[Webcast-Transkript] Grundlegendes zu Information Governance, Datenschutz und Datenschutzverletzungen

en flag
nl flag
fr flag
de flag
pt flag
ru flag
es flag

Anmerkung des Herausgebers: Am 1. Dezember 2021 teilte HayStackID einen Webcast für Bildungseinrichtungen mit, der einen Rahmen für die Bereitstellung und Verbesserung organisatorischer Programme zur Informationsverwaltung präsentieren und beschreiben sollte. In der Präsentation, die von einem Gremium aus Experten für Cybersicherheit, Information Governance und eDiscovery geleitet wurde, wurden Programme hervorgehoben, die bei angemessener Umsetzung die Vorbereitung auf Cybervorfälle gewährleisten und Organisationen helfen sollten, angemessene Sicherheitsmaßnahmen für sensible Vermögenswerte zu demonstrieren.

Während die gesamte aufgezeichnete Präsentation für die On-Demand-Anzeige verfügbar ist, wird für Ihre Bequemlichkeit eine Abschrift der Präsentation bereitgestellt.

[Webcast-Transkript] Grundlegendes zu Information Governance, Datenschutz und Datenschutzverletzungen

Erfahrene Moderatoren

+ Matthew Miller — Senior Vice President für Information Governance und Datenschutz, HayStackID

+ Ashish Prasad — Vizepräsident und General Counsel, HayStackID

+ Michael Sarlo — Chief Innovation Officer und Präsident von Global Investigation Services, HayStackID

+ John Wilson - Chief Information Security Officer und Präsident der Forensik, HayStackID

Präsentation Transkript

Einführung

Matthew Miller

Hallo, und ich hoffe du hast eine tolle Woche. Mein Name ist Matt Miller, und im Namen des gesamten Teams von HayStackID möchte ich Ihnen dafür danken, dass Sie an der heutigen Präsentation und Diskussion mit dem Titel Governance, Privacy and Exposure: Information Governance, Datenschutz und Datenpannen teilgenommen haben.

Der heutige Webcast ist Teil der regelmäßigen Reihe von Bildungspräsentationen von HayStackID, um sicherzustellen, dass die Hörer proaktiv darauf vorbereitet sind, ihre Ziele für Cybersicherheit, Information Governance und eDiscovery zu erreichen. Zu unseren Moderatoren für die heutige Website gehören Personen, die sowohl in der Welt der Cyber-Discovery als auch der rechtlichen Entdeckung stark involviert sind, einige der branchenweit führenden Fachexperten für Governance, Datenschutz und Entdeckung, und sie alle verfügen über umfangreiche und aktuelle Erfahrung bei der Unterstützung aller Arten von Audits. Ermittlungen und Rechtsstreitigkeiten.

Lassen Sie mich zunächst als Moderatorin und Moderatorin der Präsentation von heute vorstellen. Mein Name ist Matthew Miller, ich bin derzeit Senior Vice President für Information Governance und Datenschutz bei HayStackID. Ich habe einen rechtlichen Hintergrund, der zu eDiscovery übergegangen ist. Und ich hatte zahlreiche IG-zentrierte Rollen, z. B. die Mitentwicklung der Praxis der Informationsverwaltungsdienste von Ernst und Young und als Beratungsleiter für globale Information Governance bei Consilio, bevor ich zu HayStackID wechselte und unsere führende IG-Praxis etablierte.

Lassen Sie mich Ihnen als Nächstes Mike Sarlo vorstellen. Mike ist unser Chief Innovation Officer und President of Global Investigations and Cyber Discovery Services bei HayStackID. In seiner Rolle erleichtert er Innovationen und Operationen im Zusammenhang mit Cybersicherheit, digitaler Forensik und eDiscovery in den USA und im Ausland. Er leitet auch die Entwicklung und das Design von Prozessen, Protokollen und Diensten, um die Erkennung und Überprüfung von Cybersicherheitsverletzungen nach Datenverletzungen zu unterstützen.

Als Nächstes werde ich auch John Wilson vorstellen. John ist unser Chief Information Security Officer und President of Forensics bei HayStackID. In seiner Rolle bietet John Fachwissen und Sachverständigendienste an, um Unternehmen bei der Bewältigung verschiedener Fragen der digitalen Forensik und der elektronischen Entdeckung zu unterstützen, einschließlich der Leitung von Untersuchungen, um die ordnungsgemäße Aufbewahrung von Beweismitteln und der Sorgerechtskette sicherzustellen. Er entwickelt regelmäßig Prozesse und erstellt Workflows und leitet Implementierungsprojekte und DSGVO-Datenzuordnungsdienste für unsere Kunden, darunter große Finanzinstitute, Fortune-100-Unternehmen und das Am Law 100. Seine Arbeit umfasst einige der wichtigsten Angelegenheiten, die buchstäblich in den Vereinigten Staaten verzeichnet wurden, und viele von 39 verschiedenen Ländern, in denen er an Fällen gearbeitet hat.

Leider wird Ashish Prasad nicht zu uns kommen, aber ich wollte, dass ihr wisst, dass er unser VP und General Counsel für HayStackID ist. Er ist einer der führenden Experten für eDiscovery in den Vereinigten Staaten. Er war Prozesspartner, Gründer und Vorsitzender der Praxis Mayer Brown Electronic Discovery and Records Management. Er war Gründer und CEO von Discovery Services LLC sowie VP und GC von Etera Consulting. Wenn du mit Ashish sprechen willst, kann ich dich während dieser Sitzung absolut mit ihm in Kontakt bringen.

Also können wir loslegen. Das ist die Tagesordnung. Wir haben acht verschiedene Themen, die wir behandeln werden, und wenn es die Zeit erlaubt, werden wir alle durchgehen können.

Also, ohne weiteres, Risiko und Wert, Verpflichtungen und Chancen in Einklang zu bringen.

Kern-Präsentation

Matthew Miller

Unternehmen können heute also viel Wert aus ihren Informationsressourcen ziehen. Interessant ist, dass Technologie und Data Mining die Datenmengen eingeholt haben, die in den Netzwerken vorhanden sind. Und um einen Mehrwert aus Ihren Daten herauszuholen, müssen Sie den Nutzen Ihrer Sicherheits- und Datenschutzanforderungen in Einklang bringen, da sich die Landschaft von Standards und Vorschriften ständig ändert. Um also in der Lage zu sein, alle Ihre Daten aufzubewahren und für Ihre Geschäftszwecke abzubauen, wo Sie einen Mehrwert erzielen können, müssen sie mit dem Risiko abgewogen werden, das sie darstellen können. Die Erfüllung Ihrer Compliance-Verpflichtungen mit den Statuten und Vorschriften, die international und in den gesamten Vereinigten Staaten erlassen werden, ist sehr wichtig, um über die richtigen Kontroll- und Kontrollrahmen zu verfügen.

Eines der Dinge, auf die wir uns heute konzentrieren werden, ist sicherzustellen, dass Sie Ihr kontrollzentriertes Cybersicherheitsprogramm so gestalten, dass es auch die Bedürfnisse des Datenschutzteams und des Rechtsteams berücksichtigt und auch die Produktivität Ihrer eigenen Mitarbeiter und die Zugänglichkeit von Daten für Ihre Verbraucher berücksichtigt und Kunden.

Es gibt also viele Herausforderungen, die wir heute mit Daten sehen. Und ich werde Mike bitten, ein wenig darüber nachzudenken, wie all diese Herausforderungen miteinander verflochten sind und welche der wirklich ernsthaften Herausforderungen für Unternehmen sein könnten, die versuchen, alle Daten in ihrem Netzwerk zu verstehen.

