Die Grundwerte und Schutzziele der Informationssicherheit
Wenn Sie ein Informationssicherheitsprogramm für Ihr Unternehmen entwickeln, sollten es in erster Linie die Inhalte Ihres Unternehmens schützen, Content vor unbefugter Einsicht und Nutzung bewahren und berechtigten Personen den Zugriff ermöglichen. Sie müssen dafür sorgen, dass Ihr Content nicht verloren geht, dass er nicht von Unbefugten geändert oder gelöscht werden kann. Die Schutzziele der Informationssicherheit - Vertraulichkeit, Integrität und Verfügbarkeit – können Ihnen dabei helfen, die Inhalte Ihres Unternehmens zu schützen und zu erhalten.
Diese drei Grundprinzipien stammen aus dem CIA-Dreiklang – Confidentiality (Vertraulichkeit), Integrity (Integrität), Availability (Verfügbarkeit). Um Verwechslungen mit der CIA zu vermeiden, wird er auch AIC -Dreiklang genannt. Diese Grundwerte sind die Richtschnur für den richtigen Umgang mit den Daten Ihres Unternehmens im Ruhezustand oder bei der Übertragung. Sie helfen Ihnen, das Thema Informationssicherheit in Ihrem Unternehmen umzusetzen.
Grundlegende Schutzziele
Behalten Sie die drei Grundwerte der IT-Sicherheit im Hinterkopf, wenn Sie ein Informationssicherheitsprogramm aufstellen und Plattformen zur Speicherung Ihrer Unternehmensdaten evaluieren. Jede Plattform, die Sie verwenden, sollte jeden der drei Prinzipien in irgendeiner Weise erfüllen.
1. Vertraulichkeit in der Informationssicherheit
Der Grundsatz der Vertraulichkeit stellt sicher, dass nur die Personen, die die Erlaubnis oder Befugnis haben, Content einzusehen, dies auch tun können. Sie müssen eine Art von Kontrolle einrichten, um die Vertraulichkeit zu sichern. Diese Kontrollen können Folgendes umfassen:
- Identifizierung
- Authentifizierung
- Autorisierung
- Verschlüsselung
Es gibt Inhalte oder Content, der stärker geschützt werden muss als andere. Ihr Unternehmen möchte vielleicht der Öffentlichkeit ein Marketingvideo zugänglich machen, aber den Zugriff auf Budgettabellen oder persönliche Informationen über Ihre Mitarbeiter einschränken. Aus diesem Grund ist die Klassifizierung von Inhalten ein wichtiger Bestandteil zur Gewährleistung der Vertraulichkeit Ihrer Inhalte.
Was passiert, wenn das Prinzip der Vertraulichkeit vernachlässigt wird? Eine Folge ist höchstwahrscheinlich eine Verletzung des Datenschutzes. Gibt es keine Maßnahmen oder Kontrollen zum Schutz Ihrer Inhalte, kann jemand leicht unerlaubt auf sie zugreifen. Ein Hacker könnte in Ihr System eindringen, persönlich identifizierbare Informationen herunterladen und diese Informationen an andere weitergeben. Eine Sicherheitsverletzung kann Ihrem Unternehmen in mehrfacher Hinsicht schaden, vor allem aber sind Sicherheitsverletzungen teuer. Tatsächlich belaufen sich die durchschnittlichen Kosten einer Sicherheitsverletzung auf 3,9 Millionen Dollar.
Wenn ein Krimineller Zugang zu den Inhalten Ihres Unternehmens erhält, kann das zudem der Reputation schaden. Kunden könnten Ihr Unternehmen meiden, wenn sie das Gefühl haben, dass Sie keine angemessenen Maßnahmen ergreifen, um ihre persönlichen Daten zu schützen.
Ein Mangel an Vertraulichkeit kann auch bedeuten, dass Ihr Unternehmen seinen Wettbewerbsvorteil verliert. Wenn Konkurrenzunternehmen sehen können, woran Sie arbeiten oder welche Art von Produkten Sie entwickeln, könnten sie Ihre Ideen kopieren oder ihre eigenen Produkte schneller auf den Markt bringen.
