think once, think twice, think data!

Security

16.03.2021
David Mantock, Chief Information Security Officer

Um Daten hat es sich schon seit jeher gedreht! Security Spezialisten aus aller Welt haben schon bei ihren ersten, zaghaften Schritten auf dem Weg zum Vollprofi den C-I-A-Dreiklang (confidentiality, integrity, availability of data) gelernt, so wie Kinder das ABC. Die Vertraulichkeit, die Integrität und die Verfügbarkeit von Daten sind die Grundlage eines jeden guten Business. Aus diesem Grund ist ein ganzheitlicher und integrativer Ansatz zum Schutz dieser Daten von entscheidender Bedeutung. Wenn Daten die neue Luft zum Atmen sind, möchte ich sie frei einatmen und aufsaugen - ganz ohne Gefahr für meine Gesundheit oder für meinen Verstand. Ich habe das Glück, in der Schweiz zu wohnen und hatte einige Male die Gelegenheit, in den Bergen wandern zu gehen, dabei stellt man schnell fest, dass Luft nicht gleich Luft ist, je höher man kommt, desto kostbarer wird sie. Wenn wir gedanklich zurück zu den Daten kehren, können wir leicht ableiten, dass der Kontext oder die "Höhe" eine große Rolle bei der Relevanz unserer wertvollen Daten spielt. Ich bin kein Freund von Diskriminierung, aber nicht alle Daten sind gleichwertig. Warum lesen Sie diesen Blog? Ist es, weil Sie einen Drang nach "heißer Luft" haben, oder wollen Sie informiert und beraten werden? 

Wir brauchen also ein Mittel, um diese Daten zu unterscheiden. Ein guter Ansatz, um damit zu beginnen, ist eine Richtlinie zur Klassifizierung von Informationen.  

Wie komme ich von der Rede über Daten zur Rede über Informationen? Dies ist ein subtiler Wechsel, aber unser erster Schritt in einem sauberen Data-Governance-Ansatz. Informationen sind, einfach ausgedrückt, sachbezogene Daten oder, noch wichtiger: sinnvolle Daten. Sobald wir entschieden haben, welche Art von Daten uns interessiert, benötigen wir weitere Kategorien, denen wir ein Risiko zuordnen. Angemessen zugeordnete Risiken ermöglichen wirksame Kontrollen zur Aufrechterhaltung unseres C-I-A-Dreiklangs.  Eine gute Richtlinie zur Informationsklassifizierung gibt vor, wie die Daten, je nach ihrer Wichtigkeit für das Unternehmen, zu behandeln sind. Für alle Daten, die eine besondere Kategorie darstellen, wie z. B. PII, ist eine Auswirkungsanalyse zwingend notwendig.  

think once, think twice, think data!

Zusammenfassend können wir Folgendes feststellen: 

  • Nützliche Daten sind Informationen, und diese Art von Daten ist schützenswert. 
  • Informationen müssen klassifiziert werden, damit sie effektiv geschützt werden können. 
  • Besondere Datentypen benötigen eine noch gründlichere Analyse. 
  • Der Kontext muss immer berücksichtigt werden. 

Mit diesen Grundprinzipien bewaffnet, besteht nun die Herausforderung darin, dies in Ihrer Organisation umzusetzen. Dabei muss man sich jedoch bewusst sein, dass die moderne Verarbeitung dieser Informationen im besten Fall anspruchsvoll und im schlimmsten Fall verwirrend ist. Die Geschwindigkeit der Transaktionen und das Volumen der Verarbeitung machen die Aufgabe nicht einfacher.  Aber Vorsicht ist besser als Nachsicht, und wenn wir uns daran erinnern, dass es sich um einen Marathon und nicht um einen Sprint handelt, findet man einen Topf voll Gold am Ende des Regenbogens. Nun wissen wir aufgrund der Gesetze der Bewegung, dass der Start oft das Schwierigste ist, aber wenn wir erst einmal in Schwung gekommen sind, ist es einfacher, weiterzumachen. Der Umgang mit Daten ist in dieser Hinsicht sehr ähnlich, aber womit beginnt man? In einem Zeitalter, in dem wir die Analyse von Daten zu einer Kunst gemacht haben – ist mein Rat, dem KISS-Prinzip (Keep it Super Simple! ) zu folgen. Sie wollen in der Lage sein, die Frage zu beantworten, was mit Ihren Daten ausserhalb und innerhalb Ihres Perimeters passiert? Aber, um der Gründlichkeit willen, spülen Sie besser noch einmal nach und wiederholen Sie mit mir "think once, think twice, think data!" (einmal denken, zweimal denken, an Daten denken!).

back to panels