Michael Sarlo

Danke, Matt. Natürlich sehen wir überall ein exponentielles Datenwachstum. Und wir sind vollständig digital, eine digitale Welt mit COVID. Wir haben eine robuste Interkonnektivität zwischen Anwendungen, mit denen wir täglich interagieren und die möglicherweise Desktop-nativ waren und die jetzt wirklich etwas mit ihren Datenpunkten geschichtet sind und wie sie Daten in Ihrem gesamten Unternehmen speichern, sei es teilweise in der Cloud , sei es online, sei es offline. Ich denke, es ist eine große Herausforderung für Unternehmen, wirklich zu verstehen, wie hoch ihr Datenfußabdruck ist. Dies gilt insbesondere, wenn wir einige Apps und solche Dinge ansprechen.

Unter diesem Gesichtspunkt ist es sicherlich so wichtig, die Gestaltung von Richtlinien wirklich zu betrachten und sicherzustellen, dass Sie, wenn Sie über ein Information Governance-Programm und nur über Ihre Datenhaltung im Allgemeinen nachdenken, dies so tun, dass Sie ein System und einen Prozess entwerfen, der es Ihrem Unternehmen ermöglicht den größten Nutzen aus Ihren Daten herausholen und gleichzeitig die Grundlagen der Cybersicherheit wirklich befolgen.

Offensichtlich war dieses Jahr unglaublich berichtenswert, denke ich, da die Herausforderungen der Cybersicherheit, mit denen jedes Unternehmen konfrontiert ist, und wirklich jeder Einzelne. Wie viele von Ihnen erhalten heutzutage ständig seltsame Textnachrichten auf Ihren Handys, in denen Sie gebeten werden, auf Links für Dinge zu klicken, die Sie nicht gekauft haben, oder für Dienste, die Sie vielleicht vor einigen Jahren in einem kleinen Bitly-Link verwendet haben. Ich denke, das ist wahrscheinlich die nächste Herausforderung, mit der sich viele von uns auseinandersetzen müssen.

Natürlich sehen wir einfach so viele verschiedene Arten von Datentypen. Wir sehen unstrukturierte Daten, strukturierte Daten sind unglaublich häufiger, wir haben Cloud-Repositorys, wir haben Server, wir haben wirklich eine robuste Menge - was einer Schatten-IT entspricht. Heutzutage ist es so schwierig zu kontrollieren, welche Repositorys Mitarbeiter möglicherweise verwenden, sei es von Heimnetzwerken aus, sei es aus Arbeitsnetzwerken, die Liste geht weiter und weiter. Und sobald Sie zu einem Zeitpunkt kommen, an dem Sie in der Lage sind, eine systematische Politik zu entwickeln, die Dinge sperrt, findet jemand einen Weg, sich dem zu entziehen, indem eine neue Art des Zugangs ins Spiel kommt.

Eine geschäftskritische, starke Information Governance wird es also wirklich jeder Organisation ermöglichen, wirklich zu begreifen... Ich denke, das ist im Zeitalter von COVID so wichtig - und ich hasse es mehr, über COVID zu sprechen, ich hasse es, es zu sagen, aber jetzt ist jeder fern, und das ist wirklich der Fall. Und es ist so wichtig, Richtlinien und Verfahren zu haben, die diese Remote-Arbeit verwalten und gleichzeitig Daten zusammenstellen können, um den größtmöglichen Nutzen daraus zu ziehen. Und wir werden dort über weitere Strategien sprechen, wenn wir mit der Präsentation fortfahren.

Danke, Matt.

Matthew Miller

Und vor diesem Hintergrund und all diesen Herausforderungen bei der Arbeit von zu Hause aus, John, ist es heutzutage noch komplizierter mit all den verschiedenen Datenschutz- und Cybersicherheitsverpflichtungen, die es gibt. Alles, worüber Sie sprechen möchten, mit den Herausforderungen im Zusammenhang mit dem Umgang mit all diesen unterschiedlichen Verpflichtungen, seien es Vorschriften oder Standards, die es gibt.

John Wilson

Es ist also wirklich ein Scheideweg, wenn Sie über die Schnittstelle von Datenschutz und Ihren Cybersicherheitsverpflichtungen sprechen, wo Sie all diese Daten und die Datenschutzbeschränkungen nicht nur in Bezug auf die DSGVO in der EU und Chinas neue Datenschutzgesetze haben. Es gibt also all diese internationalen Beschränkungen und Anforderungen, aber jetzt gehen Sie auch darauf ein, wo einige Staaten Gesetze vorgeschlagen haben oder Gesetze in den Büchern haben. Es wird Kalifornien in den CCPA und mehrere andere Staaten einbeziehen, die Vorschriften erlassen.

Und so müssen Sie das in Ihren Governance-Programmen wirklich berücksichtigen, um mit den Datenschutz- und Cyber-Einschränkungen umzugehen. Es wird also viel über Safe-Haven-Staaten aus Gründen der Cybersicherheit gesprochen, in denen die Staaten: „Hey, wenn Sie all diese Kriterien erfüllen, können Sie nicht für einen Verstoß, Geldstrafen und Exposition haftbar gemacht werden“. Und ein Großteil davon besteht darin, diese Datenschutzdaten zu mindern und sicherzustellen, dass die Datenschutzinformationen sicher segmentiert und an Orten abgelegt werden, die strengeren Kontrollen und strengeren Zugriffsanforderungen unterliegen.

Matthew Miller

Da haben wir es.

Michael Sarlo

Lass mich auch eine Sekunde lang reingehen. Datenschutz durch Design ist etwas, das wir vor vielen Jahren gehört haben, und ich habe die ganze Blogosphäre gelesen, um mich auf die DSGVO vorzubereiten, und wirklich die Art und Weise, wie Europa im IT-Bereich arbeitet, es ist Datenschutz durch Design und sogar vom Standpunkt der Anwendung aus ist es die Privatsphäre durch Design. Wenn man über Information Governance, Cybersicherheit und wirklich für die eDiscovery-Experten in der Telefonkonferenz nachdenkt, ist es so wichtig, sich der Datenschutzprobleme bewusst zu sein und diese im Umgang mit ihnen anzusprechen. Einige der anspruchsvollsten Organisationen der Welt wissen nicht genau, was ihre Datenschutzverpflichtungen sind. Und als Datenverarbeiter besteht eine erhöhte Haftung.

Und für die Unternehmen hier ist es sehr einfach, das im Zusammenhang mit einer potenziellen Datenschutzverletzung zu quantifizieren, wenn Sie nach einem Budget suchen und Ihr Datenschutzrisiko in die Hand nehmen, und ich bin sicher, dass Matt später über einige Statistiken sprechen wird.

John Wilson

Und eine schnelle Ergänzung dazu ist, dass viele dieser Standorte und Orte all diese Richtlinien zu Datenschutz- und Sicherheitsanforderungen hinzufügen und Sie die USA haben - die neueren Staaten, die Gesetze haben, und die DSGVO, sie haben viele ähnliche Elemente, aber sie sind nicht identisch. Vieles davon wird leicht unterschiedlich interpretiert und hat im Rahmen dieser Datenschutzgesetze unterschiedliche und manchmal sogar widersprüchliche Bedeutungen.

Daher wird es sehr schwierig, eine vollständige Abdeckung zu erhalten.

Matthew Miller

Aus diesem Grund müssen Sie einen programmatischen Ansatz für das Information Governance-Programm verfolgen, und es muss wirklich alles berücksichtigen, worüber John und Mike gerade aus Sicht der Privatsphäre und der Cybersicherheit gesprochen haben.

