Getty Images/iStockphoto
Unstrukturierte Daten Compliance-konform absichern
Data-Protection-Teams müssen mit allen regionalen und branchenspezifischen Vorschriften vertraut sein, um unstrukturierte Daten vorschriftsmäßig zu sichern.
Compliance-Vorschriften setzen Unternehmen unter Druck, Daten aufzubewahren und zu verwalten, da sonst hohe Geldstrafen drohen. Unstrukturierte Daten, so chaotisch sie auch sein können, sind von solchen Anforderungen nicht ausgenommen.
Unternehmen sollten ihre Backup- und Data-Protection-Strategien im Hinblick auf die Einhaltung von Vorschriften für unstrukturierte Daten überprüfen. In der Regel sollten regulierte Unternehmen ein Tool zur kontinuierlichen Datensicherung (Continuous Data Protection) verwenden, um unstrukturierte Daten bei jeder Änderung zu sichern. Die Datenaufbewahrung ist ein wichtiger Bestandteil der Compliance für unstrukturierte Daten. Ein Unternehmen muss die Unterstützung der Versionskontrolle aktivieren, um sicherzustellen, dass alle früheren Versionen einer Datei in den Backups des Unternehmens so lange aufbewahrt werden, wie dies gesetzlich vorgeschrieben ist.
Um einen angemessenen Schutz unstrukturierter Daten zu gewährleisten, müssen Backup-Teams nicht nur den Speicherort der verschiedenen Datentypen kennen, sondern auch feststellen, welche Compliance-Anforderungen für diese Daten gelten. Zu den wichtigsten Vorschriften, die es zu verstehen gilt, gehören die folgenden:
Die Bestimmung, welche Compliance-Vorschriften ein Unternehmen erfüllen muss, sollte bei der Festlegung der Backup- und Data-Protection-Strategie helfen.
Erfüllung unterschiedlicher Compliance-Anforderungen
Eine der größten Herausforderungen im Zusammenhang mit der Einhaltung von Vorschriften für unstrukturierte Daten besteht darin, dass nicht alle Daten eines Unternehmens denselben Regeln unterliegen.
In der Gesundheitsbranche gibt es zahlreiche Beispiele für dieses Problem. Inhalte sozialer Medien, medizinische Notizen, Röntgenbilder und Aufzeichnungen von Patiententherapiesitzungen sind alles Beispiele für unstrukturierte Daten. Zu den strukturierten Daten gehören beispielsweise Gewichte und Labortests.
Viele Gesundheitsdienstleister haben Dateiserver, die eine Vielzahl unterschiedlicher Dateien enthalten. Wenn eine dieser Dateien persönlich identifizierbare geschützte Gesundheitsinformationen enthält, fallen diese Dateien zweifellos unter die HIPAA-Datenaufbewahrungs- und Schutzanforderungen.
HIPAA gilt jedoch nicht für anonymisierte Daten. Wenn ein Dokument medizinische Daten enthält, die auf eine Weise anonymisiert wurden, die es unmöglich macht, die Daten zu bestimmten Patienten zurückzuverfolgen, dann gelten die HIPAA-Anforderungen nicht für dieses Dokument.
Ähnliche Beispiele gibt es im geschäftlichen Bereich in großen Mengen. In Personalabteilungen gibt es beispielsweise eine Mischung aus unstrukturierten und strukturierten personenbezogenen Daten, die verschiedenen Compliance-Anforderungen unterliegen.
Unternehmen gehen mit den unterschiedlichen Aufbewahrungs- und Schutzanforderungen auf unterschiedliche Weise um. Einige wenden einfach dieselben Richtlinien auf alle ihre Daten an, unabhängig davon, ob dies für eine bestimmte Datei erforderlich ist oder nicht. Auf diese Weise wird sichergestellt, dass nichts übersehen wird.
Andere Unternehmen verwenden ein Kennzeichnungssystem, um die für eine bestimmte Datei geltenden Regeln zu bestimmen. Die Idee ist, dass ein Benutzer beim Erstellen einer Datei ein oder mehrere Tags an die Datei anhängt. Die Backend-Software verwendet diese Tags, um den Lebenszyklus der Datei, ihre Aufbewahrungsrichtlinien und die Art der Sicherung zu bestimmen.
Das größte Hindernis bei diesem Ansatz ist, dass viele Dateiserver die Verwendung von Tags nicht von Haus aus unterstützen. Ein Unternehmen muss unter Umständen in Software von Drittanbietern investieren oder seine unstrukturierten Daten auf eine andere Plattform migrieren, zum Beispiel Microsoft 365, Microsoft SharePoint oder Komprise Intelligent Data Management.