Schutz der globalen Lieferkette mit grenzenlosen Daten

Angriffe auf die Cybersicherheit in der Lieferkette sind nicht neu, aber sie sind noch lange nicht unter Kontrolle.

Eine aktuelle Studie von Resilience 360 ​​ergab, dass im Jahr 2019 fast 300 Cybersicherheitsvorfälle mit Auswirkungen auf Supply-Chain-Entitäten zu verzeichnen waren. Da durchschnittliche Unternehmen Daten mit mehr als 500 Dritten teilen, ist es kein Wunder, dass das Ponemon Institute berichtet, dass etwa 61 % der US-Unternehmen haben in ihren Lieferketten eine Datenschutzverletzung erlebt.

Während geopolitische Spannungen einen großen Teil dieser Angriffe auslösten, ist 2020 einem perfekten Sturm der Gelegenheiten gewichen, da COVID-19 einen großen Teil der weltweiten Belegschaft gezwungen hat, auf Remote-Arbeit umzusteigen. Organisationen, von Regierungen bis hin zu Unternehmen, müssen die Verantwortung für den Schutz der von ihnen verarbeiteten und weitergegebenen Daten übernehmen. Da die Zusammenarbeit so entscheidend für die Aufrechterhaltung von Innovation und Produktivität ist, muss dies geschehen, ohne den Ideen- und Informationsfluss zu behindern oder Systeme und Prozesse unbrauchbar zu machen.

Als COVID-19 die USA im ersten Quartal dieses Jahres mit Gewalt traf, reagierten Unternehmen, indem sie ihre Mitarbeiter fast über Nacht zur Remote-Arbeit verlagerten. Im Juni 2020 wickelten unglaubliche 42 % der amerikanischen Arbeitnehmer ihre Geschäfte von zu Hause aus ab und wechselten in ihre Büros. Mit einer hochmobilen Belegschaft und immer komplexer werdenden und global verteilten Lieferanten-Ökosystemen nimmt die Bedrohung für geistiges Eigentum und klassifizierte oder sensible Informationen zu.

Projektteams verwenden täglich mobile und Cloud-Plattformen, um Daten auszutauschen und zu speichern, wodurch sie möglicherweise dem Zugriff durch nicht autorisierte Benutzer ausgesetzt sind. Es wird auch physisch außerhalb des Unternehmens auf Smartphones, Wechselfestplatten und USB-Speichergeräten transportiert, die anfällig für Diebstahl und Verlust sind. Dabei überschreiten Daten ständig die Grenzen von Unternehmen und Nationen. Es gibt keinen klaren Umkreis mehr, den es zu verteidigen gilt.

Obwohl vorsätzliche Hacks mittlerweile an der Tagesordnung sind, bleibt eine der größten Bedrohungen für die Sicherheit der Diebstahl, Verlust und Missbrauch von Daten unterwegs. Eine Studie von Apricorn aus dem Jahr 2018 ergab, dass 29 % der befragten Unternehmen als direkte Folge des mobilen Arbeitens eine Datenpanne erlitten hatten. Dieselbe Studie aus dem Jahr 2020 zeigt, dass mehr als die Hälfte der Befragten immer noch der Meinung ist, dass Remote-Mitarbeiter ihr Unternehmen dem Risiko einer Datenschutzverletzung aussetzen.

Darüber hinaus zeigen jüngste Untersuchungen von Digital Guardian, dass das Datenvolumen, das Mitarbeiter seit dem Ausbruch von COVID-19 auf USB-Medien heruntergeladen haben, um 123 % gestiegen ist, was darauf hindeutet, dass Teams Wechselspeicher verwenden, um große Datenmengen mit nach Hause zu nehmen. Sofern diese Geräte nicht verschlüsselt sind, ist es nur eine Frage der Zeit, bis wir einen Anstieg der Datenschutzverletzungen im Zusammenhang mit der Schwachstelle von Remote-Mitarbeitern feststellen.

Ein datenzentrierter, richtlinienbasierter Sicherheitsansatz schützt die Informationen selbst innerhalb und außerhalb der zentralen Systeme eines Unternehmens sowohl unterwegs als auch im Ruhezustand und ermöglicht gleichzeitig eine sichere Kommunikation. Die Antwort liegt in einem vielschichtigen Ansatz, der Mensch, Prozess und Technologie kombiniert.

Beginnen Sie von innen. Bei der Sicherheit geht es nicht nur um Technologielösungen. Sicherheitsbewusstseinsschulungen und -Engagement-Programme müssen auf die Teams von Partnern und Auftragnehmern ausgedehnt werden. Ihr Ziel hier ist es, alle Mitarbeiter für den Wert und die Risiken im Zusammenhang mit Daten zu sensibilisieren und ihre Rolle beim Schutz dieser Daten zu definieren und zu stärken.