Im Laufe der Zeit hat NIST tatsächlich einige ziemlich solide Inhalte darüber vorgelegt, wie diese verschiedenen Probleme ins Spiel kommen und welche Risiken mit der Cybersicherheit und den sich überschneidenden Datenschutzrisiken verbunden sind. Nun, dieser mittlere Teil in diesem Venn-Diagramm, versuchen wir alle zu vermeiden, ein Cybersicherheits-bezogenes Datenschutzereignis, bei dem ein Verstoß vorliegt oder ein unbefugter Angreifer auf Daten zugreifen kann oder sogar etwas ohne böswillige Absicht getan werden könnte, die immer noch die Integrität des Daten im Netzwerk, und wenn sie im Internet verfügbar sind und private Daten darin enthalten sind, PII, PCI, PHI, dann wird dies all die verschiedenen Regeln und Vorschriften auslösen, über die die Jungs gerade gesprochen haben.

Eine Möglichkeit, dies zu erreichen, besteht darin, die verschiedenen Gruppen und Geschäftsbereiche innerhalb Ihrer Organisation zusammenzubringen. Dies ist eine Interpretation des 492-seitigen NIST-Dokuments 800-53, das wirklich zu einer wichtigen NIST-Richtlinie geworden ist, auf die sich selbst Cyber-Versicherungsunternehmen stützen, wenn Sie gehen ihre Umfragen durch und versuchen herauszufinden, wo Sie stehen und wie hoch Ihre Prämien sein sollten.

Mike oder John, haben Sie einen Kommentar zu 800-53 und stellen Sie sicher, dass Sie Recht, IT-Sicherheit, Datenschutz und Datensatzmanagement zusammenbringen, während Sie an der Entwicklung Ihres eigenen Programms arbeiten?

John Wilson

Ich denke es ist unerlässlich. In der gegenwärtigen Ökosphäre der Welt mit Datenschutz und Sicherheit und den verschiedenen Herausforderungen und den schnell eskalierenden Versicherungskosten denke ich, dass es wichtig ist, dass wir beginnen, die verschiedenen Unternehmen, das Datenschutzteam, das Rechtsteam, das Sicherheitsteam, das Datensatzmanagement und die IG innerhalb der Organisation. Es ist sehr wichtig, dass sie tatsächlich zusammenarbeiten und auf ein besseres Compliance-Gefühl hinarbeiten, um die steigenden Kosten und Kosten der Einhaltung zu senken oder zu kontrollieren, aber das Risiko einer Nichteinhaltung und die damit verbundenen Kosten sind ziemlich extrem. Und die Kosten der Versicherung zu kontrollieren, die Kosten zu kontrollieren - nur in der Lage zu sein, Geschäfte zu machen, wird entscheidend, dass sie alle zusammenarbeiten.

Matthew Miller

Lassen Sie uns nun ein wenig darüber sprechen, wie die Steuerelemente eingeführt werden.

Michael Sarlo

Einfach ganz schnell, ich will reingehen. Ich will nur eins sagen. Der Grund, warum diese Leute auch zusammenkommen müssen, ist, wenn es einen Vorfall gibt, es ist wirklich, glaube ich, für Organisationen, die keinen größeren Vorfall hatten, und wirklich ein Datenschutzproblem, es ist ein Sicherheitsvorfall, es ist ein Verstoß. Der Verlust eines Laptops, der Daten eines Mitarbeiters mit Kundendaten, ist ein Verstoß. Sie sind alle in gewisser Weise wirklich Datenverletzungen. Jeder außerhalb der IT wird über die Kohlen geworfen. Und da ein Playbook dafür eingerichtet ist, fehlt es so vielen Organisationen, dass es ein völliges Chaos ist, wenn etwas passiert. Und es wird sowieso ein völliges Chaos sein, wenn Sie Ihr gesamtes Netzwerk Lösegeld erhalten, aber zumindest zu wissen, wer für was verantwortlich ist und welche potenziellen Arbeitsströme aussehen könnten, wird Sie an einen viel besseren Ort bringen.

Und für die Anwälte, die auf dem Telefonat stehen, kann ich nicht sagen, wie viele Leute zur Arbeit zu uns kommen, sie wissen nicht, was eine Datenverarbeitungsvereinbarung ist. Es ist so wichtig, wenn Sie sich die ethischen Regeln ansehen, insbesondere in Bezug auf die Kompetenz, dass Sie den eDiscovery-Prozess und die Datenschutzrisiken aus regulatorischer Sicht gut verstehen, wenn Sie mit dieser Art von Daten zu tun haben und wirklich damit beginnen, das in Ihren Workflow einzuarbeiten jedes Mal so wichtig, dass Sie allgemeines eDiscovery durchführen. Und ich weiß, dass wir über Information Governance und Cybersicherheit sprechen, aber für die Datenverarbeitung können Anwälte im Allgemeinen nicht mehr wirklich davon wegschauen. Ich denke, es ist wirklich so, wie es war, als die Leute etwas über eDiscovery lernen mussten. Nun gibt es ein allgemeines Bewusstsein und die meisten Leute sind ziemlich kompetent oder wissen zumindest, wohin sie gehen müssen, um eine angemessene Kontrolle zu gewährleisten. Also so wichtig, auch aus ethischer Sicht, um das aufrechtzuerhalten und sich dessen bewusst zu sein.

Matthew Miller

Das ist ein wirklich guter Punkt, Mike. Die Rechtsabteilung belastet und hat eine große Anziehungskraft in diesem Bereich der Entwicklung der Kontrollen, und sie müssen, wie Mike sagte, wirklich all diese verschiedenen Bereiche verstehen, und das ist die Herausforderung, die Anwälte vor 15, 20 Jahren nicht hatten.

Lassen Sie uns hier ein wenig über den Kern der Situation sprechen, nämlich die Unternehmensdaten, die logistische Herausforderung beim Schutz des Unternehmens und seiner Daten selbst.

Wir wissen also, wo sich unsere Daten befinden, hoffentlich wissen Sie, wo sich Ihre Daten befinden. Das würde mit einer Datenzuordnung beginnen, wenn Sie dies noch nicht getan haben. Und sobald wir wissen, wo sich unsere Daten befinden, haben wir die Systeme, die Anwendungen, die Geschäftsbereiche, all diese verschiedenen Prozesse und Richtlinien für die Verwaltung der Daten und die Orte, an denen sie intern innerhalb der Organisation fließen. Wenn die Datenzuordnung vorhanden ist, sollten Sie also eine Vorstellung davon haben, wie die Daten zwischen all diesen verschiedenen Gruppen fließen.

Darüber hinaus haben Sie ein Netzwerk von Dritten, die auf dieselben Daten zugreifen. Daher erstreckt sich die Rechenschaftspflicht jetzt über Ihr Unternehmen hinaus auf diejenigen, die auf die Daten in Ihrem Netzwerk, Auftragnehmer, Kunden usw. zugreifen oder mit diesen interagieren. Daher ist es so wichtig, die Kontrollen einzusetzen, die die Grundlage Ihres Cybersicherheitsprogramms bilden, und diese dem zuzuordnen, wie Ihre Vermögenswerte sind unterstützt von der Steuerung. An dieser Stelle kommt das Kontroll-Framework wirklich ins Spiel. Und es sollte Ihrem Unternehmen ermöglichen, zu erkennen, dass alles zusammenarbeitet, dass die Kontrollen auf der Grundlage von Änderungen stromabwärts oder vorgelagerten Standards und Vorschriften abbilden können und flexibel sein können. Ihre Steuerelemente müssen sich an alles anpassen können, was in der Außenwelt vor sich geht.

