Das Leben und Sterben von Unternehmen hängt von ihren Datensicherheitsprotokollen ab - und angesichts der Tatsache, dass ein durchschnittlicher Verstoß 3,86 Millionen Dollar kostet, können die Folgen mangelhafter Sicherheitspraktiken katastrophal sein.
Aber es sind nicht nur die finanziellen Folgen, die Unternehmen bedenken müssen. Der Imageschaden kann genauso groß sein, wenn nicht noch größer. Was ist also die Lösung? In erster Linie eine Änderung des Ansatzes, um sicherzustellen, dass die Datensicherheit alle digitalen Prozesse untermauert. Dies ist besonders wichtig, wenn man mit einem Anbieter von Unternehmenssoftware für das digitale Selbstbedienungsinkasso zusammenarbeitet.
Unternehmenssoftware jeglicher Art kann ein Unternehmen verändern und ihm helfen, produktiver, präziser und wertvoller für seine Kunden zu werden. Bei der Einführung einer neuen Unternehmenssoftware sollte sich Ihr Unternehmen jedoch eine wichtige Frage stellen: Ist sie sicher?
Lassen Sie uns daher 7 Fragen zur Datensicherheit erörtern, die Sie allen Anbietern von Unternehmenssoftware stellen sollten - insbesondere Anbietern von digitaler Self-Service-Inkasso-Software.
Warum ist Datensicherheit so wichtig?
Kein Unternehmen und keine Organisation ist zu groß, um von einer Datenpanne betroffen zu sein. Tatsächlich sind 68 % der Unternehmensleiter besorgt darüber, dass die Risiken für ihre Cybersicherheit zunehmen.
Das Europäische Parlament war im Mai 2020 von einer Datenpanne betroffen, und im August 2019 ereilte die Europäische Zentralbank das gleiche Schicksal. Einige Jahre zuvor, im Jahr 2016, waren schätzungsweise 39 Millionen Europäer von der massiven Datenpanne bei Yahoo betroffen.
Natürlich können derartige Sicherheitsverletzungen Ihrem Unternehmen irreparablen Schaden zufügen. Zunächst einmal sind da die Kosten für die Sicherheitsverletzung selbst (man schätzt, dass gestohlene personenbezogene Daten etwa 150 Dollar pro Stück kosten). Dann müssen die Unternehmen mit dem daraus resultierenden Imageschaden fertig werden. Untersuchungen zeigen, dass Unternehmen infolge eines Sicherheitsverstoßes mit dem Verlust von etwa der Hälfte ihrer Kunden rechnen können. Wenn es sich bei den gestohlenen Daten um besonders sensible Daten handelt, wird diese Zahl wahrscheinlich noch steigen.
Was hat es mit der Unternehmenssoftware auf sich? Nun, Ihr Unternehmen hat wahrscheinlich seine eigenen, engmaschigen internen Sicherheitsprotokolle. Sie sind keineswegs unfehlbar, aber zumindest haben Sie die Kontrolle darüber. Wenn jedoch Unternehmenssoftware ins Spiel kommt, müssen Sie Ihre wertvollen Daten plötzlich einem anderen Anbieter anvertrauen, der seine eigenen Sicherheitspraktiken (und Risiken) hat.
McKinsey stellt fest: "Anwendungen, die in der Cloud laufen, und Daten, die dort gespeichert sind, werden nicht durch eine traditionelle Unternehmenssicherheitsgrenze aus Firewalls und dergleichen geschützt. Infolgedessen hängt die Sicherheit im Wesentlichen von der Verschlüsselung und der Verwaltung der Schlüssel ab, die den Zugriff auf verschlüsselte Daten ermöglichen.
Organisationen müssen die Sicherheitspraktiken eines Anbieters von Unternehmenssoftware gründlich prüfen, bevor sie das Tool in ihrer eigenen Organisation implementieren. Dies ist von grundlegender Bedeutung, um sicherzustellen, dass sie in Zukunft so wenig Risiken wie möglich eingehen.
7 Fragen zur Datensicherheit, die Sie Anbietern von Unternehmenssoftware stellen sollten
1. Wie sieht Ihr Datensicherheitsprotokoll aus?
Dies ist vielleicht die offensichtlichste Frage. Datensicherheitsprotokolle, definiert als "die Software und die Verhaltensregeln, die den Umgang mit und den Zugriff auf Daten durch Mitarbeiter regeln", bieten klare Richtlinien, die den Ansatz eines Unternehmens in Sachen Datensicherheit aufzeigen. Dazu gehören Dinge wie SSL-Zertifikate, virtuelle private Netzwerke (VPNs), Multi-Faktor-Authentifizierung (MFA) und mehr.
