Die Spannung zwischen Datensicherheit und Automatisierung abbauen
Die Automatisierung steht im Widerspruch zur Datensicherheit im Unternehmen. Warum?
Der Kern des Problems
Durch Automatisierung wird die Produktivität durch Nutzung der Maschinenleistung gesteigert. In einer Cloud können zahlreiche Server zum Preis eines menschlichen Information Workers gekauft oder gemietet werden. Der Zugriff auf Unternehmensdaten verstößt jedoch – insbesondere angesichts der Geschwindigkeit und des Volumens, mit der die Maschinen arbeiten – gegen unzählige Richtlinien, die entwickelt und durchgesetzt werden, um das Risiko der Verbreitung und Offenlegung dieser Daten zu verringern. Ich bin kürzlich beim Erstellen einer Automatisierung auf diese widersprüchlichen Kräfte gestoßen.
Die Automatisierung durchsucht einige interne Webseiten mit Zuschauermetriken und fügt sie in eine Reihe von Tabellen ein. Anschließend werden die Tabellen in einen Netzwerkordner verschoben, wo eine zweite Automatisierung die neuen Dateien erkennt und sie an einen angegebenen Speicherort hochlädt, wo mein Kollege alle Aktivitäten oder Trends notiert, die Aufmerksamkeit erfordern. Wir lieben es. Dann, nach mehreren Wochen erfolgreicher Läufe, schlug es aufgrund eines abgelaufenen Sicherheitsgeheimnisses fehl. Unsere Richtlinie zur Datenzugriffsverwaltung erfordert, dass bestimmte Systemanmeldeinformationen regelmäßig ablaufen. Gut für die Sicherheit. Abgelaufene Anmeldeinformationen beeinträchtigen die Automatisierung. Schlecht für die Produktivität.
Das regelmäßige Ablaufenlassen von Sicherheitsgeheimnissen ist eindeutig eine bewährte Methode, aber muss das zu Problemen führen? Durch die Automatisierung spart mein Team viel Zeit, allerdings werden dabei lediglich Daten von einem Ort gelesen und für eine einfachere Analyse an einem anderen Ort neu formatiert. Muss die Automatisierung wirklich mit denselben Berechtigungen ausgeführt werden wie ich als Mensch? Irgendwo muss es da einen Kompromiss geben.
Kompromiss
Hier sind zwei Optionen, die mir als Kompromiss einfallen:
Option A
Geben Sie fünf Tage vor Ablauf eine Warnung aus, damit Sie Zeit zur Erneuerung haben, bevor etwas kaputt geht.
Option B
Geben Sie für die Automatisierungsaufgabe spezifische Dienstanmeldeinformationen mit den geringsten erforderlichen Berechtigungen aus.
Behandeln Sie Automatisierung als einen anderen Benutzertyp
Beide Optionen berücksichtigen die Datensicherheitsanforderungen des Unternehmens und durch ein wenig mehr Transparenz und Kommunikation zwischen den Geschäfts- und Sicherheitsabteilungen (SecOps) ist eine umsichtige und effektive Lösung möglich. Ein gut durchdachter Kompromiss kann die Spannung zwischen den Erfordernissen der Datensicherheit und der Automatisierung der Produktivität verringern. In den meisten Fällen verliert keine der beiden Seiten, was bedeutet, dass das Unternehmen gewinnt.
Durch die Automatisierung wird ein neuer Benutzer in die Unternehmenssteuerung eingeführt: der sogenannte Maschinenarbeiter. Es bringt Implementierer von Sicherheitsrichtlinien und Automatisierung zusammen. Unternehmen, die diesen neuen Benutzer erkennen und seine tatsächlichen Anforderungen genauer berücksichtigen, können dem Nullsummenspiel entgehen, sicherere Praktiken bei der Datennutzung etablieren und die geschäftlichen Vorteile nutzen, die produktivitätssteigernde Technologien bieten.