Vertrauen schaffen in einer Zeit der Datenunsicherheit: eine proaktive Strategie
Um Datenschutz zu meistern, müssen Sie sich verpflichten, Risiken kontinuierlich abzubilden. Der erste Schritt ist die Einführung von Best Practices und automatisierten Tools, die Ihnen die Arbeit abnehmen.
Daten sind das Lebenselixier der heutigen digitalen Wirtschaft, aber nur, wenn man ihnen trauen kann. Daten treiben zwar Innovation und Agilität voran, stehen aber auch im Zentrum wachsender Sicherheitsbedrohungen und gesetzlicher Anforderungen. Die Fähigkeit, das richtige Gleichgewicht zwischen Datenschutz und operativer Exzellenz zu finden, ist zunehmend mit der Fähigkeit verknüpft, bei Kunden, Mitarbeitenden und Investoren Vertrauen zu schaffen.
CIOs sollten jetzt dringend darauf vertrauen können, dass die kritischen Geschäfts-, Mitarbeiter- und Finanzdaten des Unternehmens nicht nur den Vorschriften entsprechen, sondern auch vor Cyber-Bedrohungen und internen Angreifern sicher sind.
Laut einem IDC-Bericht vom September 2023 verzeichnen viele Unternehmen im Vergleich zum Vorjahr eine Zunahme von Cyberangriffen, darunter 54 % der europäischen Organisationen. Auch deshalb steht das Thema Datensicherheit jetzt ganz oben auf der Tagesordnung der Führungskräfte auf dem Europäischen Kontinent. Tatsächlich gaben 45% der befragten CEOs in Europa an, dass sie Investitionen in Datensicherheit, Risiko und Compliance Priorität einräumen werden, um eine vertrauenswürdige Zusammenarbeit und den Austausch von Daten zu unterstützen. Die oberste Priorität der Befragten für die betriebliche Sicherheit? Datenschutz und Einhaltung von Vorschriften.
Vor diesem Hintergrund müssen CIOs jetzt dringend darauf vertrauen können, dass die kritischen Geschäfts-, Mitarbeiter- und Finanzdaten des Unternehmens nicht nur den Vorschriften entsprechen, sondern auch vor Cyber-Bedrohungen und internen Angreifern sicher sind. Der schnellste Weg zu diesem Vertrauen ist nun klar. Technische Führungskräfte benötigen eine proaktive Strategie für ein Datenschutzmanagement, das Best Practices und Spitzentechnologie nutzt und maßgeschneiderte Automatisierungstools einsetzt, die Kontrollen, Überwachung und Audits verstärken.
"Die Risiken wachsen mit der Komplexität und dem Umfang der Daten", sagt Mark Eaglefield, Head of Digital Products bei Veolia UK, einem weltweit führenden Anbieter von Umweltdienstleistungen, der in fast 50 Ländern tätig ist. "Ohne eine proaktive Haltung können Sie das Risikoniveau des Unternehmens nicht quantifizieren - bis der Schaden eingetreten ist und das Vertrauen verloren wurde.
Wenn es um Datensicherheit und Compliance-Schwachstellen in multinationalen Unternehmen geht, fällt es oft schwer zu erkennen, wo man anfangen soll. 2019 trafen die Tech-Verantwortlichen von Veolia eine zentrale Entscheidung, die die Grundlage für ihre Datenmanagement-Strategie bildete. Das Unternehmen wurde ein Full-Plattform Workday-Kunde.
"Wir gehen nie davon aus, dass unsere Stakeholder wissen und verstehen, wie wir unsere Daten schützen wollen und was auf dem Spiel steht."
Mark Eaglefield
Head of Digital Products, Veolia UK
Eine einheitliche technische Umgebung, die das Personalmanagement, die Finanzen, die Gehaltsabrechnung, die Personalbeschaffung und andere Bereiche umfasst, bildet die Grundlage für gut definierte, dokumentierte und verwaltete Prozesse rund um Benutzerzugang und Sicherheit, so Eaglefield. "Das ist unsere solide Grundlage, die wir mit Best Practices verstärken, die in unsere sich entwickelnde, proaktive Datenschutzstrategie eingebunden sind."
