Textversion
Wer bietet was Recht Markt Produkte Services Whitepapers Fachartikel Compliance-Kiosk Schwerpunkte Branchen Videothek Schulungen Literatur Governance Webinare Compliance-Lexikon Success Stories Specials Security-Telegramm SaaS / Cloud-Telegramm Compliance-Archiv
Home Markt Hintergrund

Markt


Hintergrund Hinweise & Tipps Interviews Invests Kommentare, Meinungen, Stellungnahmen Nachrichten Personen Studien, Umfragen, Untersuchungen Meinungsumfragen Unternehmen

Events / Veranstaltungen Datenschutzerklärung Newsletter Marktübersichten Stellenanzeigen - Jobsuche Compliance-Shop Shopping-Portal & Shopping Mall Impressum Kontakt: Pressemitteilungen Links RSS: Compliance-Magazin.de-News Feed abonnieren RSS: IT SecCity.de-News Feed abonnieren Geschäftsbedingungen Wichtiger Hinweis zu Rechtsthemen Compliance-Magazin für Mobile Devices Sitemap Suche Mediadaten

IT-Sicherheit und Compliance in neun Schritten


Für jeden Geschäftsprozess sollte es einen Zuständigen geben, der für die Kontrolle und Einhaltung der Sicherheit und Compliance-Regeln verantwortlich ist
Sicherheit und Compliance muss als Prozess begriffen werden

Anzeige

(08.09.10) - Datenlecks, Datenklau, Hackerangriffe, Systemcrashs – je abhängiger Unternehmen und Behörden von IT-Prozessen sind, desto größer wird die Anfälligkeit der IT-Infrastruktur für Fehler und Missbrauch. Entsprechend häufen sich Regulierungsbemühungen von Gesetzgebern und Branchen, die Sicherheitsstandards vorgeben und die Einhaltung mit regelmäßigen Audits überprüfen.

Was zur Verbesserung von Systemstabilität und -sicherheit beitragen soll, stellt Unternehmen in der Umsetzung vor erhebliche Herausforderungen. Jennifer Bayuk vom Stevens Institute of Technology in New Jersey und Gene Kim, CTO und Mitgründer von Tripwire aus Portland, haben in einem Forschungsprojekt untersucht, wie Unternehmen in der Praxis mit den Themen Sicherheit und Compliance umgehen.

"Ein typischer Fehler vieler Unternehmen ist, Audits und Compliance als Projekt zu begreifen, statt als Prozess", sagt Kim.

"Organisationen, die diesem Ansatz folgen, geraten häufig in einen Kreislauf krisengesteuerter Problembeseitigung. Von den Vorbereitungen über das eigentliche Audit und die Auswertung der Ergebnisse bis zur Fehlerbehebung und Wiederholung des Audits werden hier vor allem Feuer gelöscht, statt systematisch Regeln und Prozesse für eine höhere Sicherheit zu implementieren. Das Ergebnis ist entsprechend eher eine hochpolitische Suche nach dem Schuldigen für den Misserfolg statt eine erfolgreich verbesserte Sicherheit der eigenen IT."

Kim empfiehlt Organisationen einen 9-Punkte-Plan, mit dem sie diesen Teufelskreis durchbrechen und sicherstellen können, dass Sicherheit und Compliance zum integralen Bestandteil der täglichen Arbeit werden.

1) Von Oben nach Unten:
Machen Sie dem IT-Vorstand klar, dass er die Verantwortung für die IT-Sicherheit und die Audit-Ergebnisse mit dem IT-Sicherheitsbeauftragten teilen muss.

2) Unternehmensziele und IT-Sicherheit als Eins begreifen:
Der Unternehmenserfolg und die IT-Sicherheit gehören zusammen. Definieren Sie die unternehmerischen Ziele Ihres Unternehmens und zeigen Sie, mit welchen Prozessen und Maßnahmen eine sichere IT dazu beiträgt, Risiken auszuschließen und diese Ziele zu erreichen.

3) Sicherheit messbar machen:
Legen Sie messbare Indikatoren fest, die eine optimal gesicherte IT-Infrastruktur beschreiben.

4) Den Informationsfluss von Anfang bis Ende verstehen:
Beschreiben Sie Ihre Unternehmensprozesse genau und vollständig, um alle relevanten Abläufe und Dokumentationen für ein Audit zu erfassen:
• Wo betreten, durchqueren und verlassen sensible Informationen das Unternehmen und wo werden sie gespeichert?
• Welche unternehmerischen und Sicherheitsrisiken birgt dieser Informationsfluss?
• An welchen Punkten nutzen Sie welche Technologien, um Fehlern vorzubeugen und Fehler aufzudecken?

