Die Notwendigkeit von Information Governance und Datenklassifizierung zur Einhaltung der DSGVO

Mit der Annäherung an die neue Datenschutz-Grundverordnung (DSGVO), die ab Mai 2018 in Kraft tritt, haben Unternehmen mit Sitz in Europa oder mit personenbezogenen Daten von Personen mit Wohnsitz in Europa Schwierigkeiten, ihr wertvollstes Gut im Unternehmen zu finden – ihre sensiblen Daten.

Die neue Verordnung verlangt von Organisationen, jede Verletzung von personenbezogenen Daten (PII) zu verhindern und alle Daten zu löschen, wenn einzelne Personen dies wünschen. Nach der Entfernung aller PII-Daten müssen die Unternehmen nachweisen, dass sie dieser Person und den Behörden vollständig entfernt wurden.

Die meisten Unternehmen sind sich heute ihrer Verpflichtung zum Nachweis von Rechenschaftspflicht und Compliance bewusst und haben daher begonnen, sich auf die neue Verordnung vorzubereiten.

Es gibt so viele Informationen über Möglichkeiten, Ihre sensiblen Daten zu schützen, so viel, dass man überwältigt sein und in verschiedene Richtungen zeigen kann, in der Hoffnung, das Ziel genau zu treffen. Wenn Sie Ihre Data Governance im Voraus planen, können Sie die Frist trotzdem einhalten und Strafen vermeiden.

Einige Organisationen, meist Banken, Versicherungen und Hersteller, besitzen eine enorme Datenmenge, da sie Daten in beschleunigtem Tempo produzieren, indem sie Dateien ändern, speichern und teilen, wodurch Terabytes und sogar Petabytes an Daten erzeugt werden. Die Schwierigkeit für diese Art von Unternehmen besteht darin, ihre sensiblen Daten in Millionen von Dateien zu finden, in strukturierten und unstrukturierten Daten, was leider in den meisten Fällen eine unmögliche Aufgabe ist.

Die folgenden persönlichen Identifikationsdaten werden gemäß der Definition des National Institute of Standards and Technology (NIST) als PII klassifiziert:

o Vollständiger Name

o Heimatadresse

o E-Mail-Adresse

o Nationale Identifikationsnummer

o Reisepassnummer

o IP-Adresse (wenn verknüpft, aber keine PII allein in den USA)

o Kfz-Kennzeichen

o Führerscheinnummer

o Gesicht, Fingerabdrücke oder Handschrift

o Kreditkartennummern

o Digitale Identität

o Geburtsdatum

o Geburtsort

o Genetische Informationen

o Telefonnummer

o Anmeldename, Bildschirmname, Spitzname oder Handle

Die meisten Unternehmen, die über PII europäischer Bürger verfügen, müssen PII-Datenverletzungen erkennen und vor solchen schützen und PII (oft als Recht auf Vergessenwerden bezeichnet) aus den Unternehmensdaten löschen. Im Amtsblatt der Europäischen Union: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 heißt es:

„Die Aufsichtsbehörden sollten die Anwendung der Bestimmungen dieser Verordnung überwachen und zu ihrer einheitlichen Anwendung in der gesamten Union beitragen, um natürliche Personen bei der Verarbeitung ihrer personenbezogenen Daten zu schützen und den freien Verkehr personenbezogener Daten innerhalb der EU zu erleichtern den Binnenmarkt.“

Damit Unternehmen, die über PII europäischer Bürger verfügen, einen freien Fluss von PII auf dem europäischen Markt ermöglichen können, müssen sie in der Lage sein, ihre Daten zu identifizieren und sie gemäß der Sensibilität ihrer Unternehmenspolitik zu kategorisieren.

Sie definieren den Datenfluss und die Herausforderungen der Märkte wie folgt:

„Die rasante technologische Entwicklung und die Globalisierung haben den Schutz personenbezogener Daten vor neue Herausforderungen gestellt. Der Umfang der Erhebung und Weitergabe personenbezogener Daten hat erheblich zugenommen. Die Technologie ermöglicht es sowohl privaten Unternehmen als auch Behörden, personenbezogene Daten in einem noch nie dagewesenen Ausmaß zu nutzen um ihre Tätigkeiten ausüben zu können. Natürliche Personen machen personenbezogene Daten zunehmend öffentlich und weltweit zugänglich. Die Technologie hat sowohl die Wirtschaft als auch das gesellschaftliche Leben verändert und sollte den freien Verkehr personenbezogener Daten innerhalb der Union und die Übermittlung an Drittländer und internationale Organisationen weiter erleichtern, bei gleichzeitiger Gewährleistung eines hohen Schutzniveaus personenbezogener Daten.“

