Claroty Häufig gestellte Fragen zu Sicherheit und Datenschutz
Aktualisiert 14.1.2025
Claroty implementiert und pflegt ein robustes, mehrschichtiges Datenschutz- und Informationssicherheitsprogramm. Unser Datenschutzprogramm beinhaltet die Implementierung einer Vielzahl von technischen, organisatorischen und verfahrenstechnischen Kontrollen, die Claroty für notwendig hält, um Kundendaten zu schützen, die Clarory-Umgebung vor Cybersicherheitsbedrohungen zu schützen und die regulatorischen Anforderungen (ISO 27001, ISO 27701, SOC2 Typ 2, DSGVO, HIPAA und lokale Datenschutzgesetze sowie Best-Practice-Bestimmungen) einzuhalten.
ClarotyDie Infosec- und Datenschutzstrategie von umfasst die folgenden Schlüsselkomponenten:
Governance, Risiko und Compliance (GRC)
Sicherheitsrichtlinien des Unternehmens
Organisatorische Sicherheit
Programm zum Sicherheitsrisikomanagement
Klassifizierung und Kontrolle von Vermögenswerten
Sichere Verwaltung von Personal/Personalressourcen
Bewusstsein für Informationssicherheit
Kryptographie
Kommunikationssicherheit
Risikomanagement für Lieferantensicherheit
Änderungsmanagement
Physische und Umweltsicherheit
Operative Sicherheit
Sicherheitsschwachstellen-Management
Zugangskontrollen
Entwicklung und Wartung sicherer Systeme
Notfallwiederherstellung und Geschäftskontinuität
Korrekturmaßnahmen-Programm
Einhaltung gesetzlicher Vorschriften
1. Governance, Risiko und Compliance (GRC)
Richtlinien zur Informationssicherheit: Festlegung und Durchsetzung von Richtlinien für Datenschutz, Sicherheit und Einhaltung von Standards wie HIPAA, DSGVO, SOC 2 und ISO 27001.
Datenklassifizierung: Klassifizieren Sie Daten nach Sensibilität (z. B. vertraulich, intern, öffentlich) und wenden Sie für jede Klasse angemessene Sicherheitskontrollen an.
Risikomanagementrahmen: Implementierung eines formellen Risikomanagementprozesses zur Identifizierung, Bewertung und Minderung von Sicherheitsrisiken.
Compliance-Überwachung: Kontinuierliche Überwachung der Einhaltung regulatorischer Rahmenbedingungen wie DSGVO, HIPAA und Branchenstandards.
Interne Audits: Regelmäßige Prüfung interner Sicherheitsprozesse und -kontrollen, um die Einhaltung etablierter Richtlinien und Standards sicherzustellen.
Vorfallreaktionsplan: Entwicklung und Pflege eines Vorfallsreaktion , der Rollen, Verantwortlichkeiten und Verfahren für den Umgang mit Sicherheitsverletzungen umfasst.
2. Zugriffskontrolle und Identitätsmanagement
Identitäts- und Zugriffsmanagement (IAM): Implementierung von IAM-Lösungen zur Verwaltung und Kontrolle des Benutzerzugriffs auf Systeme, Anwendungen und Daten.
Role-Based Access Control (RBAC): Stellen Sie sicher, dass Benutzer nur Zugriff auf die Ressourcen haben, die für ihre Jobrollen erforderlich sind.
Multi-Faktor-Authentifizierung (MFA): Erzwingen Sie MFA für den Zugriff auf kritische Systeme und Daten, sowohl für Mitarbeiter als auch für Kunden.
Geringste Berechtigung: Wenden Sie das Prinzip der Least Privilege Berechtigung an, um die Zugriffsrechte für Benutzer auf das erforderliche Minimum zu beschränken.
Single Sign-On (SSO): Implementieren Sie SSO, um die Authentifizierung zu optimieren und die Sicherheit zu verbessern.
Kontoüberprüfung und Rezertifizierung: Führen Sie regelmäßige Überprüfungen der Benutzerzugriffsberechtigungen durch, um sicherzustellen, dass sie auf dem neuesten Stand und angemessen sind.
3. Datenverschlüsselung
Verschlüsselung im Ruhezustand: Verschlüsseln Sie alle Daten im Ruhezustand mit starken Verschlüsselungsalgorithmen (z. B. AES-256) für Datenbanken, Dateisysteme und Sicherungen.
Verschlüsselung im Transit: Verwenden Sie TLS/SSL, um Daten im Transit zwischen der SaaS-Plattform und Kunden zu verschlüsseln.
End-to-End-Verschlüsselung: Für hochsensible Daten implementieren Sie End-to-End-Verschlüsselung, um sicherzustellen, dass die Daten vom Ursprung bis zum Ziel verschlüsselt bleiben.
Verwaltung von Verschlüsselungsschlüsseln: Sichere Verwaltung von Verschlüsselungsschlüsseln, einschließlich Schlüsselrotation, Speicherung und Zugriffskontrollen.
