Vertrauensbildung in einer datengesteuerten Welt: Verantwortung und Rechenschaftspflicht

von | Mrz 28, 2024 | Cyber Security | 0 Kommentare

Vertrauensbildung in einer datengesteuerten Welt: Verantwortung und Rechenschaftspflicht

Letzten Monat haben wir einen fünfstufigen Ansatz für mehr Sicherheit und Compliance vorgestellt.  Jetzt möchten wir Sie auf eine Reise mitnehmen und jeden Monat einen tieferen Einblick in diese fünf Schritte geben: Wie können Sie sie in Ihre eigenen Strategien zur Datenzugriffskontrolle einbauen?

Das erste Thema: „Die Verantwortung für digitale Daten klar definieren“.

Wenn Daten der Eckpfeiler moderner Geschäftsprozesse sind, ist es für Unternehmen von entscheidender Bedeutung, klare Richtlinien und Verantwortlichkeiten für ihre Verwaltung festzulegen. Sie würden kein Bürogebäude eröffnen, ohne jemanden anzustellen, der für die Überwachung des ordnungsgemässen und sicheren Betriebs verantwortlich ist. Das Gleiche gilt für Ihre digitalen Ressourcen.

Digitale Verantwortung der Unternehmen (Corporate Digital Responsibility, CDR)

Eine Reihe von Strategien, die im Fokus stehen, ist die digitale Verantwortung der Unternehmen (Corporate Digital Responsibility, CDR). Sie wurde 2023 in der internationalen, von Fachleuten geprüften und frei zugänglichen Zeitschrift „Sustainability“ veröffentlicht. CDR geht über blosse Rhetorik hinaus. Es ist ein Grundprinzip, das auf ethischen Geschäftspraktiken im digitalen Zeitalter basiert. Die Autoren dieses Berichts haben zwei Hauptkategorien identifiziert, die zu berücksichtigen sind.

  1. Unternehmensverantwortung in der Digitalisierung: dazu gehören unvoreingenommene Datenerfassung, Datensicherung und Datenpflege.
  2. Digitale Unternehmensverantwortung: dazu gehören eine angemessene Dateninterpretation, objektive Ergebnisprognosen und die Bewältigung von Wertekonflikten bei datengesteuerten Entscheidungen.

Der Bericht hebt einige der Hauptrisiken hervor, die Sie bei der Festlegung der Verantwortung innerhalb Ihres digitalen Ökosystems beachten sollten:

  1. Unvoreingenommene Datenerfassung: Der Prozess der Datenerfassung kann voreingenommen sein, was zu verzerrten oder ungenauen Ergebnissen führen kann.
  2. Schutz der Daten: Der Schutz der gesammelten Daten ist eine grosse Herausforderung. Verstösse können zum Verlust sensibler Informationen führen.
  3. Datenpflege: Die Gewährleistung der Integrität und Genauigkeit der Daten im Laufe der Zeit ist eine wichtige Aufgabe.
  4. Angemessene Datenauswertung: Fehlinterpretationen von Daten können zu falschen Schlussfolgerungen und Entscheidungen führen.
  5. Objektive vorhergesagte Ergebnisse: Auf Daten basierende Vorhersagen sollten objektiv und unvoreingenommen sein.
  6. Bewältigung von Wertekonflikten bei der datengestützten Entscheidungsfindung: Es kann eine Herausforderung sein, bei datengestützten Entscheidungen ein Gleichgewicht zwischen den Werten der verschiedenen Interessengruppen herzustellen.

Durch die Einführung von CDR als Rahmen für die digitale Datenverantwortung können Unternehmen das Vertrauen ihrer Kunden und Stakeholder stärken und gleichzeitig die mit Datenmissbrauch oder Datenschutzverletzungen verbundenen Risiken mindern.

Einhaltung von Vorschriften und Datenverantwortung

Das regulatorische Umfeld, das Daten umgibt, kann überwältigend sein. Wir können den Rahmen aber nutzen, der durch Rechtsvorschriften wie die Allgemeine Datenschutzverordnung (GDPR) geschaffen wurde, um uns bei der Einführung einer robusten, gesetzlich entsprechenden Strategie für die Datenzugriffskontrolle zu unterstützen.

