Daten sind einer der wichtigsten Vermögenswerte eines Unternehmens. Dementsprechend ist der Datenschutz nicht nur eine rechtliche Notwendigkeit, sondern auch entscheidend für den Schutz und die Aufrechterhaltung Ihres Unternehmens. Abgesehen davon, dass Diebe und Betrüger weniger Möglichkeiten haben, Daten zu stehlen, Identitätsbetrug zu begehen und andere Finanzdelikte zu begehen, spielt die Datensicherheit eine entscheidende Rolle bei der Aufrechterhaltung des Vertrauens in die Integrität des Finanzsektors und der Kanäle zur Erbringung von Dienstleistungen. Datenschutzinitiativen sollten auch das Bewusstsein der Verbraucher für die Notwendigkeit schärfen, Verantwortung für die Sicherheit ihrer Daten zu übernehmen.
Einem Anfang des Jahres veröffentlichten IBM Security-Bericht zufolge belaufen sich die durchschnittlichen Kosten einer Datenschutzverletzung in der Finanzbranche auf 5,97 Millionen Dollar - nach dem Gesundheitswesen (10,1 Millionen Dollar). Darüber hinaus hatten 83 % der untersuchten Unternehmen mehr als eine Datenschutzverletzung zu verzeichnen, wobei 60 % der Verletzungen zu Preiserhöhungen führten, die an die Kunden weitergegeben wurden.
Die Kosten sind eine Möglichkeit, die Auswirkungen einer Sicherheitsverletzung zu quantifizieren, sie geben jedoch nicht das Ausmaß und die Komplexität der Prozesse und Aktivitäten wieder, die diese Ausgaben verursachen, nämlich Aufdeckung und Eskalation, Benachrichtigung, Reaktion nach der Sicherheitsverletzung und Geschäftseinbußen. Jeder dieser Bereiche kann eine Reihe von Aufgaben oder Ausschüssen umfassen, die sich mit allem befassen, von Auditdiensten und Krisenmanagement bis hin zur Zahlung von Geldbußen und der Reaktion auf Reputationsrisiken.
Für die meisten dauert dieser Prozess länger als erwünscht, insbesondere für Unternehmen ohne ein strukturiertes oder ausgereiftes Informationssicherheitsmanagementsystem (ISMS). Demselben Bericht zufolge dauert es in einem typischen Unternehmen inzwischen durchschnittlich 277 Tage, bis eine Datenschutzverletzung entdeckt und eingedämmt ist - 207 Tage für die Erkennung und 70 Tage für die Eindämmung. Zum Vergleich: Bei einem Verstoß, der am 1. Januar begangen wurde, würde es bis zum 4. Oktober dauern, ihn einzudämmen.
Informationssicherheit vs. Datenschutz
Es ist wichtig, zwischen Informationssicherheit und Datenschutz zu unterscheiden. Der Datenschutz befasst sich mit der Verwaltung personenbezogener Daten, d. h. mit der Art und Weise, wie sie erhoben, weitergegeben oder verwendet werden. Die Informationssicherheit konzentriert sich darauf, wie Daten vor externen und internen Bedrohungen geschützt werden, und besteht aus den Maßnahmen, Richtlinien und Technologien, die zum Schutz der Daten ergriffen werden. Obwohl sie nicht dasselbe sind, sind Datenschutz und Informationssicherheit miteinander verknüpft und ergänzen sich gegenseitig, und die erfolgreiche Umsetzung beider Bereiche hängt von einigen ähnlichen Verpflichtungen ab.
Wenn man etwas genauer hinsieht, ist die Informationssicherheit die wichtigste Voraussetzung für den Datenschutz. Der Schutz der Daten hängt von der Aufrechterhaltung eines guten Sicherheitsniveaus vor unbefugtem Zugriff oder böswilligen Angriffen ab, die zu einer Ausbeutung der Daten führen könnten. Darüber hinaus sorgt die Informationssicherheit für die Integrität dieser Daten und stellt sicher, dass sie korrekt und zuverlässig sind und den berechtigten Parteien zur Verfügung stehen.
