IT-Security Symposium 2018 24.10.2018 in Stuttgart - Workshop Veritas Wir bringen Licht ins Dunkel! Wie Archivierung bei der Einhaltung der neuen ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IT-Security Symposium 2018 24.10.2018 in Stuttgart Workshop Veritas Wir bringen Licht ins Dunkel! Wie Archivierung bei der Einhaltung der neuen Datenschutzgrundverordnung unterstützt.
Präsentation AGENDA EINleitung Vorstellung EU-DSGVO – WIE sie sich absichern Kultur des Hortens Wie können Sie den neuen Herausforderungen der EU-DSGVO begegnen, was sollten Sie wissen und mit welchen Herausforderungen DatAberg / Dark Data sollten Sie rechnen? Neben der DSGVO besteht in deutschen Unternehmen noch der Bedarf zur Erfüllung der GoBD. Diese Lösungen / Exkurs GobD Präsentation soll „Licht“ ins Dunkel bringen. 5
Vorstellung Hallo CHRISTOPH ARNTZ Geschäftsführer und Gründer der I.Tresor GmbH & Co. KG aus Köln (2010). U.a. Projektleiter eines mittelständischen Unternehmens, dann mehr als 10 Jahre Consultant für IT-Sicherheit, Archivierung und Disaster Recovery. I.Tresor ist langjähriger Partner der COMPAREX AG. 6
Kultur des Hortens 62% der Büromitarbeiter und 82% der IT Führungskräfte geben zu, Daten-Messies zu sein
Kultur des Hortens Basierend auf der Studie von Wakefield Research im Auftrag von Veritas mit über 10.000 Teilnehmern aus 13 Ländern. Dabei wurden IT-Führungskräfte und Büromitarbeiter befragt. Dateien auf UnternehmensServern Unverschlüsselte Dateien erhöhen das Risiko einer Datenschutzverletzung, auf die Unternehmen nur selten schnell genug reagieren können. Dateien, die abgespeichert werden Auf Servern finden sich Informationen, die möglicherweise Copyrights bzw. persönliche Datenschutzrechte verletzen. Kann ein Unternehmen diese Daten nicht finden, befindet es sich in einer 9 gefährlichen Situation.
Kultur des Hortens Die beliebtesten Ausreden, warum Mitarbeiter Daten horten Die beliebtesten Ausreden Viele Mitarbeiter befürchten irgendwann wieder auf ihre Daten zugreifen zu müssen und entwickeln sich so zu Daten-Messies. Es fällt Ihnen auch schwer zu entscheiden, was gelöscht werden kann. Vergleich Deutschland / Weltweit Im internationalen Vergleich verliert die Mehrheit der deutschen Büromitarbeiter ihre Dateien aus den Augen. Auch die Angst vor Löschen ist viel größer. Der 1 Datenbestand wächst zunehmend. 0
Mythos Datenspeicher Laut Umfrage von Vanson Bourne unter 200 deutschen Unternehmen in unterschiedlichen Segmenten ergeben sich Mythos und hieraus entstandenen Auswirkungen. Mytho Wirku s ng 1 1 Strategien konzentrieren sich auf Datenvolumen und Speicher ist immer verfügbar und kostenlos nicht Unternehmensnutzen Mytho Wirku s ng 2 2 Erhöhung des Vertrauens in „freien“ Speicher und Mehr Daten ergeben automatisch mehr Nutzen Antreiben der Verlagerung in die Cloud Mytho Wirku s ng 3 3 Mitarbeiter missachten zunehmend interne Alle Daten sind gleich Regelungen zur Datenhandhabung 1 2
DATABERG Der unstrukturierte Datenbestand in Unternehmen ist riesig. Dies wird auch „Dark Data“ genannt.
