Daten, Informationssicherheit und Cyber ​​Space: Milliarden von Daten oder Dollars schützen?

(Di Carlo Mauceli)
30 / 07 / 19

Die meisten Wissenschaftler und politischen Entscheidungsträger sagen, dass der Cyberspace die Gesetzlosigkeit begünstigt, während eine Minderheit der Wissenschaftler anderer Meinung ist. Eingehende Aussagen zum Gleichgewicht zwischen einer Straftat in der Verteidigung und einer Straftat im Cyberspace sind irreführend, da ein korrektes Gleichgewicht nur im Hinblick auf bestimmte organisatorische Fähigkeiten und Technologien beurteilt werden kann.

Zu oft sprechen wir über das Gleichgewicht unter Berücksichtigung der Kosten: Wir neigen dazu, das Gleichgewicht zu bewerten, das der eine oder andere Fall erzeugen kann (wobei "Gleichgewicht" den Wert abzüglich der Kosten für offensive Operationen und den Wert abzüglich der Kosten bedeutet Kosten für defensive Operationen). Die Kosten für den IT-Betrieb werden größtenteils auf der Grundlage der organisatorischen Fähigkeiten berechnet, die zum effizienten Erstellen und Verwalten komplexer Informationstechnologien erforderlich sind.

Wenn wir uns das aktuelle Szenario ansehen, ergibt sich der Erfolg einer offensiven Aktivität hauptsächlich aus dem schlechten Verteidigungsmanagement und den relativ einfacheren Zielen einer offensiven Aktivität. Tatsächlich sprechen wir über die "Asymmetrie" des Cyber-Phänomens aufgrund des außergewöhnlichen Unterschieds, der zwischen dem Angreifer und dem Verteidiger besteht. Offensichtlich ist dies nicht immer der Fall.

Eine empirische Analyse zeigt zum Beispiel, dass Cyber-Angriffe auf Stuxnet Die iranischen Nuklearstrukturen kosten den Angreifer höchstwahrscheinlich viel mehr als die Verteidigung. Der vom Angreifer wahrgenommene Nutzen und andererseits der vom Verteidiger wahrgenommene Schaden lagen jedoch wahrscheinlich um zwei Größenordnungen über den tatsächlich angefallenen Kosten, so dass es unwahrscheinlich ist, dass sich die Entscheidungsträger auf die Kosten konzentrieren.

In diesem Artikel möchte ich mich jedoch nicht auf die Kosten konzentrieren, die ich als Einstiegshut verwendet habe, sondern nur versuchen, das Thema "attraktiver" und möglicherweise für alle erschwinglicher zu machen.

Worauf ich mich konzentrieren möchte, ist die Tatsache, dass ich versuche, nach verschiedenen Grundsätzen zu argumentieren, in denen Cyber-Verteidigung intelligent eingesetzt werden kann, um den wertvollsten Objekten jeder Organisation nach den Personen den richtigen Wert zuzuweisen: Daten und Informationen.

In den letzten Jahren haben sich Cyber-Verteidigungstechnologien rasant weiterentwickelt, um Unternehmen dabei zu helfen, ihre Netzwerke zu schützen, den Zugriff einzuschränken und Datenverlusten vorzubeugen. Und der Markt hat in dieser Hinsicht eine bedeutende Eskalation erlebt.

Was wäre, wenn wir jetzt versuchen würden, anders zu denken? Wenn wir damit beginnen, alle Prinzipien unserer defensiven Datensicherheitsstrategien zu nutzen, um einen proaktiveren Ansatz zu verfolgen? Was würde im Wesentlichen passieren, wenn wir uns in die Perspektive versetzen, zu überlegen, wie Hacker denken, um nicht nur gegen sie vorzugehen, sondern auch "den zu schützenden Gütern" den richtigen Wert zu verleihen?

Was ich meine ist, dass Daten und Informationen einen Wert haben, der, wenn er durch Tools und Richtlinien für das Informations- und Wissensmanagement sichtbar gemacht wird, Technikern helfen kann, "Waren" von unterschiedlichem Wert unterschiedlich zu verteidigen, und CIOs und CISOs dabei helfen kann Bitten Sie um die erforderlichen Ressourcen im Verhältnis zum zu schützenden "Wert".

