agcreativelab - stock.adobe.com
Disaster Recover und Data Protection für Home-Office-Daten
Eine Data-Protection-Strategie für Home-Offices erfordert, dass Unternehmensmitarbeiter Zugriff auf alle Daten haben und gleichzeitig vor Bedrohungen wie Schatten-IT geschützt sind
Der starke und plötzliche Anstieg der Fernarbeit aufgrund der COVID-19-Pandemie hat die Risiken, die mit dem Verlust von Daten durch Schatten-IT verbunden sind, deutlicher denn je gemacht. Vor dem „Work-from-home“-Boom waren die Sicherheitsmaßnahmen und Disaster-Recovery-Pläne vieler Organisationen unvollendet oder unzulänglich. Die Verantwortlichen für Remote-Datenschutz und Disaster Recovery (DR) müssen nicht nur gewährleisten, dass Unternehmensdaten sicher sind, sondern auch sicherstellen, dass sie die Bedrohung durch Schatten-IT beherrschen.
BYOD (Bring Your Own Device, zu deutsch Bring dein eigenes Gerät) ermöglicht es den Mitarbeitern, ihre persönlichen Geräte, wie Smartphones, Tablets und Laptops, für Arbeitszwecke zu nutzen.
Dies ist vor allem bei der Arbeit von zu Hause aus bequemer, erhöht jedoch die Sicherheitsbedenken. Angesichts der Social-Distancing-Richtlinien des Coronavirus, die die Menschen zu Hause halten, müssen Organisationen ihre BYOD-Fähigkeiten und -Richtlinien bewerten.
„Wenn Sie von zu Hause ausarbeiten, werden die Menschen zunehmend eigene Geräte verwenden, die von der IT-Abteilung wahrscheinlich nicht gesichert werden können und denen möglicherweise Authentifizierungsprotokolle und andere Kontrollmittel fehlen“, mahnt Phil Goodwin, ein Forschungsdirektor des IDC.
Hinzu kommt, dass es immer noch die immer wiederkehrenden Probleme der Schatten-IT gibt. Schatten-IT bezieht sich auf Hardware oder Software, die innerhalb einer Organisation verwendet wird, aber nicht von der IT-Abteilung dieser Organisation unterstützt wird.
Dies kann ein Faktor bei den Entscheidungen sein, die Abteilungen und Geschäftszweige über den Kauf eines Ferndatensicherungsdienstes treffen, wie zum Beispiel Disaster Recovery in der Cloud. Viele tun dies, ohne über die Corporate Governance nachzudenken oder diese zu verstehen. Auch wird oft ignoriert, dass Corporate Governance mit den Erwartungen des Unternehmens in Bezug auf Service-Level in Einklang zu bringen ist.
„Das sind die Dinge, die ein Unternehmen wirklich in die Irre führen können“, meint Goodwin. Der unabhängige IT-Analyst Greg Schulz stimmte zu, dass sich die Schatten-IT wahrscheinlich wieder ansteigt, wenn Remote-Operationen zur Norm werden.
„Organisationen haben sich vielleicht ihre eigenen Systeme und Software besorgt und alle an Amazon, Azure oder Google verwiesen, und sie wissen nicht einmal, ob die Daten im Land oder außerhalb des Landes sind“, betont er.
Probleme tauchen vielleicht nicht sofort auf, aber wenn sie auftauchen, so Schulz, werden die Mitarbeiter wahrscheinlich alle Probleme an die IT-Abteilung weitergeben. Infolgedessen fragen sich IT- und DR-Profis, ob sie wirklich wissen, wo ihre Daten sind, wer auf sie zugreifen kann und wer sie schützt.
Improvisation kann zur Katastrophe führen
Da Einzelpersonen weniger Möglichkeiten zur direkten Zusammenarbeit haben, während sie aus der Ferne arbeiten, ist es wahrscheinlicher, dass sie gut gemeinte, aber fehlgeleitete Aktionen mit Daten und Prozessen unternehmen, sagte Goodwin.
Indem man ihnen bessere Informationen und alternative, vom Unternehmen genehmigte Tools zur Verfügung stellt, kann man sicherstellen, dass die Datensicherheit nicht durch Improvisationen der Mitarbeiter gefährdet wird. Um zu gewährleisten, dass die Mitarbeiter die Unternehmensalternative auch tatsächlich nutzen, müssen Firmen jedoch eine Alternative wählen, die genauso gut oder besser ist als externe Optionen.
Eine der Herausforderungen für den IT-Betrieb, von denen Goodwin sagt, er höre oft davon, besteht einfach darin, mit der Nachfrage der Endbenutzer nach neuen IT-Dienstleistungen Schritt zu halten. Wenn die IT ins Hintertreffen gerät und nicht in der Lage ist, auf diese Anfragen zu reagieren, beginnen die Endanwender, die Dinge selbst in die Hand zu nehmen.