Und was ist Datenschutz? Ganz einfach: Es ist die Verbindung von Sicherheit und Datenschutz. Beide haben ihre eigenen Herausforderungen zu bewältigen, und ihre gemeinsamen Bemühungen gewährleisten geschützte, nutzbare Daten.
Technologiepartner und Informationssicherheit
Software und Technologie können ein Unternehmen verändern, es effizienter und produktiver machen und potenziell einen größeren Wert für Ihre Kunden schaffen. Es ist zwar wichtig, Partner zu finden, die mit Ihren Unternehmenszielen und -prioritäten übereinstimmen, aber der wichtigste Aspekt wird oft heruntergespielt oder übersehen: Ist die Lösung oder Dienstleistung, die sie anbieten, sicher?
Ihre Partner tragen eine große Verantwortung im Umgang mit Ihren hochsensiblen Daten, und es ist wichtig, die richtigen Fragen zu stellen, um zu beurteilen, wie sicher Ihre Daten bei der Zusammenarbeit mit einem potenziellen Partner sind. Zu den Fragen könnten beispielsweise gehören:
- Wie sehen Ihre Informationssicherheitsprotokolle aus?
- Wo werden unsere Daten gespeichert?
- Welche Maßnahmen haben Sie getroffen, um den Schutz der Kundendaten zu gewährleisten?
- Trennen Sie die Kundendaten von der Hauptinfrastruktur?
- Welche Arten von Informationen über meine Umgebung werden protokolliert, und wie lange sind die Protokolle verfügbar?
- Arbeiten Sie bei der Bereitstellung Ihrer Lösung mit Drittanbietern zusammen? Wenn ja, wie lauten deren Sicherheitsprotokolle?
- Berücksichtigt Ihr Disaster-Recovery-Plan die Belange der Informationssicherheit ausreichend? Führen Sie Tests durch?
- Haben Sie anerkannte Datenschutzstandards erreicht?
Detaillierte und umfassende Antworten sind zwar wichtig, aber die Bescheinigungen und Zertifizierungen, die Ihr potenzieller Partner vorweisen kann, zeigen letztlich, wie ernst er die Informationssicherheit nimmt und wie wichtig ihm die Sicherheit Ihrer Daten ist.
Technologiepartner und Zertifizierungen
Die Überprüfung der Sicherheitspraktiken Ihrer potenziellen Partner ist von grundlegender Bedeutung, um sicherzustellen, dass sie so wenig Risiken wie möglich bergen. Zu den wichtigsten Bescheinigungen und Zertifizierungen, über die Ihr potenzieller Technologiepartner verfügen sollte, gehören ISO 27001, Financial Services Qualification System (FSQS) und System and Organization Controls (SOC) 1 und 2. Lassen Sie uns diese näher untersuchen.
- ISO 27001 ist eine überprüfbare internationale Norm, die die Anforderungen an ein Informationssicherheits-Managementsystem (ISMS) festlegt - eine Reihe von Richtlinien, Verfahren, Prozessen und Systemen, die Informationssicherheitsrisiken verwalten. Die Zertifizierung zeigt, dass eine Organisation Best-Practice-Verfahren für die Informationssicherheit definiert und eingeführt hat. Es ist wichtig anzumerken, dass einige Organisationen den Standard als Rahmenwerk anerkennen, sich aber nicht zertifizieren lassen.
- Das Hellios Financial Supplier Qualification System (FSQS) ist eine Gemeinschaft von Finanzinstituten, darunter Banken, Bausparkassen und Wertpapierdienstleistungen. Der FSQS-Standard ist eine Methodik zur Erfassung und Verwaltung von Informationen über die Einhaltung der Vorschriften durch Lieferanten im gesamten Finanzsektor. Zu den wichtigsten Bereichen gehören Gesundheit und Sicherheit, Betrug, Geschäftskontinuität und Finanzversicherungen, und die Erfüllung der FSQS-Anforderungen ist ein Beweis für die Einhaltung der Datenschutzgrundverordnung.