Die Box Content Cloud macht es möglich, Inhalte nach dem Grad ihrer Vertraulichkeit zu klassifizieren. Mit Box Shield können Sie Content sowohl manuell wie auch automatisch klassifizieren. Im letzteren Fall kann Box Shield benutzerdefinierte Begriffe oder personenbezogene Daten in Ihrem Content identifizieren und jeden einzelnen Inhalt auf der Grundlage der gefundenen Informationen klassifizieren. Nach der Klassifizierung kann automatisch eine Smart Access-Richtlinie angewendet werden, um die externe Freigabe, das Drucken, das Herunterladen und vieles mehr zu beschränken.
Box Shield erkennt auch Bedrohungen durch verdächtige Standorte, verdächtige Sitzungen und sogar anomale Downloads durch Mitarbeiter.
2. Integrität in der Informationssicherheit
Integrität ist das zweite Schutzziel des Dreiklangs. Inhalte müssen in allen Phasen konsistent, genau und vollständig sein, unabhängig davon, ob sie sich im Ruhezustand oder bei der Übertragung befinden. Autorisierte oder unbefugte Benutzer sollten nicht in der Lage sein, die Daten so zu verändern, dass ihre Integrität beeinträchtigt wird.
Warum ist die Integrität von Inhalten so wichtig? Jede Änderung von Daten, die ihre Konsistenz oder Genauigkeit beeinträchtigt, könnte Schaden anrichten.
In den frühen 1980er-Jahren wurde eine Charge von Tylenol, die in der Region Chicago verkauft wurde, verändert. Nachdem die Medikamentenflaschen die Fabrik verlassen hatten, versetzte jemand die Pillen mit Zyanid, einem tödlichen Gift. Anschließen kamen sie in die Regale. Zu diesem Zeitpunkt gab es keine Möglichkeit, festzustellen, ob jemand das Medikament manipuliert hatte. Die Folge: Mehrere Menschen nahmen die vergifteten Schmerzmittel ein und starben.
Dieser Vorfall führte zur Entwicklung von Protokollen, die die Unversehrtheit von Medikamenten schützen. Jetzt sind die Flaschen von Tylenol und anderen rezeptfreien Medikamenten mit manipulationssicheren Siegeln versehen, an denen leicht zu erkennen ist, ob jemand die Verpackung geöffnet hat. Das Unternehmen, das Tylenol herstellt, hat auch das Design der Tabletten selbst geändert, damit ein Dritter die Kapseln nicht öffnen und etwas hinzufügen kann.
Das ist ein Beispiel für physische Manipulationen an einem Produkt, die seine Qualität und Integrität beeinträchtigen. Auf ähnliche Wiese könnten Dritte, digitale Inhalte so manipulieren, dass ihre Integrität und Qualität geändert werden. Anstatt Zyanid physisch zu Tabletten hinzuzufügen, könnte ein Krimineller beispielsweise ein Rezept ändern, damit Zyanid oder ein anderes Gift dem Medikament bereits bei der Herstellung zugesetzt wird.
Dies mag wie ein weit hergeholtes Szenario erscheinen. Aber Kriminelle haben durchaus viele Möglichkeiten, digitale Dateien so zu manipulieren, dass sie Schaden anrichten. Beispielsweise könnte jemand die Kontonummer des Formulars für die direkte Einzahlung eines Mitarbeiters ändern, sodass der Gehaltsscheck auf ein anderes Bankkonto überwiesen wird.
Integrität ist eng mit der Vertraulichkeit verbunden. Unbefugte Benutzer können Inhalte nicht ändern, wenn sie keinen Zugriff darauf haben. Neben den Vertraulichkeitskontrollen können zusätzliche Maßnahmen zum Schutz der Integrität von Inhalten oder Daten beitragen. Anhand von Audit-Protokollen können Sie sehen, wer was mit einem Inhalt gemacht hat, und mit Back-up-Kontrollen können Sie den Zugriff auf gelöschte Inhalte wiederherstellen.
3. Verfügbarkeit in der Informationssicherheit
Das dritte Schutzziel des Dreiklangs, die Verfügbarkeit, spiegelt die Leichtigkeit wider, mit der autorisierte Benutzer auf Informationen oder Inhalte zugreifen können. Sie möchten die Vertraulichkeit der Daten Ihres Unternehmens sichern und dafür sorgen, dass die Personen, die die Inhalte nutzen müssen, dies auch tun können. Die Arbeit in der Content Cloud ermöglicht es Ihnen, die Verfügbarkeit Ihrer Daten sicherzustellen. Autorisierte Mitarbeiter können von jedem Gerät aus auf die Inhalte zugreifen, das mit dem Internet verbunden ist, vorausgesetzt, sie verfügen über die entsprechende Zugriffsstufe und Authentifizierungstools.
