|
|
Audits und Compliance sind ein Prozess und kein Projekt Sicherheit und Compliance der IT in neun Schritten (
Anzeige
Was zur Verbesserung von Systemstabilität und -sicherheit
beitragen soll, stellt Unternehmen in der Umsetzung vor erhebliche
Herausforderungen. Jennifer Bayuk vom Stevens
Institute of Technology in New Jersey und Gene Kim, CTO und Mitgründer von Tripwire aus Portland, haben in einem Forschungsprojekt
untersucht, wie Unternehmen in der Praxis mit den Themen Sicherheit und Compliance umgehen. "Ein typischer Fehler vieler Unternehmen ist, Audits und Compliance als
Projekt zu begreifen, statt als Prozess", sagt Kim, "Organisationen,
die diesem Ansatz folgen, geraten häufig in einen Kreislauf krisengesteuerter Problembeseitigung. Von den
Vorbereitungen über das eigentliche Audit und die
Auswertung der Ergebnisse bis zur Fehlerbehebung und Wiederholung des Audits werden hier vor allem Feuer gelöscht, statt systematisch Regeln und Prozesse für eine höhere Sicherheit zu implementieren. Das Ergebnis ist entsprechend eher eine hochpolitische Suche nach dem Schuldigen für den Misserfolg statt eine erfolgreich verbesserte Sicherheit der eigenen IT." Lesen Sie zum Thema "Compliance" auch: Compliance-Magazin.de (www.compliancemagazin.de) Kim empfiehlt Organisationen einen 9-Punkte-Plan, mit dem
sie diesen Teufelskreis durchbrechen und sicherstellen können, dass
Sicherheit und Compliance zum integralen Bestandteil der täglichen Arbeit werden.
1.
Von Oben nach Unten: Machen Sie dem IT-Vorstand
klar, dass er die Verantwortung für die IT-Sicherheit
und die Audit-Ergebnisse mit dem IT-Sicherheitsbeauftragten teilen muss.
2.
Unternehmensziele
und IT-Sicherheit als Eins begreifen: Der
Unternehmenserfolg und die IT-Sicherheit gehören
zusammen. Definieren Sie die unternehmerischen Ziele Ihres Unternehmens und
zeigen Sie, mit welchen Prozessen und Maßnahmen eine sichere IT dazu
beiträgt, Risiken auszuschließen und diese Ziele zu erreichen.
3.
Sicherheit messbar machen: Legen Sie messbare Indikatoren fest, die eine optimal
gesicherte IT-Infrastruktur beschreiben.
4.
Den Informationsfluss von Anfang bis Ende verstehen: Beschreiben Sie Ihre
Unternehmensprozesse genau und vollständig, um alle relevanten Abläufe und
Dokumentationen für ein Audit zu erfassen: • Wo betreten, durchqueren und verlassen sensible Informationen das Unternehmen und wo werden sie gespeichert? • Welche unternehmerischen und Sicherheitsrisiken birgt dieser Informationsfluss? • An welchen Punkten nutzen Sie welche Technologien, um Fehlern vorzubeugen und Fehler aufzudecken?
5.
Verantwortung für Kontrolle und Prozesse festlegen: Benennen Sie für jeden wesentlichen
Geschäftsprozess einen Zuständigen, der für die Kontrolle und Einhaltung der
Sicherheit und Compliance-Regeln verantwortlich ist.
6.
Erwartete Ergebnisse klar beschreiben: Legen Sie fest, welche Indikatoren ein
automatischer Sicherheits- und Compliance-Test
testen soll und welche Ergebnisse Sie erwarten. So können die
Prozessverantwortlichen die tatsächlichen Ergebnisse mit den Vorgaben
abgleichen.
7.
Regelmäßige Tests durchführen: Testen Sie regelmäßig, ob die IT-Prozesse,
-Programme und -Konfigurationen noch Ihren Sicherheits- und Compliance-Vorgaben entsprechen. So decken Sie
Abweichungen und Fehler frühzeitig auf und stellen sicher, dass Sie für das
nächste Audit bereit sind.
8.
Mängelbeseitigung prüfen und dokumentieren: Prüfen und dokumentieren Sie die Beseitigung
von aufgedeckten Mängeln und Fehlern. So stellen Sie sicher, dass diese
rechtzeitig vor dem nächsten Audit tatsächlich behoben sind.
9.
Änderungen
von IT-Hardware und IT-Prozessen integrieren: Stellen Sie sicher, dass Sie bei wesentlichen Änderungen von
IT-Prozessen und der IT-Infrastruktur
ihre bestehenden Verantwortlichkeiten, Indikatoren und Kontrollen anpassen,
um den erreichten Sicherheits- und Compliance-Status zu erhalten. (Tripwire: ra) |
||
|
