TOMs

Organisatorische und technische Massnahmen

Slide

Schützen Sie Ihre Daten vor unerwünschtem Zugriff und Abfluss!

Defendeer Technical and Organizational Measures

Risiko-Identifikation & Steuerung

Bei der Umsetzung einer datenzentrischen Strategie bei Unternehmen geht es primär darum, die Risiken zu identifizieren. Damit gemeint sind die Entwicklungen & Trends der eingetretenen Risiken (z.B. Security-Events und -Incidents) zu verfolgen. Daraus lassen sich primär die Eintretenswahrscheinlichkeiten für einen unerwünschten Datenzugriff oder -abfluss ableiten udn direkt reduzieren.

Das bedeutet, dass bei der Risikosteuerung das Datenobjekt bzw. die zu schützende Information in Zentrum aller Massnahmen und Kontrollelemente steht.

 

Die Gruppierung von Daten in Unternehmen

Die Basis aller Massnahmen rund um die datenzentrische Sicherheit ist ein Gruppierungsmodell aller im Unternehmen erhobenen, verarbeiteten, gespeicherten und gelöschten Daten. Richtigerweise meinen wir damit nicht nur gesetzlich geschützte oder regulierte Daten, sondern auch Daten, welche für ein Unternehmen besonders schützenswert sind (zum Beispiel Unternehmensgeheimnisse wie Patente, Konstruktionspläne, Rezepturen, Preispläne und vieles mehr).

 

Kennen Sie Ihre Daten?

Wir haben ein Modell entwickelt, welches Daten aller Art so gruppieren kann, dass die Risikofaktoren bis auf die Stufe Datenattribut definiert werden kann. Vielmehr kann unser Modell die Anwendung der Datenidentifizierung und -klassifizierung durch verschiedene Agregationen vollumfänglich vereinheitlichen (mehrstufige Gruppierung).

shutterstock_RiskMgt_Klein

Defendeer Technical and Organizational Measures

Wir setzen bei unserem Modell auf die Definition von Bedrohungsszenarien (Threat-Modelling). Diese definieren den Umgang mit besonders schützenwerten Daten im Unternehmen.  Daraus lassen sich Security Monitoring Use Cases ableiten, welche ungewöhnliches oder unerwünschtes Verhalten erkennen und alarmieren.

Threats & Monitoring Use Cases

Dementsprechend bilden die Security Monitoring Use Cases die Basis für das Implementieren technischer Regeln in den Security Lösungen. Das heisst, dass die protokollierten Aktionen aus dem Tagesgeschäft aggregiert werden können. Damit ist eine Beurteilung über einen positiven oder negativen Trend der eingeführten Massnahmen möglich.

Technische & organisatorische Massnahmen

Im Rahmen der Sicherstellung der unternehmenseigenen Compliance gegenüber den gesetzlichen, behördlichen und internen Stellen können verschiedene Massnahmen zur Zielerreichung umgesetzt werden.

Data Protection gegen Geschäftsinteressen?

Die Herausforderungen bei allen Massnahmen ist das Finden der Balance zwischen der Notwendigkeit der Umsetzung der Schutzmassnahmen aus Sicht Security & Compliance gegenüber den Interessen der Geschäftseinheiten bzw. den Unternehmenszielen.  Demzufolge müssen die Steuerungsorgane definieren, welche Risiken im Umgang mit besonders schützenswerten Daten eingegangen werden dürfen. Trotzdem ist der “Interpretationsspielraum” bei gesetzlichen und regulatorischen Vorgaben laufend kleiner geworden. Insbesondere gilt es, den Personenidentifizierende Daten wie Kunden und Mitarbeitende entsprechndes Gewicht zu geben. Überdies gilt das auch für Vorgaben einer Regulierungsbehörde wie z.B. für Banken & Versicherungen.

Unterstützen Sie Ihre Mitarbeitende im Tagesgeschäft

Bei der Erarbeitung von Technischen und Organisatorischen Massnahmen sehen wir primär die Verhältnismässigkeit der Massnahmen als Grundsatz bei der Definition und Umsetzung der Sicherheitsstrategie.

