In molte aziende di medie dimensioni, non solo l'amministratore IT ha accesso illimitato a tutti i dati operativi, ma anche il tirocinante esperto di IT. Se in seguito lascia l'azienda, spesso mantiene i suoi diritti di accesso perché nessuno ci pensa, spiega lo specialista della sicurezza dei dati Detlef Schmuck.
I sistemi di autorizzazione IT granulari comuni nelle grandi aziende vengono spesso risparmiati nelle aziende di medie dimensioni per motivi di costo. In sostanza, a ciascun utente vengono concessi solo quei diritti di accesso ai database che sono assolutamente necessari per il rispettivo posto di lavoro. "Tuttavia, la gestione delle autorizzazioni di accesso individuali richiede un grande sforzo, soprattutto perché c'è sempre la tendenza da parte dell'utente a voler ottenere più diritti di accesso di quelli effettivamente richiesti per il lavoro", Detlef Schmuck sa da numerosi progetti in media aziende di dimensioni Dice: "Molte aziende di medie dimensioni sono ancora sopraffatte dalle sfide della digitalizzazione, soprattutto quando si tratta di problemi di sicurezza".
Troppi hanno accesso a dati sensibili
Detlef Schmuck fornisce degli esempi: “Mentre nel mondo analogico, i documenti con informazioni sensibili come liste salariali o piani aziendali potrebbero essere bloccati in modo sicuro e resi accessibili solo ai dipendenti coinvolti, questo è molto più difficile nel mondo digitale. Le cartelle condivise su un file server o un sistema NAS possono sempre essere visualizzate in aggiunta ai dipendenti autorizzati da qualsiasi amministratore di sistema per il server. Molte aziende non sono nemmeno a conoscenza di questo rischio. Ad esempio, un collega qualificato che dovrebbe occuparsi del server riceve accesso accidentale a tutti i dati sensibili senza che nessuno se ne accorga. Perché non appena la persona conosce la password del server per l'amministrazione, tutte le altre restrizioni di accesso non forniscono più protezione.
Gestione dei dati cloud come rimedio
Come rimedio, Detlef Schmuck consiglia di utilizzare un sistema di gestione dei dati basato su cloud con le funzionalità appropriate. Cita la crittografia dei dati end-to-end e un'architettura a conoscenza zero come i criteri più importanti. Ciò significa, in primo luogo, che tutti i dati nel cloud sono completamente crittografati e decrittografati solo con accesso autorizzato e, in secondo luogo, che anche l'amministratore del cloud non dispone di chiavi per i dati.
Ciò è in contrasto con gli ambienti IT di molte aziende di medie dimensioni, dove ogni dipendente con diritti di amministrazione ha accesso alla corrispondenza e-mail di tutti i dipendenti. Sebbene i propri computer siano spesso ben protetti dalla crittografia, non appena i dati lasciano il computer locale, di solito sono ad alto rischio, Detlef Schmuck lo sa dai progetti. E aggiunge: “Anche tutti gli amministratori di sistema esterni sono tra coloro che possono ottenere l'accesso non autorizzato a documenti riservati. Inoltre, questo rischio esiste anche per Exchange o altri server di posta elettronica. Tutte le e-mail e gli allegati sono generalmente non crittografati sul server e vengono crittografati solo durante la trasmissione.
Accedi solo ai dati di cui hai bisogno
Detlef Schmuck è amministratore delegato del servizio cloud ad alta sicurezza TeamDrive di Amburgo e postula: "Nel nostro servizio cloud, i dati operativi vengono archiviati in modo più sicuro rispetto alla maggior parte delle aziende di medie dimensioni in Germania". la crittografia automatica, ma garantisce anche la gestione sicura delle chiavi e lo scambio sicuro delle chiavi. Di conseguenza, ogni utente ha accesso solo ai dati di cui ha effettivamente bisogno per il suo compito operativo. Inoltre, tutti gli accessi vengono registrati completamente, in modo da poter determinare in qualsiasi momento chi ha avuto accesso a quali informazioni e quando. In conformità con il principio della conoscenza zero, lo stesso operatore cloud, ovvero TeamDrive, non dispone di alcuna chiave di accesso ai dati dei clienti.
Tutti i requisiti legali sono soddisfatti
Altrettanto importante: TeamDrive soddisfa tutti i requisiti legali applicabili in Germania secondo il GDPR (Regolamento generale sulla protezione dei dati) e GoBD (Principi per la corretta gestione e conservazione di libri, registri e documenti in formato elettronico). Ciò significa che i dati personali riservati, ad esempio sulla contabilità salariale, nonché i segreti commerciali come calcoli o contratti possono essere archiviati nel cloud in modo legalmente conforme. Il fatto che TeamDrive sia completamente in mani tedesche, nonostante il nome dell'azienda anglicizzato, e che tutti i dati dei clienti rimangano nell'area legale della Repubblica Federale Tedesca contribuisce alla sicurezza.
Altro su TeamDrive.com
Informazioni su TeamDrive TeamDrive è considerato un "software Sync&Share sicuro made in Germany" per l'archiviazione, la sincronizzazione e la condivisione di dati e documenti. La base è una crittografia end-to-end coerente che garantisce che solo l'utente stesso possa leggere i dati: né TeamDrive né alcuna autorità al mondo possono decrittografare i dati. Più di 500.000 utenti e più di 5.500 aziende di tutti i settori apprezzano questa sicurezza tecnica e giuridicamente vincolante.