Datensicherheit – Die Bedeutung von Sicherheitsbeauftragten für Unternehmen mit Kundendaten

This post is also available in:

Da letzte Woche der Tag der Datensicherheit stattfand, hatten wir Irina Maltseva zu Gast, die über den Schutz kleiner Unternehmen vor Zahlungsbetrug sprach. Wir vergessen jedoch den anderen wichtigen Aspekt der Datensicherheit in unseren Unternehmen und werden uns ihrer Bedeutung erst bewusst, wenn etwas schief geht. Ich spreche natürlich von den Rechts- und Sicherheitsteams, die scheinbar in der Versenkung verschwinden, bis es Zeit für eine Schulung zur digitalen Sicherheit ist oder eine Datenschutzverletzung vorliegt.

Jedes Unternehmen, das über sensible Kundendaten verfügt oder auf diese zugreift, muss sich des Vertrauens bewusst sein, das ihm von seinen Kunden entgegengebracht wird. Sie können Ihre Kunden nicht bitten, Ihnen ihre Daten zu geben, wenn Sie sich der Verantwortung, die Sie für die Sicherheit dieser Daten tragen, nicht bewusst sind.

Simplybook.me ist ein solches Unternehmen, und wir legen großen Wert darauf, wie wir diese Informationen speichern und abrufen. Wir haben unseren Rechts- und Sicherheitsmanager sowie einen weiteren Beauftragten für Informationssicherheit, die dafür sorgen, dass wir immer auf dem rechten Weg sind.

Wir stellen unsere Security Bods vor

Bitte zeigen Sie unserem Sicherheitspersonal Ihre Wertschätzung für seine unglaublich engagierte Arbeit. Wir stellen Ihnen Georgia, unsere Managerin für Recht und Sicherheit, und Maryna, unsere Beraterin für Informationssicherheit, vor.

Wir haben ein paar Fragen dazu gestellt, was sie täglich tun und wie sie den Anforderungen gerecht werden.

Georgien

Und was machen Sie?

Ich kombiniere die beiden Rollen des Rechts- und des Sicherheitsmanagers. Meine Hauptaufgabe besteht darin, die Aufrechterhaltung unseres Informationssicherheitsmanagementsystems zu gewährleisten, ISO 27001:2013 zertifiziert . Einfach ausgedrückt: Ich muss verstehen, wie wir Daten verwenden und wie wir sie innerhalb unserer Organisation weitergeben. Es muss sicher und mit geeigneten Technologien transportiert werden.

Wie gewährleisten Sie die Einhaltung der Datensicherheit und der Gesetze, die sie schützen?

Der erste Schritt besteht darin, dass wir uns über die Änderungen der geltenden Gesetze auf dem Laufenden halten und prüfen, wie sich diese auf unsere Geschäftstätigkeit auswirken. Anschließend müssen wir mit unseren IT-Experten kommunizieren und unsere Sicherheitskontrollen verbessern. Die Einhaltung der Vorschriften erfordert eine tägliche, konsequente Überwachung der Geschäftsabläufe und der vorhandenen Kontrollen sowie eine regelmäßige interne Kommunikation.

Wie halten Sie sich über Änderungen usw. auf dem Laufenden?

Ich beobachte vor allem die Websites der zuständigen Aufsichtsbehörden. Außerdem verfolge ich andere Kanäle:

• Ich folge auf LinkedIn Organisationen und Fachleuten in diesem Bereich,
• Abonnieren Sie einschlägige Organisationen und, wenn möglich,
• Nehmen Sie an Konferenzen oder Online-Webinaren teil, um sich weiterzubilden oder Kontakte zu knüpfen.

Wir bewerten wichtige Änderungen und stellen sie der Unternehmensleitung vor. Wir arbeiten dann gemeinsam daran, die erforderlichen Änderungen an unseren Sicherheitskontrollen vorzunehmen.

Wie stellen Sie sicher, dass jeder weiß, wie er die Datensicherheit gewährleisten soll?

• Jeder neue Mitarbeiter durchläuft die Einführungsschulung/den ersten Arbeitstag
• Jedes Jahr müssen alle Mitarbeiter eine intensive jährliche Schulung zum Thema Datensicherheit und Datenschutz absolvieren.
• Wir führen jährliche Audits durch, bei denen wir überprüfen, ob die Mitarbeiter die Richtlinien und Verfahren einhalten.

Im Allgemeinen wird darauf vertraut, dass jeder versteht, wie wichtig es ist, die internen Richtlinien und Verfahren zur Datensicherheit zu befolgen. Da das Unternehmen jedoch gewachsen ist, haben wir damit begonnen, das ganze Jahr über eine kontinuierliche Erinnerung an Sicherheitspraktiken und -verfahren einzuführen. Seit kurzem verwenden wir ein Schulungsprogramm, das allen Mitarbeitern monatliche Erinnerungen und Aktualisierungen der Richtlinien im Laufe des Jahres zusendet.