Einige Faktoren, die die Verfügbarkeit beeinflussen, sind:
Wo Inhalte abgerufen werden können
Die Verfügbarkeit von Inhalten kann je nach geografischem Standort des Nutzers variieren. Ein Nutzer muss vielleicht in einem bestimmten Land sein oder sich in einem Bürogebäude Ihres Unternehmens aufhalten, um auf eine bestimmte Tabelle zugreifen zu können. Außerdem könnte eine Person nur dann Zugriff zu einem Content erhalten, wenn sie ein bestimmtes Gerät benutzt.
Wie auf Inhalte zugegriffen werden kann
Wie eine Person auf Inhalte zugreift, kann durch ihre Benutzeranmeldedaten oder die von ihr bereitgestellten Informationen bestimmt werden. Sie könnten zum Beispiel einen Benutzernamen und ein Passwort verlangen und eine Zwei-Faktor-Authentifizierung aktivieren.
Wann auf Inhalte zugegriffen werden kann
Manchmal ist es notwendig, Zeitlimits für bestimmte Inhalte festzulegen. Ein Zeitarbeiter hat vielleicht nur während seiner Vertragslaufzeit Zugriff auf ein Dokument. Ein Zulieferer hat vielleicht nur Zugriff auf ein Video, während er an einem Projekt mit Ihrem Unternehmen arbeitet.
Die Wartung der Software und Hardware Ihres Unternehmens ist ein entscheidender Faktor für Verfügbarkeit. Wenn Software häufig abstürzt oder lange Ausfallzeiten hat, kann dies Auswirkungen darauf haben, wann und wie die Nutzer auf die Inhalte zugreifen. Auch der Zustand der Hardware beeinflusst die Verfügbarkeit. Wenn jemand ein Dokument ausdrucken oder einen speziellen Computer verwenden muss, um auf einen bestimmten Inhaltstyp zuzugreifen, ist der Gesamtzugriff auf den Inhalt eingeschränkt.
Mit Box können Mitarbeiter über die Web-App, mobile Geräte oder die Desktop-App Box Drive auf Content zugreifen. Da sowohl die Verfügbarkeit als auch die Sicherheit entscheidend sind, bietet Box ein SLA von 99,9 %, verfügt über SSAE 16 Typ 2-Rechenzentren und bietet Zero-Trust-Zugriff auf Content mit jedem Gerät. Mit Zero Trust können Administratoren den Gerätebesitzer, die Domänenmitgliedschaft und andere Gerätesoftware- und Sicherheitseinstellungen überprüfen.
Das Gleichgewicht des Dreiklangs
Die drei Grundwerte arbeiten zusammen, um Ihre Inhalte zu schützen, unabhängig davon, ob sie in der Cloud oder vor Ort gespeichert sind. Ihre Ziele sind:
- Inhalte schützen
- Sicherstellung der inhaltlichen Richtigkeit
- Inhalte zugänglich halten
Die Wahrung des Dreiklangs ist häufig ein Balanceakt. Es ist unwahrscheinlich, dass Ihr Unternehmen eine Verletzung der Vertraulichkeit verhindern, die Integrität Ihrer Inhalte schützen und garantieren kann, dass diese immer zu 100% verfügbar sind. Es ist wichtig, den Fokus darauf zu legen, was den Dreiklang in Balance hält, damit die Inhalte geschützt, korrekt und so zugänglich wie möglich sind.
Sich auf die augenblicklichen Risiken und deren Auswirkungen auf die einzelnen Prinzipien zu konzentrieren ist eine Möglichkeit, den Dreiklang im Gleichgewicht zu halten. Ransomware beeinträchtigt häufig die Verfügbarkeit Ihrer Inhalte. Dabei handelt es sich um eine Art von Malware, die Ihre Dateien verschlüsselt und damit unlesbar macht. Ein Hacker, dem es gelingt, Ransomware auf einem Gerät zu installieren, macht das Gerät für den Besitzer so lange unbrauchbar, wie die Malware darauf verbleibt. Zu Erkennen auf welche Art Ransomware die Verfügbarkeit Ihrer Inhalte beeinträchtigen kann, hilft Ihnen, Sicherheitspläne zu ihrer Bekämpfung zu entwickeln.