Beim Aufbau Ihres Programms müssen Sie also die Governance, das Risiko und die Einhaltung berücksichtigen, da sich diese regulatorische Landschaft täglich ändert. Das Endergebnis ist ein ausgewogenes Verhältnis von Compliance und Effizienz. Sie möchten die Effektivität Ihrer Abdeckung und Kontrollen sehen, während Sie die Einhaltung der Vorschriften einhalten. Und wenn sich die Landschaft ändert, können Sie bestimmte Steuerelemente feinabstimmen, anstatt den gesamten Prozess für die gesamte Organisation erneut zu starten. Dies ist ein häufiges Problem für Unternehmen, da sie so viele verschiedene Rahmenbedingungen mit all diesen Vorschriften und Standards jonglieren.

Eine der Möglichkeiten, wie wir das Problem beheben können, und wir haben das auf der vorherigen Folie ein wenig angesprochen, ist, dass es diese Idee gibt, die Google verwendet und die Apple verwendet, es ist dieser Hub-Ansatz. Und mit einem Information Governance-Programm und für Ihr Datenmanagement und Ihr Datenmanagement und Cyber, damit alles zusammenarbeitet, ist dies auch ein großartiger Ansatz für Ihr Unternehmen, dieser Hub-Ansatz. Sie benötigen einen Lenkungsausschuss, der all diese verschiedenen Gruppen, diese verschiedenen Geschäftsbereiche innerhalb Ihrer Organisation, vertritt und all die unterschiedlichen Verpflichtungen dieser verschiedenen Geschäftsbereiche berücksichtigt, vom CIO über das Datensatzmanagement bis hin zu Ihrem Compliance-Beauftragten, jetzt Ihren Daten Datenschutzbeauftragter und offensichtlich das Büro des General Counsel.

Lassen Sie uns nun ein wenig über die Netzwerkschwachstelle und darüber sprechen, was heute vor sich geht. Also, Mike, John, Leute, in Ihrer täglichen Praxis, all den verschiedenen Ermittlungen, all der Forensik, an der Sie beteiligt sind, COVID, es ist dieser Begriff, über den wir nicht sprechen wollen, aber was haben wir mit dem Angreifer gesehen.

Michael Sarlo

Ich kann hier für eine Minute anfangen. Vor dem Tor sind das Ransomware-Ökosystem und die darin operierten Bedrohungsakteure aus geschäftlicher Sicht wirklich viel ausgefeilter geworden. Es gibt Partnerschaften, es gibt breite Kartelle zwischen Banden. Und was früher ein Prozess war, der wirklich eine Art Maschinengewehransatz war, um Netzwerke für Bedrohungsakteure, Massen-, Massenphishing-Versuche und ungezielte Massenangriffe zu infiltrieren, ist gegenüber dem Begriff „Big Whale Hunting“ zu einem viel anspruchsvolleren Unternehmen geworden. Und was wir sehen, sind Gruppen, die wirklich als Makler arbeiten, die möglicherweise nur auf der Infiltrationsseite sind und möglicherweise mit einem Makler zusammenarbeiten, der sich dann an eine andere Gruppe wenden wird, die möglicherweise besser in ein Netzwerk eindringen kann. Es gibt andere Leute, die mit ihnen zusammenarbeiten, die gerade raffiniert genug sind, um tatsächlich robustere Verhandlungen zu führen. Es sind Fechter beteiligt, die als Freiberufler arbeiten. Und es gibt robuste webbasierte Plattformen, die buchstäblich sehr sauber und nett sind, um Ransomware bereitzustellen oder Lösegeld-Nutzlasten zu kaufen, die im Netzwerk eines Opfers analysieren.

Was das wirklich bedeutet, ist unglaublich mehr Raffinesse, und wenn eine Bedrohung für ein großes Unternehmen auftritt, wird sie sich normalerweise so stark lösen, dass sie einen breiten Teil Ihres Netzwerks zum Erliegen bringt.

Im Allgemeinen wurden Bedrohungsakteure, glaube ich, auch ein bisschen klug, dass Unternehmen im Backup so viel besser wurden, sei es DR und Sicherung ihrer Backups. Was wir normalerweise bei einem groß angelegten Lösegeldereignis finden werden, und ich spreche von Lösegeldern, aber Lösegelder können manchmal auch eine Ablenkungstaktik sein, wenn es eine Gruppe gibt, die versucht, geistiges Eigentum zu stehlen. Das ist etwas, auf das wir jetzt auch stoßen. Es gibt verschiedene Probleme in der Biotechnologie, in einigen der größeren Ölpipelines haben verschiedene Branchen unterschiedliche Probleme. Anwaltskanzleien sind heutzutage ein großes Ziel. Die Beratungsunternehmen sind ein großes Ziel. Und der Gesamtnettoeffekt ist ein viel koordinierterer, ausgefeilterer Ansatz, der häufig Zero-Day-Malware nutzt. Und das bedeutet Malware, die es in freier Wildbahn nicht zu erkennen gibt. Und das ist für große Unternehmen.

Was wirklich immer noch der größte Weg ist, wie Menschen untergehen, sind Phishing-Versuche. Und diese werden unglaublich raffiniert und wenn wir Phishing sagen, meinen wir diese E-Mail-Links, die Sie erhalten, das Spoofing eines Amazon, aber es gibt auch Dinge, bei denen Sie jemand anrufen und Sie nach Ihrem Passwort fragen möchte, und es ist sehr peinlich, die Person in Ihrem Unternehmen zu sein, die Ihr gesamtes Geschäft.

Immer mehr Training ist also absolut, absolut eines der wichtigsten Dinge und trainiert wirklich immer und immer wieder, indem Phishing-Angriffe simuliert werden, um Ihre Umgebung vor dem menschlichen Element zu schützen, das so viel gezielter und viel ausgefeilter geworden ist.

John, hast du da etwas hinzuzufügen?

John Wilson

Ja, nur ein paar schnelle Dinge. Erst, Sie sprechen nur über das Wachstum von — das Volumen der Angriffe. Ich denke, einer der interessanten Faktoren ist, dass wir jetzt feststellen, dass einige der erfolgreicheren Organisationen sich für die Bedrohungsakteure wie Risikokapitalgeber verhalten. Hey, wenn du rein kannst, finanzieren wir dich. Sie stellen also einen Großteil dieser Mittel zur Verfügung und tragen wirklich dazu bei, dass viele dieser Angriffe wachsen. Aber darüber hinaus wird es oft beängstigend, dass eine Organisation entscheidet, dass sie jemanden anvisieren will, dass sie einsteigen will. Um ihnen zu helfen, ihre Spuren zu verwischen und die Veranstaltung weiter zu monetarisieren, gehen sie dann raus und sagen: „Hey, wir haben gegen Unternehmen X verstoßen und verkaufen Ihnen Zugang zu diesem Verstoß.“ Und jetzt sind es nicht nur One-Hit-Angriffe, wo sie hineingehen, sie erfassen einige Daten oder verschlüsseln Ihre Daten und hoffen auf Lösegeld oder was auch immer ihre Flugbahn war, sie sagen jetzt: „Ich bin reingekommen, ich habe bekommen, was ich wollte, jetzt möchte ich fünf andere Hacker hereinkommen lassen und tun, was sie tun wollen, um zu begraben, was ich tat es, damit niemand jemals so weit kommt“.