Maryna

Und was machen Sie?

Ich habe die Funktion eines Beraters für Informationssicherheit. Wie Georgia trage ich dazu bei, dass die Informationssicherheit im Unternehmen den Anforderungen der internationalen Normen, insbesondere der ISO 27001, entspricht.

Meine Hauptaufgaben sind:

• Sicherstellen, dass die damit verbundenen Compliance-Anforderungen erfüllt werden, z. B. Sicherheitsvorschriften und -kontrollen im Zusammenhang mit der Norm ISO 27001:2013.
• Gewährleistung angemessener Risikominderungs- und Kontrollverfahren für Sicherheitsvorfälle nach Bedarf.
• Dokumentieren und Verbreiten von Informationssicherheitsstrategien, -verfahren und -richtlinien
• Unterstützung bei der Koordinierung der Entwicklung und Durchführung von Schulungen zur Informationssicherheit und eines Sensibilisierungsprogramms.
• Hilfe bei der Koordinierung einer Reaktion auf tatsächliche oder vermutete Verletzungen der Vertraulichkeit, Integrität oder Verfügbarkeit von Informationsbeständen
• Unterstützung bei der Inventarisierung des Unternehmensvermögens, z. B. Führen des Hardware Asset Registers
• Durchführung geplanter und ungeplanter Audits der Informationssicherheit gemäß ISO 27001 oder anderen Normen
• Mitwirkung an der Entwicklung von Plänen zur Aufrechterhaltung des Geschäftsbetriebs und an der Risikobewertung

Wie können Sie mit den Veränderungen Schritt halten?

Um mein Wissen zu erweitern, nehme ich manchmal Kontakt zu meinen ehemaligen Kollegen in diesem Bereich auf, um Informationen auszutauschen, lese Artikel über neue Implementierungen von Sicherheitskontrollen und versuche, an verschiedenen Schulungsveranstaltungen teilzunehmen.

Datensicherheit innerhalb des Systems/der Systeme

Während unsere Rechts- und Sicherheitsbeauftragten die meiste Zeit damit verbringen, sich mit der menschlichen Seite der Datensicherheit zu befassen, beeinflussen ihre Untersuchungen und Erkenntnisse auch die Art und Weise, wie wir Daten innerhalb des SimplyBook.me-Systems (und natürlich auch von SimplyMeet.me und SBPay.me) verarbeiten.

Unser Sicherheitsteam hat sehr hart gearbeitet, um sicherzustellen, dass unser System und unsere Richtlinien die Gesetze rund um GDPR und andere lokalisierte Richtlinien in den USA und Australien strikt einhalten. Jeder muss seine eigene Version von Datenschutz- und Persönlichkeitsschutzgesetzen haben, mit geringfügigen Anpassungen und Änderungen. Die verschiedenen Versionen der Datenschutzgesetze decken jedoch praktisch alle den gleichen Bereich ab.

Es ist die Aufgabe von Georgia und Maryna, dafür zu sorgen, dass unsere Standards für Datensicherheit und Datenschutz mit den Gesetzen aller Länder übereinstimmen, in denen unser System zur Speicherung von Kundendaten genutzt wird.

Datensicherheit und Datenschutz – wichtig für uns und für Sie

Wir verpflichten uns, die Daten unserer Kunden zu schützen. Wir sind uns aber auch bewusst, dass unsere Datensicherheitsmaßnahmen Sie und Ihre Kunden betreffen. Sie sind ebenso wichtig, vom alleinigen Betreiber eines Friseurgeschäfts bis hin zur medizinischen Klinik, die mit sensiblen Patientendaten umgeht. Wenn Ihr Unternehmen Kundendaten speichert, müssen wir in der Lage sein, die Datensicherheit zu gewährleisten, die Sie Ihren Kunden versprechen.

Überlegen Sie, wie viel Schadenersatz Sie bei einer Verletzung des Datenschutzes kosten könnte. Es könnte eine Menge sein und ausreichen, um Ihr Unternehmen lahmzulegen. Ganz zu schweigen von den Kunden, die nach einem solchen Vorfall vielleicht nicht mehr kommen wollen. Wenn Sie sich für ein Unternehmen mit einem etablierten Sicherheitsteam und vielen kostenlosen Sicherheitsfunktionen entscheiden, schützen Sie sich vor den Gefahren eines ungeschützten Unternehmens und ermöglichen Ihren Kunden, Ihnen zu vertrauen.

Vielen Dank, Georgia und Maryna. Ihre harte Arbeit wird sehr geschätzt und gewürdigt.