Chance wahrnehmen – auch für die Digitalisierung
Der Prozess zum Erlangen der GDPR-Compliance bis 25. Mai 2018 ist eine Chance, sich mit der Sicherheit und dem Schutz der eigenen Daten kritisch auseinanderzusetzen, Licht in die «ShadowIT» zu bringen und dadurch auch mehr Kontrolle zu erlangen und Vertrauen zu schaffen. Man sollte hier begleitet werden von der Analyse (z.B. Risiko- und Compliance-Bewertung) über das Ergreifen geeigneter technischer und organisatorischer Massnahmen (z.B. auch Datenschutz-Sensibilisierungs-Trainings und detaillierte Aufklärung der Mitarbeiter und Kunden bezüglich z.B. Einsatz von „work analytics / monitoring“ mittels Technologien wie „data loss prevention DLP“, „legal hold“, „data classification / encryption“, next Generation Firewall NGWF“, „unified threat Management UTM, „mobile device Management MDM“, „bring your own device BYOD“) bis hin zur Erfolgskontrolle (z.B. auch Assessments, Penetration-Tests).
Vertrauen in Erfahrung und Engagement – Der Kunde profitiert von Erfahrungen
Durch langjährigen Erfahrungen aus z.B. eigenem Rechencenter-Betrieb und des ICT-Beratungs-Angebots für Organisationen sollten spezialisierte Anbieter engagieren für die Bedürfnisse und zukunftsorientierten Massnahmen. Zusätzlich sollte der Anbieter als sehr engagierter, zertifizierter Partner auf aktuellste Entwicklungen und spezieller Zusammenarbeit / Service Level Agreement SLA mit den Technologie-Anbietern basieren. Allenfalls auch mittels zusätzlichen Verbandsaktivitäten und Fachexperten-Gruppenmitgliedschaften in speziell auch aktuellen Gesetzesvernehmlassungen und normativen Bereichen sollte diese Expertise weiter durch das aktuellste Wissen / Networking gefördert werden.
Die nötigen Schritte – mit Unterstützung von Partnern
- Analyse + Klassifizierung: Wo sind welche persönliche, kritische Daten im Unternehmen?
- Regulieren + Labeling: Zugang zu und Verarbeitung von persönlichen Daten
- Schutz und Audit der Datensicherheit in technischer und organisatorischer Sicht
- Berichte, Anfragehandling, Automatisierung, Dokumentation, Monitoring, Alarmierung
Diese teilweise umfassende Massnahmen können ebenfalls als weitere Chance und Mehrwert erstklassigen Schutz bieten vor Klagen im Hinblick auf geistiges Eigentum (intellectual property IP) und vor Risiken in der Cloud. In partnerschaftlicher Zusammenarbeit mit unseren Kunden sind wir bestrebt, ein Umfeld zu schaffen, in dem Entwickler, Unternehmer, Unternehmen und Kunden „vertrauensvoll und geschützt“ Innovationen schaffen können in einem „Security Development LifeCycle“.
Aktualisierte oder neue Regulationen wie die in der Schweiz in Vernehmlassung stehenden Datenschutzgesetz (CH-DSG), Elektronische Identität (CH-e-ID), Bundesgesetz über das elektronische Patientendossier (CH-EPDG) und auch europäische / internationale Gesetze und Standards wie die Datenschutz-Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) haben anspruchsvolle und je nach Business Modell (z.B. bezüglich dem Umgang und Nutzung von personensensitiven Daten) tiefgreifende Auswirkungen und möglichst frühzeitige Massnahmen zur Folge in der Organisation / Prozesse / ICT-Prozesse bis hin zur Firmen- und ICT-Strategie. Beim EU-DSGVO / GDPR ist das als Beispiel bis spätestens dem 15. Mai 2018 der Fall.
Mittels Regeln soll die Verarbeitung von personenbezogenen Daten (auch Datenhoheit, Daten-Selbst- oder Mit-Bestimmung, Datenlöschung, privacy by design, privacy by default) durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Dass hierbei das Binnenland Schweiz sich im Rahmen der eigenen Regulation nicht abschotten darf und kann ist aus meiner Sicht selbsterklärend. Schliesslich muss sich auch die Schweiz im Rahmen der Industrie 4.0 / Digitalisierung orientieren an Europa bzw. internationale Standards und nur dadurch von adaptierbare Innovationen von neuesten Entwicklungen in den Bereichen wie z.B. CyberSecurity, Privacy, Clouds, AI, Big Data, Data Science mitprofitieren kann im globalen Wettbewerb.
Was das in der Praxis bedeutet erfährt derzeit eine inflationäre Meinungsbreite. Folgend einige persönliche Meinungen:
Eigentlich kann der Datenschutz als Hochseil-Balanceakt und Gratwanderung zwischen den Unternehmensanforderungen in Zeiten der Digitalisierung und des Erfüllungsgrades der zunehmenden Bürokratie verstanden werden. Die Frage nach dem Fangnetz oder Balance-Werkzeug (z.B. von Strategie, Technologie und Prozessen) ist berechtigt.
Obwohl derzeit noch keine ausreichende Langzeit-Daten oder Erfahrungswerte vorhanden sind kann man eigentlich derzeit nur eine weitere Meinung einnehmen oder kundtun bzw. derzeit in “security minded best practices” Prozess- und Technologie-Gestaltung vorbereiten und stufenweise einführen. Dabei sollte man auch eine gewisse Flexibilität für die anzunehmende Dynamik der weiteren Entwicklung beibehalten in der entsprechenden ICT-Gesamtarchitektur.
