Wie unterscheiden sich die Einhaltung von Cybersicherheitsvorschriften und ein wirklich sicherer Staat?
Die Einhaltung von Vorschriften ist nicht gleichbedeutend mit dem Erreichen eines tatsächlich sicheren Zustands
Die heutige Landschaft der Informationssicherheit ist durchzogen von den Anforderungen der unzähligen branchenspezifischen und staatlichen Compliance-Anforderungen zum Schutz von Informationen. Von HIPAA über PCI bis hin zu zahllosen anderen branchenspezifischen und behördlichen Compliance-Vorgaben - die Vorschriften sind komplex und scheinbar endlos, und die meisten Unternehmen müssen einen beträchtlichen Teil ihrer Ressourcen in die Einhaltung der Vorschriften investieren.
Das Problem ist jedoch, dass viele Unternehmen in allen Branchen dem Irrglauben erliegen, die Einhaltung einer bestimmten Vorschrift sei gleichbedeutend mit tatsächlicher Sicherheit. Es stimmt, dass die Einhaltung von Vorschriften absolut wichtig ist; die Nichteinhaltung von Vorschriften kann rechtliche Konsequenzen nach sich ziehen, einschließlich Geldbußen. Außerdem ist es logisch, dass Unternehmen die Einhaltung von Vorschriften oft mit Sicherheit gleichsetzen, wenn man die von den Aufsichtsbehörden aufgestellten Cybersicherheitsvorschriften bedenkt.
Bei näherer Betrachtung geben die meisten Compliance-Anforderungen jedoch nur grundlegende Empfehlungen für die Informationssicherheit und keine detaillierten Bedingungen für einen sicheren Betriebszustand. Die geforderten Sicherheitskontrollen sind nicht unbedingt spezifisch, und das aus gutem Grund - die Sicherheitskontrollen, die Ihr Unternehmen einsetzen sollte, sind unglaublich variabel und hängen von zahlreichen Faktoren ab, darunter die Branche, die Unternehmensgröße, die Sensibilität der Informationen, die Menge der Daten und unzählige andere.
Nehmen wir zum Beispiel HIPAA. Nach Angaben des U.S. Department of Health and Human Services schreibt die "Security Rule" vor, dass die betroffenen Einrichtungen angemessene physische, technische und administrative Sicherheitsvorkehrungen zum Schutz elektronischer geschützter Gesundheitsinformationen (ePHI) treffen müssen. Im Einzelnen müssen die betroffenen Einrichtungen folgende Maßnahmen zum Schutz von ePHI ergreifen:
- Sicherstellung der Vertraulichkeit, Integrität und Verfügbarkeit von e-PHI
- Identifizierung von und Schutz vor vernünftigerweise zu erwartenden Bedrohungen der Informationssicherheit
- Schutz vor vernünftigerweise zu erwartenden, unzulässigen Verwendungen oder Offenlegungen
- Gewährleistung der Einhaltung der Vorschriften durch die Mitarbeiter
Es ist nicht so genau, wie viele Unternehmen glauben, und viele Anforderungen anderer Aufsichtsbehörden sind ähnlich gelagert. Ihr Unternehmen muss nachweisen, dass Sie Ihre Daten auf einem bestimmten Niveau schützen, aber es wird Ihnen nicht unbedingt gesagt, wie. Hier kommen die tatsächlichen Sicherheitskontrollen ins Spiel, die Sie einsetzen.
Ein riskanter Ansatz für die Verwaltung von Sicherheitskontrollen
Es ist üblich, dass Unternehmen die Einhaltung von Vorschriften mit Sicherheit assoziieren, was oft dazu führt, dass sie bei der Auswahl von Sicherheitstools nur das Nötigste tun. Dieses Paradigma kann das Gegenteil von dem bewirken, was mit den Compliance-Anforderungen erreicht werden soll, und Unternehmen einem größeren Risiko aussetzen.
Im Bereich der Informationssicherheit bedeutet Compliance, dass Sie ein bestimmtes Datenschutzniveau gemäß einer Vorschrift nachweisen können, aber es bedeutet nicht, dass Ihr Unternehmen vor Sicherheitsverletzungen sicher ist. Diese Unterscheidung ist von entscheidender Bedeutung, denn die Auswahl der richtigen Tools und Strategien zur Erreichung der Sicherheit für Ihr Unternehmen hängt von Ihren individuellen Bedürfnissen ab.
Erreichen und Aufrechterhalten von Compliance und Sicherheit
Je nach Art der Compliance-Anforderungen in Ihrer Branche in Bezug auf Vorschriften und Governance können einige Richtlinien komplexer sein als andere. Je nach Risikotoleranz eines Unternehmens können auch strengere Richtlinien erforderlich sein. Die wichtigste Erkenntnis aus dem Konflikt zwischen Compliance und Sicherheit besteht darin, zu verstehen, wie die Einhaltung von Vorschriften erreicht und aufrechterhalten werden kann, während gleichzeitig die Entwicklung und Verwaltung eines Sicherheitsprogramms, das Ihr Unternehmen vor Risiken schützt, effektiv ausgeglichen wird.
Die CSS steht Ihnen zur Verfügung, um mit Ihnen über Fragen der Cybersicherheit im Zusammenhang mit der Einhaltung von Vorschriften zu sprechen, die Ihr Unternehmen hat. Unsere Cybersecurity-Experten können mit Ihnen zusammenarbeiten, um die Compliance-Landschaft zu navigieren und den besten Cybersecurity-Ansatz für Ihr Unternehmen zu ermitteln.
