Data Leakage ein teures Leiden
Agenda Die C&L Unternehmensgruppe Unterschied zwischen»data Loss Prevention«und»Data Leakage Prevention«Rechtliche Rahmenbedingungen Gefühlte und wirkliche Bedrohung Die 7 goldene Regeln der Data Leakage Prevention Datenschutzmanagementsystem
Casinos Austria Gruppe
Organisation Die Business Units entwickeln in Abstimmung mit dem jeweils hauptverantwortlichen Vorstandsmitglied die strategische Ausrichtung und führen eigenverantwortlich das operative Tagesgeschäft. Benötigt eine Business Unit Spezialisten, etwa in Rechtsfragen oder im Einkauf, findet sie diese in den Corporate Functions (Gruppenfunktionen), deren Dienste auch in Anspruch genommen werden müssen.
Was ist DLP? DLP = ein Marketingbegriff aus dem Bereich der Informationssicherheit DLP gehört zu den Schutzmaßnahmen, die direkt den Schutz der Vertraulichkeit von Daten unterstützt (und je nach Ausprägung auch direkt oder indirekt die Integrität und Zuordenbarkeit)»Data Loss Prevention«= Schutz gegen den unerwünschten Abfluss von Daten, der Schaden verursacht und auch bemerkt wird»data Leakage Prevention«= Schutz gegen ein vermutetes Weitergeben von Informationen an unerwünschte Empfänger (Datendiebstahl)
Benötigte Funktionen einer DLP Lösung Dokumentieren was mit bestimmten Daten geschehen ist Schaffung von Awareness beim Betroffenen, Sensibilisierung im Umgang mit vertraulichen Daten Bestätigung des betroffenen Anwenders einholen, z. B. durch ein Eingabfeld im Popup Im Anlassfall blocken sämtlicher Aktionen, die mit Daten möglich sind Alarmanlagenfunktion
Rechtliche Rahmenbedingungen Richtlinie 95/46/EG des europäischen Parlamentes und des Rates vom 24. Oktober 1995 VERORDNUNG (EG) Nr. 45/2001 des europäischen Parlamentes und des Rates vom 18. Dezember 2000 Richtlinie 2002/58/EG des europäischen Parlamentes und des Rates vom 12. Juli 2002 Bundesgesetz über den Schutz personenbezogener Daten (Datenschutzgesetz 2000 - DSG 2000) Allgemein Bürgerliches Gesetzbuch, JGS Nr. 946/1811 1304 und 1328a E-Commerce-Gesetz (ECG), BGBl. I Nr. 152/2001 5-8 Glücksspielgesetz Konsumentenschutzgesetz, BGBl. Nr. 140/1979 1 Mediengesetz, BGBl. Nr. 314/1981 7 Strafgesetzbuch, BGBl. Nr. 60/1974 278-278a Verwaltungsstrafgesetz 1991, BGBl. Nr. 52 10, 17-18 Strafprozeßordnung 1975, BGBl. Nr. 631 26 Zivilprozeßordnung, RGBl. Nr. 113/1895 17-20, 228
Gefühlte und wirkliche Bedrohung Abbildung von Dr. Volker Scheidemann
Die 7 goldenen Regeln von DLP 1. Akzeptieren Sie das Risiko Bedeutet nicht, dass Sie das Risiko tolerieren müssen! 2. Etablieren Sie Endpoint Security Schützen Sie vertrauliche Daten am einzelnen Arbeitsplatz, dort entstehen sie nämlich! 3. Steuern Sie die Sicherheit selbst durch zentrales Policy Management, Gewaltentrennung, Zugriffsrechten nach dem Need-to-know-Prinzip 4. Gestalten Sie Sicherheit so einfach wie möglich durch transparente Verschlüsselung, regelbasierte Lösungen, nicht das Produkt mit den meisten Features wählen sondern die am einfachsten zu betreibende Lösung
Die 7 goldenen Regeln von DLP 5. Sorgen Sie für den Notfall vor Entschlüsseln (für Berechtigte) muss jederzeit möglich sein, Recovery-Mechanismen sichern Datenverfügbarkeit 6. Beherzigen Sie die 80:20 Regel 100% gibt es nicht, 80% sind viel besser als gar nichts! 7. Datensicherheit kostet Data Loss Prevention ist ein komplexes Thema, vertrauen Sie Spezialisten.
Maßnahmen zur DLP Digital Rights Management (DRM) Mailverschlüsselung (Gateway, Point-to-Point) Content Filtering und Keyword Matching Fingerprinting
Technik vs Organisation? Technische DLP Lösungen ohne organisatorische Rahmenbedingungen sind (weitgehend) wirkungslos deswegen ist Nachfolgendes mindestens genauso wichtig
Die Datenschutzpolitik Regelung der Verantwortlichkeiten Gewährleistung der Privatsphäre Wahrung der Persönlichkeitsrechte Einhaltung der gesetzlichen Anforderungen und Weiterentwicklung der Vorgaben und Richtlinien
Datenschutzmanagementsystem
Datenschutzmanagementsystem Datenschutzrelevante Objekte identifizieren und bewerten Schutzmaßnahmen definieren Mitarbeiter sensibilisieren Vorfälle behandeln und daraus lernen Prozess überwachen und messen System regelmäßig kontrollieren Datenschutzprozesse aktuell halten
Datenschutzrelevante Objekte
Datenschutzrelevante Objekte
Messung des Datenschutzes Messgrößen: Bewusstsein und Kompetenz des Personals Absolvierung der Datenschutzschulungen Anzahl der Beauskunftungen in denen die Beauskunftung weniger als 49 Tage gedauert hat Konformitätsbewertung der datenschutzrelevanten Objekte Umsetzung des GoodPriv@cy Standards (Reduzierung der im Zuge von Audits festgestellten non conformities ) Methoden: Definition von Zielwerten (z.b. Auskunftsdauer bei 90% kürzer als 49 Tage) Durchlauf des PDCA-Zyklus 1 x jährlich
Etablierte Datenschutzorganisation Data-Owner sind verantwortlich für: - Definition von Schutzbedarf & Sicherheitsanforderungen - Sicherstellung der Datenklassifizierung - Festlegung der Aufbewahrung und Sicherung - Genehmigung und Kontrolle der Zugriffsberechtigungen Führungskräfte sowie alle Mitarbeiter - unterstützen die DSV s - müssen Datenschutzverletzungen umgehend dem Data-Owner und dem Datenschutzbeauftragten melden
Der Datenschutzbeauftragte (DSB) sorgt für die Einhaltung der gesetzlichen und innerbetrieblichen Rahmenbedingungen berät die Unternehmensleitung und das Management entwickelt datenschutzrechtliche Vorgaben und Konzepte in Abstimmung mit der Geschäftsleitung
Der Datenschutzbeauftragte (DSB)
Management Review Jährlicher Bericht an den Vorstand Zusammenfassung interner und externer Audits Zusammenfassung aller Incidents Freigabe von Maßnahmen zur Verbesserung des Datenschutz und Datensicherheitsniveaus
Danke für Ihre Aufmerksamkeit! michael.mrak@casinos.at