Im ersten Teil von "Wie Sie Ihre Daten während ihres gesamten Lebenszyklus schützen können" haben wir erörtert, wie sich die digitale Transformation vollzieht und welche Gefahren die Speicherung von Daten für Unternehmen birgt. Falls Sie ihn verpasst haben, können Sie ihn hier nachlesen.
Im zweiten Teil erörtern wir, warum und wie Ihr Unternehmen eine Datenlebenszyklusstrategie umsetzen sollte.
Data-Life-Cycle-Datenmanagement - von der Wiege bis zur Bahre
Um das Risiko der Datenexposition wirksam zu mindern und die Kosten für die Speicherung und Handhabung unnötiger Informationen zu vermeiden, sollte eine Organisation einen durchgängigen Prozess für die Verwaltung ihrer Daten von der Erstellung bis zur Entsorgung einführen. Das Data-Life-Cycle Management umfasst eine Strategie, einen Prozess und eine Technologie zur effektiven Verwaltung von Informationen und zur Verbesserung der Kontrolle über die kritischen Daten einer Organisation.
Ein Lebenszyklus- oder rauch Life-Cycle-Managementprogramm kann einer Organisation durch die Vereinfachung und Konsolidierung von IT-Ressourcen und -Systemen erhebliche Vorteile bringen.
Besondere Vorteile sind:
Reduziertes Risiko: Reduzierung der Speicherung unnötiger oder abgelaufener Informationen und einfachere Verwaltung Ihrer Daten. Die Verringerung des Volumens nicht benötigter Informationen verringert das Risiko einer Datenpanne. Wenn Sie wissen, wo bestimmte Daten gespeichert sind, verringert sich die Gefahr, dass Sie bei der Suche nach wichtigen Informationen übersehen werden.
Kosteneinsparungen: Die Speicherung von Daten kostet Geld. Je mehr Daten Sie haben, desto mehr kostet die Speicherung. Auch die Kosten für Rechtsberatung und eDiscovery können durch eine bessere Verwaltung der Informationen gesenkt werden.
Verbesserter Service: Datenmanagement kann die IT- und Rechtsabteilung entlasten, so dass sie sich mehr auf geschäftskritische/kundenorientierte Aufgaben konzentrieren können.
Der Lebenszyklus von Daten umfasst sechs Phasen:
Erstellen - Die Erstellung von Daten erfolgt in allen Unternehmen. Die meisten Daten werden von Geschäftsfunktionen wie Finanzen, Marketing, Vertrieb und Personalwesen erstellt und nicht von der IT-Abteilung, die in der Regel für die Verwaltung der Daten verantwortlich ist, sobald sie erstellt worden sind. Dies kann vor Ort in Ihrem Rechenzentrum, auf den Geräten Ihrer Mitarbeiter oder extern in der Cloud geschehen. Der Schutz Ihrer Daten in dieser Phase umfasst Zugangskontrollen wie Passwörter, Bedrohungsprüfung für Antivirenprogramme und Datenklassifizierung, die den Datentyp, den Speicherort, die Art des Schutzes und die Zugriffsberechtigung festlegt.
Speichern - Sobald die Daten erstellt wurden, werden sie in der Regel auf einer Computerfestplatte oder in einem Datenzentrum gespeichert. Bestimmte Arten von Transaktions- oder Analysedaten werden möglicherweise bei der Übertragung oder im Speicher erzeugt, aber nicht dauerhaft auf der Festplatte gespeichert. Zur Speicherung gehören auch kurzfristige Backups, die ebenfalls geschützt bleiben müssen. Sobald die Daten gespeichert sind, liegt die Verantwortung für ihre Verwaltung in der Regel beim IT- oder Sicherheitsteam.
Zu den Schutzmaßnahmen für die Speicherung gehören die Zugriffskontrolle in Bezug auf die Personen, die die Daten lesen und überschreiben dürfen, die Gerätekontrolle, z. B. durch Datenverschlüsselung, Backups zum Schutz der Daten vor Verlust sowie Sicherheitsmaßnahmen zum Schutz der Backups selbst.
Nutzung - In der Nutzungsphase wird auf Daten zugegriffen, sie werden eingesehen oder verarbeitet. Der Schutz der Daten in dieser Phase wird in der Regel zu gleichen Teilen von den Geschäftsbereichen und der IT-Abteilung wahrgenommen.
Zu den Schutzmaßnahmen während der Datennutzung gehören Zugriffskontrolle, Verschlüsselung, Verwaltung von Datenrechten für urheberrechtlich geschützte Informationen und Verhinderung von Datenverlusten, was Software und Geschäftsregeln umfasst, um den unbefugten Zugriff auf sensible Informationen zu verhindern.
Freigabe - Daten werden häufig zwischen internen Mitarbeitern und Unternehmenspartnern außerhalb des Unternehmens ausgetauscht. Die gemeinsame Nutzung von Daten kann über das Netzwerk, über Wechseldatenträger oder über das Internet über Transferseiten oder E-Mail erfolgen. Wenn Daten gemeinsam genutzt werden, sind sie neuen Risiken ausgesetzt.
