Warum die meisten Unternehmen daran scheitern, Funktionen für Informationssicherheit und Compliance erfolgreich zu implementieren

Transparenz
DAS WICHTIGSTE IM ÜBERBLICK

Unternehmen stehen vor Herausforderungen bei der Implementierung von InfoSec-Sicherheits- und Compliance-Funktionen. Die jüngste Studie von Cognni hebt die größten Risiken hervor: unzureichende Erkennung, mangelnder Schutz sensibler Informationen und die Gefahren, die mit der gemeinsamen Nutzung von Daten verbunden sind.

Unternehmen implementieren Funktionen für Informationssicherheit (IS, InfoSec) und Compliance, um ihre Daten zu schützen. Es ist jedoch nicht einfach, dies richtig zu machen, da der technologische Fortschritt ständig neue Bedrohungen mit sich bringt und böswilligen Akteuren neue Möglichkeiten eröffnet, in die Cybersicherheitssoftware einzudringen.

Und da es Daten in so vielen Formen – einschließlich Betriebsdaten, Finanzdaten, Kunden- und Mitarbeiterinformationen – und in so großen Mengen gibt, ist es für Unternehmen schwierig, sie sicher zu halten, obwohl sie jährlich Millionen von Dollar dafür ausgeben. (Lesen sie dazu auch: KI in der Cybersicherheit)

Wahrnehmung vs. Realität: InfoSec-Lücke

Unternehmen mit 2.000 Mitarbeitern geben jährlich etwa 528.000 US-Dollar für InfoSec- und Compliance-Funktionen aus. Die mit der Implementierung und Verwaltung dieser Funktionen verbundenen Kosten können jedoch bis zu 5,68 Millionen Dollar pro Jahr betragen, wie eine kürzlich von der Informationsnachrichtenagentur Cognni durchgeführte Untersuchung ergab.

“Die Mehrheit der Entscheidungsträger weiß nicht, dass ihre Organisation die meisten Risiken für ihre Informationen nicht erkennen kann und dass die IT-Abteilung es nicht einmal versucht”, heißt es in dem Bericht.

“Dies führt offensichtlich zu eindeutigen und unmittelbaren Informationsrisiken, die niemand auch nur zu mindern versucht.”

Trotz der enormen Kosten haben laut Cognni nur 4 % der Unternehmen alle InfoSec- und Compliance-Funktionen, die sie gekauft haben, erfolgreich implementiert.

Diese Statistik steht in krassem Gegensatz zu der Tatsache, dass 89 % der Führungskräfte glauben, dass ihre IT-Teams alle InfoSec- und Compliance-Funktionen implementiert haben, für die ihre Unternehmen bezahlt haben, was laut dem Bericht eine große Lücke zwischen Wahrnehmung und Realität in Bezug auf die Informationssicherheit aufzeigt.

Laut Cognni gibt es drei Hauptgründe, warum InfoSec-Implementierungen nicht erfolgreich sind. Schauen wir sie uns im Folgenden genauer an. (Lesen sie dazu auch: Die 7 Grundprinzipien der IT Sicherheit)

Unternehmen versäumen es, sensible persönliche Informationen zu erkennen

Um sich gegen den unbefugten Zugriff auf oder die Offenlegung von vertraulichen Informationen zu schützen, müssen Unternehmen feststellen, wo sich diese Informationen befinden. Cognni erklärt:

“Viele Unternehmen verfügen jedoch über einen so engen Erfassungsbereich, dass sie nicht in der Lage sind, ihre Datenbestände angemessen zu schützen.”

Unternehmen sind möglicherweise nicht in der Lage, all ihre sensiblen persönlichen Daten (SPI) zu erkennen, weil sie die Quellen dieser Daten oder die Arten von Dokumenten, die diese Daten enthalten, nicht kennen. Und selbst wenn sie wissen, wonach sie suchen müssen, verfügen sie möglicherweise nicht über die Werkzeuge oder Prozesse, die sie benötigen, um ihre Daten zu identifizieren, zu überwachen und zu schützen.

Unternehmen, die SPI nicht ordnungsgemäß erkennen und schützen, werden wahrscheinlich Verletzungen des Datenschutzes, Datenschutzverletzungen und ernsthafte Schäden an ihrem Ruf erleiden.

Für viele Unternehmen ist es schwierig, maschinelles Lernen zu trainieren, um geschützte Gesundheitsdaten zu erkennen – d. h. alle Gesundheitsdaten, die gesetzlich geschützt sind, einschließlich Behandlungsplänen, Testergebnissen und Krankenakten. Die Erkennung sensibler personenbezogener Daten wie Disziplinaranhörungen, Arbeitsverträge und Gehaltsabrechnungen erweist sich jedoch für fast jedes Unternehmen als nahezu unmöglich. (Passend dazu: Anwendungen von KI im Gesundheitswesen)

Es ist viel schwieriger, maschinelles Lernen auf die Erkennung bestimmter Dokumenttypen zu trainieren als auf die Erkennung bestimmter Begriffe innerhalb des Textes. Das Ergebnis ist, dass die meisten Arten von SPI nicht klassifiziert, überwacht oder geschützt werden.