Defendeer - GDPR

Organisatorische Massnahmen

Bei den organisatorischen Massnahmen werden insbesondere auf Anleitungen, Anweisungen, interne Awareness und Trainings gesetzt. Damit soll der Verhaltensrahmen aller Mitarbeitenden geregelt werden.

Durch die intensive Digitalisierung der Geschäftsprozesse fallen aber jeden Tag eine grosse Menge an Daten bei der Erhebung, der Speicherung und der Verarbeitung an. Neuste Technologien ermöglichen Unternehmen, diese Daten zu analysieren. Die Daten dienen dazu, die Unternehmensziele gezielt zu unterstützen und zu optimieren. Dadurch entstehen aber erhöhte Risiken im Umgang von besonders schützenswerten Daten. Diese können nicht durch organisatorische Massnahmen allein kompensiert werden.

Die laufenden Verschärfungen der Anforderungen durch die Gesetzgeber der letzten Jahre haben gezeigt, dass Unternehmen nicht nur organisatorische Massnahmen umsetzen können. Die rasante technische Entwicklung im Bereich der Cyber Security ermöglicht es auch kleineren Unternehmen technische Massnahmen auf Basis der Verhältnismässigkeit in Bezug auf Schutz und Kosten einzuführen.

Technische Massnahmen

Technische Massnahmen mit entsprechenden Sicherheitslösungen sind heute ein entscheidender Faktor für die Einhaltung der Vorgaben und damit auch das Entgegenwirken gegenüber möglichen straf- oder zivilrechtlichen Konsequenzen bei Verstössen. Vielmehr hat dies neben möglichen finanziellen Forderungen auch einen negativen Einfluss auf die Reputation des Unternehmens und damit künftige Erträge.

Technische Lösungen unterstützen die Geschäftsprozesse bei einem Zugriff auf diese Daten (Data Exposure), der Datenverwendung (Data Transaction, Data in Use) und bei einem unerwünschten Datenabfluss aus dem Unternehmen (Data Leackage).

Kontrolle über alles?

Die Einführung dieser Massnahmen hat nicht die totale Kontrolle über die Arbeitsleistung der Mitarbeitenden zum Ziel, sondern dient einzig und alleine dem Schutz von gezielten Datengruppen vor einem unerlaubten Zugriff und ungewollten Abfluss. Dadurch können Mitarbeitende mit Zugang zu besonders schützenswerten Daten sicher sein, dass im Rahmen des «Tagesgeschäfts» keine Gefahren- oder Schadenspotentiale entstehen.

Welche Technischen Massnahmen im Sinne der Verhältnismässigkeit und der Machbarkeit möglich sind können Sie hier erfahren.

Hier finden Sie den Leitfaden der Schweizerischen Eidgenossenschaft zum Thema TOMs des Datenschutzes:

Sicherheitsarchitektur-Modell

Defendeer - Sicherheitsarchitektur

Im Rahmen der Sicherheits-Architektur gibt es verschiedene Betrachtungspunkte.

Wir bei Defendeer fokussieren uns primär auf technische Massnahmen für Interne Bedrohungs-Szenarien mit Lösungen für entsprechende Disziplinen:

  • Datenklassifizierung & Daten-Inventarisierung
  • Benutzer-Aktivitätsmonitoring
  • Datenfluss-Monitoring
  • Data Encryption mit Anonymisierung, Pseudonymisierung & Maskierung
  • Alarming & Security Event & Incident Management
  • Mobile-Devices Security

Dabei können wir auf langjährige Erfahrungen bei der Konzeption und Einführung von integrierten Lösungen bauen

Mehr zu unseren Lösungen finden Sie hier.

Für Lösungen von Externen Bedrohungen wie z.B. Cyber Angriffe aus dem Internet gibt es bereits etablierte Lösungen und Integrations-Spezialisten. Genauso im Bereich von Physical Security verweisen wir auf entsprechende Angebot auf dem Markt.

Wir sind der Spezialist für die Evaluation & Integration von technischen Security Lösungen!

Quick Links zu unseren Lösungen