Start Empfohlen Sicherstellung der Compliance im modernen Unternehmen

Sicherstellung der Compliance im modernen Unternehmen [Q&A]

16
0


Konformitätsanzeige

In den letzten Jahren wurden immer mehr Vorschriften zur Sicherheit und zum Schutz von Daten umgesetzt. Dies stellt eine Herausforderung für Unternehmen dar, die sicherstellen müssen, dass sie konform bleiben.

Die Herausforderung ist durch die Pandemie und die damit einhergehenden veränderten Arbeitsmuster noch größer geworden. Wie können Unternehmen also sicherstellen, dass sie konform bleiben und nicht gegen die Regeln verstoßen?

Wir sprachen mit Shrav Mehta, CEO und Mitbegründer von Sicherer Rahmenherausfinden.

BN: Wie hat sich die Dringlichkeit der Compliance durch die Pandemie verändert?

SM: Die Pandemie hat indirekt zu Compliance-Dringlichkeit geführt, da mehr Sicherheit erforderlich ist, um eine Remote-Arbeitsumgebung sicher zu halten. Dies hat viele Unternehmen dazu veranlasst, ihre Sicherheits- und IT-Prozesse im Kontext einer Remote-Arbeit neu zu bewerten. Als Folgen der Pandemie:

  • Viele Unternehmen haben ihre Abhängigkeit von Kommunikationstechnologien und Cloud-Infrastrukturdiensten beschafft oder verstärkt, um Geschäftsunterbrechungen zu minimieren. Über diese Lösungen werden oft sensible Informationen übertragen, gespeichert und verarbeitet
  • Remote-Mitarbeiter verwenden ihre Geräte häufig für die Arbeit und umgekehrt. Die Sicherheit persönlicher Geräte ist in der Regel eine Black Box. Auf der anderen Seite sind ungesicherte Arbeitsgeräte eher erhöhten Risiken durch Dritte ausgesetzt (z. B. Nicht-Arbeitsanwendungen).
  • Unternehmen unterstützen zusätzliche Zugangspunkte für ihre entfernten Mitarbeiter, was natürlich ihre Angriffsfläche vergrößert. Fehlkonfigurationen des Fernzugriffs für Anwendungen, Netzwerke, Server und Datenbanken bieten ausgereifte Ausnutzungsmöglichkeiten. Unternehmen haben nur minimalen Einblick in die Sicherheit von Heimnetzwerken

Die grundlegende Geschäftsverlagerung in Richtung Remote-Arbeit hat die Sicherheitsprozesse zum Besseren verändert. Heutzutage sind Unternehmen dazu aufgefordert, ihre Sicherheitslage bereits von einem Zwei-Personen-Startup validieren zu lassen, wenn sie versuchen, ihren ersten Proof-of-Concept an Land zu ziehen. Sicherheit wird nicht mehr nur als Kontrollkästchen angesehen, sondern ist für jedes B2B-Unternehmen von grundlegender Bedeutung, um seine sensiblen Daten zu schützen.

BN: Einige der größten und bekanntesten Cybersicherheitsvorfälle der letzten zwei Jahre waren Angriffe auf kritische Infrastrukturen wie Colonial Pipeline und SolarWinds. Aber es gibt noch keine übergreifenden Gesetze zur Einhaltung gesetzlicher Vorschriften für kritische Infrastrukturen. Was ist die kurzfristige Lösung?

SM: Leider gibt es hier keine kurzfristige Lösung, sondern es muss ein stärkerer Aufruf zum Handeln an Anbieter und ihre Kunden erfolgen. Die Anbieterführung muss mit Sicherheitsinvestitionen proaktiv sein und darf nicht darauf warten, dass äußerer Druck Veränderungen auslöst.

Kunden sollten von ihren Anbietern höhere Investitionen in die Sicherheit fordern. Leider haben viele Kunden keine Verhandlungsmacht gegenüber ihren Anbietern, insbesondere im Bereich kritischer Infrastrukturen. Kunden können diese Art von Anbietern oft nicht ohne Weiteres ersetzen oder drohen damit, sie zu ersetzen, um sich einen Vorteil gegenüber ihren Anbietern zu verschaffen, da ihre Produkte in der Regel das Herzstück ihrer IT-Struktur bilden. Bei der erstmaligen Bewertung neuer Anbieter kritischer Infrastrukturen sollten potenzielle Kunden ihre Sicherheits-Due-Diligence erhöhen und mehr Sicherheit verlangen.

Bei der Bewertung des Anbieterrisikos sollten Kunden eine Vielzahl von Sicherheitsdatenpunkten des Anbieters nutzen, z. B. interne Anwendungsfälle, Penetrationsberichte, Sicherheitsfragebögen und sogar Eigenrecherchen, zusätzlich zur Überprüfung der Compliance-Berichte von Auditoren. IT-Auditoren bewerten Organisationen aus einem breiten Blickwinkel; Aufgrund von Zeitbeschränkungen, fehlendem technischen Wissen, fehlendem System- und Prozesskontext und/oder Unklarheiten in Bezug auf vom Kunden bereitgestellte Informationen sind sie jedoch häufig nicht in der Lage, tief in die Kundenumgebung einzutauchen und die Systembeziehungen vollständig zu verstehen. Kritische Sicherheitsmängel rund um das Änderungsmanagement und die Zugriffskontrolle bleiben unbemerkt, was oft die Hauptursache für Sicherheitsverletzungen ist, wie wir sie bei der Colonial Pipeline und Solar Winds gesehen haben

In Bezug auf regulatorische Maßnahmen hat Präsident Biden kürzlich den Cyber ​​Incident Reporting for Critical Infrastructure Act von 2022 in Kraft gesetzt, um die Anforderungen für die Meldung von Vorfällen für Organisationen, die unter seinen Dach fallen, tatsächlich vorzuschreiben. Dies wird jedoch wahrscheinlich erst im nächsten Jahr in Kraft treten und zielt nur darauf ab, die Reaktion nach einem Verstoß und nicht die Sicherheitsreife vor einem Verstoß zu verbessern. Wir hoffen auf weitere Vorschriften, die sich mit letzterem befassen, insbesondere in Bezug auf die Sicherheitskontrollen bei der Softwareentwicklung und beim Änderungsmanagement. Anleitung dazu war herausgegeben von NIST letztes Jahr; Allerdings stehen noch regulatorische Änderungen aus, und dies würde wahrscheinlich nur Anbieter betreffen, die sich an Bundesverträgen beteiligen

BN: Compliance ist etwas, das auf dem neuesten Stand gehalten werden muss, aber es scheint, dass viele Unternehmen nicht erkennen, dass sie schnell von der Compliance abfallen können, wenn sie ihre Sicherheitslage nicht ständig überwachen. Welche Best Practices können helfen?

SM: Der Einsatz von kontinuierlichen Compliance-Sicherheitsüberwachungslösungen wie Secureframe bietet sicherlich Einblick in Compliance-Abweichungen, aber schlechte Gewohnheiten und betriebliche Inkonsistenzen müssen intern von oben nach unten angegangen werden. Ohne Autorität und Akzeptanz können bestimmte Best Practices nur spontan verwendet werden oder letztendlich zu Regalware werden, die nur während Audits ans Licht kommt

Compliance und Sicherheit müssen Teil der Unternehmenskultur werden. Teams müssen beim Bauen eine Security-First-Mentalität annehmen. Beispielsweise können selbstgenehmigte Code-Hotfixes und -Installationen zeitweise garantiert werden; Unter Entwicklungsteams kann dies jedoch leicht zur Halbgewohnheit werden

Das Fehlen kontinuierlicher Überwachungsanforderungen in vielen kommerziellen Sicherheits-Compliance-Frameworks hat dazu geführt, dass das SOC 2 Typ 2-Audit zu einem erforderlichen Standard geworden ist, um Geschäfte mit anderen Unternehmen in den USA zu tätigen. Das Streben nach Einhaltung von Rahmenwerken, die eine kontinuierliche Überwachung vorschreiben, bietet eine Gelegenheit, schlechte Sicherheitshygiene zu korrigieren.

BN: Sehen Sie Cyber-Bedrohungen in den kommenden Jahren eskalieren? Woran sollten CISOs denken?

SM: Fernarbeit ist gekommen, um zu bleiben. Infolgedessen haben Bedrohungsakteure ihre Angriffe so positioniert, dass sie von technologischen und prozessbasierten Veränderungen als Reaktion auf die Einführung von Telearbeit profitieren.

Die Zuweisung von Ressourcen zur Unterstützung dieser Remote-First-Geschäftsverlagerung und zur Aufrechterhaltung der Cyber-Resilienz in dieser neuen Umgebung sollte für CISOs oberste Priorität haben.

Bildnachweis: donskarpo / Shutterstock



Vorheriger ArtikelSAP-Mitgründer Plattner deutlich wiedergewählt – trotz Amtszeitüberschreitung
Nächster ArtikelStreik beim slowenischen öffentlich-rechtlichen Rundfunk am Montag

Kommentieren Sie den Artikel

Bitte geben Sie Ihren Kommentar ein!
Bitte geben Sie hier Ihren Namen ein