Insight-Driven Data Risk Assessment

Trennung von Risiko und Einsicht Diese Trennung zwischen der Verwaltung von Risiken und der Gewinnung von Erkenntnissen war in der…

Trennung von Risiko und Einsicht

Diese Trennung zwischen der Verwaltung von Risiken und der Gewinnung von Erkenntnissen war in der Vergangenheit sehr sinnvoll. Die Teams, die mit der Verwaltung verschiedener Teile des Datenrisikos beauftragt waren, gehörten in der Regel zu einer Rechts-, Sicherheits- oder Compliance-Funktion. Sie setzten Technologien ein, die in der Regel für eng umgrenzte Funktionen entwickelt wurden, z. B. Systeme zur Verwaltung von Büchern und Aufzeichnungen, zur Vermeidung von Datenverlusten, Anwendungen zur Verwaltung von Vermögenswerten, Tools zur Erfassung von Rechtsstreitigkeiten usw.

Dieser Ansatz befasste sich mit diskreten Verpflichtungen, oft auf Systemebene, oder wurde durch Ad-hoc-Prozesse ausgeführt. In der Zwischenzeit setzten die Geschäftsbereiche und Marketingteams immer ausgefeiltere Datenanalysen und -verarbeitungen ein, um Erkenntnisse zu gewinnen und über große Mengen an Informationen zusammenzuarbeiten.

In ihrem Streben nach Einblicken und Zusammenarbeit haben Mitarbeiter Daten gekauft, sie in Cloud-BI-Tools hochgeladen, versehentlich Daten dorthin verschoben, wo sie nicht hingehören, oder sie außerhalb von angemessen kontrollierten Umgebungen verschoben.

Das Ergebnis ist, dass in den letzten zehn Jahren Unternehmen selbst in wenig regulierten Branchen entweder Opfer von Datenschutzverletzungen oder Gegenstand staatlicher Ermittlungen über die Verwendung oder den Zugriff auf „private“ Informationen geworden sind.

So entdeckten Sicherheitsforscher 2018 einen ungesicherten Amazon S3-Zugang zu Pass- und damit verbundenen Daten von 118.000 FedEx-Kunden aus einer Umgebung, die von einem Unternehmen eingerichtet wurde, das Amazon Jahre zuvor übernommen hatte. Cambridge Analytica hat keinen orchestrierten Cyberangriff auf Facebook durchgeführt, sondern seine Befugnisse für den Zugang und die Nutzung persönlicher Daten überschritten.

Zwei bemerkenswerte Sicherheitslücken im Jahr 2019: Die japanischen Niederlassungen von Toyota gefährdeten die Daten von 3,1 Millionen Autobesitzern und die US Federal Emergency Management Agency gab die Daten von 2,5 Millionen Überlebenden von Katastrophen preis. – Cybersecurity Ventures.

Diese Zunahme von Datenschutzverletzungen und Risiken wurde zum Teil durch die explosionsartige Zunahme des Datenvolumens und die Leichtigkeit, mit der Informationen über viele Kanäle verbreitet und außerhalb der von Unternehmen kontrollierten Netzwerke gespeichert werden können, verursacht. Dies verdeutlicht auch eine wichtige Veränderung gegenüber den historischen Modellen zur Verwaltung von Informationsrisiken: Sie sind nicht mehr auf die Verwaltung und Kontrolle auf Systemebene beschränkt, sondern basieren auf der Natur der Daten selbst.

Eine große Ironie ist, dass einige der bekanntesten Probleme im Zusammenhang mit dem Datenschutz durch die enormen Möglichkeiten der Datenaggregation und -analyse entstanden sind. Plattformen für soziale Medien, Websites, Unternehmenssysteme und Suchanwendungen sammeln riesige Datenmengen und ermöglichen die Korrelation dieser Daten, was zu nie dagewesenen Erkenntnissen führt, aber auch zu Risiken, die vor 10 Jahren kaum vorstellbar waren.