Sie können verhindern, dass ein Ransomware-Angriff den Zugriff auf Ihre Inhalte einschränkt, indem Sie ein Cloud-Back-up-Programm verwenden. Die Malware könnte den Zugriff auf ein bestimmtes Gerät blockieren, aber wenn die Inhalte auch in der Cloud gespeichert sind, können Ihre Mitarbeiter immer noch darauf zugreifen, ohne Lösegeld zu zahlen und darauf hoffen zu müssen, dass der Hacker einen Entschlüsselungsschlüssel schickt.
Auch Box Shield kann helfen. Bei der automatischen Malware-Erkennung werden die Inhalte beim Hochladen gescannt. Wenn Malware erkannt wird, wird die Datei als schädlich eingestuft. Es werden Sicherheitskontrollen eingerichtet, um das Herunterladen und die lokale Bearbeitung zu verhindern und so die Verbreitung zu stoppen. Die Benutzer können die Inhalte weiterhin online anzeigen und sogar bearbeiten, so dass die Produktivität nicht beeinträchtigt wird. Administratoren werden benachrichtigt, und Warnungen können an SIEM- und CASB-Tools weitergeleitet werden.
Manche Risiken und Bedrohungen betreffen nur ein Schutzziel, aber es gibt auch Fälle, in denen eine Bedrohung zwei betreffen kann. Vertraulichkeit und Integrität beispielsweise gehen oft Hand in Hand. Jemand könnte sich unbefugt Zugang zu Informationen verschaffen und diese Informationen verändern, um Schaden anzurichten oder um sich selbst zu bereichern. Ein Hacker könnte an die Zahlungsinformationen von Lieferanten gelangen und sie so ändern, dass er die Zahlungen erhält, die für die Lieferanten bestimmt waren.
Kontrollen der Informationssicherheit
Um die drei Schutzziele der Informationssicherheit zu schützen, kann Ihr Unternehmen Kontrollen einsetzen. In der Regel ist es am besten, mehrere Kontrollen zu implementieren, um ein Gleichgewicht zwischen den Prinzipien zu gewährleisten. Box verfügt über mehrere Sicherheitskontrollen, die sicherstellen, dass alle Daten, die Sie in die Content Cloud hochladen, korrekt, zugänglich und vertraulich bleiben.
1. Authentifizierung
Mit Hilfe von Authentifizierungskontrollen kann sichergestellt werden, dass die Personen, die auf Ihre Inhalte zugreifen, auch die Berechtigung dazu haben. Die Kontrollen können digital oder physisch sein, je nachdem, wo sich die Inhalte befinden. Sie umfassen:
Identifizierung
Zu den Identifizierungskontrollen kann das Scannen von Ausweisen gehören, bevor einer Person der Zugang zu einem Gebäudebereich, z.B. einem Aktenraum, gewährt wird. Andere Arten von physischen Identifizierungskontrollen umfassen Daumenabdruck- oder Netzhautscanner, die die Identität einer Person überprüfen können, bevor sie Zugang zu einem Gerät oder einem Ort gewähren. Identifikationskontrollen für digitale Inhalte, die in der Cloud oder vor Ort gespeichert sind, können Benutzernamen oder E-Mail-Adressen beinhalten.
Passwörter
Passwörter können eine zusätzliche Authentifizierungsebene darstellen. Ihr Unternehmen kann von seinen Mitarbeitern verlangen, sichere Passwörter zu erstellen und diese regelmäßig zu ändern, um die Wahrscheinlichkeit zu minimieren, dass ein Hacker sie errät.