- Service Organization Control (SOC) für Dienstleistungsorganisationen sind interne Kontrollberichte, die auf einem vom American Institute of Certified Public Accountants (AICPA) festgelegten Rahmen basieren. In diesen Berichten werden die von einer Dienstleistungsorganisation erbrachten Dienstleistungen detailliert beschrieben. Sie enthalten Informationen, die erforderlich sind, um die mit einer ausgelagerten Dienstleistung verbundenen Risiken zu bewerten und anzugehen.
Ein SOC 1-Bericht hat einen finanziellen Schwerpunkt; er umfasst die internen Kontrollen der Dienstleistungsorganisation, die sich auf die Finanzberichterstattung ihrer Kunden auswirken könnten. Ein SOC 2-Bericht befasst sich mit Kriterien für zufriedenstellende interne Kontrollen, die für die Dienstleistungen, den Betrieb und die Einhaltung der Vorschriften einer Dienstleistungsorganisation relevant sind. Darüber hinaus umfasst ein SOC 2-Bericht die Kontrollen, die in den Trust Services Criteria (TSC) des AICPA beschrieben sind.
Ein SOC 2-Bericht deckt fünf Trust Services-Kategorien ab: Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz. Es ist erwähnenswert, dass nicht alle Kriterien bewertet werden müssen; einige Organisationen können Kriterien auswählen, die für bestimmte Branchen oder Sektoren relevant sind, aber die Sicherheit ist die akzeptierte Basislinie. Bei Lendscape konzentrieren wir uns auf Sicherheit, Verfügbarkeit und Vertraulichkeit, in Abstimmung mit unseren Kunden.
Es lohnt sich auch, auf die beiden Arten von Prüfungen von SOC-Berichten hinzuweisen - Typ 1 und Typ 2. Bei einer Prüfung des Typs 1 wird die Beschreibung oder Gestaltung der Kontrollen zu einem bestimmten Zeitpunkt untersucht, während bei einer Prüfung des Typs 2 ebenfalls die Gestaltung der Kontrollen untersucht wird, aber auch die operative Wirksamkeit dieser Kontrollen über einen bestimmten Zeitraum (in der Regel mindestens sechs Monate) getestet wird.
Während die ISO-Norm eine international anerkannte Norm ist und die SOC-Norm aus den USA stammt, hat letztere in den letzten Jahren international an Bedeutung gewonnen. SOC-Berichte sind gründlich und detailliert, insbesondere wenn es um Informationen über die vorhandenen Kontrollen und Verfahren geht, weshalb diese Norm in stark regulierten Sektoren wie dem Finanzwesen bevorzugt wird. Ein SOC-2-Bericht deckt beispielsweise das Design der gehosteten Dienste, die Plattformumgebungen, die verschiedenen Prozesse, Organigramme, Rollen, Profile, Leistung, Kommunikation, Risikobewertung, Überwachungsaktivitäten und interne Audits ab.
Informationssicherheit war noch nie so wichtig wie heute. Wie wir bereits erwähnt haben, können die Folgen einer Datenschutzverletzung hohe Geldstrafen, Rufschädigung sowie zeit- und ressourcenaufwendige Prozesse nach sich ziehen. Informationssicherheit beginnt vielleicht mit dem Bewusstsein für Softwaresicherheit in Ihrem Unternehmen und der Kenntnis Ihrer Produkte, aber es wird immer wichtiger, Ihr Risikoniveau zu kennen und sich mit Ihrem IT-Team abzustimmen.
Bei der Suche nach Software- und Technologiepartnern, die Zugang zu sensiblen Daten haben könnten, sollten Sie eine gründliche Bewertung ihrer Datenschutzpraktiken vornehmen und Einzelheiten zu ihren Sicherheitsstandards und Zertifizierungen erfragen.
Erfahren Sie mehr darüber, wie Lendscape Ihre Daten schützt und sichert.