5) Verantwortung für Kontrolle und Prozesse festlegen:
Benennen Sie für jeden wesentlichen Geschäftsprozess einen Zuständigen, der für die Kontrolle und Einhaltung der Sicherheit und Compliance-Regeln verantwortlich ist.

6) Erwartete Ergebnisse klar beschreiben:
Legen Sie fest, welche Indikatoren ein automatischer Sicherheits- und Compliance-Test testen soll und welche Ergebnisse Sie erwarten. So können die Prozessverantwortlichen die tatsächlichen Ergebnisse mit den Vorgaben abgleichen.

7) Regelmäßige Tests durchführen:
Testen Sie regelmäßig, ob die IT-Prozesse, -Programme und -Konfigurationen noch Ihren Sicherheits- und Compliance-Vorgaben entsprechen. So decken Sie Abweichungen und Fehler frühzeitig auf und stellen sicher, dass Sie für das nächste Audit bereit sind.

8) Mängelbeseitigung prüfen und dokumentieren:
Prüfen und dokumentieren Sie die Beseitigung von aufgedeckten Mängeln und Fehlern. So stellen Sie sicher, dass diese rechtzeitig vor dem nächsten Audit tatsächlich behoben sind.

9) Änderungen von IT-Hardware und IT-Prozessen integrieren:
Stellen Sie sicher, dass Sie bei wesentlichen Änderungen von IT-Prozessen und der IT-Infrastruktur ihre bestehenden Verantwortlichkeiten, Indikatoren und Kontrollen anpassen, um den erreichten Sicherheits- und Compliance-Status zu erhalten.
(Tripwire: ra)

Tripwire: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -


Meldungen: Markt / Hintergrund

Immer wichtig: Verschlüsselung vertraulicher Daten Ein verlorener Laptop stellt ebenso wie ein abhandengekommener USB-Stick oder ein Hacker-Angriff einen Datenschutzverstoß dar. Ein erfolgreicher Datenschutzvorfall bringt enorme finanzielle Risiken mit sich: für das Unternehmen, die Betroffenen, aber auch für Lieferanten und Kunden.

Compliance-Risiken in Joint Ventures Bei der Eingehung von internationalen Kooperationen sehen sich Unternehmen neuen Korruptionsrisiken ausgesetzt. "Die klassische Bestechung hat ausgedient, neue und subtilere Formen der verdeckten Bestechung sind auf dem Vormarsch", sagte Prof. Dr. Thomas Klindt auf dem Noerr Compliance Day, zu dem jetzt der Leiter der Noerr Compliance Group rund 200 Fachleute aus dem In- und Ausland begrüßen konnte. Thematisch im Mittelpunkt standen die vielfältigen Compliance-Risiken in Joint Ventures - nach dem Iran-Embargo der EU auch drängende Fragen zur Abwicklung von mit iranischen Partnern geschlossenen Verträgen.

Zahlungsprozesse SEPA-konform gestalten Die Umstellung auf SEPA (Single European Payment Area) wird grundlegend in die Zahlungs- und Abrechnungsprozesse der Unternehmen eingreifen. Innerhalb der nächsten zwei Jahre müssen alle Zahlungsprozesse SEPA-konform gestaltet werden. Die Managementberatung Mücke, Sturm & Company hat analysiert, welche Prozesse entlang des Kundenlebenszyklus zwingend überarbeitet und angepasst werden müssen, um die SEPA-Anforderungen in den operativen Betrieb zu überführen. "Der Umstellungsaufwand wird in der Wirtschaft kritisch gesehen, er bietet aber gleichzeitig die Chance, lang gewünschte Systemanforderungen innerhalb des Umstellungsprozesses endlich zu realisieren", macht Michael Kaut, Partner bei Mücke, Sturm & Company, deutlich.

Betrüger: Anrufe angeblicher Verbraucherschützer "Wir müssen immer dreister werdenden Telefonabzockern endlich das Handwerk legen", forderte Bayerns Verbraucherschutzministerin Dr. Beate Merk. "Ich fordere deshalb die Einführung der so genannten Bestätigungslösung. Das heißt: Eine Zahlungspflicht kommt auf einen Werbeanruf hin nur zustande, wenn der Kunde den Vertragsschluss nachher schriftlich bestätigt. Nur so können wir den Verbraucher noch effektiver gegen unerlaubte Telefonwerbung und unbeabsichtigte mündlich geschlossene Verträge am Telefon schützen."

Spürbare Kostensenkung beim Rechnungsversand Seit dem Inkrafttreten des Steuervereinfachungsgesetz am 1. Juli 2011 planen viele Unternehmen ihre Fakturierungsprozesse nachhaltig zu verschlanken und gleichzeitig die Prozesskosten signifikant zu senken. Zu verdanken ist dies einem Aspekt des Gesetzes, der in der öffentlichen Diskussion seinerzeit nur wenig Beachtung fand: Rechnungen, die auf elektronischem Wege übermittelt werden, sind denen, die per klassischer Briefpost zugestellt werden, gleichgestellt. darauf weist das Unternehmen retarus hin.

EU-Ausschuss entscheidet Ende April über Basel III Kleine und mittelständische Hightech-Unternehmen könnten bald schwieriger an Kredite kommen. Grund sind die strengen Vorgaben für Banken, die nach dem Abkommen "Basel III" jetzt in europäisches Recht umgesetzt werden sollen. Das befürchtet der Bitkom und fordert eine Überarbeitung der regulatorischen Compliance-Anforderungen. "Ohne weitere Anpassungen beschränken die Basel-III-Vorgaben den Spielraum für Banken bei der Kreditvergabe an kleine und mittelständische Unternehmen und verteuern solche Kredite", sagt Heinz Paul Bonn, Bitkom-Vizepräsident und Mittelstandsbeauftragter.

Vorratsdatenspeicherung in Polen Die polnischen Behörden hätten laut Angaben der Piratenpartei im vergangenen Jahr 1.856.888 Mal die Vorratsdaten der Bürger abgefragt. Bei einer Bevölkerung von 38,5 Millionen Menschen sei somit bereits jeder zwanzigste Bürger direkt durch eine Abfrage betroffen gewesen. Die Zahlen würden deutlich machen, dass die Möglichkeit, Datensammlungen durchführen zu können, auch zu steigenden Begehrlichkeiten bezüglich des Zugriffs durch die Behörden führe.

Zeitnahe Betriebsprüfung: Vor- und Nachteile Erstmals werden bundesweit einheitliche Rahmenbedingungen für eine zeitnahe Betriebsprüfung verbindlich festgelegt. Die Betriebsprüfung kann nur für die Prüfungszeiträume durchgeführt werden, zu denen dem Finanzamt vollständige Steuererklärungen vorliegen. Gegenwartsnah ist eine zeitnahe Betriebsprüfung nur, wenn die anfängliche Bereitschaft von Unternehmen und Finanzbehörde zu Effizienz und Kooperation während der gesamten Prüfungsdauer aufrecht erhalten und aktiv in der Praxis umgesetzt wird.

Mehr Rechtsschutz bei Bestellungen im Internet Bayerns Verbraucher können sich seit dem 2. April 2012 an eine Online-Schlichtungsstelle wenden, wenn es bei einer Bestellung im Internet Probleme gibt und sie sich mit dem beteiligten Unternehmen nicht einigen können. Das internetgestützte Schlichtungsverfahren unter www.online-schlichter.de steht dank der Förderung des Bayerischen Justiz- und Verbraucherschutzministeriums nun auch für Bayern kostenlos zur Verfügung.

Führungskräfte-Tabuthema "Angst" Manager sind Macher und keine Angsthasen. Zumindest zeigen sie ihre Ängste - die sich durchaus haben - nicht, schon gar nicht im "Haifischbecken Top-Management". Jedes Anzeichen von Schwäche kann zu einer "Beißattacke" der Konkurrenten führen. Sie fürchten, ohne ihre Position ein Niemand zu werden. Probleme besprechen sie mit ihrer Familie oder mit Gott. Besser wäre es, mit einem Coach Strategien zu entwickeln: "Er trägt nichts nach draußen", sagt die Diplom-Psychologin Dr. Gabi Harding. In ihrer Dissertation an der FernUniversität in Hagen hat sie das bisher vernachlässigte Thema "Wie gehen Manager mit ihren Ängsten um?" untersucht. Ihre Arbeit ist gerade als Buch veröffentlicht worden: "Topmanagement und Angst. Eine empirische Studie zu Angst und deren Bewältigung im Kontext hochrangiger Führungspositionen" (VS Verlag für Sozialwissenschaften, 2012, ISBN: 3531187953).

Druckbare Version

Typische Fehler beim Social-Media-Einsatz Seriöse E-Mail-Marketing-Kampagnen starten