Die Dynamik, die mit dem allgegenwärtigen Datenzugriff und der Datenanalyse einhergeht, hat das Risiko auch immer näher an den Ort verlagert, an dem Geschäfte und Dienstleistungen erbracht werden oder an dem die Zusammenarbeit stattfindet, und außerhalb der traditionellen Aufzeichnungen, ERP- oder internen Systeme. Der letztgenannte Trend bedeutet, dass das Festhalten an formalen Prozessen oder das Verlassen auf statische Systeme und Arbeitsabläufe zur Identifizierung und Minderung von Informationsrisiken wahrscheinlich unvollständig sein wird.

Methoden zur Risikobewertung

Die Idee, das mit den Daten selbst verbundene Risiko zu bewerten, ist in zahlreichen Vorschriften und bewährten Praktiken der Branche enthalten. Als repräsentative Beispiele:

  • Die E.U. General Data Protection Regulation (GDPR) stellt eine Kodifizierung dar, die die Risiken im Zusammenhang mit den Informationen selbst verbunden sind (im Gegensatz zu Systemen, Netzwerken oder Technologien).
  • ISO 27001 legt Standards für die Inventarisierung und Klassifizierung von Informationswerten fest (8.2.x)
  • Das National Institute of Standards (NIST) hat eine Reihe von Rahmenwerke die die Anforderung enthalten, die Art der verarbeiteten, gespeicherten oder übertragenen Daten zu kategorisieren.
    • Staatliche Datenschutzgesetze, einschließlich des kalifornischen Consumer Privacy Act (CCPA), definieren eine breite Palette sensibler Informationen und risikobasierter Kontrollen
    • Die HIPAA Privacy Rule legt Standards fest, die persönliche Gesundheitsinformationen und Verpflichtungen zum Umgang mit den damit verbundenen Risiken definieren.

Einschätzungen sind mehr als Politik

Viele Unternehmen haben in irgendeiner Form ein Daten-Mapping durchgeführt, um mit der Planung zu beginnen und Kontrollen auf Systemebene einzurichten. Diese Übungen haben oft die Form von Umfragen, Interviews oder allgemeinen Beschreibungen von Daten, die üblicherweise gespeichert, verarbeitet oder gemeinsam genutzt werden. Wir sehen Kunden, die Inventare auf Asset- oder Systemebene haben, die im Allgemeinen die Art der Informationen beschreiben, die sollte Sie haben aber oft keine Möglichkeit zu überprüfen, ob dies auch im Laufe der Zeit so bleibt.

Wir sehen auch, dass Unternehmen ihre Sicherheits- und Data-Governance-Anforderungen ernst nehmen, aber ein Großteil ihrer Arbeit findet bisher auf der Ebene der Richtlinien statt oder basiert auf Zugriffskontrollen und Protokollen, was sicherlich ein wichtiges Element ist. Viele setzen jedoch keine umfassenden Lösungen ein, um zu überprüfen, welche Daten ist und die Art der zugrundeliegenden Informationen, die in einer bestimmten Datenquelle enthalten sind, und ob diese mit ihren Richtlinien übereinstimmen. Daher sind System- oder Zugriffskontrollen und Audit-Protokolle unwirksam, wenn sensible oder eingeschränkte Daten in eine Quelle gelangen, in die sie nicht gehören.

Das Management von Datenrisiken umfasst mehrere Ebenen von Technologien und Prozessen. Bislang konzentrierte man sich dabei häufig auf Kontrollen auf System- und Netzwerkebene. A Daten-Risiko-Bewertung ermöglicht es einem Unternehmen, (1) direkt festzustellen, ob verbotene Daten in einem Dokument, einer Datenquelle, einer Geografie oder einem Kommunikationskanal enthalten sind, und (2) eine kontinuierliche Überwachung als Mittel zur Prüfung und Messung der Einhaltung definierter Kontrollen bereitzustellen – ein entscheidender Mangel für viele Unternehmen.