Phase 1 – Datenerkennung

Der erste Schritt, der unternommen werden muss, besteht also darin, eine Datenlinie zu erstellen, die es ermöglicht zu verstehen, wo ihre PII-Daten im gesamten Unternehmen landen, und den Entscheidungsträgern hilft, bestimmte Datentypen zu erkennen. Die EU empfiehlt, eine automatisierte Technologie zu erwerben, die große Datenmengen verarbeiten kann, indem sie automatisch gescannt wird. Egal wie groß Ihr Team ist, dies ist kein Projekt, das manuell bearbeitet werden kann, wenn Millionen verschiedener Arten von Dateien in verschiedenen Bereichen versteckt sind: in der Cloud, in Speichern und auf lokalen Desktops.

Die Hauptsorge für diese Art von Organisationen besteht darin, dass sie, wenn sie nicht in der Lage sind, Datenschutzverletzungen zu verhindern, die neue EU-DSGVO-Verordnung nicht einhalten und mit hohen Strafen belegt werden können.

Sie müssen bestimmte Mitarbeiter ernennen, die für den gesamten Prozess verantwortlich sind, wie beispielsweise einen Datenschutzbeauftragten (DPO), der sich hauptsächlich um die technologischen Lösungen kümmert, einen Chief Information Governance Officer (CIGO), in der Regel ist ein Rechtsanwalt für die Compliance verantwortlich, und/oder ein Compliance Risk Officer (CRO). Diese Person muss in der Lage sein, den gesamten Prozess durchgängig zu kontrollieren und der Geschäftsführung und den Behörden volle Transparenz zu bieten.

„Der für die Verarbeitung Verantwortliche sollte die Art der personenbezogenen Daten, den Zweck und die Dauer der vorgeschlagenen Verarbeitung(en) sowie die Situation im Herkunfts-, Dritt- und Endbestimmungsland besonders berücksichtigen und angemessene Garantien zum Schutz der Grundrechte und Grundfreiheiten natürlicher Personen bei der Verarbeitung ihrer personenbezogenen Daten bieten.“

Die PII-Daten können in allen Arten von Dateien gefunden werden, nicht nur in PDFs und Textdokumenten, sondern auch in Bilddokumenten – zum Beispiel ein gescannter Scheck, eine CAD/CAM-Datei, die die IP eines Produkts enthalten kann, eine vertrauliche Skizze, einen Code oder eine Binärdatei usw.‘. Die heute üblichen Technologien können Daten aus Dateien extrahieren, wodurch die im Text versteckten Daten leicht zu finden sind, aber der Rest der Dateien, der in einigen Unternehmen wie der Fertigung die meisten sensiblen Daten in Bilddateien enthält. Diese Arten von Dateien können nicht genau erkannt werden, und ohne die richtige Technologie, die in der Lage ist, PII-Daten in anderen Dateiformaten als Text zu erkennen, kann man diese wichtigen Informationen leicht übersehen und dem Unternehmen erheblichen Schaden zufügen.

Phase 2 – Datenkategorisierung

Diese Phase besteht aus Data-Mining-Aktionen hinter den Kulissen, die von einem automatisierten System erstellt werden. Der Datenschutzbeauftragte/der Verantwortliche oder der Entscheidungsträger für die Informationssicherheit muss entscheiden, ob er bestimmte Daten nachverfolgen, sperren oder Warnungen über eine Datenschutzverletzung senden möchte. Um diese Aktionen durchführen zu können, muss er seine Daten in separaten Kategorien anzeigen.

Die Kategorisierung von strukturierten und unstrukturierten Daten erfordert eine vollständige Identifizierung der Daten unter Beibehaltung der Skalierbarkeit – effektives Scannen aller Datenbanken, ohne „den Ozean zu kochen“.

Der DSB ist auch verpflichtet, die Datensichtbarkeit über mehrere Quellen hinweg aufrechtzuerhalten und alle Dateien, die sich auf eine bestimmte Person beziehen, schnell nach bestimmten Entitäten wie Name, Geburtsdatum, Kreditkartennummer, Sozialversicherungsnummer, Telefon, E-Mail-Adresse usw.

