IT-Security Symposium 2018 24.10.2018 in Stuttgart - Workshop Veritas Wir bringen Licht ins Dunkel! Wie Archivierung bei der Einhaltung der neuen ...
←
→
Transkription von Seiteninhalten
Wenn Ihr Browser die Seite nicht korrekt rendert, bitte, lesen Sie den Inhalt der Seite unten
IT-Security
Symposium 2018 24.10.2018 in Stuttgart
Workshop Veritas Wir bringen Licht ins Dunkel! Wie Archivierung bei der
Einhaltung der neuen Datenschutzgrundverordnung unterstützt.
I.TRESOR
Datenschutz Grundverordnung (EU-DSGVO)
Chris Arntz, Geschäftsführer, i. Tresor
Recht auf
Vergessen
Schutz persönlicher Daten und
Meldepflichten.
Präsentation
AGENDA EINleitung
Vorstellung
EU-DSGVO – WIE sie sich absichern Kultur des Hortens
Wie können Sie den neuen Herausforderungen der EU-DSGVO
begegnen, was sollten Sie wissen und mit welchen Herausforderungen DatAberg / Dark Data
sollten Sie rechnen? Neben der DSGVO besteht in deutschen
Unternehmen noch der Bedarf zur Erfüllung der GoBD. Diese Lösungen / Exkurs GobD
Präsentation soll „Licht“ ins Dunkel bringen.
5
Vorstellung
Hallo
CHRISTOPH ARNTZ
Geschäftsführer und Gründer der I.Tresor GmbH & Co. KG aus Köln (2010). U.a.
Projektleiter eines mittelständischen Unternehmens, dann mehr als 10 Jahre Consultant
für IT-Sicherheit, Archivierung und Disaster Recovery.
I.Tresor ist langjähriger Partner der COMPAREX AG.
6
Kultur des
Hortens
62% der Büromitarbeiter und 82% der IT
Führungskräfte geben zu, Daten-Messies
zu sein
Kultur des Hortens
Basierend auf der Studie von Wakefield Research im Auftrag von Veritas mit über 10.000 Teilnehmern aus 13 Ländern. Dabei
wurden IT-Führungskräfte und Büromitarbeiter befragt.
Dateien auf
UnternehmensServern
Unverschlüsselte Dateien erhöhen das
Risiko einer Datenschutzverletzung, auf die
Unternehmen nur selten schnell genug
reagieren können.
Dateien, die abgespeichert
werden
Auf Servern finden sich Informationen, die
möglicherweise Copyrights bzw.
persönliche Datenschutzrechte verletzen.
Kann ein Unternehmen diese Daten nicht
finden, befindet es sich in einer
9
gefährlichen Situation.
Kultur des Hortens
Die beliebtesten Ausreden, warum Mitarbeiter Daten horten
Die beliebtesten Ausreden
Viele Mitarbeiter befürchten irgendwann
wieder auf ihre Daten zugreifen zu müssen
und entwickeln sich so zu Daten-Messies.
Es fällt Ihnen auch schwer zu entscheiden,
was gelöscht werden kann.
Vergleich Deutschland / Weltweit
Im internationalen Vergleich verliert die
Mehrheit der deutschen Büromitarbeiter
ihre Dateien aus den Augen. Auch die Angst
vor Löschen ist viel größer. Der
1
Datenbestand wächst zunehmend.
0
Mythos Datenspeicher
Laut Umfrage von Vanson Bourne unter 200 deutschen Unternehmen in unterschiedlichen Segmenten ergeben sich Mythos und
hieraus entstandenen Auswirkungen.
Mytho Wirku
s ng
1 1
Strategien konzentrieren sich auf Datenvolumen und
Speicher ist immer verfügbar und kostenlos
nicht Unternehmensnutzen
Mytho Wirku
s ng
2 2
Erhöhung des Vertrauens in „freien“ Speicher und
Mehr Daten ergeben automatisch mehr Nutzen
Antreiben der Verlagerung in die Cloud
Mytho Wirku
s ng
3 3
Mitarbeiter missachten zunehmend interne
Alle Daten sind gleich
Regelungen zur Datenhandhabung
1
2
DATABERG
Der unstrukturierte Datenbestand in
Unternehmen ist riesig. Dies wird auch „Dark
Data“ genannt.DER DEUTSCHE DATENBERG
Der Datenberg setzt sich aus drei Elementen zusammen
Die Elemente
Grundlegend unterscheiden wir gekennzeichnete oder
klassifizierte Daten und unstrukturierte Daten.