Eine effektive Bewertung des Datenrisikos erfordert die Fähigkeit, auf die Daten zuzugreifen, Informationen über mehrere Dimensionen hinweg zu indizieren und zu extrahieren und schließlich die Daten angemessen auf Muster und Datentypen zu analysieren, die ein potenzielles Risiko darstellen. Dazu können sensible Identitätsdaten/persönlich identifizierbare Informationen (PII), besondere Kategorien gemäß GDPR, Gesundheitsinformationen, PCI oder andere Formen vertraulicher interner Daten gehören.

Ich habe mit Lösungen gearbeitet, die versuchten, dieses Problem zu lösen, indem sie entweder massive, proprietäre Infrastrukturen einsetzten oder umfangreiche Integrationen in Quellen vornahmen, die veraltet waren, bevor sie überhaupt fertiggestellt waren. Außerdem fehlte ihnen die Fähigkeit, verschiedene Arten von Informationen zu verarbeiten und zu analysieren, was zu ungenauen und verrauschten Ergebnissen führte.

Funktionale Spezifikation für Risikobewertungsplattformen

  • Eine Plattform, die Ihnen die Durchführung von Datenrisikobewertungen ermöglicht, muss über
  • Eine offene und skalierbare Plattform, die eine schnelle Entwicklung und eine einfache Integration ermöglicht und das Risiko des Eigentums begrenzt
  • Eine breite Palette von Algorithmen für maschinelles Lernen und KI innerhalb der Plattform, die für die Verarbeitung natürlicher Sprache, die Extraktion von Entitäten, das Clustering von Dokumenten und die Kategorisierung relevant sind
  • Eine umfassende Reihe von unterstützten (und regelmäßig aktualisierten) Konnektoren zu den gängigsten Datenquellen, die den Zugriff und die Integration dort ermöglichen, wo Daten gespeichert, verarbeitet oder gemeinsam genutzt werden
  • Die Möglichkeit, über reguläre Ausdrücke (RegEx) die häufigsten Muster zu definieren, die mit PII, PCI, Konto- und ID-bezogenen Daten und ähnlichem verbunden sind
  • Flexible Index- und Abfrage-Pipelines ermöglichen die Verwendung einer Kombination aus maschinellem Lernen, Muster- (RegEx) und Textanalyse von Datenquellen, was eine tiefere und präzisere Ergebnismenge liefert.

Erfahren Sie mehr und sehen Sie sich das Webinar „Enable Insight Driven Data Risk Assessments With AI“ mit Simon Taylor und mir hier an.

In meinem nächsten Blog werde ich detaillierter darlegen, wie Kunden Lucidworks, die gleiche Plattform, die viele für Informationseinblicke verwenden, nutzen können, um mit der Bewertung von Informationsrisiken zu beginnen.

Managing Partner von SOHO2, einem Beratungsunternehmen, das innovative Lösungen für Informationsrisiken und -einblicke anbietet. George verfügt über umfassende Erfahrung mit Lösungen für Recht und Compliance sowie mit Informationsanalysen. Er hat einen J.D. vom DePaul College of Law und ist als Anwalt für den Bundesstaat Illinois und für den nördlichen Bezirk von Illinois zugelassen.

You Might Also Like

B2B-KI-Benchmarkstudie 2025: Was wir in den Schützengräben sehen

Laden Sie die B2B-KI-Benchmark-Highlights 2025 von Lucidworks herunter. Sehen Sie sich die...

Read More

Vom Suchunternehmen zum praktischen KI-Pionier: Unsere Vision für 2025 und darüber hinaus

CEO Mike Sinoway gibt Einblicke in die Zukunft der KI und stellt...

Read More

Wenn KI schief geht: Fehlschläge in der realen Welt und wie man sie vermeidet

Lassen Sie nicht zu, dass Ihr KI-Chatbot einen 50.000 Dollar teuren Tahoe...

Read More

Quick Links