebliche negative Folgen haben: Wird keine Compliance erreicht und aufrechterhalten, drohen Strafen in Höhe von voraussichtlich bis zu 4 % des weltweiten Jahresumsatzes eines Unternehmens oder 20 Millionen Euro, je nachdem, welcher Betrag höher ist. Ohne einen ganzheitlichen Ansatz für die DSGVO-Compliance müssen Unternehmen wahrscheinlich verfügbare Personal- und Kapitalressourcen vorzeitig ausschöpfen und unnötig viel Zeit für die Vorbereitung auf die anstehende Verordnung aufwenden. Die DSGVO gibt viele Maßnahmen an, die Unternehmen ergreifen müssen Ernennung eines Datenschutzbeauftragten, Meldung eines Verstoßes innerhalb von 72 Stunden, Einholen einer speziellen Zustimmung und vieles mehr. Im Zentrum der DSGVO steht jedoch die zugrunde liegende Anforderung, bis Mai 2018 Best Practices für Data Governance zu implementieren, um personenbezogene Daten zu sichern und zu schützen. Zwar sind nicht alle Details zur Vorgehensweise von Unternehmen bei der Implementierung von Data Governance spezifisch vorgegeben, die Verordnung betont jedoch stark die Implementierung von technischen und organisatorischen Maßnahmen zur Gewährleistung der Sicherheit der Verarbeitung. (Artikel 32 DSGVO Sicherheit der Verarbeitung Die Verordnung verlangt außerdem Kontrollen, Tests und eine Dokumentation dieser Verfahren im Rahmen der Compliance. Unternehmen müssen personenbezogene Daten auf verschiedene Weise schützen und Sorgfalt bei der Aufbewahrung der Aufzeichnungen von Verarbeitungsaktivitäten nachweisen. Dazu zählen die Kategorien von verarbeiteten personenbezogenen Daten, die Zwecke der Verarbeitung, Kategorien von Empfängern von personenbezogenen Daten, Übertragungen in Drittländer und die relevanten technischen und organisatorischen Sicherheitsmaßnahmen. Außerdem müssen sie sicherstellen, dass nur autorisierte Benutzer auf die Daten zugreifen können. SCHWERPUNKTBEREICHE FÜR DATA GOVERNANCE: Data Governance fällt in drei Hauptbereiche. Diese Schwerpunktbereiche sind zwar nicht neu, bieten aber ein grundlegendes Framework für Unternehmen, die sich auf die Stärkung ihrer DSGVO-Compliancesituation konzentrieren möchten. Einrichten von Kontrollen und Policies rund um die Datenerfassung und -nutzung Sicherstellen, dass der Zugriff auf personenbezogene Daten ordnungsgemäß und kontrolliert ist Sicherstellen, dass personenbezogene Daten ordnungsgemäß verarbeitet und geschützt werden Unternehmen müssen effektive Kontrollen rund um die Nutzung personenbezogener Daten einrichten und anwenden, Aufbewahrungsvorschriften erstellen und managen und eine Aufzeichnung der Verarbeitungsaktivitäten für personenbezogene Daten pflegen. Durch die Verbesserung des Framework und der Kontrollen im Zusammenhang mit der Nutzung von personenbezogenen Daten kann das Unternehmen Sicherheitsrisiken besser bewältigen, den Zugriff kontrollieren und Reportinganforderungen für das Management personenbezogener Daten erfüllen.

