IT Sicherheit
Sicherheit ist ein Grundbedürfnis des Menschen. Gerade in Zeiten von Globalisierung, steigender Mobilität und wachsender Abhängigkeit der Industrienationen von Informationsund Kommunikationstechnik nimmt das Sicherheitsbedürfnis immer mehr zu.
Wachsende Sicherheitsvorfälle und die Gefahr massiver wirtschaftlicher Schäden in Folge von IT-Risiken erhöhen
den Druck, durch ein aktives IT-Sicherheitsmanagement Schäden zu verhindern und das Restrisiko zu minimieren.
Die Verantwortung beschränkt sich keineswegs auf die jeweiligen IT-Fachabteilungen. Vielmehr gilt: Sicherheit ist Chefsache. Dem hat auch der Gesetzgeber Rechnung getragen. Verschiedene Gesetze und Regelungen verlangen die persönliche Haftung von Geschäftsführern oder Vorständen im Falle von Versäumnissen. Der Schutz von IT-Landschaften wird deshalb immer wichtiger.
Eine weit verbreitete Ansicht ist, dass IT-Sicherheitsmaßnahmen zwangsläufig mit hohen Investitionen in Sicherheitstechnik und hochqualifiziertes Personal verknüpft sind. Dem ist jedoch nicht so. Die wichtigsten Erfolgsfaktoren sind ein unternehmensweites Sicherheitskonzept, organisatorische Regelungen und zuverlässige,
gut informierte Mitarbeiter, die selbständig Sicherheitserfordernisse beachten. Ein wirksames und effektives IT-Sicherheitskonzept muss darum nicht zwangsläufig teuer sein.
Auch wenn bislang nur wenige Sicherheitsvorfälle registriert oder publiziert wurden, muss jedes Unternehmen weit reichende Sicherheitsmaßnahmen vorsehen, um Schäden durch folgende Szenarien zu vermeiden.
- Kein oder unzureichendes Backup
- Verlust von externen Datenträgern
- Schäden durch Computerviren
- Hackerangriff aus dem Internet
- Lockerer Umgang mit Passwörtern
- Unzureichendes Passwortkonzept
- Keine Installation von aktuellen Softwarepatches
- Datenmissbrauch durch privilegierte Benutzer
- Keine oder unzureichende Überwachungsmechanismen
Um diese Sicherheitsrisiken in den Griff zu bekommen, bedarf es heutzutage eines unternehmensweiten Software-Sicherheitskonzepts, das den Schutz von Anwendungen, Middleware und Dateninfrastruktur enthalten muss.
Dieses unternehmensweite IT-Sicherheitskonzept unterteilt sich in die Bereiche Zugriffskontrolle, Datenschutz
und GRC (Governance, Risk und Compliance).
Zugriffskontrolle
Die Heterogenität von IT-Landschaften ist einer der Kostentreiber beim Benutzer- und Zugriffsrechte-Management. Dies gilt vor allem, wenn zusätzlich externe Partner wie Kunden oder Zulieferer im Rahmen der Supply Chain eingebunden werden müssen.
Datenschutz
Daten und Informationen sind Unternehmenswerte ersten Ranges. Es gilt, sie in mehrfacher Hinsicht abzusichern:
So muss die Vertraulichkeit gewährleistet sein – nur bestimmte Personen erhalten definierte Informationen.
Nicht nur interne Daten sind vor dem unberechtigten Zugriff zu schützen, sondern auch Daten, die über das Netzwerk transferiert werden. Gleiches gilt für Daten, die langfristig auf Platten und Bändern gespeichert werden (Backup; Information Lifecycle Management).
Governance, Risk und Compliance
Die rapide wachsende Zahl von gesetzlichen und firmeninternen Regularien zwingt die CIOs heutzutage,
ein Steuerungs- und Kontrollsystem aufzusetzen. Für die Einhaltung dieser Regularien benötigt man Sicherungsmaßnahmen für innen und außen.
Die meisten Firmen versuchen die Compliance-Kosten effektiv und nachhaltig in Lösungen umzusetzen.
Effektive Lösungen automatisieren nicht nur den Compliance-Prozess, sondern sind auch flexibel gegenüber
sich ständig ändernden Geschäftsanforderungen. Hauptfunktionalitäten sind:
- Trennung von Aufgaben und Funktion (Separation of duties)
- effektive Sammlung und Verwaltung von großen
Audit-Datenmengen - flexible Reporting- und Analysemöglichkeiten
- Abstimmung der wichtigsten Regularien
mit Geschäftsprozessen