Unterteilt werden diese in drei Elemente:
• Unternehmenskritische Daten
• Redunante, veraltete und triviale Daten (ROT
(Redunant/Obsolete/Trivial) Daten)
• Dark Data (unstrukturiert/unbekannt)
1
4DATENBERG unter Kontrolle bringen
Der Datenberg und Dark Data erhöhen das Risiko des Rechtsbruchs, da die Inhalte der Daten unbekannt sind. Dark Data kann
unternehmenskritische oder personenbezogene Daten beinhalten, die im Sinne des GDPR besonders beachtet werden müssen.
Nutzwert Identifizieren
Die Identifikation des Nutzwertes von Daten
ist der erste Schritt die Rechtssicherheit zu
erreichen.
Es sollte unbedingt eine IT-Richtlinie
vorhanden sein, die vorschreibt, dass ROT
Daten eliminiert werden müssen.
1
5Strategische Realisierung
Um den Trends entgegen zu wirken, müssen Unternehmen „entmystifizieren"
1 SPEICHER IST NICHT KOSTENLOS
2 MEHR DATEN ERGEBEN NICHT AUTOMATISCH MEHR NUTZEN
3 REALISIERUNG, DASS NICHT ALLE DATEN GLEICH SIND
1
615 Unternehmenskritisch
%
19 ROT DATEN (Redundant/ObsolEte/Trivial)
%
Identifikation der Daten durch technische Mittel
(Analyse)
66 Dark Data
% Einführung einer Information Governance Strategie
basierend auf NutzwertDark Data 66% deutscher Unternehmensdaten sind Dark Data • NUR 15% der Daten gelten als unternehmenskritisch • Datenwachstum und Verhalten der Unternehmen führt zu stetig wachsendem Anteil an Dark und ROT Daten
Daten ANALYSE /
Transparenz
Mittels Data Insight sehen, was anderen verborgen bleibt
Veritas Data Insight
• Datenklassifizierung und Analyse Tool
• Aufdeckung von Informationsrisiken
• Implementierung einer erfolgreichen Information Governance
Strategie
Analyse Ergebnisse
Dark Data • Wo liegen meine Daten?
• Wer hat Zugriff?
• Wie alt sind die Daten?
• Wem gehören die Daten?
• Historische Dateiveränderung, wer hat wann was geändert?
• Datencompliance? 1
9Data INSIGHT
Analyse von Fileservern oder z.B. NetApp Filern nach Regelwerk
Veritas Data Insight
• Verschiedene Analyse Reports
• Anpassbar mittels eigener Skript-Sprache
• 2D und 3D Analysemodelle – schnell und effizient. Beleuchtung von
Dark Data und ROT Daten
Nutzen
• Einhalten gesetzlicher Vorgaben für Datenzugriff, -nutzung und -
aufbewahrung
• Schützen vertraulicher Informationen vor unberechtigtem Zugriff und
Offenlegung
• Umfassender, fortlaufender Überblick über die globale Datenumgebung
2
• Wirf Licht auf die „dunklen Daten“
0Exkurs Gobd - Archivierung
Neben der GDPR besteht die Archivierungspflicht nach GoBD (Grundsätze zur ordnungsmäßigen Führung und Aufbewahrung von
Büchern, Aufzeichnungen und Unterlagen in elektronischer Form sowie zum Datenzugriff), welche die ursprüngliche Verordnung
GdPdU abgelöst hat. Die Verordnung gilt seit dem 01. Januar 2015.
Anforderung GoBD
Die GoBD regelt die Erfassung von Geschäftsvorfällen wie Eingangsrechnungen,
Lohnabrechnungen, Belege zur Buchführung uvm. E-Mails als Korrespondenz sind
ebenfalls aufbewahrungspflichtig. Nachfolgende Kernpunkte sind hervorzuheben
Zeitnahe Erfassung Originäres Format
Geschäftsvorfälle müssen innerhalb Digitale Belege (wie E-Mail) müssen
von 10 Tagen erfasst werden. originär (nicht ausgedruckt) vorliegen.
Maschinelle
Verfahrensdokumentation
Auswertbarkeit
Ohne Verfahrensdokumentation kann
Bei steuerrelevanten Daten müssen
die Belegprüfung ausgesetzt werden.
die Daten zeitnah und in maschinell
Eine Doku muss vorliegen und den
les- und auswertbarer Form
vorliegen. technischen /organisatorischen
Ablauf beschreiben.