Laut Audacix"liefern öffentlich veröffentlichte Sicherheitskontrollen zwar keine harten Daten über die Wirksamkeit der Sicherheitsrichtlinien, aber sie repräsentieren einen gewissen Reifegrad." Sie sollten sicherstellen, dass die Anwendungssicherheit ein integrierter Aspekt ist und nicht nur ein nachträglicher Gedanke. Sie müssen sich vergewissern, dass die Datensicherheit die Grundlage für jede einzelne Tätigkeit ist.
Wenn ein Anbieter nicht in der Lage ist, seine Sicherheitsprotokolle im Detail zu erläutern, dann zeigt dies wahrscheinlich, dass ihm die Datensicherheit nicht besonders wichtig ist.
2. Haben Sie anerkannte Datenschutzstandards erreicht?
Es gibt eine Reihe von Datenschutzstandards, die regeln, wie Organisationen an die Datensicherheit herangehen: ISO 27001, SSAE16 und Safe Harbor, um nur einige zu nennen. Möglicherweise hält sich Ihr Unternehmen an einen dieser Standards, aber noch wichtiger ist es, sich zu vergewissern, dass auch Ihre Lieferanten nach diesen Standards geschützt sind.
Warum sind sie so wichtig? In erster Linie geben sie den Unternehmen einen klaren Plan an die Hand, wie sie ihre Daten in Zukunft schützen können. Besonders erwähnenswert ist die ISO 27701, eine relativ neue internationale Norm für den Datenschutz. Sie wurde unter Berücksichtigung des GDPR-Grundsatzes "privacy by design and by default" (Datenschutz durch Design und Voreinstellung) entwickelt und entspricht daher vollständig den modernen Datenschutzstandards und -erwartungen.
3. Wie beurteilen Sie das Sicherheitsverständnis Ihrer Mitarbeiter?
Schätzungsweise 90 % aller Datenschutzverletzungen im Vereinigten Königreich im Jahr 2019 wurden durch menschliches Versagen verursacht. Auch wenn diese Zahl wahrscheinlich nicht für die ganze Welt gilt, waren einige der schädlichsten Datenschutzverletzungen der letzten Zeit auf schlichtes menschliches Versagen zurückzuführen.
Erst in diesem Jahr kündigte die Hamburger Datenschutzbehörde an, dass sie eine gründliche Untersuchung von H&M durchführen werde. Es wurde berichtet, dass Manager der Nürnberger Filiale "detaillierte und systematische" persönliche Daten (die an Spionage grenzen) auf einer Festplatte gespeichert hatten. Schlimmer noch, diese Daten wurden dann an andere Mitarbeiter weitergegeben, die keinen Zugang zu solchen Informationen hätten haben dürfen.
Mitarbeiter sind Menschen, also machen sie auch Fehler. Sie müssen jedoch sicherstellen, dass menschliche Fehler, die in der Organisation Ihres Softwareanbieters auftreten, behoben werden:
A) So selten und geringfügig wie möglich.
B) Das Ergebnis eines Unfalls und nicht von purer Unwissenheit.
Im Idealfall erklärt der vorgeschlagene Anbieter, dass er regelmäßig Datenschutzschulungen durchführt. Es gibt einen eigenen Datenschutzbeauftragten, und die Mitarbeiter werden aktiv auf ihre Kenntnisse geprüft. Noch besser wäre es, wenn dies Teil des Einführungsprozesses für alle neuen Mitarbeiter wäre. Einige Anbieter händigen auch gedrucktes Material zum Nachschlagen aus, obwohl dies nicht so üblich ist.
4. Trennen Sie die Kundendaten von der Hauptinfrastruktur?
Wenn die Hauptinfrastruktur Ihres Anbieters gehackt wird, möchten Sie wissen, dass Ihre Daten sicher sind - idealerweise in einer Cloud-basierten Umgebung. Dabei kann es sich um eine mandantenfähige oder eine mehrmandantenfähige Umgebung handeln, wobei die mandantenfähige die sicherere Wahl ist. Noch wichtiger ist jedoch, dass Sie sicher sein müssen, dass Sie selbst dann nicht betroffen sind, wenn das Unternehmen Ziel einer Datenschutzverletzung ist.
Und wenn sie getrennt aufbewahrt werden, lohnt es sich, auch nach den internen Zugriffskontrollen zu fragen. Der Risikobericht 2019 von Varonis ergab, dass in 53 % der befragten Unternehmen jeder einzelne Mitarbeiter auf mehr als 1.000 sensible Dokumente zugreifen kann. Insgesamt könnte der durchschnittliche Mitarbeiter auf enorme 17 Millionen Datensätze zugreifen.
Cloud Computing kann sehr sicher sein, solange die richtigen Zugangskontrollen vorhanden sind und die Kundendaten von der Hauptinfrastruktur getrennt sind.
5. Arbeiten Sie mit anderen Dritten zusammen, um Ihre SaaS-Lösung bereitzustellen? Wenn ja (und wenn diese Zugang zu Ihren Daten haben), wie sehen deren Sicherheitsprotokolle aus?
Ihr Anbieter selbst mag unglaublich sicher sein. Das heißt, es ist weniger wichtig, wenn er mehrere Partner hat, deren eigene Protokolle etwas laxer sind. Sie werden überrascht sein, wie häufig sich SaaS-Anbieter auf Dritte verlassen. Untersuchungen haben ergeben, dass bis zu 60 % der SaaS-Anbieter Drittanbieter als Hauptanwendungsmethode für die Bereitstellung verwenden.
Dies ist an sich nicht unbedingt ein Grund zur Besorgnis. Wenn Sie erfahren, dass ein vorgeschlagener Anbieter mit einer Vielzahl von Drittanbietern zusammenarbeitet, sollten Sie sich nach deren Datenschutzrichtlinien und -standards erkundigen.
Wenn der Anbieter keine detaillierten Angaben machen kann, die Informationen vage erscheinen oder die Antworten unzureichend sind, sollten Sie sich auf jeden Fall gegen den Kauf der Lösung dieses Anbieters entscheiden.
6. Wie sehen Ihre Pläne zur Wiederherstellung im Katastrophenfall aus?
Ein Anbieter kann über hervorragende interne Protokolle verfügen, auf die Schulung seiner Mitarbeiter Wert legen und unglaublich sicherheitsbewusste Partner haben. Wenn er jedoch keine Maßnahmen zur Wiederherstellung im Katastrophenfall ergreift, könnte dies alles umsonst gewesen sein.
Unabhängig davon, wie gut ihre Sicherheitsvorkehrungen sind, besteht immer die Möglichkeit, dass bei Ihren Anbietern eine Sicherheitslücke auftritt. Für diesen Fall muss ein felsenfester Plan vorhanden sein. Das hilft nicht nur, Ihre Daten zu schützen, sondern sorgt auch dafür, dass der Betrieb so schnell wie möglich wieder aufgenommen werden kann.
Natürlich gibt es bei der Notfallwiederherstellungsplanung keine Einheitslösung für alle. Je nach der IT-Infrastruktur des Anbieters gibt es georedundante, cloudbasierte, virtualisierte oder netzwerkbasierte Notfallwiederherstellungspläne.
Wenn Sie sich vergewissern, dass Ihr Unternehmen über einen Plan für den Katastrophenfall verfügt, können Sie sicher sein, dass selbst die unerwartetsten Verstöße schnell und reibungslos gehandhabt werden.
7. Führen Sie routinemäßige Disaster-Recovery-Tests durch?
Natürlich ist ein Plan nur so gut wie seine Ausführung. Es ist schön und gut, einen Plan zu haben, aber Sie müssen sicher sein, dass Sie ihn auch umsetzen können, wenn es soweit ist. Ihr Anbieter hat vielleicht einen fantastischen Plan. Aber wenn seine Mitarbeiter verzweifelt versuchen, sich an ihre Aufgaben und Zuständigkeiten zu erinnern, dann ist der Plan wenig wert.
Die Routinetests zeigen, dass die Sicherheit höchste Priorität hat. Sie sorgen dafür, dass jeder weiß, was von ihm erwartet wird, wenn es soweit ist. Kurzum, sie sorgen dafür, dass der Plan so reibungslos und schmerzlos wie möglich umgesetzt wird.
Planen ist menschlich, prüfen ist göttlich.
Verteidigen Sie Ihre Daten um jeden Preis
Daten sind das Lebenselixier Ihres Unternehmens und sollten daher um jeden Preis geschützt werden. Sie können 5 kostenlose Ressourcen zur Informationssicherheit und Einhaltung von Vorschriften nutzen, um potenzielle Verbesserungsbereiche in Ihrem eigenen Unternehmen zu ermitteln. Denken Sie daran: Kaufen Sie niemals eine Unternehmenssoftware, insbesondere keine Software für das Forderungsmanagement, ohne sich vorher die oben genannten 7 Fragen zu stellen.
Die besten Anbieter freuen sich über die Gelegenheit, diese Fragen zu beantworten und dabei ihre hohen Datensicherheitsstandards unter Beweis zu stellen. Aber was ist mit denen, die zögern oder sich schlichtweg weigern, zu antworten? In diesem Fall ist es ratsam, sich nach alternativen Anbietern umzusehen, um Ihre Daten nicht zu gefährden. Und denken Sie daran: Es sind eigentlich gar nicht Ihre Daten. Vielmehr handelt es sich um sensible Finanzdaten, die Ihren Kunden gehören. Zerstören Sie nicht das hart erarbeitete Vertrauen, das sie in Sie gesetzt haben.
Wenn Sie mehr über die Gedanken unseres CTOs zu Compliance, Datenschutz und Datensicherheit erfahren möchten, besuchen Sie diese Seite.