3 3 Für das Management des Zugriffs auf die Daten sollten Unternehmen eine Lösung für das Identitäts- und Zugriffsmanagement (Identity and Access Management, IAM) einsetzen, um sensible und personenbezogene Daten zu schützen. Das Identitätsmanagement umfasst mehrere Komponenten Authentifizierung zum Zeitpunkt des Zugriffs auf die Daten sowie die allgemeine Governance von Identitäten und Zugriffsebenen im gesamten Unternehmen. Die Multifaktor-Authentifizierung kann Unternehmen dabei unterstützen, die folgende Frage zu beantworten: Sind meine Benutzer wirklich die, die sie zu sein vorgeben? Eine zuverlässige Antwort auf diese Frage ist äußerst wichtig, wenn personenbezogene Daten so geschützt werden, dass nur autorisierte Benutzer darauf zugreifen können. Im Zusammenspiel mit Authentifizierung, Identitäts- Governance und Lebenszyklusmanagement können Unternehmen die folgenden wichtigen Fragen beantworten: Verfügt der Benutzer über die angemessene Zugriffsebene? Und erfolgt der Zugriff unter Einhaltung von Policies? Der Nachweis, dass der Zugriff ordnungsgemäß ist, in Ausrichtung an Policies erfolgt und überprüfbar ist, kann die allgemeine Compliance unterstützen. Wenn der Zugriff auf Daten gemanagt ist und Richtlinien und Kontrollen eingerichtet sind, haben Unternehmen mehr Vertrauen, dass die personenbezogenen Daten im Unternehmen aus den richtigen Gründen verwendet werden und der Zugriff nur auf autorisierte Benutzer beschränkt ist. Diese Best Practices für Data Governance unterstützen die DSGVO durch die Bereitstellung eines zusätzlichen Schutzes vor versehentlicher Zerstörung, Verlust, Änderung, unbefugter Offenlegung oder Zugriff auf personenbezogene Daten. RSA: GANZHEITLICHER ANSATZ ZUR GEWÄHRLEISTUNG DER DATA GOVERNANCE RSA bietet Lösungen für Business-Driven Security, die den geschäftlichen Kontext auf einzigartige Weise mit Sicherheitsprozessen verknüpfen, damit Unternehmen Risiken managen und die wichtigsten Ressourcen schützen können. RSA-Lösungen unterstützen Unternehmen bei der effektiven Erkennung und Abwehr von Angriffen, dem Management von Benutzeridentitäten und -zugriff sowie der Reduzierung geschäftlicher Risiken all das sind wichtige Schritte, damit Unternehmen eine ganzheitliche Strategie für die Reaktion auf die DSGVO entwickeln können. Lassen Sie uns mit den DSGVO-Anforderungen als Kontext einen genaueren Blick auf das Produkt- und Serviceportfolio von RSA werfen und erläutern, wie diese Angebote Unternehmen bei der Vorbereitung auf die DSGVO-Compliance unterstützen können. RSA SECURID SUITE Im Zentrum der für die DSGVO spezifischen Data Governance steht die Anforderung, die Personen zu managen, die Zugriff auf personenbezogene Daten haben. Dabei muss auch überwacht werden, wie sie diesen Zugriff erhalten haben, und sichergestellt werden, dass Benutzer, die zugreifen, tatsächlich die Personen sind, die sie zu sein vorgeben. Zugriffsabsicherung ist dabei der Schlüssel, um Sicherheitsverletzungen aufgrund einer unbefugten Verwendung der Daten zu verhindern. Die RSA SecurID Suite mit RSA SecurID Access und RSA Identity Governance and Lifecycle unterstützt Unternehmen jeder Größe, Identitätsrisiken zu minimieren und ihrer modernen Belegschaft einen komfortablen und sicheren Zugriff bereitzustellen. Die RSA SecurID Suite nutzt Risikoanalysen und kontextbezogene Informationen und sorgt dafür, dass den richtigen Personen von überall und auf jedem Gerät ein angemessener Zugriff bereitgestellt wird. Angesichts der Anforderungen an Data Governance und Identitätsmanagement in der DSGVO können diese Produkte eine wichtige Rolle spielen, damit Unternehmen die grundlegenden Anforderungen an die Identitäts- und Zugriffssicherheit erfüllen können.

4 RSA ARCHER SUITE Die RSA Archer Suite ist eine branchenführende GRC-Lösung (Governance, Risikomanagement und Compliance), die spezifische Anwendungsbeispiele umfasst, die eine wichtige Rolle dabei spielen, Unternehmen bei der Einrichtung und Aufrechterhaltung der Data Governance für die DSGVO-Compliance zu unterstützen. RSA Archer Data Governance: RSA Archer Data Governance stellt ein Framework bereit, mit dem Unternehmen geeignete Kontrollen im Zusammenhang mit der Verarbeitung von personenbezogenen Daten identifizieren, managen und implementieren können. RSA Archer Data Governance unterstützt Unternehmen dabei, für korrekte Verarbeitungsaktivitäten zu sorgen, dokumentierte Kontrollen rund um die Nutzung personenbezogener Daten einzurichten und anzuwenden sowie Datenaufbewahrungsvorschriften zu managen. RSA Archer Privacy Program Management: Mithilfe von RSA Archer Privacy Program Management können Unternehmen Verarbeitungsaktivitäten gruppieren, um Bewertungen der Auswirkung der Data Protection durchzuführen und Mitteilungen