4. Netzwerksicherheit
Firewalls: Setzen Sie Firewalls ein, um eingehenden und ausgehenden Netzwerkverkehr zu kontrollieren und unbefugten Zugriff zu verhindern.
Intrusion Detection and Prevention Systems (IDPS): Verwenden Sie IDPS, um den Netzwerkverkehr auf verdächtige Aktivitäten zu überwachen und bösartiges Verhalten zu blockieren.
Netzwerksegmentierung: Segmentierung des Netzwerks in verschiedene Zonen (z. B. Produktion, Entwicklung, Tests), um die Ausbreitung eines Angriffs zu begrenzen.
Virtuelle private Netzwerke (VPN): Verwenden Sie VPNs für sicherer Fernzugriff interne Systeme, insbesondere für Mitarbeiter, die außerhalb des Standorts arbeiten.
DDoS-Schutz: Implementieren Sie DDoS-Schutzmechanismen (Distributed Denial of Service), um sich vor großen Angriffen auf die Netzwerkverfügbarkeit zu schützen.
5. Endpunkt-Sicherheit
Antivirus- und Anti-Malware: Installieren und pflegen Sie auf allen Endpunkten aktuelle Antivirus- und Anti-Malware-Software.
Endpoint Detection and Response (EDR): EDR-Lösungen implementieren, um böswillige Aktivitäten auf Endpunkt zu erkennen und darauf zu reagieren.
Patch-Management: Stellen Sie sicher, dass alle Endpunkt regelmäßig mit Sicherheitspatches und Software-Updates aktualisiert werden.
Mobile Device Management (MDM): Wenden Sie MDM-Lösungen an, um mobile Geräte zu verwalten, zu sichern und zu überwachen, die von Mitarbeitern verwendet werden.
6. Anwendungssicherheit
Secure Software Development Lifecycle (SDLC): Integrieren Sie Sicherheit während des gesamten Entwicklungsprozesses, einschließlich sicherer Codierungspraktiken, Codeüberprüfungen und Schwachstellenbewertungen.
Statische und dynamische Anwendungssicherheitstests (SAST & DAST): Führen Sie automatisierte Tests durch, um Schwachstellen in Code und Anwendungen während und nach der Entwicklung zu identifizieren.
Penetrationstests: Führen Sie regelmäßige Penetrationstests durch, um Sicherheitsschwächen in Anwendungen zu identifizieren.
Security Patching: Patches für Anwendungsschwachstellen anwenden, sobald sie identifiziert wurden.
Web Application Firewalls (WAF): Verwenden Sie WAFs, um Webanwendungen vor Bedrohungen wie SQL-Injection, Cross-Site-Scripting (XSS) und anderen Angriffen zu schützen.
7. Minimierung und Schutz des Datenschutzes
Anonymisierung und Pseudonymisierung von Daten: Verwenden Sie Techniken wie Anonymisierung und Pseudonymisierung, um personenbezogene Daten (PII) und andere sensible Daten zu schützen.
Datenminimierung: Beschränken Sie die Erhebung und Verarbeitung personenbezogener Daten auf das, was für die Geschäftszwecke erforderlich ist.
Aufbewahrung und Löschung von Daten: Implementierung von Richtlinien für die Aufbewahrung und sichere Löschung von Kundendaten in Übereinstimmung mit den Datenschutzbestimmungen.
Verwaltung der Rechte betroffener Personen: Bereitstellung von Mechanismen zur Erfüllung von Kundenanfragen bezüglich Datenzugriff, Berichtigung, Löschung und Übertragbarkeit gemäß DSGVO und ähnlichen Vorschriften.
8. Cloud-Sicherheit
Cloud Access Security Broker (CASB): Verwenden Sie CASB, um Sicherheitsrichtlinien für die Cloud-Nutzung durchzusetzen, den Zugriff auf Cloud-Dienste zu überwachen und in der Cloud gehostete Daten zu schützen.
Containersicherheit: Implementieren Sie Sicherheitskontrollen für Container (z. B. Docker, Kubernetes), einschließlich Bildscans und Laufzeitschutz.
Infrastructure-as-Code (IaC)-Sicherheit: Sichere Infrastrukturkonfigurationen, die mit IaC-Tools wie Terraform oder AWS CloudFormation bereitgestellt werden, indem Konfigurationsdateien für Sicherheitsfehlkonfigurationen validiert werden.
Cloud-Ressourcenisolierung: Verwenden Sie Techniken zur Cloud-Ressourcenisolierung (z. B. VPCs), um sicherzustellen, dass Kundendaten in mandantenfähigen Umgebungen getrennt und isoliert werden.
9. Backup und Notfallwiederherstellung
Regelmäßige Backups: Führen Sie regelmäßige Backups kritischer Daten durch, um sicherzustellen, dass Backups verschlüsselt und sicher an geografisch getrennten Standorten gespeichert werden.
