Sie sind hier: Home » Produkte » Überwachung & Analyse

Automatisierung von Compliance in Unternehmen


Automatisierte Einhaltung der ISO 27002-Compliance: Direkt auf Verletzungen von Sicherheits- und Compliance-Richtlinien reagieren können
Log- und IT-Datenmanagement dienen dazu, präzise zu wissen und zu verstehen, was im IT-Netz vorgeht


(19.08.11) - LogLogic setzt kontinuierlich auf Lösungen zur Vereinfachung und Automatisierung von Compliance in Unternehmen. ISO Standards haben dabei einen zentralen Stellenwert, insbesondere die ISO-Familie 2700x für die Informationssicherheit in Unternehmen. Dafür bietet LogLogic eine abgestimmte Compliance-Suite, die Korrelationen und Compliance-Workflows für ISO 27002 in hohem Maße automatisiert und keine Skalierungsgrenzen aufweist.

Wer Informationssicherheit konsequent einhalten und dies auch nachweisen kann, wird zum bevorzugten Partner, Zulieferer oder Dienstleister. "Dabei geht es nicht nur um den Schutz vor Wirtschaftsspionage oder Datendiebstahl", sagt Martin Ulmer, Territory Account Manager bei LogLogic Deutschland. "Geschäftspartner erster Wahl garantieren die Hochverfügbarkeit ihrer unternehmenskritischen Systeme wie auch ihre Fähigkeit, gesetzliche Regulierungs- und Compliance-Vorschriften einzuhalten. Zu Recht wird daher ISO 27002 als ganzheitliche Managementaufgabe verstanden, die über die reine technische IT-Sicherheit hinausgeht."

Der Oberbegriff ISO 27000 steht für die Reihe an IT-Sicherheitsnormen der ISO 2700x-Familie. Dabei legt die ISO 27002 fest, wie IT-Sicherheit in der Praxis realisiert wird, inklusive Ziele und Vorschläge zur Umsetzung sowie Kontrollmechanismen. Insgesamt werden elf Überwachungsbereiche erfasst, die sich in 39 Hauptkategorien untergliedern. Diese wiederum sind mit insgesamt 133 Sicherheitsmaßnahmen (Controls) ausgelegt, deren Anwendung die Erreichung der Kontrollziele unterstützt.

Nicht erst mit ISO 27001 gehen technische und politische Veränderungen in Unternehmen Hand in Hand: Laut der aktuellen "Sans Studie 2011" sammeln 89 Prozent der Unternehmen IT- und Log-Daten in der einen oder anderen Form, um die Sicherheit zu erhöhen, die Forensik zu verbessern oder die Einhaltung von Compliance-Richtlinien zu unterstützen.

Log- und IT-Datenmanagement dienen folglich dazu, präzise zu wissen und zu verstehen, was im IT-Netz vorgeht. Damit avanciert das Thema, das früher nur die IT-Abteilungen betraf, aktuell zur Aufgabe der Geschäftsführung. "Log Management hat sich vom technischen Monitoring-Tool zum Steuerungsinstrument für das Management in Form von IT-Datenmanagement gewandelt", erklärt Martin Ulmer weiter. "Schließlich haftet das Management persönlich dafür, grundsätzlich angemessene Risikoüberwachungs- und Früherkennungssysteme zur Gefahrenabwehr einzusetzen. Geht es um ISO-Zertifizierung, gewinnt IT-Datenmanagement weiter an Relevanz für die Unternehmensführung."

Für die technischen und politischen Herausforderungen der ISO 27002 in der Praxis müssen die Log- und IT-Daten lückenlos und in Echtzeit erfasst werden. Dabei darf es weder Einschränkungen im Umfang geben noch dürfen Systemgrenzen eine Hürde darstellen. "Ist dies erreicht, muss die Handhabung so effizient wie möglich erfolgen – und hier ist der Übergang von Log Management zu IT-Datenmanagement zu sehen", so Ulmer weiter. "Es gilt, anhand der Masse an IT- und Log-Daten schnellstmöglich Wissen und Einblick in die Vorgänge im IT-Netz zu schaffen, um direkt auf Verletzungen von Sicherheits- und Compliance-Richtlinien reagieren zu können. Mehr noch: Im Kontext der Gesamtsituation müssen die Risiken von Konstellationen, die für sich genommen harmlos erscheinen, vorab erkennbar werden, um entsprechende Maßnahmen einleiten zu können."

Ein hoher Automatisierungsgrad im IT-Datenmanagement ist entscheidend und senkt die Kosten. "Die LogLogic Out-of-the-Box-Korrelationslösungen sorgen dafür, dass die Logs und IT-Daten über Filter, Reports und Alarm-Funktionen mit den definierten Regeln und 133 Controls aus ISO 27002 abgeglichen werden", erklärt Ulmer. "Kombiniert mit einem Management-Tool lässt sich der Compliance-Workflow automatisieren."

Das prinzipielle Vorgehen:

>> Den Verantwortlichen im Unternehmen werden die Rollen zugewiesen, die für einen ISO 27002 Audit notwendig sind.

>> Die für das Compliance Management festgelegten Prozesse und Reports aktiviert der IT-Administrator.

>> Die Reviewer prüfen die Reports im vorgeschrieben Zeitraum in Relation zu den IT Service Management Prozessen im Unternehmen.

>>Ein Executive Dashboard zeigt, welche Bereiche die Controls eingehalten haben und was bzw. wo optimiert werden muss.

Mit diesen definierten Abläufen und Verantwortlichkeiten ist es für einen Auditor einfacher, die Einhaltung der Controls und die Qualität der Prozesse zu überprüfen.

"Lückenlose IT-Datensammlung und hoher Automatisierungsgrad zwischen IT-Datenmanagement und Compliance-Workflow sind die Aspekte, um die strategischen Vorteile einer ISO 2700x Zertifizierung nicht durch den Aufwand dafür wieder zunichte zu machen", so das Fazit von Martin Ulmer. "Wesentlich ist auch die Skalierbarkeit des IT-Datenmanagements: Nur wenn es mit den Veränderungen im Unternehmen und der Modernisierung des IT-Systems Schritt halten kann, sind getätigte Investitionen für die Einhaltung von Compliance geschützt und zukunftsfähig." (LogLogic: ra)

LogLogic: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.


Kostenloser Compliance-Newsletter
Ihr Compliance-Magazin.de-Newsletter hier >>>>>>


Meldungen: Überwachung & Analyse

  • Investitionsprüfverfahren nach AWG und AWV

    Die internationale Wirtschaftskanzlei Hogan Lovells gibt den Start eines neuen Legal-Tech-Tools zur Prüfung ausländischer Investitionen (Foreign Direct Investment - FDI) in Deutschland bekannt. Die innovative App, "German Foreign Investment Control Guide", soll Unternehmen helfen zu erkennen, ob eine internationale M&A-Transaktion ein deutsches Investitionsprüfverfahren nach dem Außenwirtschaftsgesetz (AWG) und der Außenwirtschaftsverordnung (AWV) auslösen könnte.

  • Exterro erweitert Datenschutzangebot

    Exterro, Anbieterin von Legal-GRC-Software, die E-Discovery, digitale Forensik, Datenschutz und Cybersecurity-Compliance vereint, unterstützt mit neuen Funktionen Datenschutzexperten dabei, die schnelllebigen gesetzlichen Vorschriften einzuhalten. Das Unternehmen kündigte die Einführung von zwei Datenschutzprodukten, die das Portfolios erweitern: "Exterro Data Discovery" und "Exterro Consent". Die Funktionen der neuen Produkte ermöglichen eine schnelle, sichere, automatisierte und kostengünstige Einhaltung der Datenschutzbestimmungen.

  • Datenschutz mit erweiterter Web- & Produktanalyse

    Die Wahrung des Datenschutzes betroffener Personen rückt weltweit immer mehr in den Fokus. Das Marktforschungsunternehmen Gartner sagt voraus, dass bis ins Jahr 2023 65 Prozent der weltweiten Bevölkerung durch moderne Vorschriften geschützt sein werden. Gleichzeitig sind sich viele Internetnutzer ihrer Rechte bewusst und wollen nicht, dass ihre Daten ohne ausdrückliche Einwilligung erhoben werden. Dies setzt die Betreiber von Webseiten unter Druck: Einerseits müssen sie die Gesetze einhalten, andererseits die Erwartungen der Nutzer erfüllen - und gleichzeitig wollen sie aber nicht auf wertvolle Daten verzichten. Viele gängige Analysetools sind für diesen Spagat nicht vorbereitet. Nach einer erfolgreichen Early-Access-Phase und Tausenden von Nutzeranmeldungen wird "Piwik PRO Core" für die Öffentlichkeit freigegeben. Der kostenlose Plan für die "Piwik PRO Analytics Suite" mit weniger Einschränkungen und mehr Funktionalitäten ist nun für jeden verfügbar, der Kunden- und Nutzerverhalten in Unternehmen, Behörden oder im Bildungswesen analysieren möchte.

  • Compliance-relevante Fehlkonfigurationen

    Im Rahmen ihrer in diesem Jahr erstmals virtuell stattfindenden Konferenz DASH hat Datadog eine Reihe von Neuerungen für die eigene Monitoring- und Security-Plattform für Cloud-Anwendungen bekanntgegeben. Mit Compliance Monitoring und Incident Management kündigt Datadog zwei aktuell noch in der Beta-Phase befindliche Produkte an, die DevSecOps-Teams beziehungsweise DevOps- und Security-Teams die Zusammenarbeit und schnelle Reaktion auf fehlerhafte Konfigurationen erlauben. Die ab sofort in der Plattform verfügbaren Lösungen Error Tracking und Continuous Profiler zielen darauf ab, Anwendungsfehler zu erkennen und die Code-Performance zu verbessern.

