14 Dinge, die Sie über die Einhaltung von IT-Sicherheits-Compliance wissen müssen

Was ist IT-Sicherheit?

Die Sicherheit der Informationstechnologie bezieht sich auf:

• Risikobewertung
• Planung
• Kontrollen
• Prozesse
• Workflows

zum Schutz von Unternehmensressourcen, wie:

• Computer
• Mobilgeräte
• Netzwerke
• Services
• Daten

vor Bedrohungen, die sich negativ auf Unternehmen auswirken, wie z. B.:

• Physische Sicherheit
• Unbefugter Zugriff
• Bösartiger Code
• Cyberangriffe
• Datenschutzverletzungen

Was bedeutet Compliance in der IT?

Substantiv

com·pli·ance kəm-ˈplī-ən(t)s

1

a: die Handlung oder der Vorgang des Befolgens eines Wunsches, einer Forderung, eines Vorschlags oder einer Vorschrift oder die Anwendung von Zwang

b: Konformität bei der Erfüllung der behördlichen Anforderungen

Die obige Option 1b definiert die Compliance im IT-Bereich am besten. In dieser Definition beziehen sich „behördliche Anforderungen” auf gesetzliche Vorschriften, die Organisationen in den betroffenen Branchen einhalten müssen, um den Schutz der Endnutzer*innen bei der Nutzung ihrer Dienste zu gewährleisten.

Wir werden uns später mit Gesetzen und bewährten Praktiken befassen. Ein kurzes Beispiel für die Compliance im IT-Bereich ist der Schutz von Gesundheitsdaten von Patienten vor unbefugtem Zugriff auf mobilen Geräten. Durch die Konfiguration der Datenträgerverschlüsselung wird diese Anforderung erfüllt, sodass PHI-Daten auch im Ruhezustand geschützt bleiben.

Wie unterscheiden sich IT- und Sicherheits-Compliance im Bereich der Cybersicherheit?

Die kurze Antwort ist, dass sie nicht sehr unterschiedlich sind.

Für eine längere Antwort müssen wir etwas tiefer in das Ziel der Compliance von IT-Sicherheitsvorschriften im Bereich der Cybersicherheit eindringen.

Zuvor haben wir erklärt, was IT-Compliance ist. In diesem Sinne bedeutet Compliance im Bereich der Cybersicherheit die „Einhaltung behördlicher Vorschriften” mit dem ausdrücklichen Ziel, ein möglichst sicheres System zu schaffen.

Die Verbesserung der Sicherheit zur Compliance wird oft als hardeningbezeichnet. Eine Möglichkeit zur Erfüllung spezifischer Compliance-Anforderungen besteht in der Verwendung von Standards und Frameworks, die als Blaupause für Organisationen dienen, die ein bestimmtes Sicherheitsniveau erreichen wollen. Spezifische Gesetze und Standards werden in einem späteren Abschnitt behandelt, aber es genügt zu sagen, dass regulierte Unternehmen durch die Anpassung an die Compliance-Frameworks ihre Sicherheitslage stärken können, um Benutzer*innen, Geräte und sensible Daten zu schützen, indem Bedrohungen verhindert und Risikofaktoren gemindert werden.

Warum ist die Einhaltung von Sicherheits-Compliance wichtig?

Gesetze, die ein Mindestmaß an Schutz für die Nutzer*innen bestimmter Geschäftsprozesse vorsehen, werden von Regierungsbehörden entworfen und gelten für bestimmte Branchen. Diese Vorschriften sind nicht variabel und können nicht beliebig ausgelegt werden, und die Unternehmen können sich nicht aussuchen, welche Teile des Gesetzes sie einhalten wollen. Kurz gesagt: Die regulierten Unternehmen müssen die geltenden Vorschriften in vollem Umfang einhalten.

Da die Einhaltung von Rechtsvorschriften von entscheidender Bedeutung ist, hat jede Verordnung ihre eigenen Kriterien für Organisationen, die unwissentlich (oder absichtlich) gegen diese Gesetze verstoßen.

Die Einhaltung der Sicherheit und Compliance hat folgende Auswirkungen auf Ihr Unternehmen:

• Reputation und öffentliches Ansehen
• Geschäftsmöglichkeiten und Partnerschaften
• Einnahmen und Finanzen
• Gesetzliche Haftung
• Business Operations

Gesetze und Normen zur Einhaltung von Sicherheit und Compliance

Die Gesetze (Vorschriften) dienen dem Schutz von Anwender*innen, Geräten und Daten in regulierten Umgebungen, während Standards und Frameworks auf die Behebung von Sicherheitsschwachstellen abzielen und Unternehmen dabei helfen, ihre individuellen Anforderungen auf dem Weg zur Einhaltung der Compliance zu erfüllen.

Es ist wichtig zu wissen, dass IT- und Sicherheitsteams die Endpoint-Sicherheits-Tools, Kontrollen, Prozesse und Arbeitsabläufe jederzeit einfach konfigurieren können, um die Sicherheit zu erhöhen. Einer der größten Vorteile der Ausrichtung auf Standards und Frameworks besteht darin, dass die von ihnen bereitgestellten Lösungen in der Regel einer Reihe von Branchenvorschriften entsprechen. Dadurch wird das Rätselraten oder das Ausprobieren aus der Gleichung der Compliance-Verwaltung herausgenommen, und die Administrator*innen können in ihrer gesamten Infrastruktur Sicherheitskonfigurationen einrichten, die die Mindestanforderungen der gesetzlichen Vorschriften erfüllen (oder oft sogar übertreffen).

