Suchen

DLP- und Compliance-Grundlagen, Teil 3 Leitfaden – DLP-Projekte erfolgreich und termingerecht umsetzen

| Autor / Redakteur: Rainer Witzgall, CenterTools / Stephan Augsten

Jedes neue IT-Sicherheitsprojekt greift in die tägliche Arbeit ein und kann erhebliche Störungen verursachen. Die Spezialisten von CenterTools haben einen Leitfaden zur Umsetzung von DLP-Projekten erarbeitet, der die Flexibilität des Unternehmens bewahrt und schnell zu Ergebnissen führt.

Um möglichst schnell Erfolge zu erzielen, sollte man DLP-Projekten in Teilaufgaben aufspalten.
Um möglichst schnell Erfolge zu erzielen, sollte man DLP-Projekten in Teilaufgaben aufspalten.
( Archiv: Vogel Business Media )

Nahezu jede Einführung von Sicherheitsmaßnahmen behindert zwangsläufig das Tagesgeschäft und den Ablauf täglicher Routinen. Gleichzeitig wächst beständig der Druck, durch geeignete Maßnahmen den Datenschutz zu verbessern und den gesetzlichen Vorschriften zu entsprechen. Die große Herausforderung besteht nun darin, ein Gleichgewicht zwischen Maximierung der Sicherheit und der Bewahrung der Firmenflexibilität zu finden, so dass Benutzer ihrer Arbeit weiter effizient nachgehen können.

Ein großes unternehmensweites DLP-Projekt sollte in mindestens drei Teilprojekte aufgeteilt werden, um die Komplexität zu senken und Erfolge zu dokumentieren. Unter Berücksichtigung des Umfanges und der beteiligten Mitarbeiter können die Teilprojekte parallel oder sequentiell bearbeitet werden.

In jedem Fall ist es sinnvoll, mit der kleinsten Teilaufgabe zu beginnen. So erreicht man in kürzester Zeit Erfolge und senkt den Druck auf eine schnelle Umsetzung. Diese Vorgehensweise wird von den Mitarbeitern von CenterTools seit Jahren erfolgreich angewandt. In diesem Artikel werden die Teilprojekte „Endpoint Security“ und „Gateway Security“ näher beleuchtet.

Anforderungs- und Risikoanalyse

Basis eines jeden DLP-Projektes ist die Analyse und Bewertung sämtlicher Daten im Unternehmen auf deren Schutzbedürfnis, egal in welcher Form sie vorliegen. Das Ziel des DLP-Projekts ist es, Vertraulichkeit, Verfügbarkeit, Integrität und Authentizität sicherzustellen.

Mittelständische Unternehmen sollten dafür ein bis zwei Tage veranschlagen und alle Fachabteilungen in die Analyse einbeziehen. Mit einem klassischen Fragenkatalog kann diese Aufgabe effizient und schnell bewältigt werden: Wie groß ist der mögliche Schaden, wenn vertrauliche Daten verloren gehen? Denken Sie hierbei nicht nur an die Kosten und verzögerten Abläufe, sondern auch an Geschäftsausfälle, Schäden bei Dritten, zerstörtes Image oder sogar Verstöße gegen geltendes Recht.

Weitere Fragen sind: Wie hoch sind die Wiederherstellungskosten, wenn alle elektronisch gespeicherten Daten verloren gehen? Wer hat generell Zugang zu Daten, deren Verlust ein hohes oder mittleres Risiko darstellen? Müssen sensible Daten das Unternehmen verlassen (z.B. Kooperationen, Wirtschaftsprüfer)? Haben Lieferanten oder andere Externe Zugriff?

Ein weiterer Komplex fragt nach den Grundlagen: Welche betriebsinternen Regelungen und Vorschriften gibt es zum Umgang mit wichtigen Daten? Welche rechtlichen Regelungen und Vorschriften gibt es (beispielsweise bei BDSG, Basel II, SOX)? Gibt es Vereinbarungen mit Kunden, wie deren Daten zu schützen sind (Konstruktionsdaten o.ä.)?

Inhalt

  • Seite 1: Anforderungs- und Risikoanalyse
  • Seite 2: Checkliste für Schwachstellen
  • Seite 3: Mögliche Probleme bei DLP-Projekten

(ID:2048850)