DER DEUTSCHE DATENBERG Der Datenberg setzt sich aus drei Elementen zusammen Die Elemente Grundlegend unterscheiden wir gekennzeichnete oder klassifizierte Daten und unstrukturierte Daten. Unterteilt werden diese in drei Elemente: • Unternehmenskritische Daten • Redunante, veraltete und triviale Daten (ROT (Redunant/Obsolete/Trivial) Daten) • Dark Data (unstrukturiert/unbekannt) 1 4
DATENBERG unter Kontrolle bringen Der Datenberg und Dark Data erhöhen das Risiko des Rechtsbruchs, da die Inhalte der Daten unbekannt sind. Dark Data kann unternehmenskritische oder personenbezogene Daten beinhalten, die im Sinne des GDPR besonders beachtet werden müssen. Nutzwert Identifizieren Die Identifikation des Nutzwertes von Daten ist der erste Schritt die Rechtssicherheit zu erreichen. Es sollte unbedingt eine IT-Richtlinie vorhanden sein, die vorschreibt, dass ROT Daten eliminiert werden müssen. 1 5
Strategische Realisierung Um den Trends entgegen zu wirken, müssen Unternehmen „entmystifizieren" 1 SPEICHER IST NICHT KOSTENLOS 2 MEHR DATEN ERGEBEN NICHT AUTOMATISCH MEHR NUTZEN 3 REALISIERUNG, DASS NICHT ALLE DATEN GLEICH SIND 1 6
15 Unternehmenskritisch % 19 ROT DATEN (Redundant/ObsolEte/Trivial) % Identifikation der Daten durch technische Mittel (Analyse) 66 Dark Data % Einführung einer Information Governance Strategie basierend auf Nutzwert
Dark Data 66% deutscher Unternehmensdaten sind Dark Data • NUR 15% der Daten gelten als unternehmenskritisch • Datenwachstum und Verhalten der Unternehmen führt zu stetig wachsendem Anteil an Dark und ROT Daten
Daten ANALYSE / Transparenz Mittels Data Insight sehen, was anderen verborgen bleibt Veritas Data Insight • Datenklassifizierung und Analyse Tool • Aufdeckung von Informationsrisiken • Implementierung einer erfolgreichen Information Governance Strategie Analyse Ergebnisse Dark Data • Wo liegen meine Daten? • Wer hat Zugriff? • Wie alt sind die Daten? • Wem gehören die Daten? • Historische Dateiveränderung, wer hat wann was geändert? • Datencompliance? 1 9
Data INSIGHT Analyse von Fileservern oder z.B. NetApp Filern nach Regelwerk Veritas Data Insight • Verschiedene Analyse Reports • Anpassbar mittels eigener Skript-Sprache • 2D und 3D Analysemodelle – schnell und effizient. Beleuchtung von Dark Data und ROT Daten Nutzen • Einhalten gesetzlicher Vorgaben für Datenzugriff, -nutzung und - aufbewahrung • Schützen vertraulicher Informationen vor unberechtigtem Zugriff und Offenlegung • Umfassender, fortlaufender Überblick über die globale Datenumgebung 2 • Wirf Licht auf die „dunklen Daten“ 0
Exkurs Gobd - Archivierung Neben der GDPR besteht die Archivierungspflicht nach GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff), welche die ursprüngliche Verordnung GdPdU abgelöst hat. Die Verordnung gilt seit dem 01. Januar 2015. Anforderung GoBD Die GoBD regelt die Erfassung von Geschäftsvorfällen wie Eingangsrechnungen, Lohnabrechnungen, Belege zur Buchführung uvm. E-Mails als Korrespondenz sind ebenfalls aufbewahrungspflichtig. Nachfolgende Kernpunkte sind hervorzuheben Zeitnahe Erfassung Originäres Format Geschäftsvorfälle müssen innerhalb Digitale Belege (wie E-Mail) müssen von 10 Tagen erfasst werden. originär (nicht ausgedruckt) vorliegen. Maschinelle Verfahrensdokumentation Auswertbarkeit Ohne Verfahrensdokumentation kann Bei steuerrelevanten Daten müssen die Belegprüfung ausgesetzt werden. die Daten zeitnah und in maschinell Eine Doku muss vorliegen und den les- und auswertbarer Form vorliegen. technischen /organisatorischen Ablauf beschreiben. 2 2