Derzeit gehören sicherlich die Aspekte des benötigten Datenschutzbeauftragten DSB / “data protection officer” DPO und der denkbaren Datenschutzverletzungen zur Risikominimierung (“data breach notification”) / Datenschutzfolgenabschätzungen (wird zu einem Teilbereich von “Risk Management”, internen Kontrollsystemen IKS oder “Incident Response Management”) zu den ersten praktischen Prioritäten. Bei den offiziellen Gesetzes-Vernehmlassungen zum CH-DSG , CH-e-ID, CH-EDPG seitens Bundesbern (bei welchem ich mit grossem Eigen- und Unternehmer-Interesse mitwirkte in Taskforces seitens isss.ch) ist entsprechende diesbezügliche Anpassung oder nötige Orientierung an die europäische Gesetzesgebung bzw. internationalen Standards abzusehen. Ungeachtet dessen kommt (zum Glück, aber jedoch nur wenigstens…) unverändert die einzuhaltende Pflicht gemäss CH-OR zur Anwendung von “Treue und Sorgfaltspflicht” beim Umgang mit Daten von Kunden und Geschäftspartnern.
In Anbetracht der umfassenden Überarbeitung und Zukunftsausrichtung von Privacy / Datenschutz ist natürlich erkennbar, dass prinzipiell ALLE Unternehmen, Branchen, Anbieter, Provider betroffen sind und alle zu “Hochseil-Tänzern” (hoffentlich mit besagtem Fangnetz oder Balance-Werkzeug) werden (müssen). Speziell genannt seien auch das Gesundheitswesen (eHealth, EPDG), Schulen, Universitäten, Personalwesen (HR Analytics, Recruiting, Assessment, Work Analytics), Platform-Economy (z.B. CRM, Nutzerverhalten, Einkaufsverhalten, Social Media / Engagement Analytics) und generell die “digitale Gesellschaft”.
Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der integrierten Collaboration – auch auf Basis von ICT-Systemen / Clouds und Schnittstellen mit dem Fokus auf maximale, auditierbare Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten.
Es sollen möglichst produkte- und methoden-neutrale Ansätze / Fragestellungen, aber basierend auf Regulationen / Industriestandards und durch jede Firmen- / Projekt-Grösse adaptierbare «best practices» umfassend / verständlich aufgezeigt und passend eingeführt werden. Und zwar so automatisiert und integriert, dass der betroffene Anwender, Geschäftspartner oder Kunde dadurch nicht gestört oder eingeschränkt wird, jedoch zu den relevanten Auswirkungen im Bilde ist, informiert wird und die transparente Kontrolle erhält und behält bei Bedarf. Dabei sollten auditierbare Prozess-Zyklen unter den Aspekten «identify + classification» / «labeling» / «protection» / «share» / «monitoring + logging» / «report + auditing» beachtet werden.
Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Industrie 4.0 / Digitalisierung und neuen Universen wie auch IoT, Big Data, Data Science, Künstliche Intelligenz AI, «Cyberphysical Systems» hinterlassen Konzept- und Security-Fragen welche dann auch «managed» und «auditiert» werden müssen.
Ein reiner «Schweizer Datenschutz» in der Regulierung / Standardisierung ist aktiv zu verhindern, verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten.
Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» (Fridel Rickenbacher ist ebenfalls Akteur) werden ebenfalls adaptierbare «Outcomes» (der bisherigen 16 verabschiedeten und kommenden Massnahmen) von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Spitäler, Grossbauten zu erwarten sein. Die zweite Auflage des NCS wird derzeit erarbeitet und bis Ende 2017 sollten weitere Details hierzu verfügbar sein.
Seit letztes Jahr laufende «Digitalisierungstest der Schweizer Gesetze» seitens SECO Bern (siehe Interview seitens Fridel Rickenbacher mit Dr. Eric Scheidegger) bilden ein weitere Grundlage für kommende Standards und Merkblätter oder gar Normierungen in allen Bereichen.
«Open Systems / Open Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.
Ein «Security minded» Modell dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren (Mensch – Prozesse – Technologie – unter Betrachtung der physischen und logischen Sicherheit).
Eine intelligent orchestrierte, vollintegrierte ICT-Gesamtarchitektur mit Maximierung von Angriffs- und Betriebs-Sicherheit wird zur einer mittragenden Säule für die Industrie 4.0 / neue Geschäftsmodelle bzw. in diesem Anwendungsfall für die Erreichung des höchsten «Maturity Levels» / Reifegrades von bestehenden oder neuen «Business Models» / Geschäftsmodellen.
Die Zukunft wird geprägt werden von (hoffentlich) security minded «Business Model Maturity Empowering» oder «Data Monetization» von allen «Business Models» / Geschäftsmodellen mittels ICT, Big Data, AI, Data Science.
Der Betriff «Data Monetization» oder ganz einfach übersetzt «Daten zu Erfolg bringen und zu Geld machen» zeigt einen anspruchsvollen Weg (oder gar Widerspruch?!) auf von Fachbereichen (Hochseil-Akt wie besagt…) wie «Privacy & Security», «Information Ethics» oder Ideen / Konzepte / Visionen der «digitalen Gesellschaft» oder auch «Open Data».