Mit anderen Worten, es gibt bereits Normen und Frameworks:

1. Die besten Möglichkeiten zur Sicherung von Ressourcen zu ermitteln
2. Maximierung des Schutzes auf der Grundlage der Betriebssystemplattform
3. Anpassung der Schutzmaßnahmen an die spezifischen Anforderungen der Branche
4. Bewährte IT- und Sicherheitsverfahren einhalten
5. Die Bereitstellung von Härtungskonfigurationen zu vereinfachen
6. Die Compliance in der gesamten Infrastruktur zu gewährleisten
7. Straffung der Durchsetzung der Vorschriften

Gemeinsame globale Regelungen

• Gesetz zur Übertragbarkeit und Rechenschaftspflicht der Krankenversicherung (HIPPA)
• Gesetz über die Rechte und den Schutz der Privatsphäre im Bildungsbereich (FERPA)
• Allgemeine Datenschutzverordnung (GDPR)
• Finanzaufsichtsbehörde (FCA)
• Sarbanes-Oxley-Gesetz (SOX)

Gemeinsame Normen und Rahmenwerke

• Payment Card Industry Data Security Standard (PCI-DSS)
• macOS Security Compliance Project (mSCP)
• Nationales Institut für Normen und Technologie (NIST)
• Zentrum für Internet-Sicherheit (CIS)
• Internationale Organisation für Normung/Internationale Elektrotechnische Kommission (ISO/IEC)

Bewährte Verfahren zur Einhaltung von Sicherheit und Compliance

1. Holen Sie sich die Unterstützung der Verwaltung, um bei der Entwicklung eines Sicherheitsmanagementplans die Zustimmung der Beteiligten und wichtigen Mitarbeiter*innen zu erhalten.
2. Bestimmen Sie die anwendbaren Vorschriften auf der Grundlage der Branche, des Standorts, an dem das Unternehmen tätig ist, und des regionalen Standorts seiner Kund*innen.
3. Führen Sie Risikobewertungen durch, um Schwachstellen zu ermitteln und die Risikotoleranz in Ihrer gesamten Infrastruktur zu bestimmen.
4. Verstehen Sie die Konformitätsanforderungen und deren Auswirkungen auf den Plan zur Verwaltung der Sicherheit und Compliance in Ihrem Unternehmen, indem Sie eine Konformitätsprüfung durchführen, an der wichtige Beteiligte wie rechtliche, finanzielle, betriebliche und administrative Akteur*innen teilnehmen.
5. Nutzen Sie Industriestandards und Frameworks, um Unternehmen auf ihrem Weg zur Compliance zu unterstützen und gleichzeitig sichere Baselines zu schaffen, die Angriffsflächen reduzieren.
6. Einrichtung von Sicherheitskontrollen zur Verhinderung von Bedrohungen, Minimierung von Risiken und Abschwächung von Schwachstellen, um mit einer umfassenden Defense-in-Depth-Strategie ein Gleichgewicht zwischen Verwaltung und Sicherheit herzustellen.
7. Implementieren Sie eine aktive Überwachung, um umfangreiche Telemetriedaten zu sammeln, die Aufschluss über den Zustand des Geräts geben, und versorgen Sie Administrator*innen mit Echtzeitwarnungen bei erkannten Problemen.
8. Entwickeln Sie eine Patch-Management-Strategie, die fehlende Sicherheits-Patches, einschließlich Aktualisierungen auf Betriebssystemebene, behebt und Apps regelmäßig auf dem neuesten Stand hält, um Schwachstellen zu reduzieren und bekannte Fehler zu beheben.
9. Erstellen Sie Richtlinien, um sicherzustellen, dass die Anforderungen weiterhin erfüllt werden, indem Sie die Compliance ganzheitlich in der gesamten Infrastruktur durchsetzen - einschließlich der Geräte im persönlichen Besitz (BYOD).
10. Erweitern Sie Ihre Arbeitsabläufe mit Automatisierungsfunktionen, die Risikovektoren minimieren, indem sie die Reaktion auf bekannte Bedrohungen optimieren, die Suche nach unbekannten Bedrohungen unterstützen und Abhilfemaßnahmen beschleunigen.
11. Dokumentieren Sie alles im Rahmen eines effizienten Änderungsverwaltungsprozesses, der auch alle Ressourcen, Prozesse und Notfallwiederherstellungsverfahren dokumentiert. Dazu gehört das Testen von Patches, Software und Kontrollen in einer bestimmten Testumgebung - niemals in der Produktion.
12. Führen Sie häufige Prüfungen durch, kombiniert mit kontinuierlicher Überwachung und Änderungsverwaltung, um proaktiv mögliche Probleme mit Kontrollen, Verfahren oder Arbeitsabläufen zu ermitteln.
13. Erstellen Sie ein regelmäßig stattfindendes Schulungsprogramm für Endbenutzer*innen, um die Benutzer*innen über die sich entwickelnden Bedrohungen zu informieren. Führen Sie außerdem häufig leistungsbasierte Kampagnen durch, um das praktische Wissen der Benutzer*innen über Bedrohungen zu bewerten und ihnen ein wichtiges Feedback zu ihren Ergebnissen zu geben, sowie Abhilfemaßnahmen, um die Schulung zu verstärken.
14. Regelmäßige Überprüfung der Dokumentation zur iterativen Verbesserung der IT-, Cybersicherheits- und Compliance-Management-Pläne auf der Grundlage der Erkenntnisse aus der kontinuierlichen Verbesserung während des gesamten Lebenszyklus von Geräten und Software.