2
2Archivierung Enterprise
Vault
Archivierung und Klassifizierung von relevanten Informationen und Altdaten
Veritas Enterprise Vault
• E-Mail, File-, Sharepoint und Social-Media Archivierung
• Mailbox und Journalarchivierung
• Transparente Integration in bestehende Systemwelten (Outlook,
Explorer, Sharepoint Site)
• Schnittstellen zu anderen Applikationen wie Backup / DMS Systeme
• Integration mit Data Insight, Klassifizierung von Datenbeständen
Nutzen
• Einhalten gesetzlicher Vorgaben für Aufbewahrung und Löschung
• Klassifizierung persönlicher Daten wie z.B. in Dateien oder E-Mails
• Verschiebung von Altdaten in ein sicheres Archiv
• Volltextsuche und E-Discovery
2
3Anforderung E-Mailarchivierung erfüllen
Neben den Anforderungen der GoBD und in Kombination mit GDPR, sollten Unternehmen auf eine verlässliche E-
Mailarchivierungslösung wie Veritas ENTERPRISE VAULT zurückgreifen.
Unveränderbar &
Lückenlos & Fortlaufend Indiziert & Lesbar
Löschfrist
Mittels Mail-Journaling Archivierung Alle Elemente einer E-Mail (Mailtext, Während der Aufbewahrung dürfen
werden alle empfangenen und Mailheader und Anhang) werden Dokumente nicht verändert werden
gesendeten E-Mails archiviert (unter indiziert und „suchfähig“ gemacht. Dies oder die Veränderung muss sichtbar
Berücksichtigung einer Datenschutz- ist zur späteren Auffindbarkeit von sein. Nach Ablauf müssen Elemente
Regelung). Somit können die enormer Wichtigkeit (zeitnahe gelöscht werden können.
2
Anforderungen an die lückenlose Auswertung).
Aufbewahrung erfüllt werden.
4Macht der Vollintegration
Durch die Möglichkeit verschiedene Lösungen ineinander zu integrieren, werden Vorgänge automatisiert und besser gesteuert
Strategie Aufbewahrung
Erarbeitung einer Information Aufbewahrungsrichtlinie wird
Governance Strategie unter automatisiert eingestellt und bei
Berücksichtung der Enterprise Vault angewendet
Datenbestände.
Analyse Richtlinien E-Discovery
Data Insight identifiziert Dark Info Steward weist Richtlinien für Sammeln und Aufbereiten von
Data. Dark Data zu und leitet diese zu Daten und Wieder-
Enterprise Vault weiter herstellung/Verarbeitung
2
5Wie wir Ihnen helfen können
Ziel ist die Unterstützung, das Potential Ihrer Daten auszuschöpfen, unabhängig davon, wo diese gespeichert sind.
Transparenz erzielen Massnahmen ergreifen
Identifizieren Sie Ihre dunklen Daten,
decken Sie Risiken auf und extrahieren
01 02 Treffen Sie bessere Geschäfts-
entscheidungen, um Daten zu
Sie den Nutzwert Ihrer Informationen. klassifizieren, aufzubewahren oder
rechtskonform zu löschen.
Umsetzung nach
DSGVO
Kontrolle Übernehmen
Dauerhaft überprüfen
04 03
Definieren Sie eine umsetzbare
Entwickeln Sie Strategien, um Ihre
Information-Governance-Strategie, die
Datenbestände dauerhaft zu
von der Führungsebene unterstützt
überprüfen und die Richtlinien zu
wird, um richtlinienkonformes Nutzer-
überwachen.
verhalten zu fördern und Risiken zu
verringern.
2
6Eine Suite – Lösung für die größten
DSGVO Probleme
Mit der Enterprise Vault Suite bekommen Sie alles, was Sie für die häufigsten Probleme mit der neuen Datenschutzverordnung
brauchen: Alle Quellen, schnelle Suche, schnelle Aufbereitung, kontinuierliche Überwachung und auditierte Löschung.
Digitale Archivierung Absicherung
von E-Mail, Dateien, unternehmenskritischer
Sharepoint & Skype Daten und Abgrenzung
inkl. E-Discovery von persönlichen Daten
(schnelles Finden) (Klassifizierung)
Rechtssicherheit nach
Analyse und
GoBD und DSGVO über
Überwachung der
alle relevanten Daten,
Datenbestände mittels
egal wo diese
Data Insight
gespeichert sind
2
7Enterprise Vault SUITE– Alles drin
In der neuen Suite sind alle Quellen für den klassischen Quellen wie Mail, Dateiserver, Sharepoint, Skype enthalten.
Hinzu kommen die automatische Klassifizierung, Journaling und Data Insight für die fortlaufende, lückenlose Überwachung der
Datenbestände.
Mehr als nur eine Archivlösung
• Komplette Suite für die Archivierung von Mail
(Mailbox und Journaling), File, Sharepoint und Skype
Daten
• Archive Discovery mittels Discovery Accelerator
enthalten
• Automatische Klassifizierung und Aufbewahrung
(Anforderung DSGVO, GoBD)
• Dauerhafte Analyse und Reports durch Data Insight
Sowohl als Neulizenzen, als auch für Bestandkunden (Erweiterung zur bestehenden Lizenz) pro Benutzer erhältlich - zu einem
unschlagbar günstigen Preis.