Schutzmaßnahmen für die gemeinsame Nutzung von Daten umfassen Zugangskontrolle, Verschlüsselung, Netzwerksicherheit (Firewalls/Eindringungserkennung) und Schutz vor Datenverlust. Wenn Organisationen mit Drittanbietern zusammenarbeiten, sollten sie über klare Maßnahmen zur Datenlöschung und -überprüfung nach Beendigung der Dienste verfügen.
Archivierung - Zum kurzfristigen Schutz der Daten müssen alle Daten regelmäßig gesichert werden, entweder vor Ort oder ausgelagert. Wenn ein Unternehmen Daten langfristig aufbewahren muss, können sie auf Band- oder Diskettenmedien archiviert und an einem entfernten, sicheren Ort aufbewahrt werden.
In der Regel ist das Betriebsteam eines Unternehmens für die Archivierung zuständig, nicht die IT-Abteilung oder die Geschäftsbereiche. Zum Schutz der archivierten Daten gehören Zugriffskontrolle und Verschlüsselung.
Löschen - Wenn die Daten einer Organisation das Ende ihrer Lebensdauer erreicht haben, müssen sie dauerhaft gelöscht werden. Welche Daten gelöscht werden, wie sie gelöscht werden und wie diese Löschung überprüft wird, hängt von verschiedenen Faktoren ab, wie z. B. der Art des Inhalts, den Nutzungsanforderungen und den gesetzlichen Vorschriften.
Wenn sie überhaupt in Betracht gezogen wird, wird die Phase "Vernichtung" meist vom Betriebsteam angegangen. Wenn sie jedoch richtig gehandhabt wird, liegt die Vernichtung von Daten am Ende ihres Lebenszyklus wirklich in der Verantwortung aller Beteiligten, von der IT-Abteilung bis zu den Geschäftsbereichen.
Data-Life-Cycle Management in Ihrem Unternehmen
Die Verwaltung von Daten über ihren Lebenszyklus hinweg ist für viele Unternehmen kein Thema. Aber ohne eine Strategie für den Lebenszyklus von Daten setzt sich ein Unternehmen ernsthaften Sicherheitsrisiken und Kosten aus.
Das Data-Life-Cycle Management sollte nicht nur in der Verantwortung einer einzigen Abteilung liegen, sondern es bedarf eines gemeinschaftlichen Ansatzes, der alle Interessengruppen des Unternehmens einbezieht.
Organisationen, deren Erfolg in hohem Maße von Daten abhängt, sollten die Einrichtung eines Chief Data Officer (CDO) in Betracht ziehen, dessen Hauptaufgabe darin besteht, dem Datenschutz Priorität einzuräumen. Sobald ein CDO eingesetzt ist, benötigen Sie ein Information-Governance-Team, das die Geschäftsbereiche, die Rechtsabteilung, die IT-Abteilung und das Betriebsteam einbezieht.
Jede Abteilung hat ihre eigene Rolle im Datenlebenszyklus zu spielen. Die Geschäftsbereiche sind in hohem Maße von Daten abhängig, sollten aber nicht einfach davon ausgehen, dass jemand anderes sie verwaltet. Sie sollten eng mit der Rechtsabteilung und der IT-Abteilung zusammenarbeiten, um sicherzustellen, dass sie die Vorschriften einhalten und über die richtigen Richtlinien, Tools und Prozesse verfügen, um wichtige Informationen zu schützen. Die IT-Abteilungen müssen mit den Geschäftsbereichen zusammenarbeiten, um sicherzustellen, dass sie die Anforderungen und Herausforderungen des Datenschutzes in jeder Phase vollständig verstehen. Und die Rechtsabteilung muss dafür sorgen, dass jeder Mitarbeiter die potenziellen Risiken versteht, die eine Nichteinhaltung der Vorschriften für das Unternehmen bedeuten kann.
Die Richtlinien und Verfahren, die die Verwaltung des Datenlebenszyklus regeln, mögen zwar in der IT-Abteilung angesiedelt sein, aber ein Unternehmen darf nicht vergessen, dass alle Beteiligten aktiv einbezogen werden müssen, um sicherzustellen, dass alle Daten vom Zeitpunkt ihrer Erstellung bis zu ihrem Lebensende geschützt werden.
Heutzutage sind die Kosten für einen ineffektiven Datenschutz "zu hoch" angesetzt. Datenschutzverletzungen, Rufschädigung, verlorene Kunden, Ausfallzeiten und hohe Geldstrafen sind alles potenzielle Risiken für ein Unternehmen, das den Lebenszyklus seiner Daten nicht effektiv verwaltet. Diejenigen Unternehmen, die sich die Zeit nehmen, die notwendigen Anstrengungen und Ressourcen in das Data-Life-Cycle Management zu investieren, können die Risiken und Kosten ihrer geschäftskritischen Daten in allen Phasen minimieren.
Im ersten Teil von "Wie Sie Ihre Daten während ihres gesamten Lebenszyklus schützen (Teil1)" gehen wir der Frage nach wie sich die digitale Transformation vollzieht und welche Gefahren die Speicherung von Daten für Unternehmen birgt.
Mehr über auditierbare Datenlöschungslösungen: Lösungen für Datenlöschung, -vernichtung und -löschung
Lesen Sie auch unseren Ransomware-Leitfaden
Kontakt für Fragen Team Ontrack Schweiz