Setzen Sie außerdem Best Practices für die Datensicherheit ein und verwalten Sie deren Durchsetzung. Sie können Ihrem Unternehmen einen Vorteil verschaffen, indem Sie Verfahren und Richtlinien für die Interaktion mit und den Schutz von Daten erstellen. Indem Sie Best Practices für Ihr Team und Ihre Lieferkette skizzieren und durchsetzen, tragen Sie zum Aufbau einer Kultur der Verantwortlichkeit bei.

Betrachten Sie Daten in Bezug auf einen Lebenszyklus. Nachdem Unternehmen Best Practices für die Arbeit mit und die Sicherung von Daten entwickelt haben, sollten sie eine umfassende Prüfung durchführen, die Folgendes umfasst:

• Welche Art von Daten werden gespeichert und zu welchem ​​Zweck;
• Wer hat Zugriff auf diese Daten?
• Wohin fließen die Daten und
• Wie es derzeit gesteuert wird.

Dadurch wird es einfacher, Bereiche mit Nichteinhaltung zu erkennen, festzustellen, wo Daten möglicherweise ungeschützt sind, und Technologien, Richtlinien und Prozesse zu identifizieren, die das Risiko minimieren können.

Erzwingen Sie die Sicherheit. Legen Sie eine Strategie fest, die die Dokumentation und Durchsetzung von Richtlinien umfasst, die steuern, wie sensible Daten verarbeitet und verwendet werden, und die auf alle Endpunkte, einschließlich Partner und Auftragnehmer, ausgeweitet werden. Die Verschlüsselung muss ein Schlüsselelement der Strategie sein. Wenn ein Wechseldatenträger in die falschen Hände gerät, werden verschlüsselte Informationen für jeden unverständlich, der versucht, darauf zuzugreifen.

Insbesondere in der „neuen Normalität“ der Fernarbeit ist es zwingend erforderlich, dass IT-Abteilungen ein verschlüsseltes mobiles Speichergerät nach Unternehmensstandard recherchieren, identifizieren und vorschreiben und seine Verwendung durch Whitelisting-Richtlinien durchsetzen. Das Gerät sollte vorkonfigurierbar sein, um die Sicherheitsanforderungen zu erfüllen , wie beispielsweise die Passwortstärke.

Und da wir über die Lieferkette sprechen, sollten Anforderungen in Verträge mit Drittanbietern festgehalten werden – beispielsweise darin, welche Tools und Technologien verwendet werden müssen und wann sie aktualisiert werden sollten. Unternehmen könnten einen noch proaktiveren Ansatz verfolgen und diese Anforderungen in den Ausschreibungsprozess (RFP) aufnehmen, sodass Erwartungen festgelegt werden, bevor ein Dritter ausgewählt wird.

Messen, überwachen und berichten. Für IT- und Sicherheitsteams ist der Spruch „Man kann nicht verwalten, was man nicht messen kann“ besonders treffend. Die laufende Überprüfung der Compliance, sowohl innerhalb der Organisation als auch in der gesamten Lieferkette, bietet eine schnelle Sichtbarkeit von Richtlinienverstößen, sodass diese durch Schulungen oder Disziplinarverfahren angegangen werden können. Die Überwachung bietet auch einen detaillierten Audit-Trail, der es der Organisation ermöglicht, ihre Compliance-Position nachzuweisen, sowie eine genaue Aufzeichnung jedes nicht konformen Benutzerverhaltens.

Eine Kombination aus technischen und organisatorischen Maßnahmen kann dazu beitragen, die Risikoexposition in der Lieferkette zu reduzieren und gleichzeitig den sicheren Austausch und die Mobilität von Informationen zu ermöglichen, während wir weiterhin von zu Hause aus arbeiten. Unternehmen, die ihre Daten angemessen kontrollieren, können die Vertraulichkeit, die nationale Sicherheit und ihren eigenen Ruf schützen, ohne ihre Effizienz, Agilität oder ihren Wettbewerbsvorteil zu beeinträchtigen.

Die ständig wachsende Lieferkette in Verbindung mit dramatischen Veränderungen in der Art und Weise, wie und wo wir arbeiten, bedeutet, dass Unternehmen sich ständig auf die Sicherheit von Drittanbietern konzentrieren müssen. Durch die Erstellung eines strategischen Datensicherheitsplans, der Audits und Maßnahmen auf dem Weg mit Schwerpunkt auf Sensibilisierung und Schulung der Mitarbeiter erstellt, können wir unsere Lieferketten trotz der Beseitigung physischer Grenzen sichern.

Jon Fielding ist Geschäftsführer bei Apricorn , ein Hersteller von hardwareverschlüsselten USB-Datenspeichergeräten.