Notfallwiederherstellungsplan (Disaster Recovery Plan, DRP): Entwicklung und Pflege eines Notfallwiederherstellungsplans, der Verfahren für die Wiederherstellung von Systemen und Daten im Falle eines Notfalls beschreibt.
Backup-Tests: Testen Sie regelmäßig Backup- und Wiederherstellungsverfahren, um sicherzustellen, dass Daten effektiv wiederhergestellt werden können.
10. Protokollierung und Überwachung
Security Information and Event Management (SIEM): Verwenden Sie SIEM-Systeme, um Sicherheitsprotokolle in Echtzeit zu erfassen und zu analysieren, um Sicherheitsereignisse zu erkennen und darauf zu reagieren.
Kontinuierliche Überwachung: Implementierung einer kontinuierlichen Überwachung von Systemen, Netzwerken und Anwendungen auf verdächtige Aktivitäten.
Aufbewahrung von Protokollen: Bewahren Sie Sicherheitsprotokolle für einen Zeitraum auf, der durch regulatorische Anforderungen und Geschäftsanforderungen definiert ist, um Audits und Forensik zu erleichtern.
Audit-Trails: Pflege detaillierter Audit-Trails von Benutzer- und Systemaktivitäten, einschließlich Änderungen an Daten-, Konfigurations- und Zugriffskontrolleinstellungen.
11. Schwachstellen-Management
Regelmäßiges Schwachstellen-Scanning: Führen Sie regelmäßige Schwachstellen-Scans von Netzwerken, Anwendungen und Systemen durch, um potenzielle Sicherheitsprobleme zu identifizieren.
Patch-Management: Implementieren Sie einen formellen Patch-Management-Prozess, um sicherzustellen, dass alle kritischen Schwachstellen zeitnah gepatcht werden.
Bug Bounty-Programme: Erwägen Sie, ein Bug Bounty-Programm durchzuführen, um externe Sicherheitsforscher zu ermutigen, Schwachstellen zu finden.
12. Physische Sicherheit
Rechenzentrumssicherheit: Sicherstellung der physischen Sicherheit in Rechenzentren, einschließlich biometrischer Zugangskontrollen, 24/7 -Überwachung und Umgebungskontrollen (z. B. Brandbekämpfung, Klimakontrolle).
Zutrittskontrolle für Büros: Verwenden Sie Zutrittskontrollmechanismen wie Ausweise, Biometrie und Videoüberwachung in Bürogebäuden, um unbefugten Zugriff zu verhindern.
13. Reaktion und Behebung von Vorfällen
Vorfallreaktionsplan (IRP): Legen Sie eine dokumentierte IRP fest, die die im Falle eines Sicherheitsvorfalls zu ergreifenden Schritte definiert.
Erkennung und Meldung von Vorfällen: Implementieren Sie Prozesse zur Erkennung, Meldung und Verwaltung von Sicherheitsvorfällen in Echtzeit.
Überprüfung nach Vorfällen: Führen Sie Überprüfungen nach Vorfällen durch, um die Grundursachen von Vorfällen zu analysieren und zukünftige Reaktionsbemühungen zu verbessern.
14. Schulung und Bewusstsein
Schulung zum Sicherheitsbewusstsein: Bereitstellung einer fortlaufenden Schulung zum Sicherheitsbewusstsein für Mitarbeiter zu Themen wie Phishing, Social Engineering und ordnungsgemäße Datenverarbeitung.
Phishing-Simulationen: Führen Sie regelmäßige Phishing-Simulationen durch, um das Bewusstsein der Mitarbeiter für Social-Engineering-Angriffe zu testen und zu verbessern.
Schulung zu Sicherheitsrichtlinien: Stellen Sie sicher, dass alle Mitarbeiter über die Sicherheitsrichtlinien und -verfahren des Unternehmens informiert sind.
15. Verwaltung von Drittparteien und Lieferanten
Risikobewertung von Anbietern: Führen Sie Sicherheitsbewertungen von Drittanbietern durch, um sicherzustellen, dass sie dieselben Sicherheits- und Datenschutzstandards wie das Unternehmen einhalten.
Audits durch Dritte: kritische Anbieter müssen sich regelmäßigen Sicherheitsaudits unterziehen (z. B. SOC 2, ISO 27001) und Berichte zur Überprüfung bereitstellen.
Datenverarbeitungsvereinbarungen: Stellen Sie sicher, dass Verträge mit externen Auftragsverarbeitern Datenschutzklauseln enthalten, die mit regulatorischen Standards wie DSGVO und HIPAA übereinstimmen.
16. Planung der Geschäftskontinuität (Business Continuity Planning, BCP)
Business Continuity Plan: Entwicklung und Pflege eines BCP, der die Kontinuität kritischer Vorgänge im Falle eines längeren Ausfalls oder einer Unterbrechung gewährleistet.
Business Impact Analysis (BIA): Führen Sie eine BIA durch, um kritische Geschäftsfunktionen und Ressourcen zu identifizieren, die für die Kontinuität bei Störungen erforderlich sind.
