Kontinuierliche Compliance

Die IT wirklich Audit-sicher machen

| Autor / Redakteur: Bert Skorupski* / Stephan Augsten

Um einen Audit zu bestehen, sollte die IT-Landschaft inklusive der Berechtigungen möglichst lückenlos dokumentiert werden.
Um einen Audit zu bestehen, sollte die IT-Landschaft inklusive der Berechtigungen möglichst lückenlos dokumentiert werden. (Bild: Archiv)

Die Kontrolle der Einhaltung von Compliance-Vorgaben gehört heute zu den zentralen Aufgaben der IT-Abteilungen. Ein genaues, methodisches Vorgehen mit lückenloser Dokumentation ist die beste Voraussetzung, um auch anspruchsvolle Audits zu bestehen.

Vor dem Hintergrund einer wachsenden Zahl von Regularien müssen Unternehmen genau kontrollieren, welche Änderungen an Daten in ihren Netzwerken vorgenommen werden. IT-Abteilungen benötigen möglichst präzise Werkzeuge, um die Daten zu überwachen, zu analysieren, zu prüfen und entsprechende Berichte zu erstellen.

Doch es geht nicht nur darum, die Vorgaben überhaupt zu erfüllen. Ebenso wichtig und deutlich schwieriger ist es, die Compliance auch langfristig sicherzustellen. Vielen Unternehmen ist jedoch der Zeit- und Arbeitsaufwand, der dafür nötig ist, zu groß. Deshalb sollte man sich überlegen, zumindest einige Kontrollmechanismen zu automatisieren.

Bei der Evaluierung entsprechender Projekte sollten Unternehmen drei Schlüsselaufgaben in den Mittelpunkt der Aktivitäten stellen: Bewertung, Überwachung und Reporting sowie schließlich die Problembehebung.

Bewertung

Immer wieder können Unternehmen bei Audits Compliance-Anforderungen nicht erfüllen, weil sie zuvor entweder keine regelmäßigen Bewertungen durchgeführt oder ihre Kontrollmaßnahmen niemals bewertet und validiert hatten. Die Bewertung der internen Kontrollmechanismen, die innerhalb einer IT-Umgebung vorhanden sind, ist daher der erste Schritt zur Compliance-Transparenz.

Diese Bewertung umfasst den Vergleich der Prozesse und Richtlinien des Unternehmens mit geltenden Branchenstandards und -empfehlungen, beispielsweise mit Sicherheits-Frameworks wie COBIT oder ISO 17799. Durch eine derartige Analyse lässt sich ein umfangreiches Compliance-Programm ausarbeiten.

Ergänzendes zum Thema
 
Was Compliance bringt

Zudem muss die IT-Abteilung in einer Risikoanalyse feststellen, welche Kontrollen notwendig sind, und eventuelle Lücken bei der Implementierung dieser Kontrollen identifizieren. Durch diesen Identifizierungs- und Priorisierungsprozess lässt sich eine Basis an Kontrollmaßnahmen etablieren, die auf die im Compliance-Programm definierten Ziele abgestimmt sind.

Die IT-Abteilung sollte entsprechende Bewertungen für folgende Bereiche durchführen:

  • Benutzerrechte im gesamten Netzwerk
  • Gruppenmitgliedschaften und die damit verbundenen Zugriffsprivilegien
  • Berechtigungen für den Zugriff auf Dateien und Ordner
  • alternative Speicherorte von Dateien, zum Beispiel Exchange oder SharePoint
  • Konfigurationseinstellungen der Systeme

Diese Bewertung sollte die IT-Abteilung als kontinuierlichen Prozess verstehen, denn die internen Kontrollmaßnahmen müssen immer wieder angepasst werden, um den wechselnden IT-Anforderungen gerecht zu werden. Da die Anforderungen an IT-Abteilungen aufgrund gesetzlicher Bestimmungen und anderer Compliance-Vorgaben zunehmend komplexer werden, müssen sie Lösungen und Prozesse implementieren, die Risiken und Komplexität minimieren.

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 43272329 / Compliance und Datenschutz )