2
8Enterprise Vault SUITE– DSGVO
Wie kann Enterprise Vault die Erfüllung der DSGVO unterstützen?
Erfüllung DSGVO
• Vollständige Klassifizierung für Inhalt und Kontext
• Vorhandene DSGVO-Richtlinien, um Anforderungen
von PI Daten zu erfüllen
• Flexible Aufbewahrung
• Löschung und Audit
2
9Enterprise Vault SUITE– Transparenz
Die Einführung von Enterprise Vault beinhaltet nicht nur die Erfüllung gesetzlicher Vorschriften nach GoBD, sondern auch der
DSGVO. Hierbei muss der Anwender keine neue Software „erlernen“, sondern arbeitet wie bisher mit seinen Bordmitteln (Outlook,
Browser, Datei-Explorer, Sharepoint Sites etc)
Erfüllung DSGVO/GobD
• Auditierung / Löschung
• Rechtskonforme Archivierung mit Löschschutz
• Klassifizierung und Kategorisierung
• Flexible Aufbewahrung (z.B. 6 Wochen, 6 Jahre, 11
Jahre)
• Transparenter Benutzerzugriff mit
Rechtesynchronisation aus Standardapplikation
• Löschfristen und Unveränderbarkeit einhalten
3
0Fileserver gewohntes Arbeiten
Benutzer arbeiten wie gewohnt mit dem Windows Explorer und können archivierte Elemente hieraus öffnen. Archivierte Dateien
haben das identische Applikations-Icon und die ursprüngliche Größe, werden jedoch „offline“ angezeigt.
3
1SpeicherErsparnis
Enterprise Vault spart notwendigen Speicher für das Archiv durch intelligente Speicherverwaltung ein
Kompression Optimiertes Single-Instancing
Bei der Archivierung werden die Inhalte bestmöglich komprimiert, Durch die Anwendung von Single-Instancing (nur einzigartige Inhalte
um den Speicherbedarf zu minimieren. Hauptaugenmerk in Archiven werden gespeichert und Duplikate reduziert) wird der Speicherbedarf
liegt nicht auf der Performanz, sondern im Speichermanagement. neben der Kompression weiter reduziert.
Min. 50% Ersparnis im
Archiv
3
2ARCHIVIERUNG vs Backup
Im Vergleich zum „Langzeitbackup“ werden archivierte Dateien mittels Single-Instancing auf ein Minimum reduziert und indiziert.
Über die Suche kann der Benutzer jederzeit selbstständig nach Dateiinhalten suchen. Der Aufwand für Backup/Produktivspeicher
wird reduziert und Anfragen bei der IT-Administration minimiert.
3
4Präsentation Zusammenfassung
Starten Sie die ersten Schritte, um zur neuen GDPR ab Mai 2018 vorbereitet zu sein und beleuchten Sie Ihre Dateninhalte.
Information Gov. Richtlinien
Dark Data einsehen
Strategie durchsetzen
Durch die Analyse von Dark Data und ROT
Erarbeiten Sie eine Information Unternehmen sollen nachvollziehen
Daten können Sie die wertvollen Daten,
Governance Strategie. Durch Analysen können, welcher Anwender auf persönliche
solche mit hohem Risiko oder Redundanz
können Sie Aufbewahrungsvorgaben und Daten im Firmennetz zugreifen kann und
extrahieren und identifizieren.
Zugriff auf Dokumente transparent wer autorisiert ist. Mittels Data Insight
machen. können Sie das Zusammenspiel aus
sensiblen Daten, Zugriffsrechten und
Nutzern besser verstehen und steuern.
Daten Klassifizieren ARCHIVIERUNG
Bei der GDPR ist es wichtig zu wissen, wo Durch die Archivierung mit Klassifizierung
persönliche Daten gespeichert sind. Dies ist können wichtige oder Compliance-
kritisch, um solche Daten angemessen zu relevante Informationen einfacher
schützen und der Aufforderung nachzu- identifiziert und bewertet werden. Eine
kommen, persönliche Daten zu löschen. Neubewertung mittels des Klassifizierungs-
3
systems ermöglicht außerdem neue
Bestimmungen besser einzuhalten.
5DARK DATA Bringen Sie Licht in ihre „dunklen Daten“
I.TRESOR
Vielen Dank für Ihre Aufmerksamkeit
Haben Sie noch Fragen ?Sie können auch lesen
