Compliance alleine reicht nicht aus, um den Schutz Ihres Unternehmens zu gewährleisten
Chris Melli
Wenn sich ein Unternehmen dazu entscheidet, einen Compliance-Standard wie beispielsweise PCI DSS, DSGVO, CCPA oder HIPAA umzusetzen, unternimmt es einen wichtigen Schritt in Richtung Sicherheit und Schutz. Im Rahmen des Compliance-Verfahrens müssen Sie zahlreiche wichtige Kontrollmechanismen in den Bereichen Firewalls, Passwörter, Verschlüsselung, Malware, Zugriffe und vielen weitere angehen sowie Best Practices für Sicherheit umsetzen. All jene genannten Elemente sind unabdingbar für ein erfolgreiches Sicherheitsprogramm.
Doch leider reicht Compliance alleine nicht aus, um Ihr Unternehmen vor der sich rasch wandelnden Cybersicherheits-Landschaft zu schützen.
Compliance-Standards werden in der Regel für einen individuellen und höchst spezifischen Zweck entwickelt. So wurde PCI DSS z. B. ursprünglich für die Datensicherheit von Karteninhaberdaten und den Schutz von Kontodaten konzipiert. Da der Standard auf einen bestimmten Bereich, auch als „Enklave“ bezeichnet, begrenzt ist, schützt er möglicherweise nicht all Ihre wichtigen Assets, Systeme und unternehmenskritischen Funktionen (außerhalb dieser Enklave). Selbst innerhalb der Begrenzung müssen Sie möglicherweise zusätzliche Kontrollmechanismen einführen, um die gesamte Umgebung, in der das System betrieben wird, wirklich ausreichend zu schützen.
Andere Programme zur Compliance mit rechtlichen Vorschriften sind mit einem ähnlich begrenzten Design versehen. Die DSGVO ist auf den umfassenden Datenschutz im digitalen Raum ausgelegt. Beim CCPA liegt der Fokus auf Datenschutzrechten. Mit dem HIPAA soll der Schutz von Gesundheitsdaten gewährleistet werden. SOX wurde nach einigen einschneidenden Unternehmensskandalen entwickelt, um die Korrektheit von Jahresabschlüssen zu zertifizieren.
Diese und weitere Standards erfüllen eindeutig die Ziele der jeweiligen Compliance-Initiative, für die sie konzipiert wurden. Zugleich erreichen sie eine Vielzahl entscheidender Regelungsorgane und fördern etliche Best Practices. Trotzdem sollten Sie sich vor Augen halten, dass diese Standards nicht darauf ausgelegt sind, als Grundstein Ihres Cybersicherheits-Programms zu fungieren. Wie gehen Sie nun also stattdessen vor?
Integration Ihres Compliance-Programms in ein Risiko-basiertes Framework
Natürlich sollten Sie Compliance-Standards zur Erfüllung rechtlicher Vorschriften einführen, wenn sie:
- Von Ihrem Unternehmen und/oder Ihrer Branche verlangt werden
- Vertraglich erforderlich sind
- Voraussichtlich eine Steigerung des Unternehmenswachstums bedeuten
- Oder zur Unterstützung anderer geschäftlicher oder rechtlicher Funktionen erforderlich sind
Zugleich sollten Sie jedoch versuchen, die erforderlichen Compliance-Programme als Stack mit einem übergreifenden Risiko-basierten Framework zusammenzubringen, der eine weitaus robustere Cybersicherheitsgrundlage bildet.
Bei der Konzeption eines Risiko-basierten Frameworks müssen zunächst die Faktoren, die zu Vertraulichkeits-, Integritäts- und Verfügbarkeitsbrüchen führen können, herausgearbeitet und durch das Framework vorgebeugt werden. Bestenfalls beginnt man hierzu bei den Kontrollmechanismen, die Ihr Unternehmen vor aktuellen oder wahrscheinlichen Risikoszenarien schützen.
Mithilfe eines Risiko-basierten Frameworks können Sie Ihr bestehendes Cybersicherheitsprogramm erweitern oder optimieren: Hierzu entwickeln und setzen Sie Kontrollmechanismen, Technologien und damit einhergehende Investitionen um, die den individuellen Risiken Ihres Unternehmens proaktiv entgegenwirken.
Durch die Umsetzung eines Risiko-basierten Frameworks etablieren Sie eine sicherere Gesamtumgebung, die eine Einhaltung von Compliance-Standard allein nicht leisten könnte. Da die Kontrollen Ihres Frameworks frei angepasst werden können, hilft seine Umsetzung Ihnen außerdem, in der sich rasch wandelnden Cybersicherheits-Landschaft auf dem neuesten Stand zu bleiben, da Sie gezielt auf die tatsächlichen Risiken Ihres Unternehmens eingehen können.
In vielen Fällen werden Vorschriften nicht schnell genug aktualisiert, um Ihnen ausreichend Sicherheit zu bieten. Daher ist es viel sinnvoller, die erforderlichen Compliance-Programme mit einem umfassenden, Risiko-basierten Framework zu kombinieren.
