Neuigkeit: Keyfactor erwirbt InfoSec Global und CipherInsights | Umfassende Lösungen für Entdeckung, Kontrolle und Agilität

Die Konvergenz von IT & Sicherheit und Risiko & Compliance
  • Startseite
  • Blog
  • Die Konvergenz von IT & Sicherheit und Risiko & Compliance

Die Konvergenz von IT & Sicherheit und Risiko & Compliance

Oktober 25, 2016

IT- und Compliance-Abteilungen arbeiten immer häufiger zusammen

Die Integration von IT und Compliance

Derzeit findet in vielen Unternehmen eine deutliche Abkehr von den Silos der IT- und Compliance-Teams statt, was zu einer Konvergenz der Abteilungen führt. Eine Straffung und Konsolidierung zwischen IT, Sicherheit und GRC hat sich als vorteilhaft für die Sicherheitslage des gesamten Unternehmens erwiesen, und viele Unternehmen nehmen diese Änderung vor.

Der Grund dafür ist folgender: Angesichts der heutigen virulenten Sicherheitslandschaft und der ständig steigenden Anforderungen an die Einhaltung von Vorschriften in allen Sektoren muss die Einhaltung von Vorschriften in die IT-Entwicklung integriert werden - und darf nicht nachträglich hinzugefügt werden. IT-Designs sollten nicht ohne den Segen von GRC vorangetrieben werden. Compliance von Anfang an in ein IT-Projekt einzubauen, ist wesentlich einfacher als eine Nachrüstung.

Ein Teil der Aufgabe von GRC besteht nicht nur darin, die Einhaltung von Vorschriften zu gewährleisten, sondern auch Richtlinien zu erstellen und durchzusetzen. In Zusammenarbeit mit den Sicherheits- und IT-Teams besteht eine der Aufgaben von GRC darin, zu verstehen, was geschützt werden muss und welche Richtlinien zur Unterstützung dieses Schutzes erforderlich sind. In der Vergangenheit haben IT- und Sicherheitsteams oft Projekte durchgeführt und selbst Richtlinien festgelegt, die nicht unbedingt von GRC stammten, was sich negativ auf das Unternehmen auswirkte. Wenn IT & Sicherheit und GRC zusammenarbeiten, wird die Einhaltung von Richtlinien stärker in den Vordergrund gerückt und spielt eine spürbare Rolle für die IT-Sicherheit.

Je früher GRC in die IT eingebunden wird, desto größer ist der Nutzen. Die Bereitstellung eines konformen Systems von Anfang an ist das ideale IT-Bereitstellungsszenario - ganz einfach deshalb, weil ein Unternehmen in der Regel nie sicherer werden kann. Wenn ein System bereitgestellt wird, kann die Sicherheit im Laufe der Zeit nicht erhöht, sondern nur verschlechtert werden. Darüber hinaus ist die IT-Abteilung mit den eigentlichen Mechanismen zur Kontrolle der Anlagen beschäftigt, aber die Bestimmung der am besten geeigneten Kontrollen für die Systeme ist die Aufgabe von GRC.

 

Vergleich von IT-, Sicherheits- und GRC-Fähigkeiten

Risikomanager und IT-Spezialisten unterscheiden sich insofern, als dass ein Risikomanager den Wert von IT-Assets und deren potenzielle Gefährdung verstehen muss, während ein IT- oder Sicherheitsspezialist sich eher auf die tatsächlichen technischen Kontrollen konzentriert, die zum Schutz eines bestimmten Assets erforderlich sind.

 

IT & Sicherheit GRC
  • Konzentration auf die notwendigen technischen Kontrollen.
  • Bestimmen Sie, welche Sicherheitskontrollen verstärkt werden können, um das höchstmögliche Schutzniveau zu erreichen.
  • Sie sorgen sich weniger um das Risiko als vielmehr um die tatsächlichen Sicherheitsmechanismen.
  • Übersetzen Sie Vermögenswerte und potenzielle Risiken in konsumierbare finanzielle Verluste.
  •  Verstehen von IT-Ressourcen und deren Wert.
  • Identifizierung von Risiken und Bedrohungen, die in der Welt bestehen.
  • Mitteilung des Risikos und der verfügbaren Kontrollen an einen CISO oder VIO, um zu entscheiden, welches Risiko akzeptabel ist.

 

Sowohl die IT- und Sicherheitsabteilung als auch die GRC-Abteilung haben in der Vergangenheit Richtlinien verfasst, und das ist auch verständlich, denn beide Gruppen haben mit vielen der gleichen Maschinen zu tun. Heute nimmt die Integration zwischen IT & Sicherheit und GRC zu, mit weniger Überschneidungen zwischen den Zuständigkeiten für mehr Gesamteffizienz und Sicherheit. Die integrierte Entwicklung von IT-Richtlinien und deren Einhaltung ist der Schlüssel zum Erreichen einer optimalen Sicherheitslage.

 

Verwaltung des Zusammenschlusses von Abteilungen

Die Rollendefinition ist absolut entscheidend. Da beide Gruppen einst unabhängige Maschinen mit sich überschneidenden Funktionen waren, sollten die Arbeitslasten, die für Richtlinien, die Entwicklung von Kontrollen, die Einhaltung von Vorschriften und Risiken verantwortlich sind, abteilungsübergreifend einheitlich sein.

Die Schaffung von Arbeitsabläufen, die festlegen, wie Berichte erstellt, Systeme übernommen und Richtlinien erstellt werden, wird sicherstellen, dass technische Implementierungen reibungslos ablaufen. Die Zusammenlegung ist eine Frage der Rollen, der Definition und der Festlegung von Erwartungen innerhalb der Abteilungen. Beide Abteilungen haben nach wie vor einen unabhängigen Wert, den sie einbringen, aber sie tun unterschiedliche Dinge. Es war schon immer ein Fehler, dass Sicherheits- und IT-Abteilungen Richtlinien ohne Rücksicht auf Risiken und Compliance erstellt haben.

CSS entwickelt kontinuierlich Kontrollen und Richtlinien, indem wir unsere Kunden bei der Entwicklung innerhalb des GRC-Rahmens unterstützen. Wenn Ihre Sicherheitsorganisation mehr erfahren möchte, nehmen Sie Kontakt mit uns auf, um über Ihre Anforderungen an die Einhaltung der Cybersicherheit zu sprechen.

Sprechen Sie mit einem PKI-Experten
quadratisches Keyfactor Logo

Autor

Keyfactor

Technisches Team
Mehr Beiträge von Keyfactor