Einige Tools und Technologien für die Datensicherheit bieten einen besseren Einblick in die täglichen Aktivitäten und helfen uns, den wahren Wert aller von uns geschützten Daten zu ermitteln. Ein derartiger Ansatz kann letztendlich dazu führen, dass Unternehmen sich der Daten bewusst werden, die sie in ihren Händen haben, und warum nicht auch zu mehr Effizienz, neuen Ideen und Wachstum.

Maschinelles Lernen und künstliche Intelligenz

Unternehmen setzen seit einiger Zeit auf Lösungen für maschinelles Lernen und künstliche Intelligenz (KI) in der Datenanalyse und im Datenmanagement. Warum wenden wir diese Technologien nicht in unserem Ansatz zur Datensicherheit an, um einen ähnlichen Geschäftswert zu erzielen?

Viele defensiv eingesetzte Datenschutz-Tools ermöglichen die Identifizierung und Katalogisierung von Informationen in Netzwerksystemen, um die unterschiedlichen Vertraulichkeitsstufen solcher Daten besser zu verstehen. Durch maschinelles Lernen und die während dieses Vorgangs angewendeten Metadaten können Sie dieses Verständnis vertiefen, indem Sie einen Kontext für Daten erstellen, in dem Unternehmen individuellere Sicherheitsrichtlinien für das Informationsmanagement festlegen können.

Diese Informationsmanagementpraktiken befinden sich im Allgemeinen immer noch im Bereich der Cyber-Abwehr - sie reagieren, um Daten vor Cyber-Kriminalität zu schützen. Datenschutztechnologien, die Metadaten verwenden, ermöglichen es Ihnen jedoch, Daten mit verschiedenen Details zu versehen und Kategorien zuzuweisen, um den tatsächlichen Wert zu ermitteln. Wenn Sie den tieferen Kontext von Daten kennen, können Sie differenzierte Datenschutzstrategien und -tools verwenden, um dem Unternehmen zu ermöglichen, viel weiter als üblich voranzukommen.

Da Datenschutztechnologien den breiteren Kontext der Daten offenbaren, bietet dieser Kontext Datensicherheitsexperten eine neue Möglichkeit, mit den Führungskräften der Organisation zu sprechen. Zusammenfassend können sie zeigen, wie wertvoll bestimmte Daten sind, und darüber hinaus bestimmen, welche Daten wirklich kritisch sind (und einen strengeren Schutz haben sollten) und welche Daten für den öffentlichen Gebrauch geeignet sind (und keinen erweiterten Schutz erfordern).

Messung, Monetarisierung und Datenverwaltung

Wie viele reden über Daten wie "neues Öl"?! Immerhin ist diese Aussage zu einem Schlagwort geworden. Aber wie können wir den Wert dieser neuen Ware wirklich quantifizieren? Wenn wir unsere Daten anhand von Metadaten klassifizieren und beginnen, den Kontext zu verstehen, entsteht der Wert.
Wenn wir ein Dokument erstellen, können wir uns zunächst verschiedene Fragen stellen:

  • Handelt es sich um ein vertrauliches Dokument oder ist es frei zugänglich?
  • Wurde er von jemandem in der Forschung und Entwicklung markiert?
  • Handelt es sich um ein vertrauliches Dokument, das von einem Finanzmitarbeiter mit einem Tag versehen wurde?
  • Handelt es sich um Finanzinformationen mit Patrimonialcharakter oder handelt es sich lediglich um eine Kapitalflussrechnung?
  • Wie lange soll es aufbewahrt werden?

Und so weiter ...

Angenommen, wir können in unserem System 10.000-Dokumente identifizieren, die F & E-Daten enthalten. Wenn Sie den Kontext dieser Dokumente kennen, können Sie anfangen zu verstehen, wie viel diese Dokumente wert sind oder welches finanzielle Risiko für das Unternehmen bei Verlust oder Diebstahl besteht.

Einige Dateien und Dokumente enthalten persönliche Informationen oder persönliche Gesundheitsinformationen (PHI). Die finanziellen Risiken, die mit dieser Art von Daten verbunden sind, hängen mehr mit den Geldstrafen für Verstöße, der möglichen Geldhaftung für Kunden und Mitarbeiter und den Kosten für die Überwindung des dem Ruf der Marke inhärenten Schadens zusammen. Andere Dokumente enthalten Daten, die das Innovations- und Geschäftswachstum stimulieren könnten, und das finanzielle Risiko kann auf der Grundlage potenzieller Ertragschancen berechnet werden.

