Compliance / Audit
Sie müssen es nachweisen können!
Die IT eines Unternehmens muss einer Vielzahl an nationalen und internationalen Auflagen gerecht werden. So ist die sichere Verwendung von Datenzugriffen, Berechtigungen, NDA / Geheimhaltungserklärungen nicht nur anzuwenden, sondern auch nachzuweisen. Übergeht ein Unternehmen solche Vorgaben folgen Konsequenzen: Wer seine Datensicherheit nicht lückenlos nachweisen kann schneidet beim Ranking schlecht ab, mit allen daraus resultierenden Folgen…
Im Falle von Datenmissbrauch ist das Unternehmen bis zum Beweis seiner Unschuld regresspflichtig. So könnte Kunde A, der einen grossen Entwicklungsauftrag vergeben hat, entdecken, dass Kunde B elementare Entwicklungsergebnisse von ihm besitzt. Da beide den gleichen Entwickler beauftragt haben, muss dieser nachweisen, dass die Entwicklungsdaten und Zugriffsrechte für Kunde A und Kunde B strickt getrennt und sauber administriert wurden. Sollte der Nachweis nicht lückenlos sein, werden empfindliche Vertragsstrafen für die Verletzung der Datenschutzgeheimnisse fällig.
Historienführung und Auditwerkzeuge liefern zu jeder Zeit Antwort auf die Frage „Wer hatte wann auf was Zugriff und wer hat das genehmigt.“ Durch einen automatisierten SOLL-IST-Abgleich erkennen sie zeitnah bestehende Probleme und können deren Behebung einleiten. Sicherheitslücken werden sofort geschlossen. Ihre Datensicherheit ist nachweisbar.
Der Nutzen von Auditfunktionen
- Sie können Ihre Datensicherheit vor Partnern, Kunden, Banken, Prüfern,… beweisen.
- Sicherheitslücken werden angezeigt und können sofort behoben werden.
- Revisionssicherheit, Anfoderungen der internen und externen Revision / Wirtschaftsprüfer werden erfüllt.
- Durch die Historienführung von Identitäten und Entitlements können Sie auch für Berechtigungsvergaben und Ereignisse, die in der Vergangenheit liegen, nachweisen, wer der Verursacher war und haften muss.
Stolpersteine beim Thema Compliance
- Nicht alle Produkte unterstützen alle Systemplattformen. Wer für alle Systeme die Analyse- und Reporting-Funktionen nutzen will, muss in der Praxis oft Einbussen in der Funktionalität des Audit-Tools in Kauf nehmen.
- Selten herrscht Sicherheit darüber, welche rechtlichen Anforderungen (Datenschutzgesetze, Basel II, HIPAA oder SOX) das Unternehmen überhaupt betreffen.
- Bei der Analyse von Benutzerverwaltungen und Zugriffsberechtigungen tauchen eigentlich immer Regelverstösse auf. Leider sind diejenigen, welche die Ursache dafür kennen, oft nicht ins Projekt eingebunden. Einfach nur Löschen ist nicht sinnvoll. Keiner weiss was zu tun ist.