Unternehmen schützen interne vertrauliche Informationen nicht

Jede Organisation verfügt über geschützte Informationen und/oder sensible und vertrauliche Dokumente, die sie häufig sicher innerhalb und außerhalb des Unternehmens weitergeben muss. Unternehmen, die ihre vertraulichen Dokumente nicht schützen, müssen jedoch mit Umsatzeinbußen und einer Schädigung ihrer Marke rechnen und möglicherweise auch hohe Geldstrafen für die Nichteinhaltung von Vorschriften zahlen.

Daher ist der Schutz vertraulicher und sensibler Informationen für den langfristigen Erfolg von InfoSec-Initiativen von entscheidender Bedeutung. Die Verschlüsselung ist eine hervorragende Option, um sensible Unternehmensdaten zu schützen.

Der Cognni-Bericht gibt ein Beispiel dafür:

“Zum Beispiel wurde ein Unternehmen der Tourismusbranche angegriffen. Der Hacker verschaffte sich Zugang zu einem der privilegierten Datenkonten und stahl Gigabytes an sensiblen Daten, darunter auch interne vertrauliche Informationen. Diese Informationen waren zugänglich, weil die Daten des Unternehmens nicht gekennzeichnet oder anderweitig verschlüsselt waren.”

Die gemeinsame Nutzung sensibler Informationen birgt Risiken

Sensible Daten in Unternehmen gibt es in vielen Formen, z. B. Personalakten, Kundeninformationen, Rechts- und Finanzdokumente, Betriebsdaten und vieles mehr. Es handelt sich dabei um die Art von Informationen, die die Mitarbeiter für ihre Arbeit benötigen, die sie aber nicht öffentlich zugänglich machen sollten, da sie ihrem Unternehmen schaden könnten, wenn sie preisgegeben würden.

Tatsache ist jedoch, dass Mitarbeiter für ihre Arbeit häufig mit anderen innerhalb und außerhalb ihres Unternehmens zusammenarbeiten müssen. Und das bedeutet oft, dass sie sensible Unternehmensdaten mit Personen und Unternehmen teilen, die keine Zugriffsberechtigung haben.

Es gibt zwei Hauptarten solcher Gefährdungen: interne und externe.

“Interne Gefährdungen treten auf, wenn Mitarbeiter auf sensible Daten zugreifen, denen der Zugriff nicht gestattet ist”, heißt es in dem Bericht.

“Externe Gefährdungen entstehen, wenn sensible Informationen außerhalb einer Organisation an Personen oder Organisationen weitergegeben werden, die kein Recht auf diese Informationen haben.

Um sicherzustellen, dass ihre sensiblen Daten geschützt sind, müssen Unternehmen wissen, auf welche Arten von Informationen ihre Mitarbeiter zugreifen und wie sie diese Informationen normalerweise weitergeben. Um diese Art von Gefährdungen wirksam aufzuspüren, müssen Unternehmen klare Richtlinien aufstellen, die regeln, welche Mitarbeiter die Erlaubnis haben, auf welche Arten von Daten zuzugreifen, und genau darauf achten, wie und mit wem die Mitarbeiter diese Informationen teilen.

Unternehmen müssen sicherstellen, dass ihre Mitarbeiter sich der Sensibilität der Informationen bewusst sind, auf die sie tagtäglich zugreifen, und wissen, wie sie mit diesen Informationen umgehen sollten. Wenn sensible Unternehmensdaten in die falschen Hände geraten, könnten sie für Betrug, Identitätsdiebstahl oder andere bösartige Aktivitäten verwendet werden.

Daher müssen die Mitarbeiter sicherstellen, dass sie diese Informationen schützen und sie nur an diejenigen weitergeben, die eine Zugriffsberechtigung dafür haben.

Die Quintessenz

Unternehmen, die sicherstellen wollen, dass ihre InfoSec-Initiativen erfolgreich sind, müssen die notwendigen proaktiven Maßnahmen ergreifen, um ihre sensiblen Unternehmensdaten zu schützen und sie vor den Händen böswilliger Akteure zu bewahren.

Cognni empfiehlt, die folgenden Schritte zu berücksichtigen:

  • Kartierung kritischer Daten, da die meisten Unternehmen keinen Überblick über ihre kritischen Daten, einschließlich deren Existenz und Exposition, haben;
  • Kennzeichnung und Verschlüsselung interner vertraulicher Daten;
  • Klassifizierung und Kennzeichnung vertraulicher Daten, damit die Mitarbeiter wissen, welche Informationen besonders sensibel sind, und damit sie die mit den Daten verbundenen potenziellen Risiken verwalten und mindern können.

Verwandte Begriffe

Linda Rosencrance
Redakteurin
Linda Rosencrance
Redakteurin

Linda Rosencrance ist freiberufliche Schriftstellerin/Redakteurin/Autorin im Großraum Boston. Rosencrance verfügt über mehr als 30 Jahre Erfahrung als investigative Reporterin und schrieb für viele Zeitungen im Großraum Boston. Seit 1999 schreibt sie über Informationstechnologie und ihre Artikel sind in Publikationen wie MSDynamicsworld.com, TechTarget, TechBeacon, IoT World Today, Computerworld, CIO Magazine und anderen erschienen. Rosencrance war Redakteurin einer Technologie-Nachrichtenseite und leitete und redigierte einen Blog, der sich mit Datenanalyse befasste. Außerdem schreibt sie White Papers, Fallstudien, E-Books und Blogbeiträge für viele Firmenkunden. Rosencrance ist Autorin von fünf Büchern über wahre Verbrechen für Kensington Publishing Corp: "Murder at Morses Pond", "An Act of…