Die Herausforderung
Die Allianz Gruppe benötigt ein Klassifizierungssystem, das von allen operativen Einheiten verwendet werden kann, das Informationsressourcen identifiziert und das jeweilige erforderliche Schutzniveau anzeigt. Im Allgemeinen gilt Datenklassifizierung als ein Thema, mit dem sich die IT befassen sollte. Doch die Allianz Ireland beschloss, dass diese Neuerung, wenn sie erfolgreich sein sollte, auch im Unternehmen selbst umgesetzt werden sollte. Das Unternehmen ging davon aus, dass es sich um ein absolutes Mammutprojekt handeln würde, alle Daten in allen (elektronischen und physischen) Systemen zu klassifizieren und gleichzeitig eine neue Kultur einzuführen, um dieses Konzept auch in Zukunft weiterleben zu lassen. Daher war eine Software-Lösung erforderlich.
Das Unternehmen war auf der Suche nach einem relativ leicht einführbaren Produkt, mit dem die Datenklassifizierung in möglichst vielen Systemen implementiert werden kann. Gleichzeitig sollte dieses Produkt einfach in der Anwendung für die Mitarbeiter sein, aber dennoch so präsent, dass sich die Mitarbeiter stets der Datenklassifizierung und ihrer eigenen diesbezüglichen Pflichten bewusst sind. Allianz Ireland arbeitet mit einer Citrix- und VDI-Umgebung. Zunächst konnte das Unternehmen kein Produkt finden, das in beiden Umgebungen eingesetzt werden kann.
Boldon James arbeitete eng mit uns zusammen, um die Implementierung des Produkts nach unseren Bedürfnissen durchzuführen. Sie kamen vor Ort, um Probleme sehr schnell zu identifizieren und zu lösen. Classifier war die perfekte Antwort auf unsere Bedürfnisse, da es einfach einzusetzen und für unsere Nutzer intuitiv zu bedienen war und folglich dazu beitrug, das Bewusstsein für den Schutz und den Wert von Informationen zu stärken.
- Orla Barry, Leiterin der Abteilung für Informationssystemsicherheit
Die Lösung
Auf Empfehlung der Allianz UK, die in einer Pilotphase bereits mit dem Produkt gearbeitet hatte, entschied sich die Allianz Ireland für den Boldon James Email and Office Classifier. Im nächsten Schritt musste ein strenges Evaluierungs- und Testprogramm durchlaufen werden, um sicherzustellen, dass sich das Produkt tatsächlich für den gewünschten Zweck eignet. Orla Barry, Information Security Officer bei der Allianz Ireland, erklärt: „Die Pilotphase war sehr erfolgreich. Wir stellten fest, dass der Classifier sehr einfach einzuführen und ausgesprochen effektiv ist. Unseren Mitarbeitern gefiel das Produkt wirklich. Sie wollten es verwenden, da sie Datenschutz-maßnahmen umsetzen mussten. In der Testphase wurde das Programm zeitweilig von den Desktops entfernt. Daraufhin erhielt ich tatsächlich Anrufe von Mitarbeitern, die sich erkundigten, wann sie das Programm wiederhaben könnten! Wir analysierten das Feedback und entschieden, dass der Classifier unseren Anforderungen gerecht werden kann.“
In der Pilotphase wurden einige Verbesserungen an dem Produkt gefordert, unter anderem der abteilungsspezifische Bedarf, Klassifizierungen aus der Fußzeile zu entfernen, sowie eine Massenklassifizierung mit einer Roll-Back-Option für die Klassifizierung von älteren Dokumenten. Boldon James war bereit und in der Lage, diesen zusätzlichen Anforderungen gerecht zu werden, und bot der Allianz damit ein perfekt auf ihre Bedürfnisse abgestimmtes Produkt.
Orla Barry erklärt weiter: „Boldon James arbeitete eng mit uns zusammen, um das Produkt nach unseren Anforderungen zu implementieren. Zur gleichen Zeit haben wir Office 2010 eingeführt, daher war nicht immer offensichtlich, wo Probleme auftauchen würden, doch Mitarbeiter von Boldon James unterstützten uns vor Ort bei der schnellen Identifizierung und Behebung von Problemen.“
Fazit
Seit der Einführung des Boldon James Classifier ist die Zahl der Verstöße gegen Datenrichtlinien bei der Allianz Ireland erheblich zurückgegangen. Gleichzeitig konnte eine deutliche Sensibilisierung für das Thema Datenklassifizierung und Datensicherheit im gesamten Unternehmen beobachtet werden. Dies spiegelt sich auch in Verbesserungen bei allgemeineren Sicherheitsmaßstäben wider. Die Mitarbeiter achten mehr darauf, mit welcher Art von Informationen sie gerade arbeiten und welche Pflichten sie in puncto Datenschutz treffen. Es besteht die Hoffnung, dass auf diese Weise künftig Datenverluste verhindert werden können.