5 Möglichkeiten, Compliance-Anforderungen in den Griff zu bekommen
Brooke Jackson
Compliance: Es ist kompliziert, teuer … und absolut essenziell. Das Verfahren „Compliance“ bezeichnet die Einhaltung von Gesetzen, Richtlinien und Bestimmungen, die für die Erfassung, den Austausch und die Sicherung von Daten durch Unternehmen gelten. Sie werden von Regierungsbehörden oder Branchenverbänden festgelegt und haben nicht immer Gesetzeskraft, aber eine Nichterfüllung kann zu rechtlichen Folgen führen. Und obwohl sich die Unternehmen schon seit Jahren über eine „Compliance-Müdigkeit“ beschweren, scheinen die Anforderungen nur noch weiter zu wachsen – besonders in Bezug auf die Datenschutz-Grundverordnung oder DSGVO der Europäischen Union, die vergangenen Mai in Kraft trat, und den CCPA, den California Consumer Privacy Act, der ab Januar 2020 gilt. Es verwundert daher kaum, dass die Unternehmen zu kämpfen haben. Nicht alle setzen dieselben Maßnahmen um und natürlich bedeutet Compliance nicht Sicherheit. Das Befolgen der Regeln ist keine Garantie für Security, wie sich am stetigen Strom der Nachrichtenmeldungen über Datenschutzvorfälle zeigt. Während der Streit über Compliance-Müdigkeit und Compliance gegen Security weiter tobt, haben wir für Sie fünf konkrete Schritte zusammengestellt, die Sie jetzt unternehmen und so die Compliance wahren können.
Scoping ordentlich planen
Nehmen Sie sich Zeit und überlegen Sie genau, welche elektronischen Informationen geschützt werden müssen und wo diese gespeichert, übertragen oder verarbeitet werden. Vielleicht sogar noch wichtiger ist die Überprüfung, ob die Informationen überhaupt gespeichert oder übertragen werden müssen. Sie können den Compliance-Rahmen stark reduzieren, wenn Sie die Menge übertragener, gespeicherter oder verarbeiteter vertraulicher Daten reduzieren.
Wenn das keine Option ist, können Sie die Übertragung, Speicherung oder Verarbeitung von Daten, die Aufbewahrungsorte, die Aufbewahrungsdauer und die Zugriffsrechte darauf einschränken – diese Beschränkungen dokumentieren Sie dann in einer Richtlinie.
Angemessenes Budget
Betrachten Sie Non-Compliance als Risiko. Wie viel könnte es Ihr Unternehmen kosten, wenn eine Nichterfüllung festgestellt wird oder – noch schlimmer – sich ein Vorfall wegen der Non-Compliance ereignet? Bei der Budgetierung sollten Sie die Menschen, Prozesse und Technologie sowie den Umgebungsrahmen berücksichtigen. Passen Sie auf, dass der Umfang sich nicht verlagert. Viele Unternehmen übertragen Risiko- und Compliance-Funktionen wie physische, Netzwerk- und Host-Sicherheit an Managed-Security-Dienstleister oder MSSPs.
Die als Modell der gemeinsamen Verantwortung bekannte Übertragung von Risiko kann dabei helfen, die Compliance-Ausgaben für die Aufgaben zu maximieren, die sich skaliert besser erreichen lassen. Die Nutzung von MSSPs zur Operationalisierung von Budgets bietet weitere Vorteile gegenüber Kapitalaufwendungen und der Einstellung eines ganzen Teams von Vollzeitangestellten.
Eine Verschlüsselungsstrategie entwickeln
„Vertrauliche Daten verschlüsseln.“ Eine einfache Aussage. Logisch, direkt, sinnvoll. Aus Compliance-Sicht kann bei der Verschlüsselung jedoch eine Menge schief gehen. Deshalb brauchen Sie eine Strategie zur Verschlüsselung vertraulicher Daten mit Szenarien wie Datenübertragung, ruhenden Daten und genutzten Daten (und die Backups nicht vergessen!).
Jedes Szenario wird wahrscheinlich mehrere Optionen aufweisen, die jeweils eigene Sicherheits- und Compliance-Anforderungen haben. Dazu zählen (unter anderem): Schlüsselverwaltungsverfahren, Chiffriercodes, Schlüsselstärke, Verschlüsselungsalgorithmen, Protokolle, Levels nach FIPS-140-2 und vieles mehr.
Continuous Compliance begrüßen
Wie mit jeder neuen Compliance-Bestimmung schmerzlich klar wird, bedeutet Compliance heute noch lange nicht Compliance morgen. Die langfristige Gewährleistung ist eine Aufgabe, die stetige Überwachung und Prüfung erfordert. Die Erkennung und Priorisierung von Risiken mit Hilfe regelmäßiger Assessments ist eine kritische Funktion zur Unterstützung der Compliance-Maßnahmen. Das können zum Beispiel Schwachstellen-Scans, Konfigurations-Monitoring, Risikobewertungen oder Penetrationstests sein. Die Compliance sollte fortlaufend bewertet werden, um sicherzustellen, dass alle nötigen Kontrollen nicht nur zum Audit-Termin vorhanden und wirksam sind.
Die Schaffung einer Sicherheitskultur hat Priorität
Um eine Sicherheitskultur aufzubauen, müssen alle verstehen, dass die Sicherheit eine gemeinsame Aufgabe ist. Ein ansprechendes Schulungsprogramm für das Sicherheitsbewusstsein ist ein absolutes Muss. Schärfen Sie das Bewusstsein Ihrer Mitarbeiter mit relevanten und passenden Schulungen zu ihrer Rolle bei der Absicherung des Unternehmens – vom leitenden Management bis zu den Facharbeitern. Das müssen Sie zudem öfter als jährlich tun. Die Außengrenzen zwischen Unternehmen und Umwelt verschwimmen immer weiter, und eine Sicherheitskultur muss über das Firmengelände hinausgehen. Das Sicherheitsbewusstsein sollte bis dahin erweitert werden, wo Ihre Angestellten arbeiten, und sich auch in ihren privaten Online-Gewohnheiten widerspiegeln. Diese fünf Tipps werden Ihre Compliance-Herausforderungen zwar nicht auf magische Weise lösen, sind aber ein guter Ausgangspunkt. Und wenn Sie einen strategischen Partner suchen, der Ihnen zeigt, wo Ihr Unternehmen hinsichtlich spezieller Compliance-Standards wie unter anderem NIST (DFARS), NIST (FISMA), FedRAMP, HIPAA/HITECH, ISO, PCI oder SOC2 steht, ist Rackspace für Sie möglicherweise die richtige Wahl: