Hat sich etwas bei der Überwachung der Cyber-Risiken geändert?
Vor vier Jahren veröffentlichte das Team der Rechtsanwaltskanzlei Hogan Lovells zum ersten Mal ihren prägenden Bericht Managing Workforce Cyber Risk in a Global Landscape: A Legal Review (in engl. Sprache), in dem die Auswirkungen der Einführung von Sicherheitsüberwachungsprogrammen am Arbeitsplatz untersucht wurden. Die Autoren sind die Rechtsanwältin Harriet Pearson, die im Wesentlichen den Bericht über den Datenschutz bei der Cyber-Sicherheit verfasste, und der Rechtsanwalt James Denvil, dessen praktische Kenntnisse der Cyber-Überwachung am Arbeitsplatz unübertroffen sind. Anm. d. R.: Die Forschungsarbeit wurde von Forcepoint in Auftrag gegeben.)
Protecting the Workforce and Information in a Global Landscape: A Legal Review
Es heißt, dass Veränderungen unvermeidlich sind, und seit der ersten Veröffentlichung des Berichts 2017 haben wir alle die tektonischen Verschiebungen im sozialen und wirtschaftlichen Bereich erlebt, die die Sicherheit auf globaler Ebene beeinflussen. Die Entwicklung der Datenschutzgesetze DSGVO und CCPA und die Weiterentwicklung von SaaS und SASE stehen ganz oben auf meiner Liste. An erster Stelle steht jedoch die Pandemie, die Unternehmen dazu zwang, ihre Geschäftspläne für Transformationsinitiativen schnell reifen zu lassen und ihren Fokus quasi über Nacht von der Sicherheit der Infrastruktur auf die Sicherheit von Mitarbeitern im Homeoffice zu verlagern. Ich ziehe meinen Hut vor den Kollegen in der IT und im Sicherheitsbereich angesichts ihrer wirklich beachtlichen Bemühungen, den geschäftlichen Entwicklungen vorauszueilen, besonders in den letzten 12 Monaten.
Auch wenn unsere Gesellschaft langsam vom Lockdown zur Arbeit zurückkehrt, ist die Frage, von wo aus wir arbeiten, noch offen. Gerade jetzt schreibe ich diesen Beitrag aus dem Homeoffice. Wer weiß, wo ich den nächsten Beitrag verfassen werde, denn es wird noch Monate dauern, bis ich mein Büro in der Unternehmenszentrale wieder aufsperren werde. Mit der Frage, mit welchen Sicherheitsmaßnahmen die ortsunabhängigen Mitarbeiter in den heutigen extrem verteilten Unternehmen geschützt werden sollen, befassen sich Harriet Pearson und James Denvil von Hogan Lovells in ihrem neuen, heute veröffentlichten Bericht Protecting the Workforce and Information in a Global Landscape: A Legal Review (in engl. Sprache).
Es ist klar, dass die Überwachung von Benutzerinteraktionen mit Daten und Systemen weiterhin ein wesentlicher Bestandteil von Programmen zum Umgang mit Cyber-Risiken ist. Die Forschungsergebnisse aus 15 Ländern liefern eine Vorlage für Sicherheitsexperten, Unternehmensleiter und Vorstände, die sie bei der Planung des Risikomanagements für die nächsten kritischen Monate dieses Jahres und bis ins Jahr 2022 unterstützt.
Lassen Sie mich einige Aspekte hervorheben:
- Die Profile für das Cyber-Risiko haben sich deutlich verändert, insbesondere angesichts der Zunahme agiler Arbeitsformen, die u. a. durch die COVID-19-Pandemie vorangetrieben werden.
- Es ist wahrscheinlich, dass jede Organisation von Änderungen im relevanten rechtlichen und regulatorischen Umfeld betroffen ist. Seit 2017 haben wir das Inkrafttreten der DSGVO und wichtige Änderungen von Gesetzen oder offiziellen Richtlinien vor allem in Südamerika und Westeuropa erlebt.
- Effektive Programme zum Cyber-Risikomanagement sollten angesichts der sich verändernden Risikolandschaft Funktionen umfassen, wie Lösungen zur Überwachung von Benutzeraktivitäten, die konzipiert wurden, um Cyber-Vorfälle zu erkennen, zu verhindern und zu untersuchen.
- Unternehmen müssen erkennen, dass eine Aktivität, die für einen Mitarbeiter ein normales Verhalten darstellt, für einen anderen eine anomale Aktivität sein kann. Folglich müssen Unternehmen den Zeitpunkt für jeden einzelnen Benutzer erkennen und in den richtigen Kontext einordnen, in dem eine Aktivität von der normalen Routine abweicht.
- Zusätzlich zu einem allgemeinen Datenschutzprogramm können Unternehmen das Datenschutzrisiko mindern, indem sie sicherstellen, dass das Sicherheitsteam verdächtige Aktivitäten kennzeichnen kann, ohne Mitarbeiter und Benutzer direkt zu identifizieren.
Die Diskussion über die Auswirkungen von Datenschutz und Compliance für die Benutzerüberwachung hätte zu keinem besseren Zeitpunkt kommen können. Die Programme zum Risikomanagement der Unternehmen müssen sich in dem Maße weiterentwickeln, wie sich die IT- und Sicherheitsdienste verändern mussten, um die Belegschaft, die im großen Umfang und dauerhaft im Homeoffice arbeitet, zu unterstützen.
Ich werde diese Diskussion mit Harriet Pearson und James Denvil im neuen Webcast „Global Privacy, Data Security, and User Protection: What’s New?" (in engl. Sprache) fortsetzen. Wir diskutieren die Auswirkungen in der Praxis und geben Einblicke in die Konsequenzen für globale Unternehmen und zukünftige Sicherheitsansätze, basierend auf den Erkenntnissen des neuen Berichts. Besuchen Sie uns bei der Diskussion über diese wichtigen, miteinander verknüpften Fragen zu Compliance, Datenschutz und Sicherheit. Sie können sich auch schon einmal den Bericht herunterladen.