Im Falle einer Datenschutzverletzung berichtet der DSB direkt an die höchste Führungsebene des Verantwortlichen oder des Auftragsverarbeiters oder an den Informationssicherheitsbeauftragten, der für die Meldung dieses Verstoßes an die zuständigen Behörden verantwortlich ist.

Gemäß Artikel 33 der EU-DSGVO muss dieser Verstoß innerhalb von 72 Stunden an die Behörden gemeldet werden.

Sobald der DSB die Daten identifiziert hat, sollte er im nächsten Schritt die Dateien entsprechend der von der Organisation definierten Vertraulichkeitsstufe kennzeichnen/kennzeichnen.

Als Teil der Einhaltung gesetzlicher Vorschriften müssen die Dateien des Unternehmens genau gekennzeichnet werden, damit diese Dateien vor Ort und sogar bei Weitergabe außerhalb des Unternehmens nachverfolgt werden können.

Phase 3 – Wissen

Sobald die Daten markiert sind, können Sie personenbezogene Daten über Netzwerke und Systeme hinweg abbilden, sowohl strukturiert als auch unstrukturiert, und sie können leicht nachverfolgt werden, sodass Unternehmen ihre sensiblen Daten schützen und ihren Endbenutzern die sichere Verwendung und gemeinsame Nutzung von Dateien ermöglichen und so den Datenverlust erhöhen können Verhütung.

Ein weiterer Aspekt, der berücksichtigt werden muss, ist der Schutz sensibler Informationen vor Bedrohungen durch Insider – Mitarbeiter, die versuchen, sensible Daten wie Kreditkarten, Kontaktlisten usw. zu stehlen oder die Daten zu manipulieren, um sich einen Vorteil zu verschaffen. Diese Arten von Aktionen sind ohne ein automatisiertes Tracking nur schwer rechtzeitig zu erkennen.

Diese zeitaufwändigen Aufgaben gelten für die meisten Unternehmen und veranlassen sie, nach effizienten Möglichkeiten zu suchen, um Erkenntnisse aus ihren Unternehmensdaten zu gewinnen, damit sie ihre Entscheidungen treffen können.

Die Fähigkeit, intrinsische Datenmuster zu analysieren, hilft Unternehmen, einen besseren Überblick über ihre Unternehmensdaten zu erhalten und auf spezifische Bedrohungen hinzuweisen.

Die Integration einer Verschlüsselungstechnologie ermöglicht es dem Controller, Daten effektiv zu verfolgen und zu überwachen, und durch die Implementierung eines internen physischen Trennungssystems kann er ein Daten-Geofencing durch Definitionen der Trennung personenbezogener Daten erstellen, Geos/Domänen überqueren und Berichte über Verstöße gegen die gemeinsame Nutzung melden, sobald diese Regel bricht . Mit dieser Kombination von Technologien kann der Controller den Mitarbeitern ermöglichen, Nachrichten sicher im gesamten Unternehmen, zwischen den richtigen Abteilungen und außerhalb des Unternehmens zu senden, ohne dass sie übermäßig blockiert werden.

Phase 4 – Künstliche Intelligenz (KI)

Nach dem Scannen der Daten, dem Markieren und Verfolgen der Daten ist die Möglichkeit für das Unternehmen, Ausreißerverhalten sensibler Daten automatisch zu überprüfen und Schutzmaßnahmen auszulösen, um zu verhindern, dass sich diese Ereignisse zu einem Vorfall von Datenschutzverletzungen entwickeln, von größerem Wert. Diese fortschrittliche Technologie wird als „Künstliche Intelligenz“ (KI) bezeichnet. Hier besteht die KI-Funktion in der Regel aus einer starken Mustererkennungskomponente und einem Lernmechanismus, um der Maschine diese Entscheidungen zu ermöglichen oder zumindest dem Datenschutzbeauftragten eine bevorzugte Vorgehensweise zu empfehlen. Diese Intelligenz wird an ihrer Fähigkeit gemessen, aus jedem Scan und jeder Benutzereingabe oder Änderung in der Datenkartographie klüger zu werden. Schließlich baut die KI-Funktion den digitalen Fußabdruck des Unternehmens auf, der zur wesentlichen Schicht zwischen den Rohdaten und den Geschäftsabläufen rund um Datenschutz, Compliance und Datenmanagement wird.


Source by Yaniv Avidan

About admin

Check Also

Konfigurieren eines neuen Laptops

Beim Kauf eines Laptops gibt es viele Dinge zu beachten, die beiden wichtigsten Spezifikationen sind …

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.