an Datenschutzbehörden bezüglich Vorschriften und Datenschutzverletzungen zu überwachen. Chief Privacy Officers, Data Privacy Officers (DPO) und Datenschutzteams können außerdem von einem zentralen Repository mit Informationen profitieren, die für den Nachweis der DSGVO- Complianceverpflichtung rund um das Datenschutzprogramm des Unternehmens erforderlich sind. RSA Archer IT and Security Policy Program Management: RSA Archer IT and Security Policy Program Management stellt das Framework für die Einrichtung einer skalierbaren und flexiblen Umgebung bereit, in der die Policies und Verfahren eines Unternehmens dokumentiert und gemanagt werden können, die dazu beitragen, dass Unternehmen die DSGVO-Vorschriften einhalten. Hierzu zählen die Dokumentation von Policies und Standards, die Zuweisung von Verantwortlichkeiten und die Zuordnung von Policies zu wichtigen geschäftlichen Bereichen, Zielen und Kontrollen. Durch die Implementierung des Anwendungsbeispiels für das RSA Archer IT and Security Policy Program Management als Teil des DSGVO-Programms eines Unternehmens können Unternehmen den gesamten Policy-Entwicklungslebenszyklusprozess effektiv managen, um die Kontrollumgebung an Datenschutz- und Data-Governance- Anforderungen auszurichten. RSA Archer IT Controls Assurance: RSA Archer IT Controls Assurance bietet das Framework und die Taxonomie, mit denen Unternehmen ihre DSGVO- Kontrollen systematisch dokumentieren können, sodass sie die Performance von Kontrollen bewerten und in Berichten präsentieren können. Mithilfe von RSA Archer können Unternehmen standardisierte Bewertungsprozesse für Kontrollen bereitstellen und Testergebnisse von automatisierten Systemen integrieren. Durch eine bessere Verknüpfung von Complianceanforderungen und internen Kontrollen können Unternehmen DSGVO-Complianceverpflichtungen mithilfe einer gemeinsamen Taxonomie und Sprache besser kommunizieren und in Berichten zusammenfassen. 4 RSA RISK AND CYBERSECURITY PRACTICE RSA bietet eine Reihe von strategischen Services, die Ihnen helfen sollen, eine Strategie für Business-Driven Security zu entwickeln, ein modernes Security-Operations-Center aufzubauen und Ihr GRC-Programm (Governance, Risikomanagement und Compliance) zu erneuern. Zur Ergänzung unseres soliden Produktangebots bieten wir zudem Support während und nach der Implementierung an, damit Sie Ihre Investition in unsere Produkte maximieren können.

5 RSA Identity Assurance Practice: RSA Identity Assurance Practice kann ein Unternehmen dabei unterstützen, die Verbote der DSGVO in Bezug auf den unbefugten Zugriff auf personenbezogene Daten zu bewältigen. Unsere Services verbessern die Fähigkeit Ihres Unternehmens, Identitätsinseln zu überbrücken, die in Ihrem gesamten Unternehmen entstanden sind und zu Komplexität und Risiken führen. RSA Risk Management Practice: RSA Risk Management Practice erbringt strategische Beratungsdienste, die Sie bei der Optimierung des Governance-, Risikomanagement- und Complianceprogramms Ihres Unternehmens unterstützen. Angeboten werden außerdem Personalaufstockungs- und Supportservices, die Sie bei der Planung, Implementierung, Bereitstellung und Durchführung von Upgrades von RSA-Produkten und -Services unterstützen, einschließlich der RSA Archer- Lösung für Governance, Risikomanagement und Compliance. FAZIT Weltweit bewerten Unternehmen aktiv die Auswirkungen der DSGVO auf ihre Geschäfts-, Datenschutz- und Managementabläufe. Die Frist bis Mai 2018 rückt schnell näher und jedes Unternehmen, das Geschäfte in der EU tätigt, muss die Bereitstellung zusätzlicher Prozesse, Policies und Technologien in Angriff nehmen, um die erheblichen Bußgelder zu vermeiden, die durch die Verordnung auferlegt werden. Die Aufrechterhaltung von Data Governance durch ordnungsgemäße Policies und Kontrollen für das Zugriffs- und Identitätsmanagement wird eine wichtige Rolle spielen, um sicherzustellen, dass personenbezogene Daten ordnungsgemäß katalogisiert und geschützt sind. Mit einem einzigartigen Umfang von Produkten und Services, die auf die kritischen Bereiche des Identitätsund Zugriffsmanagements sowie GRC abzielen, kann RSA als strategischer Partner agieren, der jedes Unternehmen auf dem Weg zur DSGVO-Compliance unterstützen kann. Copyright 2017, Dell Inc. oder ihre Tochtergesellschaften. Alle Rechte vorbehalten. Dell, EMC und andere Marken sind Marken von Dell Inc. oder ihrer Tochtergesellschaften. Alle anderen Marken sind das Eigentum ihrer jeweiligen Inhaber. Veröffentlicht in Deutschland. 08/17, Lösungsüberblick, H Dell Inc. oder ihre Tochtergesellschaften sind der Ansicht, dass die Informationen in diesem Dokument zum Zeitpunkt der Veröffentlichung korrekt sind. Die Informationen können jederzeit ohne vorherige Ankündigung geändert werden.