Und so benutzt man es als eine Art Tarnung. Und das ist eine wirklich neue Art von Post-COVID-Sache, die wirklich passiert und vielen dieser Angriffe wirklich geholfen hat, an Volumen zu gewinnen. Und oft entdecken Organisationen das letzte Ereignis, das eingetreten ist, aber möglicherweise verpassen sie die Ereignisse, die zuvor stattgefunden haben und die dann den Zugang verkauft haben, damit andere Menschen über ihre Beweise stampfen und verbergen, was sie getan haben.

Matthew Miller

Um es noch persönlicher zu machen, werden nicht nur die großen Unternehmen heute häufiger angegriffen. Ich habe erst gestern mit einem meiner Freunde gesprochen, er hat kein Amazon-Paket erhalten, es hieß, es sei geliefert worden. Und so gibt er auf Google „Amazon-Kundendienst“ ein, weil es auf seinem Handy keine Möglichkeit gab zu sagen, dass mein Paket nicht zugestellt wurde. Und der Top-Link, der eine Telefonnummer für den Amazon-Kundendienst enthält, nennt er ihn und sie sagen ihm: „Oh Sir, es tut uns wirklich leid, natürlich werden wir Ihr Geld zurückerstatten, installieren Sie diese App einfach auf Ihrem Telefon“, es stellt sich heraus, dass es sich um eine Anwendung zur Bildschirmspiegelung handelt. Sie konnten in seine Coinbase einsteigen und eine automatische Einzahlung von tausend Dollar pro Tag einrichten, was das Maximum von Wells bis Coinbase ist, und das dann in Bitcoin umwandeln und an sich selbst senden. Das ist buchstäblich diese Woche einem Kumpel von mir passiert, bis er herausfand, was los war.

Es ist also individuell geworden - Menschen werden zusätzlich zu den großen Unternehmen angegriffen, was wirklich beängstigend ist.

Nun, wie läuft das ab?

John Wilson

Und Matt, genau dort ist das Risikokapitalkonzept jetzt, hey, jeder, du kannst da raus gehen und du kannst Zugang zu etwas bekommen, wir finanzieren dich. Aus diesem Grund sind diese Ziele auf viel niedrigere, kleinere Ziele gesunken.

Matthew Miller

Und die Kosten für die Erholung steigen jedoch weiter. Die durchschnittlichen Kosten für Datenverletzungen in den USA sind gestiegen. Weltweit steigt es, oder John?

John Wilson

Absolut, deutlich steigen. Und ich denke, die Schätzungen für 2021 sind wahrscheinlich immer noch niedrig, da sie erst von Anfang 2021 stammen. Es eskaliert das ganze Jahr über weiter.

Matthew Miller

Das stimmt. Dieser Bericht von Ponemon deckt nur bis, ich glaube, es war April. Wie Sie sehen können, summieren sich die Kosten einer Datenverletzung, insbesondere wenn sie personenbezogene Daten enthält, und noch mehr im Gesundheitswesen, die Kosten pro Datensatz - und wenn Sie an diese Verstöße denken, bei denen Hunderttausende, wenn nicht Millionen von Datensätzen im Internet verfügbar sind, summieren sich diese Zahlen wirklich schnell und sind atemberaubend. Aus diesem Grund sprechen wir davon, diese Kontrollen im Voraus einzuführen, Ihre Bemühungen um Cybersicherheit und Datenschutz ein bisschen proaktiver zu gestalten und das alles miteinander zu verbinden, damit Sie nicht in eine dieser Situationen geraten.

Michael Sarlo

Und ich denke, es ist wichtig, einfach anzuerkennen, warum Verstöße im Gesundheitswesen so viel teurer sind. Insbesondere in den USA, wenn eine Gesundheitsorganisation verletzt wird, nur ihr Name allein, ein Unternehmen, ein Patient, ein Partner, oft merken die Leute nicht, dass alle Dateien, die Sie in Ihr Netzwerk erhalten, abhängig von Ihren vertraglichen Verpflichtungen mit Ihren Kunden sind, wenn es einen Verstoß gibt muss sie sicherlich benachrichtigen. Und mit medizinischen Einrichtungen, die einfach gehen - im Grunde reicht etwas, das besagt, dass Sie irgendwo behandelt wurden, aus, um wirklich eine schädliche Situation auszulösen. Und genau das ist es, was wirklich für die meisten Benachrichtigungen über Datenschutzverletzungen qualifiziert ist, ist ihr Schaden, und für Gesundheitsunternehmen reicht nur ein Name allein aus, um tatsächlich eine vollständige Data-Mining-Übung zu erfordern.

Und für alle, die nicht wissen, was Data Mining ist, ist dies im Grunde der Begriff in der Incident Response-Branche für die Überprüfung von Dokumenten und die Extraktion sensibler PII da draußen.

Für andere Unternehmen, die normalerweise nicht im Gesundheitswesen tätig sind und es nicht PHI ist oder es keine Minderjährigen gibt, müssen Sie in der Regel eine Art identifizierbares Merkmal haben, einen Namen plus ein soziales oder ein allgemeines soziales Netzwerk, eine Bankkontonummer plus einen Namen, um Schaden darzulegen.

Was ist nun so wichtig, und wenn Sie einen Verstoß haben und die aufgenommenen Daten verschlüsselt sind und Sie nachweisen können, dass diese Verschlüsselungsschlüssel nicht verwendet wurden, müssen Sie keine Benachrichtigung vornehmen. Und das ist aus Sicht der Optik nur aus geschäftlicher Sicht so wichtig, darüber nachzudenken, denn es ist nur eine Frage der Zeit für alle Teilnehmer dieses Anrufs, bevor Sie auf ein Verstösszenario stoßen.

Matthew Miller

Diejenigen in Gesundheitsorganisationen schenken hoffentlich besondere Aufmerksamkeit, weil die Auswirkungen einfach so dramatisch sind.

Jetzt haben wir dieses Konzept einer Zero-Trust-Architektur und NIST 800-207 detailliert ausführlich über die verschiedenen Arten von Zero-Trust-Architekturen, die Sie in Ihrem Netzwerk einrichten könnten. Und was wir wirklich haben, ist eher eine Reise als ein großhandel Ersatz der Infrastruktur und der Prozesse. Das Unternehmen muss wirklich schrittweise Zero-Trust-Prinzipien, Prozessänderungen und verschiedene Technologielösungen implementieren, die ihre wertvollsten Datenbestände schützen. Die meisten Unternehmen arbeiten möglicherweise für einen gleichgültigen Zeitraum in einem hybriden Zero-Trust-/Perimeter-basierten Modus, während sie in die Modernisierung ihrer IT-Initiativen investieren.

Unternehmen müssen also ihre Daten kennen und wer Zugriff auf diese Daten haben kann und sollte. Hier ist die Verbindung zwischen Information Governance und Zero Trust, es ist das Konzept des Zugriffs mit minimalen oder geringsten Berechtigungen. Nur die Leute, die in der Lage sein müssen, zu bestimmten Arten von kritischen Daten oder geschützten Daten, sensiblen Daten im Netzwerk zu gelangen, das sind die einzigen Personen, die wirklich darauf zugreifen sollten. Um zu wissen, wer Zugriff auf was haben sollte, müssen wir auch wissen, welche all unsere Daten da draußen sind.

John oder Mike sprechen mit den Kunden, mit denen ihr zusammengearbeitet habt, über die Implementierung von Zero Trust und die Reduzierung der Zugriffsrechte und Berechtigungen für verschiedene Gruppen in ihrem Netzwerk?

Michael Sarlo

Absolut. Das ist der Modus Operandum hier bei HayStackID. Ich denke, es kann eine Herausforderung sein, da einige der Prinzipien hier die Datenzentralisierung beziehen. Um eine flüssige Zero-Trust-Architektur und -Richtlinien wirklich umzusetzen, ist es in gewisser Weise eher ein Richtliniendesign als ein Technologiedesign. Es gibt einige Dinge beim Einrichten bestimmter Arten von Angriffsflächen und ähnlichen Dingen aus einem starken Umfang.

Aber Sie müssen verstehen, was in Ihrem Netzwerk vorhanden ist, Sie müssen es auf eine einzelne Kopie bringen und Sie benötigen eine starke Informationsverwaltung, Zeitraum, sowohl von dem, was da ist, als auch davon, wie Daten generiert werden und wo sie gespeichert werden. Es kann auf jeden Fall ein Unterfangen sein, auf jeden Fall.

Manche Dinge machen es einfacher als andere, aber mit zunehmender Sicherheit sinkt die Produktivität in jedem Unternehmen. Und das sind die Dinge, die ausgewogen sein müssen und die jedes Unternehmen in Einklang bringen möchte. Und Sie können sicherlich an einen Ort gelangen, an dem die Produktivität tatsächlich steigt. Es erfordert nur etwas Arbeit, etwas Budget und einige Planung. Manchmal macht es fast Sinn, bei Null auf eine Zero-Trust-Architektur zu beginnen, in gewisser Weise, um Ihre Kronjuwelen herum, auf die Matt, glaube ich, Sie anspielten.

John Wilson

Ich denke, dass eines der wichtigsten Dinge, die Sie dort gesagt haben, wirklich darin besteht, diese Datenzuordnung und die singuläre Instanz bestimmter Daten zu haben. Die Datenverbreitung ist sehr real und die meisten Unternehmen haben darunter gelitten, weil es einfach so viel billiger war, einfach mehr Speicherplatz darauf zu werfen, dann haben Sie Dutzende und Dutzende von Kopien verschiedener Datensätze in Ihrem Unternehmen. Und hier werden die gesamte Information Governance-Übung, die politischen Übungen, über die wir hier sprechen, wirklich dazu beitragen, die Organisation auf die einzigartige Instanz eines bestimmten Datensatzes zu bringen und über die entsprechenden Kontrollen und den Zugriff mit den geringsten Berechtigungen zu verfügen. Es ist wirklich sehr stark von der Politik bestimmt und kommt auf diese einzigartige Instanz zurück.

Matthew Miller

Es scheint also, dass eine der Möglichkeiten, um zu dieser konsolidierten und einzigeren Instanz der Kontrolle zu gelangen, darin besteht, Daten zu eliminieren, die Sie nicht wirklich im Netzwerk benötigen, während gleichzeitig zu Mikes Punkt die Kronjuwelen identifiziert und klassifiziert werden, die im Netzwerk sind. In diesem Datensatz ist es egal, dass die sensiblen Informationen auch angemessen korrigiert werden. Solange Sie können... wenn Sie einen geschäftlichen Zweck haben, um personenbezogene Daten im Netzwerk zu speichern, gibt es Methoden, um diese Informationen zu schützen, die Sie im Falle eines Verstoßes nicht haften, wenn - zu Mikes Argument zur Verschlüsselung, wenn die Entschlüsselungsschlüssel nicht herauskommen. Sie können Formen der Enteidentifikation und Maskierung von Sozialversicherungsnummern und Kontonummern und ähnlichem im Netzwerk durchführen.

Aber dieses Konzept der Datenminimierung auf der anderen Seite, ich denke, das ist es, worauf Sie hinauswollen, oder, John?

John Wilson

Absolut, das ist es. Es geht wirklich um diese Datenminimierung, um sicherzustellen, dass Sie die Daten speichern, die Sie benötigen, die Sie entweder für den Betrieb Ihres Unternehmens oder aufgrund regulatorischer Bedenken usw. benötigen, und sicherzustellen, dass Sie nur das speichern, was Sie benötigen, und nur die Informationen, die zur Einhaltung der Vorschriften erforderlich sind. und dann speichern Sie es nicht an acht verschiedenen Orten mit unterschiedlichen Berechtigungssteuerungen und unterschiedlichen Zugriffskontrollen. Verschiedene Personen in der Organisation haben von all diesen verschiedenen Standorten aus Zugriff auf dieselben Informationen.

Matthew Miller

Es hängt definitiv mit dieser Zero-Trust-Architektur...

Michael Sarlo

Und wie finden wir diese Daten?

Matthew Miller

Wie finden wir es?

John Wilson

Das kommt auf die Datenzuordnung und das Verständnis Ihrer Organisation mithilfe von Tools an. Wir bei HayStackID machen viele Dinge, wo wir KI-gesteuerte Tools verwenden, um Daten in einer Organisation abzubilden oder Daten abzubauen und zu identifizieren: „Hey, wo befinden sich die sensiblen Daten? Wie sieht das aus und wie wird es aufbewahrt?“ Und diese Buckets zu identifizieren, damit wir dann geeignete Maßnahmen ergreifen können, um die entsprechenden Richtlinien dafür festzulegen und diesen Datenminimierungsprozess durchzuführen.

Michael Sarlo

Ich denke auch für Unternehmen gibt es so viele Werkzeuge für große Organisationen. Es gibt bereits so viele Tools, mit denen Sie, wahrscheinlich in Ihrem Unternehmen, die Sie nicht kennen, sensible Daten, PHI, PII und DSGVO-kontextsensitive Daten identifizieren können, die in Office 365 nativ sind, die in G Suite nativ sind und die in AWS nativ sind. Und die Möglichkeit, mit diesen Toolkits zu arbeiten, kann für Leute, die sich bereits in der Cloud befinden oder in die Cloud migrieren, einen großen Weg bringen. Aber es gibt auch eine Reihe großartiger Tools, die alle Fachwissen erfordern. Das heißt, wir sind natürlich die Experten, rufen Sie uns an -, um effizient zu nutzen, aber es muss auch keine perfekte Übung sein, um zu beginnen, denn nichts ist jemals perfekt und Sie werden nie jeden einzelnen Tropftropfen bekommen, es sei denn, Sie werden nie jeden einzelnen Tropftropfen bekommen, es sei denn, Sie fange wirklich an, manuell zu überprüfen. Aber effektive Probenahme, KI, mit Blick auf die Ergebnisse von Identifikationsmechanismen. Dies kann eine hervorragende Möglichkeit sein, diese extrem umfangreichen Datenmengen zu finden, die leicht bereinigt oder gesichert werden können.

Und wir haben tatsächlich eine großartige Frage von einem Diskussionsteilnehmer, der bei Unternehmenskäufen und -integrationen Best Practices von einem Acquirer fragt.

Und HayStackID hat viele Akquisitionen getätigt, und ich denke, es ist sicherlich ein stufenweises Vorgehen. Was Sie im Allgemeinen feststellen, ist möglicherweise nicht das erste Bild, das Ihnen vom Standpunkt der Netzwerkinfrastruktur aus präsentiert wurde. Sicherlich ist die Durchführung einer Datenkarte für harte Netzwerke, die meiner Meinung nach ein bisschen anders ist als eine allgemeine Datenkarte aus einem eDiscovery-Informations-Governance-Kontext, obwohl sie sich vollständig überschneiden, wirklich Ihr erster Schritt. Identifizieren Sie die verstorbenen Mitarbeiter, die möglicherweise gerade dort sitzen, und beginnen Sie damit, die kenntnisreichsten IT-Mitarbeiter an Deck zu holen, um mit der Migrationsgeschichte zu beginnen. Hier stellen wir fest, dass für jedes Unternehmen, in das wir gehen, immer systematisch an institutionellem Wissen verloren geht, sei es ein Kunde, den wir unterstützen, der eine Akquisition getätigt hat und was die IT-Infrastruktur zusammenführen soll, er möchte auf eine einzigartige Infrastruktur migrieren. Oder sogar in Unternehmen, die eine Geschäftseinheit verkaufen und eine Veräußerung durchführen möchten, und das kann auch eine komplexe Übung sein, Gurtband, bestimmte Arten von Kontrollen klingeln um Geschäftsbereiche und Arbeitsprodukte und solche Dinge und übertragen diese häufig an einen Erwerber.