Zu diesen Praktiken gehört vor allem die ständige Schulung und Sensibilisierung für den Datenschutz und die Sicherheit der Nutzer. Die IT-Organisation von Veolia informiert eine Reihe von Interessengruppen - wie Endnutzer, Wirtschaftsprüfer und IT-Teams - durch Schulungen, veröffentlicht Richtlinien und Verfahren und nutzt verschiedene Kommunikationskanäle. "Es ist ein ständiger Kreislauf - Weiterbildung und Sensibilisierung sind der Schlüssel", sagte Eaglefield. "Wir gehen nie davon aus, dass unsere Stakeholder wissen und verstehen, wie wir unsere Daten schützen wollen und was auf dem Spiel steht."
Eine weitere bewährte Praxis, die Veolia übernommen hat, ist der Aufbau eines Teams engagierter interner Sicherheitsexperten, auf die man sich dann verlassen kann. Diese Experten, die sich in der Betriebsumgebung von Workday bestens auskennen, arbeiten eng mit den internen Datenschutzteams zusammen. Sie sind über die aktuelle Datenschutzgesetzgebung und die damit verbundenen rechtlichen Anforderungen an das Unternehmen auf dem Laufenden. Sie fungieren als "Peer Reviewer" und tragen dazu bei, dass die Richtlinien, Verfahren und Kontrollen des Unternehmens stets der aktuellen Gefahrenlage und den gesetzlichen Bestimmungen entsprechen, so Eaglefield.
"In Bezug auf benutzerbasierte Sicherheit und Compliance sind diese Experten wichtige Mitwirkende, die es uns ermöglichen, das Design unserer speziellen Konfiguration kontinuierlich zu verbessern", fügt er hinzu.
Jedes Unternehmen hat eine einzigartige Datenumgebung, die es zu schützen gilt, und damit verbundene Risiken, vor denen man sich wappnen muss. Bei Veolia wuchs das Bewusstsein der Sicherheitsverantwortlichen für Schwachstellen im Zusammenhang mit dem Proxy-Zugriff.
"Je komplexer Ihr Unternehmen ist, desto schwieriger ist es, einen Überblick über die datenbezogenen Risiken zu bekommen."
Kim Freestone
Product Principal, Kainos
Das Unternehmen verfügte über eine Proxy-Richtlinie für seine nicht-produktive Umgebung, die es Benutzern, denen Proxy-Zugriff gewährt wurde, ermöglichte, dieselben Daten zu sehen, die auch die Person, für die Proxy-Zugriff gewährt wurde, normalerweise sieht. Obwohl nur eine kleine Anzahl von vertrauenswürdigen Personen einen solchen Zugriff erhielt, war Veolia aufgrund der fehlenden Datenmaskierung immer noch potenziellen Risiken im Hinblick auf die Einhaltung von Datenschutzbestimmungen und Datenschutzverletzungen ausgesetzt. Die Lösung: Smart Shield, ein von Kainos entwickeltes Tool, das die Datenmaskierung für bestimmte Proxy-Nutzer in Workday ermöglicht.
"Jetzt können wir sicherstellen, dass ein Benutzer, der z.B. einer Finanz-Proxy-Gruppe zugewiesen ist, keine Vergütungsdaten einsehen kann, die für die Person relevant sind, als die er sich einloggt", so Eaglefield.
In großen Unternehmen mit Tausenden oder Zehntausenden von Benutzern ist eine manuelle Überprüfung der Benutzerkonfigurationen im Hinblick auf die Aufgabentrennung und die Systemzugriffsebenen unmöglich. Die Automatisierung von Audits muss Teil jeder proaktiven Datenschutzlösung sein - deshalb verlassen sich viele IT-Verantwortliche auf 360-Grad-Sicherheitsüberwachungstools.
