Compliance: Die Krux des IT Security Officers

Eine mögliche Lösung besteht darin, auf den zu überprüfenden Systemen Softwareagenten zu installieren, die die Security-relevanten Einstellungen regelmässig mit den spezifischen Vorgaben der Security-Policy vergleichen. Die daraus resultierenden Resultate werden in der Folge an ein zent-rales Datenbanksystem weitergeleitet. Ergeben sich Abweichungen gegenüber den Vorgaben, werden diese automatisch an ein Ticketing-System weitergeleitet. Dieses System sendet dann automatisch eine Korrekturanforderung an den jeweiligen Systemverantwortlichen. Es kontrolliert und eskaliert auch, falls die Korrektur nicht innerhalb eines vorgegebenen Zeitraums erfolgt.

Sämtliche Messungen und deren Resultate und Korrekturen werden darüber hinaus in einem zentralen, webbasierenden Reportingsystem erfasst. Aus diesem System heraus lassen sich in der Folge Reports erstellen, die detailliert über den aktuellen und den vergangenen Compliance-Status Auskunft geben können.

Durch die automatisierte Abarbeitung dieser Thematik lassen sich im operativen Bereich markante Kosteneinsparungen im Bereich der IT Security relevanten Compliance-Aufwendungen realisieren. Diese Einsparungspotenziale liegen im Wesentlichen in der automatisierten Abdeckung der Korrektur-, Mess- und Dokumentationserfordernisse. Eine wesentliche Voraussetzung für maximale Kosteneinsparungen ist die Beachtung der Tatsache, dass der optimale Nutzen nur erreicht werden kann, wenn nicht nur die technologische Lösung im Fokus steht, sondern auch parallel eine starke Harmonisierung mit den Security-Prozessen erfolgt.

Nach der Einführung solcher Lösungen ist ausserdem häufig der Effekt zu beobachten, dass sich die Aufwände für die Behebung von Security-Abweichungen reduzieren. Hintergrund dafür ist die Tatsache, dass die betroffene Organisation nach einer gewissen Phase der Angewöhnung, die Abarbeitung solcher Abweichungen ins «Daily Business» integriert, was zur effizienteren und routinemässigen Bearbeitung solcher Abweichungen führt.

Zusammenfassend kann gesagt werden, dass die automatisierte Kontrolle und Abarbeitung von IT-Security-relevanter Compliance-Überprüfung - nebst einem erhöhten Compliance-Grad - ein Kosteneinsparpotenzial bietet. Dies vor allem dann, wenn mehrere Lösungen miteinander kombiniert und in die Prozesslandschaft eines Unternehmens eingebunden werden.