Es ist die Migrationsgeschichte, die immer ein Problem darstellt. Es sind die Legacy-Desktops, Laptops, von denen niemand weiß, dass dies immer ein Problem ist. Wir haben Dinge getan, bei denen es sich um einen Tag zur Rückgabe Ihrer Ausrüstung handelt, auch wenn wir die Leute nicht bitten, es formell zurückzugeben, und wir wissen, dass wir Inventar da draußen haben. Wir werden sie einfach bitten, es in diesen Situationen zum Einchecken mitzubringen. Und das war sehr effektiv, um Geräte zu bekommen, die möglicherweise im Schuhkarton von jemandem sitzen.

Ich bin seit Anbeginn der Zeit bei HayStackID und habe kürzlich einige Handys zurückgegeben, die aus unserer Zeit stammen als vor vielen, vielen Jahren.

Also, jeder, besonders die langjährigen Mitarbeiter, sind diejenigen, die Sie anstreben werden, und es ist die Migrationsgeschichte.

John, ich weiß, dass Sie hier viele Ratschläge haben, insbesondere in Bezug auf den Umgang mit verschiedenen Sicherheitszertifizierungen und deren Verwaltung und die schnelle Einhaltung einiger Organisationen. Und für die Person, die die Frage gestellt hat, ist es manchmal nur ein Abdichtungseffekt und Sie bringen sie in eine bessere Sicherheits- und Hygienehaltung, nur je nachdem, wie schlimm es ist. Aber mach weiter, John.

John Wilson

Ich glaube, du hast dort die hohen Töne erreicht. Es wird sicherlich eine Frage des Verständnisses. Nochmal, ich denke, Matt hat vorhin gesagt, dass wir hier nicht versuchen wollen, den Ozean zu kochen. Sie müssen wählen: „OK, ich bekomme 80% der Daten und werde sie verschieben, das Geschäft in Betrieb halten und sie in sichere Eimer bringen“.

Wo es wirklich herausfordernd und interessant wird, ist beispielsweise, dass Ihr Unternehmen bestimmte Zertifizierungen erhalten hat und bestimmte Anforderungen oder regulatorische Verpflichtungen hat, die das Unternehmen, das Sie erwerben, möglicherweise nicht hatte. Und jetzt müssen Sie plötzlich herausfinden, wie ich ihre Daten in unsere Buckets bekomme, die Organisationen zusammenfüge und trotzdem meine Zertifizierungen beibehalten kann.

Daher verfolgt es einen intelligenten Ansatz und erfordert im Allgemeinen in vielen Fällen die Nutzung der bereits vorhandenen Tools, und manchmal erfordert es die Einführung eines Tools von Drittanbietern oder Fachwissen von Drittanbietern, um den Prozess der Identifizierung der Informationen wirklich zu rationalisieren.

Offensichtlich ist in einer Situation vom Typ M und A die Due Diligence wirklich wichtig, um sicherzustellen, dass Sie ein fundiertes Verständnis haben, wenn Sie andere regulatorische Verpflichtungen eingehen, als das bestehende Unternehmen, dem Sie erwerben, möglicherweise unterworfen ist. Die Due Diligence ist der Schlüssel zum Verständnis Ihrer Risiken da.

Matthew Miller

Das stimmt. Wenn wir also eine Idee haben, selbst in diesem Akquisitionsszenario, wenn Sie in der Lage sind, während dieser Due-Diligence-Phase ein paar hochrangige Scans durchzuführen und die verschiedenen Repositorys dessen zu indizieren, was Sie an Bord bringen werden, sodass Sie eine Vorstellung davon haben, was da draußen ist, bevor Sie durchgehen und fangen Sie an, diese Netzwerke zusammenzuführen, es wird für all diese anderen Downstream-Situationen viel einfacher sein. Und Sie können diese Daten wirklich an ihrem Punkt im Netzwerk verwalten, anstatt darauf zu warten, dass etwas passiert. Dieser proaktive Ansatz für die Verwaltung der Daten scheint der Schlüssel zu sein, um viele dieser verschiedenen Probleme zu lösen, vom Cyber über eine M- und A-Situation bis hin zu all den verschiedenen miteinander verflochtenen Datenherausforderungen, die im Vordergrund der Präsentation standen, einschließlich nachgeschalteter eDiscovery usw.

Wenn Sie also den Weg der Datendisposition beschreiten und es endlich bis zu einem Punkt geschafft haben, an dem die Rechtsabteilung sagt: „Wir können den Auslöser drücken und möglicherweise einige der Risiken eliminieren, auf denen wir mit unseren Daten im Netzwerk sitzen“, hat NIST auch verschiedene Richtlinien für die Medienbereinigung aufgestellt. in der Lage zu sein, verschiedene Datentypen zu löschen und zu vernichten oder zu löschen.

Sie haben also diese verschiedenen Workflows für das Ende der Lebensdauer Ihrer Daten, die implementiert werden müssen, die das Risiko für Ihr Unternehmen insgesamt wirklich beeinflussen und drastisch reduzieren können und sicherstellen, dass Sie über diesen Prüfpfad verfügen. Sie möchten verstehen, woher all Ihre Daten stammen, wir müssen auch in der Lage sein, zurückzukehren und zu berichten, wohin sie gegangen sind, als wir damit fertig waren.

Also zu Johns Argument, nicht wirklich zu versuchen, den gesamten Ozean auf einmal zu kochen, sondern einen Ansatz für Ihre Informationsverwaltung, Haltung und Erhöhung Ihres Reifegrad zu verfolgen.

Bei HayStackID haben wir diese sechs-Schritte-Methode, um die Arbeitsweise Ihres Unternehmens aus einer programmatischen Perspektive wirklich ändern zu können, aber das geht auf die granulare Ebene von Datei für Datei, E-Mail für E-Mail, Repository für Repository, zu wissen, was da draußen ist, und das kontrollieren zu können.

Da noch ein paar Minuten übrig sind, haben wir ein paar Fragen, die eingegangen sind. Ich werde einmalig lesen und dann können wir diese vielleicht im laufenden Betrieb beantworten.

„Wie navigieren Sie alle und stellen Sie sich zahlreichen Herausforderungen in Bezug auf die Umgebung mobiler Geräte für eDiscovery-Anfragen? Zum Beispiel alle, die remote arbeiten, und Herausforderungen bei der Durchführung von Remote-Akquisitionen von solchen Geräten aus?“

John Wilson

Darüber kann ich sicherlich sprechen. Es gibt viele Herausforderungen mit mobilen Geräten, insbesondere wenn Sie die Remote-Umgebung der heutigen Welt in Betracht ziehen. Wir verwenden Remote-Sammlungs-Toolkits, um eine Menge davon zu tun. Sie können Mobile Device Management (MDM) -Lösungen in Ihrem Unternehmen verwenden, um sicherzustellen, dass die Daten des Unternehmens auf diesen Mobilgeräten unter Kontrolle bleiben.

