Wer kennt seine sensiblen Daten?

Kennen Sie wirklich Ihre sensiblen Daten?
Thomas Quednau, Nogacom
 
 Fast alle Datenumgebungen sind chaotisch. Selbst kleine Unternehmen und Mittelständler haben oft Millionen von Daten, die im ganzen Unternehmen verteilt sind: Dokumente, pdf-Dateien, E-Mails,  Tabellen, Präsentationen, usw. Jeden Tag werden es mehr und viele der Dokumente enthalten sensible Geschäftsinformationen. Zudem speichern, verteilen, versenden, kopieren und verwenden die Anwender Inhalte dieser Dateien neu. All dies geschieht mit wenig bis gar keiner Rücksicht auf Sicherheits- und Compliance-Regeln. Egal wie groß ein Unternehmen ist, dies kann Umsatzverlust, verlorene Geschäftsmöglichkeiten, gesenkte Produktivität oder rechtliche Folgen verursachen.
 
Daten sind ständig in Bewegung, darum ist es schier unmöglich zu kontrollieren, welche Geschäftsdaten existieren, welchen Wert sie für das Unternehmen haben und wie sie dem Unternehmenswachstum zuträglich sein können. Ganz zu schweigen davon, ob sie sensible Inhalte enthalten oder nicht.
 
Es genügt allerdings nicht, die Daten aufzuspüren. Ebenso muss man ihren Lebenszyklus verstehen, um die Ursachen für deren Zustand zu erkennen. Erst all diese Informationen bilden ein organisches Bild der Daten ab – wer hat sie wie und warum erstellt? Ohne dieses Wissen bleibt einem der geschäftliche Nutzen einer Datei oder des darin enthaltenen sensiblen Inhalts wahrscheinlich verschlossen.
 
Sobald man den vollständigen Überblick über die Daten hat, erkennt man schnell, welche Geschäftspraktiken und Prozesse das Chaos verursacht haben oder die Sicherheit der Datenumgebung gefährden. Ebenso werden unzulässige Geschäftsabläufe im Unternehmen ersichtlich. Damit ist man in der Lage, „undichte Stellen“ im Unternehmen zu erkennen und zu beheben. Glaubwürdigkeit und Verlässlichkeit der Daten werden bestimmbar, was wiederum die nötigen, akkuraten Informationen liefert um fundierte Entscheidungen in Sachen Geschäftsmöglichkeiten und Dateienschutz zu treffen.

Klassifizierung der Daten
 
Allerdings haben insbesondere KMUs selten genügend personelle Ressourcen oder den erforderlichen Überblick und die nötige Zeit, um bei der ständig wachsenden Datenflut und den immer komplexer werdenden Datenumgebungen all dies von Hand zu erledigen. Ab mehreren hundert Dokumenten wird es unmöglich, auf diese Art die Daten und ihre Historie über den Nutzungszeitraum hinweg zu erkennen, zu verwalten und zu analysieren. Hier kann eine Lösung helfen, die diese Aufgaben automatisiert abarbeitet.

Bei der anschließenden Klassifizierung der Daten ist der geschäftliche Kontext eines Dokumentes entscheidend. Erst er bestimmt objektiv den Wesensgehalt eines Dokuments sowie den geschäftlichen Wert für das Unternehmen; der Kontext ist dabei das relevante Unterscheidungsmerkmal. Darüber hinaus beeinflusst er auch, wie das Dokument verwaltet werden muss – angefangen von den Zugriffsrechten und der Verteilung, bis hin zum Speicherort und den Bestimmungen zur Aufbewahrung.
 
Als Beispiel zur Veranschaulichung dienen zwei Tabellen: die erste eine Liste der wichtigsten Mitarbeiter aus dem Verkauf, deren wichtigste Kunden sowie deren Umsatzziele; die andere eine Übersicht sämtlicher Mitarbeiter aus der Entwicklungsabteilung und die Summe, die jeder zum Geburtstagsgeschenk für den Kollegen beiträgt. Auf den ersten Blick sind beide ähnlich, beide zählen Mitarbeiter auf und bringen diese mit einer Summe in Beziehung. Erst mit dem geschäftlichen Kontext kann man sie unterscheiden und bestimmen, wie das jeweilige Dokument verwaltet und geschützt werden muss.

Vollstandiges Abbild der Daten

Aus diesem Grund ist es wichtig die Daten nicht nur anhand ihres geschäftlichen Kontexts zu erkennen. Es ist auch nötig, automatisch sensible Inhalte und  Daten zu erkennen, die erst in Kombination sensibel werden, zum Beispiel wenn der CEO mit einem bestimmten geschäftlichen Thema in Verbindung gebracht wird. Darüber hinaus müssen Dateien als sensibel klassifiziert werden, die beispielsweise Information wie Kreditkartennummern, Reguläre Ausdrücke, Wiederholungsmuster und Personenbezogene Daten enthalten oder als streng vertraulich gekennzeichnet sind. Interne oder externe Regularien, Aufbewahrungspflichten für Geschäftsdokumente, Metadaten, Eigenschaftentags und weitere Kriterien können ein Grund sein, Daten als sensibel zu kategorisieren.
 
Sobald die Daten erkannt sind, ist es wichtig zu verfolgen, wie sie im gesamten Unternehmen genutzt werden, wo jedes Dokument gespeichert ist, welche Kopien und Versionen existieren, an wen jedes einzelne Dokument verschickt wurde, wer darauf zugegriffen hat und wer Zugriffsrechte dafür besitzt. Darüber kann man nun Entwicklungstendenzen erkennen, bisher unerkannte Muster und Verbindungen zwischen geschäftlichen Themen aufzeigen und geschäftliche Themen aufdecken, die genauer untersucht werden sollten.
 
Erst mit Hilfe dieses detaillierten Einblicks erhalten Nutzer ein vollständiges Abbild der Daten und können, basierend auf diesen akkuraten und vollständigen Informationen das Unternehmenswachstum besser verwalten, schützen  und beschleunigen.

Nogacom bietet mit NogaLogic eine Lösung, die auf der Fähigkeit basiert, geschäftliche – insbesondere sensible - Daten - automatisch zu erkennen und abhängig vom geschäftlichen Kontext für das jeweilige Unternehmen zu klassifizieren. Darüber hinaus bietet Nogcom den 7-Tage-Service NogaLogic Sensitive Data Service zur Datenerkennung, der sich gezielt an Mittelständler wendet. Mehr Informationen dazu finden sich unter http://www.nogacom.com/sensitive_data_7_days.html  Mehr Informationen zum Nogacom-Ansatz zum Erkennen und Verwalten sensibler Daten über deren gesamten Nutzungszeitraum hinweg sind in einem Whitepaper erhältlich, das unter http://www.nogacom.com/german/sensitive_data.html zum Download bereit steht.