Daten, Informationssicherheit und Cyber ​​Space: Milliarden von Daten oder Dollars schützen?

(Di Carlo Mauceli)
30/07/19

Die meisten Wissenschaftler und politischen Entscheidungsträger argumentieren, dass der Cyberspace die Gesetzlosigkeit fördert, während eine Minderheit der Wissenschaftler anderer Meinung ist. Komplizierte Behauptungen über das Gleichgewicht zwischen Verteidigung und Angriff im Cyberspace sind irreführend, da ein angemessenes Gleichgewicht nur im Hinblick auf spezifische organisatorische Fähigkeiten und Technologien beurteilt werden kann.

Allzu oft sprechen wir über Ausgewogenheit unter Berücksichtigung der Kosten: Wir neigen dazu, die Ausgewogenheit zu bewerten, die der eine oder andere Fall erzeugen kann (wobei „Ausgewogenheit“ den Wert abzüglich der Kosten für Angriffsoperationen und den Wert abzüglich der Kosten für Verteidigungsoperationen bedeutet). . Die Kosten für den Betrieb der Informationstechnologie werden größtenteils auf der Grundlage der organisatorischen Fähigkeiten berechnet, die für die effiziente Erstellung und Verwaltung komplexer Informationstechnologie erforderlich sind.

Wenn wir uns das aktuelle Szenario ansehen, beruht der Erfolg eines Offensivspiels hauptsächlich auf dem defensiven Missmanagement und den relativ einfacheren Zielen, die ein Offensivspiel verfolgt. Tatsächlich spricht man von einer „Asymmetrie“ des Cyber-Phänomens, gerade wegen des außergewöhnlichen Unterschieds zwischen denen, die angreifen, und denen, die sich verteidigen. Natürlich ist das nicht immer der Fall.

Eine empirische Analyse zeigt beispielhaft, dass Cyberangriffe darauf basieren Stuxnet Iranische Nuklearanlagen haben den Angreifer höchstwahrscheinlich viel mehr gekostet als die Verteidigung. Allerdings waren die vom Angreifer wahrgenommenen Vorteile und umgekehrt die vom Verteidiger wahrgenommenen Schäden wahrscheinlich um zwei Größenordnungen größer als die tatsächlich entstandenen Kosten, sodass es unwahrscheinlich ist, dass sich die Entscheidungsträger auf die Kosten konzentrierten.

In diesem Artikel möchte ich mich jedoch nicht auf die Kosten konzentrieren, die ich als Einführungshut verwendet habe, sondern lediglich versuchen, das Thema „attraktiver“ und vielleicht für jedermann zugänglicher zu machen.

Worauf ich mich konzentrieren möchte, ist der Versuch, nach verschiedenen Schemata zu denken, in denen Cyberverteidigung intelligent eingesetzt werden kann, um den wertvollsten Objekten einer Organisation nach den Menschen den richtigen Wert zuzuordnen: Daten und Informationen.

In den letzten Jahren haben sich Cyber-Abwehrtechnologien rasant weiterentwickelt, um Unternehmen dabei zu helfen, ihre Netzwerke zu sichern, den Zugriff einzuschränken und Datenverluste zu verhindern. Und der Markt hat unter diesem Gesichtspunkt eine wichtige Eskalation erlebt.

Was wäre, wenn wir jetzt versuchen würden, anders zu denken? Was wäre, wenn wir anfangen würden, alle Prinzipien unserer defensiven Datensicherheitsstrategien zu nutzen, um einen proaktiveren Ansatz zu verfolgen? Was würde im Grunde passieren, wenn wir uns in die Perspektive versetzen würden, wie Hacker denken, nicht nur, um ihnen entgegenzuwirken, sondern auch, um „den zu schützenden Vermögenswerten“ den richtigen Wert beizumessen?

Damit meine ich, dass Daten und Informationen einen Wert haben, der, wenn er durch Informations- und Wissensmanagement-Tools und -Richtlinien deutlich gemacht wird, Technikern helfen kann, „Vermögenswerte“ unterschiedlichen Werts differenziert zu verteidigen, und CIOs und CISOs dabei helfen kann, das Notwendige einzufordern Ressourcen im Verhältnis zum „Wert“, der geschützt werden soll.