Mobile Geräte werden sicherlich komplizierter. Viele der Plattformen und Lösungen auf Mobilgeräten fügen ihre eigenen Verschlüsselungsstufen hinzu. Sie fügen Cloud-basierte Speicherlösungen hinzu. Dinge werden also nicht unbedingt lokal auf dem Gerät gespeichert, sie werden in der Cloud gespeichert. Mobile Geräte werden also langsam ziemlich kompliziert. Manchmal müssen wir zwei, drei oder sogar vier verschiedene Dinge tun, um Informationen für eine eDiscovery-Angelegenheit von einem einzigen mobilen Gerät aus zu sammeln. Und all das zu verwalten wird etwas werden, das Sie kennen und Lösungen finden müssen, da einige dieser Plattformen die Daten nur in der Cloud speichern. Es ist nicht mehr auf dem Gerät.

WhatsApp hat zum Beispiel eine neue Oberfläche, die sich in der Beta befindet. Wenn Sie die WhatsApp-Daten sammeln möchten, müssen Sie im Grunde in die Cloud gehen, um sie zu erhalten. Bei den Dingen, die lokal gespeichert werden, handelt es sich nur um wirklich aktuelle, aktive Daten, und es wird so verschlüsselt, dass es sehr schwierig sein wird, sie zu sammeln und zu verwenden.

Mobile Geräte haben also definitiv ihre Herausforderungen, aber es gibt sicherlich Möglichkeiten, damit umzugehen und auf dem Laufenden zu bleiben. Sprechen Sie mit Experten, die täglich und regelmäßig damit Erfahrung haben. Wissen und Knowhow werden der Schlüssel sein, ebenso wie die Informationen, die Richtlinien innerhalb Ihres Unternehmens. Implementieren Sie MDM, das steuert, wie dieses Gerät verwendet wird oder welche Anwendungen auf dem Gerät ausgeführt werden können und solche Dinge, um eine positive Kontrolle darüber zu behalten, wo die Daten sein können und wie Sie sie sammeln müssen?

Matthew Miller

Das ist toll. Also lasst uns alles zusammenbinden.

Letztendlich gibt es all diese unterschiedlichen Herausforderungen, die Einhaltung gesetzlicher Vorschriften, die Verhinderung von Datenschutzverletzungen und die Reaktion auf einen Vorfall, wobei die Datensatzverwaltung auf einem bisher beispiellosen Niveau und Umfang behandelt wird. Es gibt Statistiken, die besagen, dass 90% aller Daten, die heute auf der Welt verfügbar sind, in den letzten zwei Jahren erstellt wurden, also von IDC, und dass 90% dieser 90% unstrukturiert und am schwierigsten zu verwalten sind.

Das Identifizieren, Klassifizieren, Inventarisierung und Beheben von Daten kann daher bei all diesen unterschiedlichen Herausforderungen, der Einhaltung gesetzlicher Vorschriften, der Verhinderung von Datenschutzverletzungen, dem Datensatzmanagement, der eDiscovery und Untersuchungen helfen. Wenn wir unsere Daten besser kennen, können wir all diese Dinge viel effizienter handhaben, um Risiken zu minimieren und die Gesamtkosten für Ihr Unternehmen zu senken.

Noch irgendwelche letzten Kommentare von John oder Mike, bevor ich zum Schluss komme? Und ich werde dem Publikum sagen, dass das Dia-Deck am Ende verfügbar sein wird. Ich glaube, es wird per E-Mail verschickt. Es wird auch in Kürze auf der HayStackID-Website sein und in... wir werden das Transkript auch verfügbar haben.

John oder Mike, irgendeine letzte Bemerkung?

John Wilson

Ich schätze die Zeit aller. Der Schlüssel hierbei ist die Planung und Organisation, um die Risiken zu minimieren und die Datenverbreitung zu minimieren. Da ist viel.

Michael Sarlo

Meine abschließenden Bemerkungen werden sich nur mit den Herausforderungen des Datenschutzes begeben, das ist der Modus Operandum für all das für die Anwälte, für die eDiscovery-Experten, für die Unternehmen. Das Datenschutzrisiko und die wirkliche Betrachtung der Information Governance und sogar die Betrachtung Ihrer Cybersicherheit, Ihres Gerätemanagements, genau der Art und Weise, wie Sie mit einer Erfassung umgehen, welche Art von Daten Sie möglicherweise in einem anderen Land, das Sie möglicherweise nicht kennen, beziehen, die ansässig sind und denen die gerichtliche Regelung unterliegt. Das ist die Art, darüber nachzudenken und voranzukommen.

Matthew Miller

Das ist toll. Mike und John, vielen Dank für Ihre Informationen und Ihren Einblick. Wir möchten uns auch bei allen bedanken, die sich die Zeit genommen haben, um am heutigen Webcast teilzunehmen. Wir wissen, dass Ihre Zeit wertvoll ist und freuen uns, dass Sie sie heute mit uns teilen. Ich hoffe auch, dass Sie die Gelegenheit haben, am Webcast im nächsten Monat teilzunehmen. Es ist derzeit für den 12. Januar geplant. Dieser Webcast wird Protect Analytics enthalten. Es handelt sich um eine exklusive Reihe von Technologien und Prozessen, die Kunden, ihre Datensätze und die Analyse sensibler Informationen ermöglichen, von PII und PHI bis hin zu Anomalien bei Datenverletzungscodes, die durch eine Sammlung proprietärer Workflows und bewährter Tools ermöglicht werden. Unsere Protect Analytics ist eine proaktive oder reaktive Methode, um sensible Datenkonzentrationen, Standorte und Beziehungen zu bestimmen, um Benachrichtigungslisten, Expositionsbewertungen und Ermittlungsziele zu informieren.

Sie finden alle Informationen zu allen Webcasts auf der Website HayStackid.com.

Nochmals vielen Dank für Ihre Teilnahme und ich hoffe, Sie haben einen schönen Tag. Damit ist der heutige Webcast abgeschlossen. Ich danke dir vielmals.

Über HayStackID®

HayStackID ist ein spezialisiertes eDiscovery-Dienstleistungsunternehmen, das Unternehmen und Anwaltskanzleien hilft, Daten bei komplexen, datenintensiven Ermittlungen und Rechtsstreitigkeiten sicher zu finden, zu verstehen und daraus zu lernen. HayStackID mobilisiert branchenführende Cyber-Discovery-Dienste, Unternehmenslösungen und Angebote zur rechtlichen Aufdeckung von mehr als 500 der weltweit führenden Unternehmen und Anwaltskanzleien in Nordamerika und Europa. HayStackID bedient fast die Hälfte der Fortune 100 und ist ein alternativer Cyber- und Rechtsdienstleister, der Fachwissen und technische Exzellenz mit einer Kultur des Kundendienstes mit weißen Handschuhen kombiniert. Neben der konsequenten Rangfolge von Chambers USA wurde das Unternehmen kürzlich von IDC MarketScape zum weltweit führenden Anbieter von eDiscovery-Services und im Gartner Market Guide for E-Discovery Solutions 2021 als repräsentativer Anbieter ausgezeichnet. Darüber hinaus hat HayStackID die SOC 2 Type II-Bescheinigung in den fünf Bereichen Sicherheit, Verfügbarkeit, Verarbeitungsintegrität, Vertraulichkeit und Datenschutz erhalten. Weitere Informationen zu seinem Dienstleistungsangebot, einschließlich Programmen und Lösungen für einzigartige rechtliche Unternehmensanforderungen, finden Sie auf HayStackid.com.