"Je komplexer Ihr Unternehmen ist, desto schwieriger ist es, einen Rundumblick auf datenbezogene Risiken zu erhalten", sagt Kim Freestone, Product Principal bei Kainos. Zum Beispiel " Mitarbeitende, die unangemessenen und uneingeschränkten Zugang zu hochsensiblen Daten haben."
Veolia, das 14.000 Benutzer hat, entschied sich für die Implementierung des Smart Audit-Tools von Kainos, das die Überwachung der Datensicherheit automatisiert und Geschäftsprozesse und Daten mit hohem Risiko für Betrug und Datenschutzverletzungen kennzeichnet. Ein umfassender Überblick über die Aufgabentrennung und die Identifizierung von Konflikten ist äußerst vorteilhaft, stellt Eaglefield fest. Präventive Kontrollen überprüfen, ob die Datenzugriffsebene der Benutzer gerechtfertigt ist, und eine tägliche Übersichts-E-Mail bietet seinem internen Kontrollteam einen Überblick über Anomalien sowie eine detaillierte Beschreibung der aktuellen Konflikte und der zu prüfenden Maßnahmen.
Aber proaktive Risikobewertungbeinhaltet mehr als nur die Einrichtung von Kontrollen und Prozessen zum Schutz von Daten in Bereichen mit privilegiertem Zugriff, sagt Freestone. "Es geht auch darum, eine Reihe von Nachweisen zusammenzustellen, um internen oder externen Prüfern zu zeigen, dass Sie es mit der Risikominderung ernst meinen."
In einer Zeit zunehmender Sicherheitsbedrohungen und aufkommender KI-Fähigkeiten muss man sich im Bereich Datenschutz und -sicherheit Vertrauen verdienen. Dies gilt umso mehr, da Unternehmen sich der Herausforderung stellen müssen, die Möglichkeiten der KI zu nutzen und gleichzeitig völlig neue rechtliche Rahmenbedingungen für Datensätze und Praktiken einzuhalten, wie z. B. das KI-Gesetz der Europäischen Kommission.
Es gibt keine Risikofreiheit, wenn es um vernetzte Daten geht. Aber mit einer proaktiven Datenverwaltungsstrategie, die sowohl bewährte Praktiken als auch das Beste, was die aktuelle Technologie zu bieten hat, umfasst, können CIOs eine zukunftsfähige IT-Infrastruktur aufbauen und dann fein abstimmen. Anstatt sich über unbekannte Risiken aufzuregen, können sich Führungskräfte auf ein hochgradig konfigurierbares Sicherheitsmodell verlassen, das alle Anwendungen und Daten des Unternehmens regelt. Die richtigen Tools können Risiken aufdecken und dann die richtigen Schutzmaßnahmen einleiten, bevor es zu spät ist.
Der größte Fehler bei der Datensicherheit ist Selbstgefälligkeit, so Eaglefield. "Warten Sie nicht, bis ein Problem auftaucht, sondern gehen Sie es jetzt an."
Weiteres Lesematerial
Die Gleichung des Vertrauens: Verantwortungsvolle KI
Diese Ausgabe befasst sich mit der Bedeutung von Vertrauen bei der Implementierung von KI und beinhaltet Einblicke von IT-Führungskräften in EMEA, Expertenanalysen zu Herausforderungen im Bereich Vertrauen und Strategien für einen verantwortungsvollen KI-Einsatz. Erfahren Sie, wie Sie die Vertrauenslücke schließen und eine erfolgreiche digitale Transformation sicherstellen können.
Im Zeitalter der KI müssen Leader Vertrauen aufbauen... aber wie?
Angesichts der großen Ungewissheit in Bezug auf KI, Sicherheit und Governance bewegen sich Teams in einem Meer von Veränderungen. Aber eines ist sicher: Vertrauen war noch nie so wichtig wie heute.
von Martin Veitch, Branchenkommentator
Podcast: KI-(R)evolution – Jenseits des Hypes zur nachhaltigen Wertschöpfung
In unserer neuesten Folge des Workday Podcast DACH sprechen wir über die transformative Kraft der Künstlichen Intelligenz (KI) in der Unternehmenswelt.