Phil GoodwinIDC
„Wenn die IT flexibler reagieren kann, vielleicht durch die Bereitstellung von Cloud-basierten Lösungen oder durch die Einbeziehung der Benutzer in die Auswahl neuer Dienste, können sie mehr Einfluss und Kontrolle zurückgewinnen“, bekräftigt Goodwin.
Aufklärung darüber, wie BYOD am besten durchgeführt werden kann, ist sehr wichtig.
„Sie müssen mit den Endbenutzern über ihre Geräte kommunizieren, und gleichzeitig müssen Sie in Betracht ziehen, im Bereich des Datenschutzes und der Datenerfassung mehr Edge-Funktionalitäten zu implementieren“, sagt Goodwin.
Zusätzlich zur Information der Mitarbeiter muss eine Organisation über eine Richtlinie zur akzeptablen Nutzung (Acceptible Use Policy, AUP) verfügen, die die Regeln für Unternehmensdaten auf persönlichen Geräten festlegt.
Zahlreiche kostengünstige Dienste können dazu beitragen, das Data-Protection-Risiko externer Daten zu verringern, das von Mitarbeitern ausgeht, die von zu Hause aus arbeiten. Zum Beispiel kann McAfee-Consumer-Software eine Basis für Sicherheit schaffen. Backup- und DR-Anbieter wie Acronis, Carbonite oder Druva können ein gewisses Maß an Datenschutz mit verschiedenen Serviceoptionen bieten. Wenn das Unternehmen für diese Dienste bezahlt, könnte es möglicherweise ein größeres Maß an Kontrolle über seine Unternehmensdaten erlangen.
Wenn Menschen persönliche Geräte verlieren, ist es besser, wenn die Unternehmensdaten verschlüsselt sind und aus der Ferne gelöscht werden können (Remote Wipe). Laut Goodwin können Löschpraktiken problematisch sein, wenn auch persönliche Daten eliminiert werden. „Glücklicherweise gibt es jetzt mehr Finesse, so dass man sich nur auf die Unternehmensdaten konzentrieren kann“, sagte Goodwin. Allerdings muss die Geschäftsleitung die Mitarbeiter über alle Fernlöschpraktiken in der AUP informieren.
Disaster Recovery muss anzupassen sein
Naveen Chhabra, Analyst bei Forrester Research, bestätigt, dass die Anbieter von Disaster-Recovery-Services unter enormem Druck stehen, wenn sie sich anpassen und versuchen, ihre Mitarbeiter zu unterstützen und es ihnen zu ermöglichen, von zu Hause aus zu arbeiten, während sie gleichzeitig den Kunden kontinuierliche Unterstützung bieten. Die derzeitige COVID-19-Krise kann zu Lücken führen, da die DR-Dienstleister nur über eine begrenzte physische Unterstützung vor Ort verfügen werden. Es ist ideal, frühzeitig mit einem Dienstleister zusammenzuarbeiten und proaktiv zu sein, aber wenn das nicht der Fall ist, sollte man zumindest wachsam sein und mit ihm kommunizieren.
Im Hinblick auf die eigenen Fähigkeiten einer Organisation zur Wiederherstellung sagt Chhabra, dass jetzt in der Regel weniger Leute vor Ort sind oder manche Mitarbeiter die Aufgaben nicht aus der Ferne erledigen können. Die Nutzung der Vorteile der DR-Automatisierung kann dabei helfen.
Natürlich ist nicht jedes Unternehmen mit dem gleichen Szenario konfrontiert. Aus der Sicht von Schulz scheint es, dass die Unternehmen, die in der Vergangenheit auf die Fernarbeit gesetzt haben, selbst wenn die Mitarbeiter sie nur einmal pro Woche oder einmal pro Monat nutzen, viel besser abschneiden.
„Sie verfügen über die vorhandene Infrastruktur und sind gerade dabei, sich zu modernisieren und zu erweitern, um einen schnellen Einsatz für alle zu unterstützen“, sagt er. „Sie sind vorbereitet; es ist nur eine Frage des Scale-Up.“
Mit Blick auf die Zukunft sagte Schulz, dass viele Aspekte der Pandemieperiode zur „neuen Normalität“ werden könnten.
„Es ist wahrscheinlich ein guter Weckruf, im 21. Jahrhundert anzukommen und sicherzustellen, dass VPNs und sichere Gateways vorhanden sind und das Personal und die Prozesse, um all das zu unterstützen“, sagte Schulz. Es wird auch entscheidend sein, die Fähigkeit zu haben, schnell auf- und abwärts skalieren zu können, so dass Mitarbeiter im Notfall schnell und vorübergehend Zugang erhalten, bis die Krise vorüber ist.
„Es gibt eine lange Einkaufsliste, auf der Dinge wie Verschlüsselung und starke Authentifizierung stehen sollten“, sagt Schulz. „Die neue Parole lautet 'sei vorbereitet'.“