  • Aufdeckung von Finanzkriminalität

    "Fico Falcon X" liefert KI- und Machine Learning-Technologien, um neue Formen von Betrug und Finanzkriminalität zu verhindern, die durch die schnelle Verbreitung von Echtzeitzahlungen ermöglicht werden. Fico Falcon X läuft auf Amazon Web Services (AWS) und modernisiert sowohl die Betrugserkennung als auch die Bekämpfung von Geldwäsche - ein Ziel, das Banken und Finanzinstitute weltweit verfolgen. Diese Konvergenz der Fähigkeiten ermöglicht erhebliche Kosteneinsparungen: Fico schätzt, dass sich die Datenverarbeitung, die Systemwartung und die laufende Verwaltung von Legacy-Systemen, die zur unabhängigen Unterstützung dieser Funktionen benötigt werden, zu 80Prozent überschneiden.

  • Elektronische Zollabwicklung

    Amber Road bietet international tätigen Konzernen neu die Möglichkeit an, die Zollabwicklung und die Verwaltung Ihrer OZL europaweit zu automatisieren. Die von Amber Road eingesetzte, Cloud-basierte Plattformtechnologie für die elektronische Zollanmeldungen unterstützt die nahtlose Zusammenarbeit aller Akteure, um die Anforderungen europäischer Zoll- und Steuerbehörden rechtskonform zu erfüllen. Der modulare Aufbau der Amber Road-Applikationen erlaubt die Verknüpfung mit Lösungen für Sanktionsprüfungen und Präferenzabkommen.

  • Amber Road erweitert Compliance-Screening-Angebot

    Amber Road, Anbieterin von Global Trade Management-Lösungen, hat eine neue Software für ein umfassendes Compliance Screening im Transportwesen auf den Markt gebracht. Sie hilft international tätigen Logistikdienstleistern, einfach, sicher und schnell die Anforderungen von "Kenne Deinen Kunden"-Vorgaben zu erfüllen. Zur Verhinderung krimineller Machenschaften, von Wirtschaftskriminalität, Sanktionsvergehen und Terrorismus wurden internationale Mindeststandards und Handelsvorschriften im Einklang mit dem KYC-Prinzip ("Know your customer", "Kenne Deinen Kunden") geschaffen. Diese stellen hohe Anforderungen an global tätige Logistikdienstleister.

  • Risikofaktor: Installierte Software

    Die DeskCenter Solutions AG stellte ihre Lösung für ein sicheres IT-Assetmanagement vor. Die "DeskCenter Management Suite 10" integriert dafür die Inventarisierung von IT-Assets mit Softwareverteilung und Lizenzmanagement. Sie bietet damit neben mehr Sicherheit in der Unternehmens-IT die Grundlage für Lizenz-Compliance. Zu den neuesten Kunden, die mit der "DeskCenter Management Suite" für mehr Compliance und IT-Security sorgen, gehören Cross Industries, Heitec, Lippuner Energie- und Metallbautechnik und Sonax.

  • In Echtzeit komplexe Betrugsfälle aufdecken

    Die Graphdatenbank "Neo4j" von Neo Technology bietet Finanzdienstleistern ein wirkungsvolles Mittel, um zahlreiche Finanzbetrügereien rechtzeitig zu entdecken und zu unterbinden. Aufgrund ihrer speziellen Funktionalität zur Datenanalyse können Graphdatenbanken viele Betrugsmodelle - von Betrugsringen bis hin zu versierten Einzeltätern - in Echtzeit aufspüren.

  • Betrügern schneller auf der Spur

    NCR bringt eine neue Version von "Fractals" heraus. Die intelligente Betrugserkennungslösung wurde im Zuge der Übernahme von Alaric im Dezember 2013 ins NCR-Portfolio aufgenommen. Das neue Fractals wird bereits bei Kunden eingesetzt und beinhaltet zahlreiche neue Funktionen und Verbesserungen, um eine bestmögliche Betrugserkennung und -prävention zu gewährleisten. Ein Kernelement der neuen Lösung ist das "Fraud Integration Hub", das Informationen aus unterschiedlichen Quellen sammelt und konsolidiert, wie etwa mobile geografische Zuordnung, IP-Daten sowie über die Vertrauenswürdigkeit von eingesetzten Geräten (Device Reputation). Basierend auf diesen Informationen können Maßnahmen zur Missbrauchsbekämpfung abgeleitet werden.

Wir verwenden Cookies um unsere Website zu optimieren und Ihnen das bestmögliche Online-Erlebnis zu bieten. Mit dem Klick auf "Alle akzeptieren" erklären Sie sich damit einverstanden. Erweiterte Einstellungen