Executive Summary

Unser Bericht zum Schutz sensibler Inhalte in der Kommunikation sowie zu Datenschutz und Compliance liefert IT-, Cybersecurity- sowie Risiko- und Compliance-Verantwortlichen wertvolle Einblicke aus ihrer Peer-Gruppe. Ziel ist es, Sie dabei zu unterstützen, dass vertrauliche Inhalte, die Sie über verschiedene Kommunikationskanäle wie E-Mail, Filesharing, Managed File Transfer, SFTP (Secure File Transfer Protocol) und Web-Formulare versenden und teilen, geschützt bleiben. Gleichzeitig stellen Sie so sicher, dass Ihre sensiblen Datentransfers und -übertragungen mit geltenden Datenschutzvorgaben konform sind und Ihre Kommunikationssysteme strenge Sicherheitsstandards und Validierungen erfüllen.

Die diesjährige Umfrage wurde im Zeitraum Februar–März 2024 von Centiment durchgeführt und umfasste 33 Fragen zu unterschiedlichen Themen rund um Datensicherheit, Datenschutz und Compliance. Einige Fragen sind „Klassiker“ – sie wurden bereits in einer oder beiden der vorangegangenen Umfragen gestellt –, andere wurden neu aufgenommen, um aktuelle Trends abzubilden. Insgesamt gingen 572 Antworten von IT-, Cybersecurity- sowie Risiko- und Compliance-Verantwortlichen aus Nordamerika, Europa, dem Nahen Osten und Afrika (EMEA) sowie der Asien-Pazifik-Region ein.

Einige der Fragen, die wir zur Identifikation von Trends und zur Gewinnung von Einblicken gestellt haben, waren:

• Wie die Anzahl der eingesetzten Kommunikationstools das Risikomanagement beeinflusst
• Welche Auswirkungen Datenpannen weiterhin auf die Prozesskosten haben
• Welche Datentypen das größte Risiko darstellen und warum
• Wie gesetzliche Vorgaben und Sicherheitsstandards durch die Schaffung von Basis-Sicherheitsstandards und umfassenderen Datenschutzregelungen den Schutz von Daten verbessern
• Wie fortschrittliche Sicherheitsfunktionen in Kommunikationstools das Risiko senken
• Warum und wie veraltete oder unzureichende Ansätze für den Austausch sensibler Inhalte zu Ineffizienzen führen und größere Datenschutz- und Compliance-Risiken verursachen

Introducción

¡Bienvenido al tercer Informe Anual de Comunicaciones de Contenido Confidencial de Kiteworks! Aquí realizamos una encuesta exhaustiva sobre cómo las organizaciones están protegiendo la privacidad y seguridad de su contenido confidencial y cumpliendo con las regulaciones de privacidad de datos y los estándares de seguridad.

Usamos el término “contenido confidencial” para referirnos a una amplia variedad de tipos de contenido que son objetivo de actores maliciosos y representan un riesgo significativo para una organización legítima si estos actores logran acceder a ellos. Es lo que se ve comprometido cuando los titulares de noticias, cada vez más frecuentes, mencionan “violación de datos”. El contenido confidencial contiene datos de clientes y empleados—información personal identificable (PII), información de salud protegida (PHI) y datos de la industria de tarjetas de pago (PCI). También incluye la propiedad intelectual (IP) de la organización, comunicaciones y documentos legales, información financiera, datos de fusiones y adquisiciones y otros tipos de información privada y confidencial.

Riesgos de seguridad

Desde la perspectiva de la seguridad, el problema con el contenido confidencial es que no permanece en un solo lugar. Durante las operaciones diarias, se comparte entre empleados, pero también entre empleados y socios, proveedores, contratistas, asesores legales, contadores, auditores y más. Para que las organizaciones avancen, esta información debe moverse de manera fluida entre la organización y miles de terceros. Y como veremos, esto ocurre a través de múltiples canales de comunicación.

Como resultado, las organizaciones deben proteger su contenido, no solo donde se almacena sino también mientras viaja por diversos canales de comunicación hacia terceros. Desafortunadamente, en los últimos años, los ciberdelincuentes han descubierto vulnerabilidades en la cadena de suministro de software que les permiten acceder a cientos o incluso miles de organizaciones y millones de archivos de datos confidenciales. El Data Breach Investigations Report (DBIR) de Verizon de este año confirma esta tendencia, revelando un aumento interanual del 180% en la explotación de vulnerabilidades de software y que las filtraciones de datos en la cadena de suministro de software crecieron un 68% año tras año, representando el 15% de todas las filtraciones de datos.¹ Los ataques de ransomware Clop del año pasado a las soluciones de transferencia de archivos gestionada (MFT) MOVEit de Progress Software² y GoAnywhere de Forta³ demuestran el riesgo.

Riesgos cibernéticos de la IA

Además de proteger los canales de comunicación de contenido, las empresas y entidades gubernamentales tienen otra prioridad cada vez más urgente que ha crecido en los últimos 18 meses. A medida que la inteligencia artificial (IA) avanza tanto en desarrollo técnico como en uso popular, es fundamental mantener el contenido confidencial fuera de los grandes modelos públicos de lenguaje (LLM) que ahora pueden ser usados habitualmente por empleados y socios.

Según Gartner, las tres principales preocupaciones relacionadas con riesgos sobre el uso de LLM de GenAI incluyen el acceso de terceros a datos confidenciales (casi la mitad de los líderes de ciberseguridad), filtraciones de datos y aplicaciones GenAI (40% de los encuestados) y toma de decisiones errónea (más de un tercio).⁴ Los riesgos asociados con que empleados introduzcan datos confidenciales en herramientas GenAI son reales. Casi un tercio de los empleados en una encuesta realizada a finales del año pasado admitieron haber introducido datos confidenciales en herramientas GenAI públicas. No sorprende que el 39% de los encuestados en el mismo estudio mencionaran la posible filtración de datos confidenciales como el principal riesgo del uso de herramientas GenAI públicas en sus organizaciones.⁵

Al mismo tiempo, las menores barreras de entrada que han llevado la IA a las masas también han abierto la puerta a ciberdelincuentes menos sofisticados para lanzar ataques cada vez más complejos.⁶ Esto refuerza la percepción de que los actores estatales y los ciberdelincuentes están en una “carrera armamentista” en aumento con las organizaciones legítimas, con implicaciones potencialmente existenciales.

Riesgos de cumplimiento

A menos que tu empresa opere en una sola jurisdicción, el reto del cumplimiento normativo en privacidad de datos es el mosaico de requisitos según la ubicación, lo que aumenta la complejidad y el costo de cumplir y documentar ese cumplimiento. El aumento de nuevas regulaciones y la evolución de las existentes llevó al 93% de las organizaciones a replantear su estrategia de ciberseguridad en el último año.⁷ El Reglamento General de Protección de Datos (RGPD) de la Unión Europea, implementado en 2018, unificó a sus 27 estados miembros bajo un único estándar de privacidad de datos.

Para el resto del mundo, las cosas no son tan sencillas. Datos de Naciones Unidas muestran que 137 de los 194 países del mundo ya cuentan con leyes de privacidad de datos, pero naturalmente varían mucho.⁸ En Estados Unidos, la legislación federal más estricta es la Ley HIPAA (HIPAA), que cubre la PHI pero no la PII. Como el Congreso no logra aprobar un estándar nacional, los estados han intervenido, comenzando con la aprobación de la Ley de Privacidad del Consumidor de California (CCPA) en 2018. Desde entonces, otros 17 estados han promulgado leyes integrales de privacidad de datos y hay legislación en proceso en otros 10.⁹ Aunque es positivo que más ciudadanos y residentes de EE. UU. estén protegidos por estas leyes, esto complica aún más el panorama para quienes deben cumplirlas.

Las diferentes entidades que gestionan estas regulaciones de privacidad de datos siguen presionando a las organizaciones para que cumplan. Las multas y sanciones por incumplimiento del RGPD en 2023 alcanzaron los $2.269 millones (€2.100 millones), superando las multas y sanciones emitidas en 2019, 2020 y 2021 juntas.¹⁰ El monto por multa y sanción también va en aumento: $4,75 millones (€4,4 millones) por infracción el año pasado, frente a $540.000 (€500.000) por infracción en 2019. Las multas y sanciones relacionadas con HIPAA son igualmente abrumadoras, alcanzando $4.176 millones el año pasado.¹¹

Además de las regulaciones de privacidad de datos, los estándares y normas de ciberseguridad han sido un área clave para organismos gubernamentales y de supervisión. Algunas de las principales nuevas regulaciones de ciberseguridad introducidas el año pasado incluyen las reglas de Administración de Riesgos de Ciberseguridad y divulgación de incidentes de la SEC para empresas públicas, la Ley de Notificación de Incidentes Cibernéticos para Infraestructura Crítica (CIRCIA), la Ley de Ciberresiliencia (CRA) y la Ley de Resiliencia Operativa Digital (DORA) en Europa, y el Marco de Ciberseguridad (CSF) 2.0 del Instituto Nacional de Estándares y Tecnología (NIST), entre otros.

Riesgos humanos

El factor humano en la seguridad de datos y el cumplimiento sigue siendo un problema grave y la causa de muchas filtraciones de datos confidenciales. El DBIR encontró que los usuarios finales son responsables del 68% de los errores que provocan filtraciones.¹² Esto ocurre de varias formas, incluyendo empleados y terceros que envían información confidencial a destinatarios incorrectos, no aseguran adecuadamente los datos o caen en ataques de ingeniería social como el compromiso de correo electrónico empresarial y el phishing. La falta de visibilidad y gobernanza sobre las comunicaciones de contenido confidencial es un factor principal, además de una infraestructura y controles de seguridad deficientes.

Metodología de este estudio

El Informe de Comunicaciones de Contenido Confidencial de Kiteworks de este año se basa en una encuesta integral a 572 profesionales que trabajan en TI, ciberseguridad y administración de riesgos y cumplimiento en organizaciones con más de 1.000 empleados. Nuestro análisis informa sobre los comentarios de los encuestados del grupo general, los compara con los resultados de nuestras encuestas de 2023 y 2022 y los cruza según diversos detalles demográficos.

Diversidad de los encuestados

Los encuestados provienen de ocho países a nivel mundial, con representación de Norteamérica (34%), Asia-Pacífico (18%) y las regiones de Europa-Oriente Medio-África (48%) (Figuras 1 y 2). Representan una amplia gama de tamaños de empresas a nivel empresarial, con un 54% que tiene entre 1.000 y 10.000 empleados y un 46% con más de esa cantidad (Figura 3).

El grupo incluye una gran variedad de sectores, siendo los de seguridad y defensa (15%), manufactura (12%), salud (12%) y servicios financieros (12%) los de mayor representación (Figura 4). Más de dos de cada diez participantes (22%) trabajan en gobierno o educación, mientras que una cuarta parte trabaja en los sectores financiero, legal y profesional, y el 10% en la industria energética.

En cuanto a la función laboral, la muestra incluye profesionales de diferentes niveles en sus organizaciones, con un 31% en cargos ejecutivos y un 69% en puestos de gerencia intermedia (Figura 5). Además, se dividen entre las áreas de riesgo y cumplimiento (26%), TI (42%) y seguridad (31%).

Tipos de datos y clasificación

Perspectiva: Incapacidad para rastrear y controlar todos sus intercambios de datos

El crecimiento exponencial de los datos se aceleró aún más en los últimos 18 meses con la adopción de modelos de lenguaje grande de generación IA (GenAI) (LLMs). Cuando el contenido sale de una aplicación como correo electrónico, uso compartido de archivos, SFTP, transferencia de archivos gestionada o formularios web, es fundamental que las organizaciones puedan rastrear y controlar el acceso a ese contenido.

Las organizaciones deben comprender los tipos de datos que tienen, dónde residen y a dónde se envían o comparten. Para identificar qué datos no estructurados deben controlarse, es necesario contar con un sistema de clasificación. Cuando se preguntó cuántos de sus datos no estructurados están etiquetados o clasificados, menos de la mitad de los encuestados (48%) afirmó que esto aplica al 75% o más de sus datos (Figura 14). Por sectores, el 65% lo ha logrado en salud, el 56% en servicios financieros y el 55% en el sector legal (Figura 15).

Sin embargo, las organizaciones indicaron que no todos los datos no estructurados necesitan ser etiquetados y clasificados. El 40% de las organizaciones dijo que el 60% o más de los datos no estructurados deben ser etiquetados y clasificados. Además, cuanto más grande es la organización, mayor es la proporción de datos no estructurados que necesita ser etiquetada y clasificada. Por ejemplo, entre quienes tienen más de 30,001 empleados: el 15% indicó que todos los datos deben ser etiquetados y clasificados, y otro 20% dijo que más del 80% debe estar etiquetado y clasificado (Figura 16). Por regiones, más encuestados de Norteamérica dijeron que es necesario etiquetar y clasificar los datos; el 10% afirmó que todos los datos no estructurados deben ser etiquetados y clasificados y otro 16% señaló el 80% o más (Figura 17). Los encuestados del gobierno federal fueron quienes más dijeron que todos los datos deben ser etiquetados y clasificados (24%), con un 17% adicional que indicó que el 80% o más debe estar etiquetado y clasificado (Figura 18).

Evaluación de riesgos según los tipos de datos

Como se explicó antes, el contenido confidencial existe en diferentes formas dentro de las organizaciones. No todas representan el mismo nivel de riesgo de filtración de datos. Según el estudio anual de IBM sobre el costo de una filtración de datos, la información personal identificable (PII) es el registro más costoso y comúnmente comprometido. La PII también fue el tipo de registro más vulnerado en 2023, representando el 52% de todas las filtraciones de datos, posición que mantuvo los dos años anteriores.¹⁵ Los hallazgos de IBM coinciden con los del último DBIR, donde el 50% de todas las filtraciones de datos estuvieron relacionadas con PII.

Al comparar esto con las respuestas de los encuestados, se observan diferencias. Por ejemplo, según los datos de IBM y Verizon, se podría suponer que los encuestados señalarían la PII como su principal preocupación de tipo de contenido. Pero no fue así. En su lugar, mencionaron documentos financieros (55%), propiedad intelectual (44%) y comunicaciones legales (44%) como sus tres principales preocupaciones (Figura 19).

Se encontró cierta corroboración de los datos de IBM y Verizon en nuestro análisis cruzado sobre la información de salud protegida (PHI), donde quienes la señalaron como una de sus tres principales preocupaciones de tipo de datos experimentaron una mayor tasa de filtraciones de datos maliciosas que quienes priorizaron otros tipos de datos. Por ejemplo, el 43% de quienes ubicaron PHI entre sus tres principales preocupaciones de tipo de datos dijeron haber sufrido más de siete filtraciones de datos (en contraste con el 32% de todos los encuestados que reportaron siete o más filtraciones) (Figura 20). El segundo tipo de dato con mayor tasa de filtraciones fue la propiedad intelectual (35% reportó haber experimentado siete o más filtraciones de datos).

Llama la atención que la mitad de los encuestados de Norteamérica mencionó los LLMs de GenAI como una de sus tres principales preocupaciones, ubicándose detrás de los documentos financieros (Figura 21). Por sector, los LLMs son una preocupación especialmente relevante en petróleo y gas (62%), farmacéuticas (61%), gobierno federal (61%) y estatal (58%), y despachos jurídicos (58%).

Existe una variación significativa entre tipos de datos e industrias respecto a cuál se considera de mayor riesgo:

• Los LLMs de GenAI fueron seleccionados con mayor frecuencia por empresas de energía y utilities y del sector de seguridad y defensa, con un 50%.
• La PII fue citada con mayor frecuencia por instituciones de educación superior, con un 50%.
• La PHI fue citada principalmente por el sector salud, con un 58%.
• CUI y FCI fueron mencionados con mayor frecuencia por fabricantes, con un 79%.
• Las comunicaciones legales fueron citadas principalmente por empresas de petróleo y gas (62%) y agencias del gobierno federal (61%).
• Los detalles de fusiones y adquisiciones fueron identificados principalmente por empresas farmacéuticas y de ciencias de la vida (40%).

Cybersecurity und Risikomanagement

Einblick: Schutz sensibler Inhalte bleibt eine große Herausforderung

Für das Sicherheitsteam steht der Schutz sensibler Inhalte im Mittelpunkt ihrer Aufgaben in den IT-Systemen des Unternehmens. 2024 geben deutlich weniger Befragte unserer Umfrage an, dass keine Verbesserung beim Management der Inhaltsicherheit notwendig ist, als noch 2023 (Abbildung 40). Nur 11% vertreten diese Meinung in diesem Jahr, aber auch der Anteil, der einen erheblichen Verbesserungsbedarf sieht, ist gesunken. Damit bleibt mehr als die Hälfte (56%), die angibt, dass Verbesserungen notwendig sind. Das zeigt, dass Unternehmen zwar Fortschritte machen, aber auch realistischer einschätzen, wo weiterer Verbesserungsbedarf besteht.

Diese Prozentsätze sind jedoch nicht in allen Gruppen gleich. 30% oder mehr der Befragten in Saudi-Arabien, den Vereinigten Arabischen Emiraten, Nordamerika und im asiatisch-pazifischen Raum sehen erheblichen Verbesserungsbedarf (Abbildung 41). Ähnlich hoch ist der Anteil in den Branchen Professional Services (47%), Finanzdienstleistungen (43%), Öl und Gas (42%), Bundesbehörden (41%), Fertigung (36%) und Gesundheitswesen (34%) (Abbildungen 42 und 43).

Fortschritte in Richtung Zero Trust

Zero trust in Unternehmen steht für eine umfassende Einführung und Integration über verschiedene Sicherheitsebenen hinweg. Zero-trust-Prinzipien auf Netzwerkebene werden durch Mikrosegmentierung und strikte Zugriffskontrollen umgesetzt, um die laterale Ausbreitung von Bedrohungen zu minimieren. Endpunktsicherheit im Sinne von zero trust umfasst den Einsatz von Advanced Threat Protection und Endpoint Detection and Response (EDR), um alle Geräte im Netzwerk kontinuierlich zu authentifizieren und zu überwachen. Für Identitäts- und Zugriffsmanagement sind Multi-Faktor-Authentifizierung (MFA) und Privileged Access Management (PAM) entscheidend, um den Zugriff der Anwender streng zu kontrollieren und laufend zu überprüfen. Auf Inhaltsebene setzen Unternehmen auf Daten-Verschlüsselung und Echtzeitüberwachung, um vertrauliche Informationen zu schützen. Trotz der Priorisierung von zero trust berichten fast die Hälfte (48%) über Schwierigkeiten bei der Integration von zero trust sowohl in On-Premises- als auch in Cloud-Umgebungen.¹⁹

Unser Fokus in diesem Bericht liegt klar auf der Inhaltssicherheitsebene (Abbildung 44). Erstens: 45% der Unternehmen haben zero trust bei der Inhaltssicherheit noch nicht erreicht – ein bedauerlicher Wert. Zweitens gibt es demografische Bereiche mit noch schlechteren Ergebnissen: Nur 35% der Befragten im Vereinigten Königreich und 39% im Nahen Osten sowie im asiatisch-pazifischen Raum erreichen diesen Standard (Abbildung 45). Nach Branchen betrachtet liegen Landesbehörden (21%), Öl und Gas (33%) sowie Pharma und Life Sciences (39%) beim zero trust-Schutz für Inhalte zurück (Abbildung 46).

Sicherheitsniveau für den Schutz sensibler Inhalte erhöhen

Unternehmen, die zugaben, keine fortschrittlichen Sicherheitsfunktionen für die Kommunikation sensibler Inhalte zu nutzen, gaben deutlich häufiger (36%) an, nicht zu wissen, wie viele Datenpannen sie betroffen haben – im Vergleich zu denen, die fortschrittliche Sicherheit für einige oder alle Inhalte einsetzen (jeweils 8%) (Abbildung 47). Das zeigt eine erhebliche Risikolücke. Branchenübergreifend zeigen die Ergebnisse die größten Herausforderungen im Rechtswesen (55% nutzen sie nur teilweise oder gar nicht), bei Kommunalbehörden (50%), Bundesbehörden (48%) und im Gesundheitswesen (44%). Im globalen Durchschnitt liegt der Anteil bei 41%. Die besten Branchenwerte erzielen Professional Services (71% nutzen sie für alle Inhalte), Landesbehörden (71%) und Hochschulen (65%) (Abbildung 48).

Nachverfolgung, Klassifizierung und Kontrolle des Zugriffs auf sensible Inhalte

Verlassen Inhalte eine Anwendung wie E-Mail, Filesharing, SFTP, Managed File Transfer oder Web-Formulare, ist es entscheidend, dass Unternehmen den Zugriff auf diese Inhalte nachverfolgen und steuern können. Nur 16% der Befragten gelingt dies immer, 45% geben an, dies in etwa drei Viertel der Fälle zu schaffen (Abbildung 49). In bestimmten Segmenten sind die Werte besser – 70% in Nordamerika, 79% in der Fertigung und 73% im Gesundheitswesen (Abbildungen 50 und 51). Dagegen schneiden Hochschulen (31%) sowie Öl und Gas (34%) schlechter ab.

Um zu bestimmen, welche unstrukturierten Daten kontrolliert werden sollten, ist ein Klassifizierungssystem erforderlich. Gefragt, wie viel ihrer unstrukturierten Daten getaggt oder klassifiziert sind, geben weniger als die Hälfte (48%) an, dass dies für mindestens 75% ihrer Daten zutrifft (Abbildung 14). In Nordamerika sind es immerhin 56% (Abbildung 52). Nach Branchen betrachtet erreichen im Gesundheitswesen 65%, in den Finanzdienstleistungen 56% und im Rechtswesen 55% diesen Wert (Abbildung 53).

Einsatz von Sicherheitstools für sensible Inhalte

Alle Unternehmen nutzen verschiedene Sicherheitstools für ihre Netzwerke, Endpunkte und Cloud-Anwendungen. Ob diese auch zum Schutz interner und externer Kommunikation sensibler Inhalte eingesetzt werden, ist eine andere Frage.

Gefragt, ob sie Funktionen wie Multi-Faktor-Authentifizierung, Verschlüsselung sowie Governance-Tracking und -Kontrollen für diese Kommunikation nutzen, zeigen die Ergebnisse ein gemischtes Bild (Abbildung 54). Fast sechs von zehn (59%) geben an, dass diese Schutzmaßnahmen bei externer Kommunikation sensibler Inhalte immer greifen. Fast alle anderen sagen, dass sie diese zumindest gelegentlich einsetzen. Die nordamerikanischen Befragten haben die höchste Sicherheitsstufe: 67% setzen diese Maßnahmen immer ein, im Vergleich zu 57% im asiatisch-pazifischen Raum und 53% in EMEA.

Die Messung und das Management der Sicherheit sensibler Inhalte bleibt ein zentrales Thema für Unternehmen: Nur 11% sehen keinen Verbesserungsbedarf, verglichen mit 26% im Vorjahr (Abbildung 55). Ein höherer Anteil der Unternehmen sieht dieses Jahr Verbesserungsbedarf (56% gegenüber 37% im Vorjahr).

Während die Zahlen für die gesamte Gruppe gleich sind, gibt es interessante Unterschiede zwischen den einzelnen Gruppen. Bei interner Kommunikation geben 71% der Landesbehörden und Professional Services an, diese Tools immer zu nutzen (Abbildung 56). Zwei Drittel (67%) der nordamerikanischen Befragten sagen das ebenfalls, während es in EMEA nur 53% sind (aber 63% im Vereinigten Königreich) (Abbildung 57). Interessant: Kanzleien schneiden bei interner Kommunikation am schlechtesten ab (45%). Bei externer Kommunikation sind Pharma und Life Sciences (78%) sowie Hochschulen (72%) Spitzenreiter, ebenso nordamerikanische Unternehmen (69%) (Abbildung 56).

Fazit

Die Ergebnisse des diesjährigen Sensitive Content Communications Privacy and Compliance Report unterstreichen, wie wichtig es für Unternehmen ist, proaktiv Maßnahmen zum Schutz ihrer sensiblen Inhalte zu ergreifen. Ein zentrales Ergebnis: Die Konsolidierung von Kommunikationstools auf einer einzigen Plattform. Durch die Reduzierung der Anzahl unterschiedlicher Tools für die Kommunikation sensibler Inhalte können Unternehmen das Risiko von Datenschutzverstößen deutlich senken und ihre Effizienz steigern. Insbesondere Unternehmen mit weniger Kommunikationstools verzeichnen weniger Datenpannen – ein klarer Zusammenhang zwischen Tool-Konsolidierung und erhöhter Sicherheit.

Der Bericht hebt zudem die erheblichen Risiken hervor, die mit nicht getaggten und nicht klassifizierten Daten einhergehen. Unternehmen, die keine wirksamen Systeme zur Datenklassifizierung und -kennzeichnung einsetzen, sind einem höheren Risiko von Datenschutzverstößen ausgesetzt, da ihnen die notwendige Transparenz und Kontrolle über ihre sensiblen Inhalte fehlt. Das exponentielle Datenwachstum, beschleunigt durch den Einsatz von GenAI, macht es für Unternehmen unerlässlich, die Datenklassifizierung zu priorisieren, um diese Risiken wirksam zu minimieren.

Die Umsetzung von zero-trust-Prinzipien und fortschrittlichen Sicherheitsfunktionen ist entscheidend, um die Sicherheit bei der Kommunikation sensibler Inhalte zu erhöhen. Die Studienergebnisse zeigen deutliche Sicherheitslücken und den Bedarf an konsequentem, inhaltsbasiertem zero trust, einschließlich attributbasierter Zugriffskontrollen, umfassender Verschlüsselung, Echtzeit-Monitoring und Data Loss Prevention. Wie die Ergebnisse zeigen, bestehen in bestimmten Branchen, Regionen und Ländern größere Lücken als in anderen.

Die Daten verdeutlichen zudem erhebliche Risiken beim Austausch sensibler Inhalte mit Drittparteien: Je mehr Drittparteien die Befragten für den Versand und Austausch sensibler Inhalte nutzen, desto mehr Datenschutzverstöße und höhere Rechtskosten treten auf. Unternehmen müssen daher umfassende Governance-Überwachung und -Kontrollen sowie fortschrittliche Sicherheitsfunktionen implementieren, um Risiken durch Drittparteien zu minimieren.

Abschließend ist ein letzter Punkt zu den Kosten von Datenschutzverstößen, insbesondere im Zusammenhang mit Rechtsstreitigkeiten, hervorzuheben. Die diesjährige Umfrage zeigt, dass viele Unternehmen erhebliche Rechtskosten tragen, die in klassischen Berechnungen der Kosten von Datenschutzverstößen oft nicht berücksichtigt werden. Ein beschädigter Markenruf, Umsatzverluste und Betriebsunterbrechungen sind nur ein Teil der Folgen. Compliance-Strafen und langwierige Rechtsstreitigkeiten haben häufig einen nachhaltigen finanziellen Effekt. Das unterstreicht, wie wichtig es ist, Tools für die Kommunikation sensibler Inhalte auszuwählen, die Sicherheitsstandards wie FedRAMP, ISO 27001, SOC 2 Type II, NIST CSF 2.0 und weitere erfüllen.