  1. Rechtmässigkeit, Fairness und Transparenz: Personenbezogene Daten müssen rechtmässig, nach Treu und Glauben und auf transparente Art und Weise verarbeitet werden.
  2. Zweckbindung: Die Daten sollten für festgelegte, eindeutige und rechtmässige Zwecke erhoben und nicht in einer Weise weiterverarbeitet werden, die mit diesen Zwecken unvereinbar ist.
  3. Datenminimierung: Die erhobenen Daten sollten angemessen und sachdienlich sein und sich auf das beschränken, was im Hinblick auf die Zwecke, für die sie verarbeitet werden, erforderlich ist.
  4. Korrektheit: Personenbezogene Daten sollten richtig sein und, wenn nötig, auf dem neuesten Stand gehalten werden.
  5. Begrenzung der Speicherung: Personenbezogene Daten sollten in einer Form aufbewahrt werden, die die Identifizierung der betroffenen Personen ermöglicht, und zwar nicht länger, als es für die Zwecke, für die die personenbezogenen Daten verarbeitet werden, erforderlich ist.
  6. Integrität und Vertraulichkeit (Sicherheit): Personenbezogene Daten sollten in einer Weise verarbeitet werden, die eine angemessene Sicherheit der personenbezogenen Daten gewährleistet, einschliesslich des Schutzes vor unbefugter oder unrechtmässiger Verarbeitung und vor versehentlichem Verlust, Vernichtung oder Beschädigung.
  7. Rechenschaftspflicht: Der für die Datenverarbeitung Verantwortliche sollte für die Einhaltung der oben genannten Grundsätze verantwortlich sein und dies auch nachweisen können.

Dateninnovation und künstliche Intelligenz

Künstliche Intelligenz (KI) hat die Art und Weise, wie Unternehmen Daten nutzen, verändert und Innovationen in verschiedenen Sektoren auf unglaubliche Weise vorangetrieben. Der Erfolg von KI-Anwendungen hängt jedoch von der Qualität und Integrität der zugrundeliegenden Daten ab. Das erfordert eine engagierte und fachkundige Aufsicht in Ihrem Unternehmen. Wenn Sie jemanden mit der direkten Verantwortung für Datenqualität betrauen, können Sie die Zuverlässigkeit und Genauigkeit der KI-gestützten Erkenntnisse sicherstellen.

Gartner hat das Schliessen der Vertrauenslücke bei der KI-Verantwortlichkeit und der Datenverantwortung als einen der Schlüsselfaktoren für den kurzfristigen Erfolg dieser Innovationen identifiziert.

Svetlana Sicular, Research Vice President bei Gartner, erklärt: „Mehr Vertrauen, Transparenz, Fairness und Überprüfbarkeit von KI-Technologien sind für eine Vielzahl von Interessengruppen von wachsender Bedeutung. Verantwortungsbewusste KI hilft dabei, Fairness zu erreichen, auch wenn in den Daten Verzerrungen enthalten sind, Vertrauen zu gewinnen, auch wenn sich die Methoden für Transparenz und Erklärbarkeit weiterentwickeln, und die Einhaltung gesetzlicher Vorschriften zu gewährleisten, während man sich mit der probabilistischen Natur der KI auseinandersetzt.

Datenzugriffskontrolle in der Datenverwaltung

Eine wirksame Datenverwaltung beginnt mit robusten Zugriffskontrollen, die den unbefugten Zugriff einschränken, aber die Arbeitsabläufe derjenigen, die einen rechtzeitigen und sicheren Zugriff benötigen, nicht behindern. Wie in diesem Artikel auf dem beliebten Lernportal DATAVERSITY erörtert, ist dies eine der wichtigsten Komponenten Ihrer Data Access Management-Strategie.

Ziel ist es, eine Hierarchie von Zugriffsrechten nach dem „Prinzip der geringsten Rechte“ (PoLP) zu definieren, bei dem ein Benutzer nur die Mindestzugriffsrechte erhält, die für die Erfüllung seiner Aufgaben erforderlich sind.

Um dies zu erreichen, bildet die rollenbasierte Zugriffskontrolle (RBAC) den Eckpfeiler der Zugriffsverwaltung. Sie ermöglicht es, Organisationen spezifische Privilegien auf der Grundlage der Rollen und Verantwortlichkeiten der Benutzer zuzuweisen. Durch die Kombination von PoLP und RBAC wird das Risiko der Datenexposition minimiert, indem der Zugang der Benutzer auf die für ihre Aufgaben erforderlichen Informationen beschränkt wird.