Archivierung Enterprise Vault Archivierung und Klassifizierung von relevanten Informationen und Altdaten Veritas Enterprise Vault • E-Mail, File-, Sharepoint und Social-Media Archivierung • Mailbox und Journalarchivierung • Transparente Integration in bestehende Systemwelten (Outlook, Explorer, Sharepoint Site) • Schnittstellen zu anderen Applikationen wie Backup / DMS Systeme • Integration mit Data Insight, Klassifizierung von Datenbeständen Nutzen • Einhalten gesetzlicher Vorgaben für Aufbewahrung und Löschung • Klassifizierung persönlicher Daten wie z.B. in Dateien oder E-Mails • Verschiebung von Altdaten in ein sicheres Archiv • Volltextsuche und E-Discovery 2 3
Anforderung E-Mailarchivierung erfüllen Neben den Anforderungen der GoBD und in Kombination mit GDPR, sollten Unternehmen auf eine verlässliche E- Mailarchivierungslösung wie Veritas ENTERPRISE VAULT zurückgreifen. Unveränderbar & Lückenlos & Fortlaufend Indiziert & Lesbar Löschfrist Mittels Mail-Journaling Archivierung Alle Elemente einer E-Mail (Mailtext, Während der Aufbewahrung dürfen werden alle empfangenen und Mailheader und Anhang) werden Dokumente nicht verändert werden gesendeten E-Mails archiviert (unter indiziert und „suchfähig“ gemacht. Dies oder die Veränderung muss sichtbar Berücksichtigung einer Datenschutz- ist zur späteren Auffindbarkeit von sein. Nach Ablauf müssen Elemente Regelung). Somit können die enormer Wichtigkeit (zeitnahe gelöscht werden können. 2 Anforderungen an die lückenlose Auswertung). Aufbewahrung erfüllt werden. 4
Macht der Vollintegration Durch die Möglichkeit verschiedene Lösungen ineinander zu integrieren, werden Vorgänge automatisiert und besser gesteuert Strategie Aufbewahrung Erarbeitung einer Information Aufbewahrungsrichtlinie wird Governance Strategie unter automatisiert eingestellt und bei Berücksichtung der Enterprise Vault angewendet Datenbestände. Analyse Richtlinien E-Discovery Data Insight identifiziert Dark Info Steward weist Richtlinien für Sammeln und Aufbereiten von Data. Dark Data zu und leitet diese zu Daten und Wieder- Enterprise Vault weiter herstellung/Verarbeitung 2 5
Wie wir Ihnen helfen können Ziel ist die Unterstützung, das Potential Ihrer Daten auszuschöpfen, unabhängig davon, wo diese gespeichert sind. Transparenz erzielen Massnahmen ergreifen Identifizieren Sie Ihre dunklen Daten, decken Sie Risiken auf und extrahieren 01 02 Treffen Sie bessere Geschäfts- entscheidungen, um Daten zu Sie den Nutzwert Ihrer Informationen. klassifizieren, aufzubewahren oder rechtskonform zu löschen. Umsetzung nach DSGVO Kontrolle Übernehmen Dauerhaft überprüfen 04 03 Definieren Sie eine umsetzbare Entwickeln Sie Strategien, um Ihre Information-Governance-Strategie, die Datenbestände dauerhaft zu von der Führungsebene unterstützt überprüfen und die Richtlinien zu wird, um richtlinienkonformes Nutzer- überwachen. verhalten zu fördern und Risiken zu verringern. 2 6
Eine Suite – Lösung für die größten DSGVO Probleme Mit der Enterprise Vault Suite bekommen Sie alles, was Sie für die häufigsten Probleme mit der neuen Datenschutzverordnung brauchen: Alle Quellen, schnelle Suche, schnelle Aufbereitung, kontinuierliche Überwachung und auditierte Löschung. Digitale Archivierung Absicherung von E-Mail, Dateien, unternehmenskritischer Sharepoint & Skype Daten und Abgrenzung inkl. E-Discovery von persönlichen Daten (schnelles Finden) (Klassifizierung) Rechtssicherheit nach Analyse und GoBD und DSGVO über Überwachung der alle relevanten Daten, Datenbestände mittels egal wo diese Data Insight gespeichert sind 2 7
Enterprise Vault SUITE– Alles drin In der neuen Suite sind alle Quellen für den klassischen Quellen wie Mail, Dateiserver, Sharepoint, Skype enthalten. Hinzu kommen die automatische Klassifizierung, Journaling und Data Insight für die fortlaufende, lückenlose Überwachung der Datenbestände. Mehr als nur eine Archivlösung • Komplette Suite für die Archivierung von Mail (Mailbox und Journaling), File, Sharepoint und Skype Daten • Archive Discovery mittels Discovery Accelerator enthalten • Automatische Klassifizierung und Aufbewahrung (Anforderung DSGVO, GoBD) • Dauerhafte Analyse und Reports durch Data Insight Sowohl als Neulizenzen, als auch für Bestandkunden (Erweiterung zur bestehenden Lizenz) pro Benutzer erhältlich - zu einem unschlagbar günstigen Preis. 2 8
Enterprise Vault SUITE– DSGVO Wie kann Enterprise Vault die Erfüllung der DSGVO unterstützen? Erfüllung DSGVO • Vollständige Klassifizierung für Inhalt und Kontext • Vorhandene DSGVO-Richtlinien, um Anforderungen von PI Daten zu erfüllen • Flexible Aufbewahrung • Löschung und Audit 2 9
Enterprise Vault SUITE– Transparenz Die Einführung von Enterprise Vault beinhaltet nicht nur die Erfüllung gesetzlicher Vorschriften nach GoBD, sondern auch der DSGVO. Hierbei muss der Anwender keine neue Software „erlernen“, sondern arbeitet wie bisher mit seinen Bordmitteln (Outlook, Browser, Datei-Explorer, Sharepoint Sites etc) Erfüllung DSGVO/GobD • Auditierung / Löschung • Rechtskonforme Archivierung mit Löschschutz • Klassifizierung und Kategorisierung • Flexible Aufbewahrung (z.B. 6 Wochen, 6 Jahre, 11 Jahre) • Transparenter Benutzerzugriff mit Rechtesynchronisation aus Standardapplikation • Löschfristen und Unveränderbarkeit einhalten 3 0
Fileserver gewohntes Arbeiten Benutzer arbeiten wie gewohnt mit dem Windows Explorer und können archivierte Elemente hieraus öffnen. Archivierte Dateien haben das identische Applikations-Icon und die ursprüngliche Größe, werden jedoch „offline“ angezeigt. 3 1
SpeicherErsparnis Enterprise Vault spart notwendigen Speicher für das Archiv durch intelligente Speicherverwaltung ein Kompression Optimiertes Single-Instancing Bei der Archivierung werden die Inhalte bestmöglich komprimiert, Durch die Anwendung von Single-Instancing (nur einzigartige Inhalte um den Speicherbedarf zu minimieren. Hauptaugenmerk in Archiven werden gespeichert und Duplikate reduziert) wird der Speicherbedarf liegt nicht auf der Performanz, sondern im Speichermanagement. neben der Kompression weiter reduziert. Min. 50% Ersparnis im Archiv 3 2
ARCHIVIERUNG vs Backup Im Vergleich zum „Langzeitbackup“ werden archivierte Dateien mittels Single-Instancing auf ein Minimum reduziert und indiziert. Über die Suche kann der Benutzer jederzeit selbstständig nach Dateiinhalten suchen. Der Aufwand für Backup/Produktivspeicher wird reduziert und Anfragen bei der IT-Administration minimiert. 3 4
Präsentation Zusammenfassung Starten Sie die ersten Schritte, um zur neuen GDPR ab Mai 2018 vorbereitet zu sein und beleuchten Sie Ihre Dateninhalte. Information Gov. Richtlinien Dark Data einsehen Strategie durchsetzen Durch die Analyse von Dark Data und ROT Erarbeiten Sie eine Information Unternehmen sollen nachvollziehen Daten können Sie die wertvollen Daten, Governance Strategie. Durch Analysen können, welcher Anwender auf persönliche solche mit hohem Risiko oder Redundanz können Sie Aufbewahrungsvorgaben und Daten im Firmennetz zugreifen kann und extrahieren und identifizieren. Zugriff auf Dokumente transparent wer autorisiert ist. Mittels Data Insight machen. können Sie das Zusammenspiel aus sensiblen Daten, Zugriffsrechten und Nutzern besser verstehen und steuern. Daten Klassifizieren ARCHIVIERUNG Bei der GDPR ist es wichtig zu wissen, wo Durch die Archivierung mit Klassifizierung persönliche Daten gespeichert sind. Dies ist können wichtige oder Compliance- kritisch, um solche Daten angemessen zu relevante Informationen einfacher schützen und der Aufforderung nachzu- identifiziert und bewertet werden. Eine kommen, persönliche Daten zu löschen. Neubewertung mittels des Klassifizierungs- 3 systems ermöglicht außerdem neue Bestimmungen besser einzuhalten. 5
DARK DATA Bringen Sie Licht in ihre „dunklen Daten“
I.TRESOR Vielen Dank für Ihre Aufmerksamkeit Haben Sie noch Fragen ?
Sie können auch lesen