Einige Datensicherheitstools und -technologien können tatsächlich einen besseren Einblick in die alltäglichen Aktivitäten ermöglichen und uns dabei helfen, den wahren Wert der von uns geschützten Daten zu erkennen. Tatsächlich kann die Übernahme eines solchen Ansatzes Unternehmen letztendlich zu einem größeren Bewusstsein für die Daten führen, die sie in ihren Händen haben, und, warum nicht, auch zu mehr Effizienz, neuen Ideen und Wachstum.

Maschinelles Lernen und künstliche Intelligenz

Unternehmen setzen bereits seit einiger Zeit Lösungen für maschinelles Lernen und künstliche Intelligenz (KI) in der Datenanalyse und Datenverwaltung ein. Warum wenden wir diese Technologien nicht in unserem Datensicherheitsansatz an, um einen ähnlichen Geschäftswert zu erzielen?

Viele defensiv eingesetzte Datenschutztools helfen dabei, Informationen in Netzwerksystemen zu identifizieren und zu kategorisieren, um die unterschiedlichen Sensibilitätsgrade dieser Daten besser zu verstehen. Maschinelles Lernen und Metadaten, die während dieses Prozesses angewendet werden, tragen dazu bei, dieses Verständnis auf die nächste Ebene zu heben, indem sie einen Kontext rund um die Daten schaffen, der es Unternehmen ermöglicht, individuellere Sicherheitsrichtlinien für das Informationsmanagement festzulegen.

Diese Informationsmanagementpraktiken fallen typischerweise immer noch in den Bereich der Cyberabwehr – Sie reagieren, um Ihre Daten vor Cyberkriminalität zu schützen. Allerdings ermöglichen Datenschutztechnologien, die Metadaten verwenden, die Kennzeichnung von Daten mit verschiedenen Details und die Zuweisung von Kategorien, um ihren wahren Wert zu extrahieren. Die Kenntnis des tieferen Kontexts rund um die Daten ermöglicht den Einsatz differenzierter Datenschutzstrategien und -tools, sodass das Unternehmen viel weiter gehen kann als üblich.

Da Datenschutztechnologien den größeren Kontext von Daten offenbaren, bietet dieser Kontext Datensicherheitsexperten eine neue Möglichkeit, mit den Führungskräften der Organisation zu sprechen. Zusammenfassend können sie zeigen, wie wertvoll ein bestimmtes Datenelement ist, und feststellen, welche Daten wirklich kritisch sind (und strenger geschützt werden sollten) und welche Daten für den öffentlichen Gebrauch geeignet sind (und keinen verstärkten Schutz benötigen).

Messung, Monetarisierung und Datenmanagement

Wie viele sprechen von Daten als „dem neuen Öl“?! Schließlich ist diese Aussage zum Slogan geworden. Aber wie können wir den Wert dieser neuen Ware wirklich quantifizieren? Wenn wir unsere Daten mithilfe von Metadaten klassifizieren und beginnen können, den Kontext um sie herum zu verstehen, wird sich ein Wert ergeben.
Wenn wir ein Dokument erstellen, könnten wir damit beginnen, uns verschiedene Fragen zu stellen:

  • Handelt es sich um ein vertrauliches Dokument oder ist es frei zugänglich?
  • Wurde es von jemandem in der Forschung und Entwicklung markiert?
  • Handelt es sich um ein vertrauliches Dokument, das von jemandem aus der Finanzabteilung markiert wurde?
  • Handelt es sich um Finanzinformationen mit Vermögenscharakter oder handelt es sich lediglich um eine Kapitalflussrechnung?
  • Wie lange sollte es aufbewahrt werden?

Usw...

Angenommen, Sie können in Ihrem System 10.000 Dokumente identifizieren, die F&E-Daten enthalten. Wenn Sie den Kontext dieser Dokumente kennen, können Sie beginnen zu verstehen, wie viel jedes dieser Dokumente wert ist oder welches finanzielle Risiko für das Unternehmen im Falle eines Verlusts oder Diebstahls besteht.

Einige Dateien und Dokumente enthalten persönliche Informationen oder persönliche Gesundheitsinformationen (PHI). Die mit dieser Art von Daten verbundenen finanziellen Risiken hängen eher mit Bußgeldern bei Nichteinhaltung, möglicher finanzieller Haftung für Kunden und Mitarbeiter sowie Kosten für die Bewältigung inhärenter Markenreputationsschäden zusammen. Andere Dokumente enthalten Daten, die Unternehmensinnovationen und -wachstum anregen könnten, und das finanzielle Risiko kann anhand potenzieller Verdienstmöglichkeiten berechnet werden.

Durch Metadaten-Tags in anderen Arten von Dateien, E-Mails und Dokumenten können Sie mehr über Kunden oder Verkaufszyklen erfahren. Wenn ein Unternehmen beispielsweise ein gutes Quartal hat, können Sie im Rückblick herausfinden, wie oft das Wort „Zitat“ oder „RFP“ in E-Mails und Dokumenten in den letzten drei Monaten vorkam, und mit der Vorhersage der Ergebnisse des folgenden Quartals beginnen.

Laut Gartner-Studien werden bis 2022 in 90 % der Geschäftsstrategien Informationen ausdrücklich als kritischer Unternehmenswert erwähnt. Derzeit sagt Gartner jedoch: „…den meisten Informations- und Wirtschaftsführern fehlen die Informationen und Werkzeuge, um Informationen zu monetarisieren … weil der Wert der Informationen selbst immer noch weitgehend unerkannt bleibt, obwohl der Wert anderer immaterieller Vermögenswerte wie Urheberrechte, Marken und Patente gemessen und gemeldet wird.“

Die Monetarisierung von Informationen ist Teil des größeren TrendsInfonomik, ein von Gartner geprägter Begriff, der die Disziplin beschreibt, Informationen ungeachtet der Einschränkungen aktueller Rechnungslegungsstandards wirtschaftliche Bedeutung zuzuordnen. Laut Gartner identifiziert auch Infonomics „die materiellen und immateriellen Kosten für die Verwaltung, Speicherung, Analyse und den Schutz von Daten“.

Unternehmen, die den Wert ihrer Daten messen, können intelligentere Investitionen in datenbezogene Initiativen tätigen. Durch die Monetarisierung von Daten können Unternehmen zusätzliche Einnahmequellen schaffen, einen neuen Geschäftszweig einführen, die Effizienz ihrer täglichen Geschäftsabläufe steigern und vieles mehr.

Eine Datenschutzstrategie, die proaktiv Wert aus geschützten Daten schöpft, versetzt die IT in eine neue beratende Position gegenüber der Geschäftsleitung. Die Parameter ändern sich drastisch: Anstatt nur zu sagen: „Wir haben viele sensible Daten und müssen sie schützen„Sie können zu Unternehmensführern gehen und sagen: „Hey! Wir verfügen über Daten im Wert von etwa einer Milliarde Dollar, und wir sollten sie ordnungsgemäß verwalten, bewerten und schützen, da dies wahrscheinlich nicht der Fall ist.."

Wir können es nicht alleine schaffen

Die Gewinnung von Werten ist nicht etwas, was Menschen allein mit einem hohen Maß an Genauigkeit leisten können, und wenn es um Datensicherheit geht, ist Genauigkeit von größter Bedeutung, egal ob Sie einen defensiven oder einen offensiven Ansatz verfolgen. Wenn Sie Ihre Daten mit einer Tiefenschicht versehen möchten, um sie richtig zu sichern oder ihren Wert zu bestimmen, müssen Sie präzise sein.

Da Algorithmen für maschinelles Lernen trainiert und erneut trainiert werden, um benutzerdefinierte Datenkategorien zu erkennen, nehmen die Genauigkeit und Tiefe des Kontexts rund um die Informationen exponentiell zu. Mit der Zeit werden sich Benutzer daran gewöhnen, Daten mit immer spezifischeren Details zu kennzeichnen, um ihren Kontext zu erklären; was dazu führen wird, dass sein Wert dramatisch steigt. Es ist das perfekte Beispiel dafür, wie Menschen und Technologien intelligent zusammenarbeiten.

Das Verhalten im Informationsmanagement kann nicht nur unternehmensspezifischer werden, Daten auf angemessenem Niveau schützen und Sicherheits-Compliance-Anforderungen erfüllen, sondern Sie können auch beginnen, Daten bzw. Informationen und Wissen als echten Unternehmenswert zu verstehen und die Möglichkeit zu nutzen Unternehmen auf ein höheres Maß an Effizienz und Erfolg zu bringen.

Foto: Web