Vorbereitung auf die Datenschutz-Grundverordnung 2017, Teil 4: Ihr Sicherheitskontrollzentrum (SOC)

Dies ist der vierte Teil einer Reihe von Blog-Beiträgen, mit denen Sicherheitsverantwortliche und Führungskräfte in Unternehmen auf die Datenschutz-Grundverordnung (DSGVO) 2017 vorbereitet werden sollen.

Eine der wichtigsten Anforderungen gemäß der neuen Datenschutz-Grundverordnung ist die Meldung von Kompromittierungen. Die Meldung einer Kompromittierung setzt natürlich die Fähigkeit voraus, eine Datenkompromittierung zu erkennen – und das ist nicht immer so einfach.

Untersuchungen von McAfee Labs haben gezeigt, dass mehr als 53 Prozent aller Vorfälle extern festgestellt werden. Zudem wurde bei einer SANS-Umfrage zur Reaktion auf Zwischenfälle im Jahr 2016 ermittelt, dass nur rund 16 Prozent der Sicherheitskontrollzentren (SOCs) als ausgereift erachtet wurden.

Aus eigener Erfahrung kann ich bestätigen, dass bei vielen Sicherheitsprozessen die Suche nach Malware-Bedrohungen im Vordergrund steht und es sehr wenige Anwendungsfälle für Insider-Bedrohungen oder Datenexfiltration gibt. Dies führt zu einer weiteren alarmierenden Statistik. In einem Bericht des Ponemon Institute von 2016 wurde festgestellt, dass nur 24 Prozent der Unternehmen in der Lage sind, einen unautorisierten Zugriff auf kritische Systeme in weniger als 24 Stunden zu erkennen.

All das veranlasst mich zu glauben, dass die meisten Sicherheitsprozesse nicht für die DSGVO bereit sind.

In diesem Beitrag habe ich einige wichtige Schritte für Sicherheitsprozesse aufgeführt, damit diese besser für die DSGVO gerüstet sind.

Die Entwicklung verstehen

Der erste Schritt zur Verbesserung besteht darin, den aktuellen Zustand zu verstehen und einen Plan zur Weiterentwicklung zu erstellen. Ich habe dieses einfache Dreistufenmodell entwickelt, um Unternehmen dabei zu unterstützen, ihre derzeitigen Sicherheitsprozesse zu bewerten – insbesondere im Hinblick auf die Erkennung von Datenkompromittierungen und die entsprechende Reaktion darauf.

The information provided on this GDPR page is our informed interpretation of the EU General Data Protection Regulation, and is for information purposes only and it does not constitute legal advice or advice on how to achieve operational privacy and security. It is not incorporated into any contract and does not commit promise or create any legal obligation to deliver any code, result, material, or functionality. Furthermore, the information provided herein is subject to change without notice, and is provided “AS IS” without guarantee or warranty as to the accuracy or applicability of the information to any specific situation or circumstance. If you require legal advice on the requirements of the General Data Protection Regulation, or any other law, or advice on the extent to which McAfee technologies can assist you to achieve compliance with the Regulation or any other law, you are advised to consult a suitably qualified legal professional. If you require advice on the nature of the technical and organizational measures that are required to deliver operational privacy and security in your organization, you should consult a suitably qualified privacy professional. No liability is accepted to any party for any harms or losses suffered in reliance on the contents of this publication.

Leave a Comment

fourteen + eight =