Die Vorteile eines Risiko-basierten Frameworks
Anhand der Einführung eines Risiko-basierten Frameworks können Sie:
- Ihre entscheidenden Bewertungen umfassend schützen
- Kontrollmechanismen entsprechend Ihrer individuellen Sicherheits- und Unternehmensanforderungen anpassen
- Einen proaktiven Sicherheitsansatz fahren
- Eine resilientere Unternehmenskultur fördern
- Ihren Compliance-Status bezüglich rechtlicher Vorschriften organisch optimieren
Dank seines umfassenden und pragmatischen Designs bietet Ihnen der Risiko-basierte Ansatz all diese Vorteile und vieles mehr. Zunächst müssen Sie herausarbeiten, welche Assets für Ihr Unternehmen am wichtigsten sind. In einem nächsten Schritt setzen sie Maßnahmen um, die den spezifischen Risiken, die diese Assets bedrohen, entgegenwirken. Auf diese Weise schlägt Ihr Unternehmen den richtigen Weg hin zu einem proaktiven Sicherheitsprogramm ein, der die Gefahren für Ihr Unternehmen drastisch reduziert.
Indem Sie Ihre Angestellten ermutigen, eng mit dem Risikobewertungsteam (das natürlich selbst proaktiv nach möglichen Gefahren sucht) zusammenzuarbeiten und ihm die tatsächlichen Gefahren zu schildern, die sie in ihrer alltäglichen Arbeit sehen, wird Ihre Unternehmenskultur resilienter für Veränderungen in der externen Umgebung. Dies führt wiederum zur organischen Optimierung Ihres allgemeinen Kontroll- und Sicherheitsstands, was eine automatische langfristige Einhaltung der Compliance für regulatorische Vorschriften zur Folge hat.
Welche Risiko-basierten Frameworks kommen für Sie in Frage?
Für eine möglichst effektive Verwaltung Ihres Cybersicherheits-Programms sollten Sie ein Risiko-basiertes Framework einführen, das – bei Bedarf – zugleich die Einhaltung von Compliance-Vorschriften sichert. Im Folgenden finden Sie zwei der bekanntesten bewährten Frameworks:
- Die Internationale Organisation für Normung / Internationale Elektrotechnische Kommission (ISO 27001) bietet einen international anerkannten Standard, der ein Risiko-basiertes Framework für Informationssicherheits-Managementsysteme (ISMS) bereitstellt. Er ist auf die Gewährleistung der fortlaufenden Vertraulichkeit, Integrität und Verfügbarkeit von Informationen ausgelegt und kann von Unternehmen aller Art für die Verwaltung ihrer Asset-Sicherheit verwendet werden. Sie können sich innerhalb dieses Frameworks zertifizieren lassen und daraus verschiedene geschäftliche Vorteile ziehen, z. B. die Fortführung bestehender Geschäfte, den Abschluss neuer Verträge und die Optimierung der allgemeinen Sicherheitslage.
- Das National Institute of Standards and Technology (NIST) ist eine nicht-regulatorische Behörde des US-amerikanischen Handelsministeriums, die sich mit der Untersuchung und Festlegung von Standards in allen Bundesbehörden befasst. Konkreter ausgedrückt: Die NIST Special Publication 800-53 definiert die Standards und Richtlinien für Bundesbehörden zur Gestaltung und Verwaltung ihrer Informationssicherheitssysteme.
Obwohl das NIST mit dem Ziel gegründet wurde, Richtlinien für den Schutz der persönlichen Daten von Behörden und Bürgern zu erarbeiten, gilt dieses Risiko-basierte Framework für eine breite Auswahl von Organisationen im öffentlichen und privaten Sektor. Aus diesem Grund können Unternehmen des privaten Sektors dieses Framework bzw. Teile davon im Rahmen ihrer eigenen Cybersicherheits-Programme anwenden, da es weithin als goldener Industriestandard anerkannt ist. Da das übergreifende Konzept von NIST 800-53 unternehmensorientiert ist, sind die Kontrollmechanismen nicht so spezifisch begrenzt, wie es bei vielen anderen Compliance-Programmen der Fall ist.
Cloud Security Management mit Technologie von Rackspace
Beim Cloud Security Management sind Sie nicht auf sich allein gestellt. Rackspace Technology begleitet Sie bei jedem Schritt und entlastet Ihr In-House-Team, das sich dadurch auf andere wichtige Bereiche konzentrieren kann.
Durch unsere Erfahrung mit tausenden Kunden und unsere zahlreichen Partner können wir Sie bei der Planung und Umsetzung einer Strategie für Cloud-Security unterstützen, damit Ihr Unternehmen sicher bleibt.
Kennen Sie den aktuellen Score Ihres Cybersicherheitsrisikos? Beantworten Sie 15 Fragen zur Selbsteinschätzung. Anschließend steht Ihnen ein Cloud-Experte zur Verfügung, der mit Ihnen die Ergebnisse besprechen, Ihre Fragen beantworten und Best Practices zur Behebung der erkannten Sicherheitslücken empfehlen kann.
Recent Posts
Die wichtigsten Höhepunkte der AWS re:Invent 2024: Dr. Swami Sivasubramanian's Vision für Gen AI
Dezember 5th, 2024
Höhepunkte der AWS re:Invent 2024-Keynote mit Peter DeSantis
Dezember 4th, 2024