Security und Compliance

Die Abgrenzung von Security, Compliance und Legal (Rechtabteilung) ist oft etwas undurchsichtig. Wenn man eine Analogie zum Brandschutz in Gebäuden zieht, könnte man dies wie folgt umschreiben:

• Die Security ist für die Massnahmen gegen den Ausbruch oder zur Begrenzung des Feuers zuständig, dies beinhaltet Feuerlöscher, Brandschutzanlagen, Löschsystemen und die Feuerwehr.
• Compliance oder zu deutsch Konformität, schafft Reglemente und Kotrollmechanismen um die Wahrscheinlichkeit eins Brandes zu minimieren und den Behördlichen Richtlinien zu entsprechen. Dies beinhaltet Rauchverbote, Richtlinien zur Verwendung und Aufbewahrung von Materialien, Evakuierungspläne etc.. Dabei kann man Compliance auch als Beratungsinstanz sehen. Compliance verfolgt dabei eher eine passive Rolle.
• Die Rechtabteilung hingegen stellt die Versicherung, die beim Versagen von Security und Compliance Schadensbegrenzung betreibt. Ausserdem stellt sie die Versicherungsbedingungen deren Einhaltung zwingend geboten ist.

Die sofision gmbh sieht sich als Bindeglied zwischen Fachabteilungen, Infrastruktur, Security und Legal. Sie bringt das fachliche und technische Know-how um praktische Konzepte zur Umsetzung von IT-Security und Compliance zu erarbeiten und diese in der Systemlandschaft zu integrieren.

Die sofision gmbh sieht sich als Business orientierter Berater und ratet zur Zurückhaltung bei Investitionen und im spezifischen bei Anschaffungen, die keinen nachgewiesenen Nutzen zu vorher klar definierten Anwendungsfällen bringt. Gerade das Thema GDPR (General Data Protection Law) der EU, hat in jüngster Zeit viele Firmen dazu bewogen, Anschaffungen zu tätigen, die sich nachträglich als kaum sinnvoll offenbart hatten. Die Gesetzgeber gehen vermehrt dazu über, unmissverständliche Formulierungen zu Rechten und Pflichten zu erlassen, ohne jeglichen Rahmen für die Umsetzung zu stecken. Auch wenn die Bewegründe der Behörden nachvollziehbar sind und diese offene Haltung den Firmen den Freiraum zu massgeschneiderten Lösungen mit minimaler Bürokratie schaffen, sehen sich die Verantwortlichen oft mit nahezu unlösbaren Aufgaben konfrontiert. Der CISO sieht sich plötzlich in der Rolle Gesetze zu interpretieren und der Rechtsexperte weiss genau, was erreicht werden soll, tut sich aber schwer mit der Abschätzung von Umfang und der unternehmensspezifischen Umsetzung.

Die sofision gmbh sieht die Herausforderungen der zukünftigen IT-Security vermehrt darin in modernen heterogenen Umgebungen, technische Restriktionen abzubauen, dafür Richtlinien zu erarbeiten, deren Einhaltung zu verlangen und zu kontrollieren. Im Umkehrschluss muss das Bewusstsein der Benutzer geschult und entsprechende Kontrollmechanismen plaziert werden. IT-Sicherheit ist ein Thema, das alle betrifft, genauso wir für die Sicherheit im Strassenverkehr jeder einzelne Verkehrsteilnehmer zuständig ist. Natürlich ist der technische Basis Schutz, wie Malware Abwehr und Firewall nicht wegzudenken, diese gehören aber zur Grundausstattung und können kaum als zentrale Herausforderungen der IT-Security betrachtet werden. Hingegen können moderne Analyse und Monitoringtools und deren Operatoren, wie z.B. ein SOC, spezifisch dort eingesetzt werden, wo die herkömmlichen Mechanismen nicht oder erst zu spät greifen würden. Unerlässlich ist dabei der Grundsatz, den Umfang der Sicherheitsmechanismen der jeweiligen Bedrohungslage und Risiko anzugleichen. Organisatorische Massnahmen und der Einsatz sinnvoll plazierter Tools und entsprechend geschulten Operatoren, minimiert das Sicherheitsrisiko bereits beträchtlich. Allerdings ist auch das aktive Aufdecken von unternehmensspezifischen Sicherheitslücken eine ernstzunehmende Aufgabe, welcher bei vielen Unternehmen kaum Beachtung geschenkt wird. Diese Aufgabe kann zwar auf die einzelnen Applikations-Verantwortlichen und Systemengineers delegiert werden, diese müssen sich dieser Aufgabe aber bewusst sein.

Die sofision gmbh sieht die Umsetzung von IT-Compliance mehrheitlich im Prozess-Design. Wesentlichen Anforderungen müssen definiert und in die IT-Landschaft integriert werden. Träge Papierprozess sollten möglichst durch digitale Automation ersetzt werden. Zentrale Dashboards liefern klar strukturierte Übersichten und Anwenderspezifische Steuermechanismen. Das Erreichen von Compliance beginnt nicht mit dem Kauf einer Software - was im übrigen bei keinem Projekt empfehlenswert ist. Als erstes gilt es die Anforderungen anhand vorhandener Richtlinien, Reglementen und Gesetzen zu bestimmen, danach wird anhand von Häufigkeit, potentieller Aufwände und Relevanz priorisiert. Dann müssen die involvierten Zielsysteme und Datenbestände bestimmt werden. Als letztes sollte man sich der verschiedenen Anwendergruppen und entsprechende geforderter Funktionen bewusst werden. Aufgrund der erlangten Erkenntnisse und entsprechend verfassten Spezifikationen macht es Sinn zu prüfen, ob im Betrieb bereits etablierte Software um die geforderten Funktionalitäten erweitert werden können. Anbieten würde sich ein bestehendes Identity Management Systeme eine BI-Plattform oder ein ERP. Auch ein Webshop oder eine Intranet Plattform könnten sinnvolle Lösungen bieten, gerade wenn diese schon mittels Enterprise Service BUS auf vorhandene Datenquellen zugreifen können. Dort gilt es vor allem zu prüfen, ob diese den sicherheitsrelevanten Anforderungen einer entsprechend sensitiven Applikation entsprechen. Falls keine sinnvolle Lösung mit einer bereits vorhandenen Applikation gefunden wird oder als alternative, kann mittels der vorhandenen Spezifikationen ein Lastenheft erstellt und entsprechende Offerten von Anbietern eingeholt werden.