Zwei-Faktor-Authentifizierung
Die Zwei-Faktor-Authentifizierung (2FA) oder Multi-Faktor-Authentifizierung erfordert neben dem Benutzernamen und dem Passwort mindestens eine weitere Verifizierung, bevor eine Person Zugang zu einem Inhalt erhält. 2FA kann verschiedene Formen annehmen. Eine beliebte Option ist, einen Code per SMS an das Mobilgerät einer Person zu senden, die diesen Code eintippen muss, bevor sie fortfahren kann. Oder die Personen müssen eine App auf ihr Mobilgerät herunterladen. Wenn sie versuchen, auf einen Inhalt zuzugreifen oder sich anzumelden, müssen sie auf eine Schaltfläche in der App tippen, um den Authentifizierungsprozess abzuschließen.
Authentifizierungskontrollen schützen die Vertraulichkeit Ihrer Inhalte. Sie können sich auch auf die Verfügbarkeit der Inhalte auswirken, da Mitarbeiter, die die Erlaubnis haben, bestimmte Arten von Inhalten zu nutzen, sicherstellen müssen, dass sie über die richtigen Kennwörter und Identifikationen verfügen, die für den Zugriff erforderlich sind.
2. Zugangskontrolle
Sie können die Vertraulichkeit Ihrer Inhalte schützen, indem Sie den Zugang zu ihnen zu beschränken. Es gibt verschiedene Arten von Kontrollen, mit denen Sie den Zugang beschränken oder gewähren können:
Klassifizierung des Inhalts
Mit der Klassifizierung Ihrer Inhalte können Sie festlegen, wer welche Inhalte anzeigen oder bearbeiten kann. Vielleicht möchten Sie einen Inhalt so einrichten, dass jeder, der den Link hat, ihn sehen oder bearbeiten kann, oder Sie möchten den Zugriff auf einen bestimmten Inhalt auf die Personen beschränken, die Sie ausdrücklich dazu einladen. Box Shield kann den Klassifizierungsprozess für Sie automatisieren, indem es nach bestimmten Begriffen oder Schlüsselwörtern in Dateien sucht.
Zeitlich begrenzte Links
Es kann vorkommen, dass Sie mit einem externen Anbieter oder einer Einzelperson zusammenarbeiten, die für eine begrenzte Zeit Zugriff auf einen bestimmten Inhalt benötigt. Eine Möglichkeit, den Zugriff zu kontrollieren, ist die Festlegung eines Ablaufdatums für die gewährten Rechte. Die Person kann den Inhalt nur bis zum Ablaufdatum der Verknüpfung anzeigen oder bearbeiten. Sie können eine neue Verknüpfung erstellen, wenn Sie den Beitrag der Person nach diesem Datum noch benötigen.
Aktualisierte Zugriffslisten
Mitarbeiter können kommen und gehen. Es ist wichtig, dafür zu sorgen, dass jemand, der nicht mehr für Ihr Unternehmen arbeitet, nicht weiterhin Zugang zu Ihren Informationen und Inhalten hat. Durch die regelmäßige Aktualisierung der Zugriffslisten wird sichergestellt, dass nur die Personen, die legitimerweise das Recht haben, Inhalte anzuzeigen oder zu bearbeiten, dies auch weiterhin tun können. Aktualisierte Zugriffslisten stellen auch sicher, dass neue Mitarbeiter die erforderlichen Berechtigungen erhalten, um ihre Arbeit schnell und effizient beginnen zu können.
3. Verschlüsselung
Durch die Verschlüsselung Ihrer Inhalte können Sie deren Vertraulichkeit und Integrität kontrollieren. Bei der Verschlüsselung wird ein Inhalt im Klartext in eine Chiffre umgewandelt. Ein Hacker, der sich Zugriff auf ein Klartextdokument wie einen Kaufvertrag, eine Kalkulationstabelle oder eine E-Mail verschafft, kann es problemlos lesen. Jemand, der sich Zugang zu einer Chiffre verschafft, kann jedoch nichts damit anfangen, es sei denn, er hat zufällig auch den Entschlüsselungscode.
Die Länge des Schlüssels bestimmt seine Stärke und Wirksamkeit. In den meisten Fällen gilt: Je länger er ist, desto effektiver ist er. Für die Sicherheit gilt ein 80-Bit-Schlüssel als Mindeststärke. Unsere Plattform verwendet einen 256-Bit-Schlüssel, was der vom National Institute of Standards and Technology des US-Handelsministeriums empfohlenen Stärke entspricht. Jemand, der versucht, einen 256-Bit-Schlüssel zu knacken, müsste dazu 2.256 Kombinationen ausprobieren, was selbst für einen hoch entwickelten Computer eine Herausforderung ist.
Die Verschlüsselung schützt Ihre Inhalte im Ruhezustand und bei der Übertragung von einem Computer zum anderen.
4. Überall und jederzeit Zugriff auf den Dateiverlauf
Sie müssen nicht nur kontrollieren, wie die Inhalte verändert werden, sondern auch wer Zugang zu ihnen hat. Die Integrität der Unternehmensinhalte kann auf vielfältige Weise kompromittiert werden. Eine Person könnte bei der Bearbeitung einer Kalkulationstabelle einen versehentlichen Fehler machen, ein Komma an der falschen Stelle setzen oder den Namen eines Kunden falsch schreiben. Oder aber ein Hacker könnte auf einen Inhalt zugreifen und ihn so stark verändern, dass er nicht mehr erkennbar ist.
Die Sichtbarkeit älterer Dateiversionen bedeutet, dass Sie, wenn ein Inhalt von einem Dritten bis zur Unkenntlichkeit verändert wurde, vergleichen können, was schiefgelaufen ist, und dann sämtliche gefährdeten Inhalte löschen können.
Sie haben unterschiedliche Möglichkeiten, vorherige Versionen Ihres Contents zu behalten:
Die Content Cloud
Box erstellt automatisch Versionen Ihrer Inhalte auf einer einzigen Cloud-Plattform, d.h. sie werden auf einem internetbasierten Server und nicht auf einem Server vor Ort gespeichert. Wenn Ihren physischen Computern etwas zustößt oder Ihre Inhalte auf andere Weise gefährdet sind, können Sie schnell auf die in der Cloud gespeicherten Versionen zurückgreifen.
Ein USB-Laufwerk
Ihre Inhalte auf einem USB-Laufwerk zu speichern ist eine weitere Möglichkeit der Datensicherung. Ein USB-Laufwerk ist klein, bietet aber viel Speicherplatz. Im Gegensatz zu Cloud-basierten Backups ist die Sicherung Ihrer Inhalte auf einem USB-Laufwerk kein automatischer Prozess. Sie müssen daran denken, dies zu tun. Da die meisten USB-Laufwerke klein sind, besteht die Gefahr, dass das Laufwerk selbst verloren geht oder gestohlen wird.
Netzwerkgebundener Speicher
Mit einem netzgebundenen Speichergerät können Sie Ihre Inhalte automatisch sichern. Im Gegensatz zu Cloud-basierten Back-ups speichert ein Netzwerkspeichergerät Ihre Inhalte auf einer physischen Festplatte. Je nach der Menge des benötigten Speicherplatzes können diese Systeme teuer werden. Zudem ist es möglich, dass die Geräte gestohlen oder verloren gehen.
Schützen Sie Ihre Inhalte mit Box
Wenn Sie den Zugriff auf Ihren Content sichern und gleichzeitig Vertraulichkeit und Integrität Ihrer Daten sicherstellen möchten, kann Box Sie dabei unterstützen. Durch Verschlüsselung, Authentifizierungstools und Inhaltsklassifizierung bietet unsere Content Cloud Plattfom End-to-End-Schutz für Ihre Inhalte. Sie umfasst granulare Benutzerkontrollen, mit denen Sie festlegen können, wer was mit Ihren Tabellen, Videos, Verträgen und anderen Inhaltstypen tun darf. Außerdem haben wir unserer Plattform so konzipiert, dass sie DSGVO, FINRA, HIPAA und GxP-konform ist.
Unsere Unternehmenspakete sind darauf ausgelegt, Sie bei der Schaffung einer sicheren Umgebung zu unterstützen und für reibungslose Arbeitsabläufe zu sorgen. Fordern Sie noch heute ein Angebot an und erfahren Sie mehr Box.
Auch wenn wir uns nach wie vor dafür einsetzen, Produkte und Dienstleistungen anzubieten, die sich durch erstklassigen Datenschutz, Sicherheit und Compliance auszeichnen, stellen die in diesem Blogpost enthaltenen Informationen keine Rechtsberatung dar. Wir empfehlen potenziellen und aktuellen Kunden dringend, ihre eigene Sorgfaltspflicht bei der Beurteilung der Einhaltung geltender Gesetze zu erfüllen.