Über Metadaten-Tags für andere Dateitypen, E-Mails und Dokumente erhalten Sie weitere Informationen zu Kunden oder Verkaufszyklen. Wenn zum Beispiel ein Unternehmen ein gutes Quartal hat, können Sie rückwärts nachsehen, wie oft das Wort "Zitat" oder "RFP" in den letzten drei Monaten in E-Mails und Dokumenten vorgekommen ist, und die Ergebnisse des vorhersagen nächstes Quartal.

Laut der Gartner-Studie werden im Rahmen von 2022 in den 90-Prozenten der Unternehmensstrategien Informationen explizit als wichtige Unternehmensressourcen erwähnt. Derzeit sagt Gartner jedoch, "... den meisten Informations- und Geschäftsführern fehlen die Informationen und Werkzeuge, um Informationen zu monetarisieren, ... weil der Wert der Informationen selbst noch weitgehend unerkannt ist, selbst wenn der Wert anderer immaterieller Vermögenswerte, wie z Urheberrecht, Marken und Patente werden gemessen und gemeldet. "

Die Monetarisierung von Informationen ist Teil des breiteren Trends in RichtungInfonomics, ein Begriff, der von Gartner geprägt wurde, um die Disziplin der Zuordnung von wirtschaftlicher Bedeutung zu Informationen trotz der Grenzen der aktuellen Rechnungslegungsstandards zu beschreiben. Laut Gartner identifiziert sich auch Infonomics "die materiellen und immateriellen Kosten für die Verwaltung, Speicherung, Analyse und den Schutz von Daten".

Unternehmen, die den Wert ihrer Daten messen, können intelligenter in datenbezogene Initiativen investieren. Durch die Monetarisierung von Daten können Unternehmen zusätzliche Einnahmequellen schaffen, einen neuen Geschäftszweig einführen, die täglichen Geschäftspraktiken effizienter gestalten und vieles mehr.

Eine Datenschutzstrategie, die proaktiv Wert aus geschützten Daten zieht, versetzt die IT in eine neue Beratungsposition mit der Geschäftsführung. Die Parameter ändern sich drastisch: anstatt einfach zu sagen: "Wir haben viele vertrauliche Daten und müssen sie schützen"Sie können zu Unternehmensleitern gehen und sagen,"Hey! Wir haben ungefähr eine Milliarde Dollar an Daten und wir sollten sie angemessen verwalten, verbessern und schützen, da wir dies wahrscheinlich nicht tun."

Wir können es nicht alleine schaffen

Das Extrahieren von Werten ist nichts, was Menschen mit einem hohen Maß an Genauigkeit allein tun können, und wenn es um Datensicherheit geht, ist Genauigkeit von entscheidender Bedeutung, unabhängig davon, ob Sie defensiv oder offensiv vorgehen. Wenn Sie eine Tiefenebene für die Daten festlegen, um sie ordnungsgemäß zu schützen oder ihren Wert zu bestimmen, sollten Sie präzise vorgehen.

Das Training und die erneute Qualifizierung von Algorithmen für maschinelles Lernen, um die Kategorien personalisierter Daten zu erkennen, sowie die Genauigkeit und Tiefe des Kontexts um die Informationen herum nehmen exponentiell zu. Mit der Zeit werden sich Benutzer daran gewöhnen, Daten mit immer spezifischeren Details zu versehen, um den Kontext zu erläutern. was den Wert über die Maßen erhöhen wird. Es ist das perfekte Beispiel für Menschen und Technologien, die intelligent zusammenarbeiten.

Das Informationsmanagement kann nicht nur unternehmensspezifischer werden, indem Daten auf den entsprechenden Ebenen geschützt und die Sicherheitsanforderungen erfüllt werden. Sie können auch anfangen, Daten zu verstehen, oder besser gesagt, Informationen, und Wissen, als echtes Kapital des Unternehmens mit der Möglichkeit, das Unternehmen auf ein höheres Maß an Effizienz und Erfolg zu bringen.

Foto: Web