Stammdatenverwaltung (MDM)

Die Stammdatenverwaltung (Master Data Management, MDM) spielt eine entscheidende Rolle bei der Sicherstellung der Datenkonsistenz und -qualität im gesamten Unternehmen. Daher ist es wichtig, diese Idee in die Grundlagen Ihrer Datenzugriffskontrollstrategie einzubauen. Durch die Zentralisierung und Standardisierung kritischer Datenbestände ermöglicht MDM Unternehmen, eine einzige Quelle der Wahrheit zu erhalten und dadurch die betriebliche Effizienz und die Genauigkeit der Entscheidungsfindung zu verbessern. Effektive MDM-Praktiken umfassen Data-Governance-Rahmenwerke, Validierungsprozesse und eine kontinuierliche Überwachung, um die Datenintegrität und -zuverlässigkeit zu gewährleisten.

Abgesehen von den Sicherheitsvorteilen bietet eine solche Datenstrukturierung Echtzeit-Zugang zu genauen Erkenntnissen und hilft Ihrem Unternehmen, sich auf die unbekannten Wendungen einer sich ständig verändernden Welt vorzubereiten. In diesem Artikel über Reltio heisst es: „Ein grossartiges Beispiel dafür, dass einsichtsfähige Daten erfolgsentscheidend waren, zeigte sich während der weltweiten Pandemie. Als Unternehmen schnell auf das sich ändernde Verbraucherverhalten reagieren mussten, konnten sich die Unternehmen, die über bewährte Verfahren für die Stammdatenverwaltung verfügten, verlassen. Sie waren schneller in ihrer Reaktion.“

Sechs wichtige Fragen bei der Festlegung der Datenverantwortung

  • Was ist Data Governance? Data Governance ist ein strategisches Programm zur Optimierung der Art und Weise, wie ein Unternehmen mit Daten umgeht. Es zielt darauf ab, die Richtlinien und Verfahren zu organisieren und zu verbessern, die ein Unternehmen verwendet, um Geschäftsdaten zu definieren, zu sammeln, zu speichern, zu sichern, zu verwalten und zu monetarisieren.
  • Was gehört zu Data Governance? Data Governance umfasst Menschen, Prozesse und Informationstechnologie. Sie bewertet und definiert Rollen und Zuständigkeiten neu, erweitert die Richtlinien zur Verbesserung der Kommunikation und des Austauschs zwischen Abteilungen, definiert und erweitert den Zugang zu geschäftskritischen Daten und standardisiert die Verfahren zur Datenerfassung und -verarbeitung, um die Qualität und Konsistenz der Unternehmensdaten zu gewährleisten.
  • Sind wir auf eine Datenpanne vorbereitet? Um eine wirksame Reaktion auf einen Vorfall zu gewährleisten, ist es wichtig, über gut dokumentierte Prozesse zu verfügen. Regelmässige Sicherheitsübungen können den Teams helfen, den Umgang mit Datenschutzverletzungen zu üben und ihre Reaktionsfähigkeit in der Zukunft zu verbessern.
  • Verfügen wir über einen Plan zur Reaktion auf einen Sicherheitsvorfall, um mit einer Sicherheitsverletzung umzugehen? Ein Notfallplan ist für die Vorbereitung, Identifizierung, Eindämmung und Wiederherstellung nach einem Sicherheitsvorfall unerlässlich.
  • Wissen wir, wie, wann und wen wir im Falle einer Datenschutzverletzung benachrichtigen müssen? Das Versäumnis, eine Datenschutzverletzung zu melden, kann schwerwiegende finanzielle Folgen haben. Für das Incident-Response-Team ist es von entscheidender Bedeutung, die Regeln für die Meldung von Datenschutzverletzungen zu kennen, die durch die neuen globalen Datenschutzgesetze auferlegt werden.
  • Wissen wir, wo sich unsere risikoreichsten Daten befinden? Um die potenziellen Auswirkungen einer Datenschutzverletzung genau einschätzen zu können, ist es entscheidend, die Datenbestände in Ihrem Unternehmen zu ermitteln.

Quelle Beitragsbild: Freepik

Kommentar absenden

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert