Sie sind hier: Home » Markt » Hintergrund

IT-Sicherheit und Compliance in neun Schritten


Für jeden Geschäftsprozess sollte es einen Zuständigen geben, der für die Kontrolle und Einhaltung der Sicherheit und Compliance-Regeln verantwortlich ist
Sicherheit und Compliance muss als Prozess begriffen werden

(08.09.10) - Datenlecks, Datenklau, Hackerangriffe, Systemcrashs – je abhängiger Unternehmen und Behörden von IT-Prozessen sind, desto größer wird die Anfälligkeit der IT-Infrastruktur für Fehler und Missbrauch. Entsprechend häufen sich Regulierungsbemühungen von Gesetzgebern und Branchen, die Sicherheitsstandards vorgeben und die Einhaltung mit regelmäßigen Audits überprüfen.

Was zur Verbesserung von Systemstabilität und -sicherheit beitragen soll, stellt Unternehmen in der Umsetzung vor erhebliche Herausforderungen. Jennifer Bayuk vom Stevens Institute of Technology in New Jersey und Gene Kim, CTO und Mitgründer von Tripwire aus Portland, haben in einem Forschungsprojekt untersucht, wie Unternehmen in der Praxis mit den Themen Sicherheit und Compliance umgehen.

"Ein typischer Fehler vieler Unternehmen ist, Audits und Compliance als Projekt zu begreifen, statt als Prozess", sagt Kim.

"Organisationen, die diesem Ansatz folgen, geraten häufig in einen Kreislauf krisengesteuerter Problembeseitigung. Von den Vorbereitungen über das eigentliche Audit und die Auswertung der Ergebnisse bis zur Fehlerbehebung und Wiederholung des Audits werden hier vor allem Feuer gelöscht, statt systematisch Regeln und Prozesse für eine höhere Sicherheit zu implementieren. Das Ergebnis ist entsprechend eher eine hochpolitische Suche nach dem Schuldigen für den Misserfolg statt eine erfolgreich verbesserte Sicherheit der eigenen IT."

Kim empfiehlt Organisationen einen 9-Punkte-Plan, mit dem sie diesen Teufelskreis durchbrechen und sicherstellen können, dass Sicherheit und Compliance zum integralen Bestandteil der täglichen Arbeit werden.

1) Von Oben nach Unten:
Machen Sie dem IT-Vorstand klar, dass er die Verantwortung für die IT-Sicherheit und die Audit-Ergebnisse mit dem IT-Sicherheitsbeauftragten teilen muss.

2) Unternehmensziele und IT-Sicherheit als Eins begreifen:
Der Unternehmenserfolg und die IT-Sicherheit gehören zusammen. Definieren Sie die unternehmerischen Ziele Ihres Unternehmens und zeigen Sie, mit welchen Prozessen und Maßnahmen eine sichere IT dazu beiträgt, Risiken auszuschließen und diese Ziele zu erreichen.

3) Sicherheit messbar machen:
Legen Sie messbare Indikatoren fest, die eine optimal gesicherte IT-Infrastruktur beschreiben.

4) Den Informationsfluss von Anfang bis Ende verstehen:
Beschreiben Sie Ihre Unternehmensprozesse genau und vollständig, um alle relevanten Abläufe und Dokumentationen für ein Audit zu erfassen:
• Wo betreten, durchqueren und verlassen sensible Informationen das Unternehmen und wo werden sie gespeichert?
• Welche unternehmerischen und Sicherheitsrisiken birgt dieser Informationsfluss?
• An welchen Punkten nutzen Sie welche Technologien, um Fehlern vorzubeugen und Fehler aufzudecken?

5) Verantwortung für Kontrolle und Prozesse festlegen:
Benennen Sie für jeden wesentlichen Geschäftsprozess einen Zuständigen, der für die Kontrolle und Einhaltung der Sicherheit und Compliance-Regeln verantwortlich ist.

6) Erwartete Ergebnisse klar beschreiben:
Legen Sie fest, welche Indikatoren ein automatischer Sicherheits- und Compliance-Test testen soll und welche Ergebnisse Sie erwarten. So können die Prozessverantwortlichen die tatsächlichen Ergebnisse mit den Vorgaben abgleichen.

7) Regelmäßige Tests durchführen:
Testen Sie regelmäßig, ob die IT-Prozesse, -Programme und -Konfigurationen noch Ihren Sicherheits- und Compliance-Vorgaben entsprechen. So decken Sie Abweichungen und Fehler frühzeitig auf und stellen sicher, dass Sie für das nächste Audit bereit sind.

8) Mängelbeseitigung prüfen und dokumentieren:
Prüfen und dokumentieren Sie die Beseitigung von aufgedeckten Mängeln und Fehlern. So stellen Sie sicher, dass diese rechtzeitig vor dem nächsten Audit tatsächlich behoben sind.

9) Änderungen von IT-Hardware und IT-Prozessen integrieren:
Stellen Sie sicher, dass Sie bei wesentlichen Änderungen von IT-Prozessen und der IT-Infrastruktur ihre bestehenden Verantwortlichkeiten, Indikatoren und Kontrollen anpassen, um den erreichten Sicherheits- und Compliance-Status zu erhalten.
(Tripwire: ra)

Tripwire: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Markt / Hintergrund

  • ESG: Wo Dienstleister unterstützen

    Das Thema ESG (Environmental, Social, Governance) duldet keinen Aufschub mehr. Unternehmen begreifen ESG-Pflichten auch als Chance, das eigene Geschäftsmodell und eingespielte Wertschöpfungsprozesse zu hinterfragen. Wer sich frühzeitig mit der Materie beschäftigt, ist klar im Vorteil, denn der Markt belohnt Nachhaltigkeitsbemühungen. Die Marktanalysten von Lünendonk & Hossenfelder widmen die aktuelle Ausgabe des Lünendonk-Magazins dem Trendthema ESG. Mit den Kapiteln Regulatorik, Erfolgsfaktoren der Unternehmensführung, Digitalisierung, Lieferkette, Immobilienwirtschaft und nachhaltiger Erfolg fokussiert es auf die Herausforderungen bei der Umsetzung verpflichtender wie auch freiwilliger Maßnahmen. Als Autoren wurden neben eigenen Analysten erfahrene Führungskräfte von Serviceunternehmen gewonnen, die Lösungsansätze für die vielfältigen ESG-Anforderungen aufzeigen.

  • Recht vor neuen Herausforderungen

    Legal Tech und der Einsatz moderner Informationstechnologien im Rechts- und Wirtschaftsleben verändern die Berufswelt der Juristen. Bayerns Justizminister Georg Eisenreich: "Die fortschreitende Digitalisierung stellt das Recht vor neue Herausforderungen. Legal Tech schafft neue Möglichkeiten sowohl zur Automatisierung von Abläufen als auch zur Sachbearbeitung und Rechtsberatung. Deshalb setzt die bayerische Justiz ab Juli dieses Jahres IT-Recht und Legal Tech auf den Lehrplan. Mit der Vermittlung wertvoller Zusatzkompetenzen leisten wir auch einen Beitrag für die Wettbewerbsfähigkeit des Rechtsstandorts Deutschland."

  • Wo steuert die Versicherungsbranche hin?

    Auch 2023 steht die Versicherungsbranche vor großen Herausforderungen. Der Modernisierungs- und Digitalisierungsdruck nimmt weiter zu. Fadata sieht fünf Entwicklungen, die die Versicherungslandschaft prägen werden. Die Versicherungswirtschaft steht unter einem hohen Wettbewerbsdruck und vor steigenden Markt- und Kundenanforderungen. Neue Player und Geschäftsmodelle gefährden das etablierte Stammgeschäft. Um ihre Marktposition zu sichern und zu stärken, müssen Versicherer Innovationen konsequent vorantreiben.

  • Spezial-Einheiten, Kontrollen, Dunkelfeldstudie

    Pflegedienstbetrug, Schmiergelder, Abrechnungen für nicht erbrachte Leistungen: Bayern fordert, das Gesundheitswesen besser vor Straftätern zu schützen. Die Gesundheitsausgaben haben laut Prognose des Statistischen Bundesamts im vergangenen Jahr mit etwa 466 Milliarden Euro einen neuen Höchststand erreicht.

  • Reputationsschäden und Haftung

    Viele Unternehmen setzen private Standards bislang als zentrales Instrument ein, um ihrer Verantwortung für Menschenrechte und Umwelt bei der Rohstoffgewinnung nachzukommen. Eine aktuelle Studie der Umwelt- und Entwicklungsorganisation Germanwatch zeigt aber, dass sich diese Industriestandards nicht dafür eignen, die Anforderungen einschlägiger Menschenrechts- und Umweltstandards wirksam umzusetzen.

Typische Fehler beim Social-Media-Einsatz Seriöse E-Mail-Marketing-Kampagnen starten

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen