Die richtige Mischung aus Kontrolle und Vertrauen

Überlegte IT- und Netzwerk-Überwachung

Seite: 2/3

Anbieter zum Thema

Verschiedene Kontrollmethoden mischen

Ein planvolles Vorgehen beim Organisieren von IT-Kontrollen lässt sich zudem an einer ausgewogenen Mischung der eingesetzten Kontrollen ablesen. Zu diesem Verbund unterschiedlicher Typen zählen erkennende Kontrollen (detective controls). Sie zeigen beispielsweise über Logdateien, dass ein Mitarbeiter ständig versucht, sich in ein System einzuloggen, für das er keine Berechtigung hat.

Dazu kommen präventive Vorkehrungen (preventive controls). Sie unterstützen die erkennenden Kontrollen, indem ein Mitarbeiter, der das Unternehmen verlässt, automatisch erinnert wird, sein Notebook abzugeben.

Korrigierende Sicherheitsmaßnahmen (corrective controls) legen zudem Schritte fest, die greifen, wenn Sicherheitsverstöße eintreten und entdeckt werden. Das bedeutet, dass jemand letztendlich dafür sorgt, dass der ehemalige Mitarbeiter sein Notebook abgibt und dass bei Häufungen andere Maßnahmen entwickelt werden, um das Sicherheitsrisiko zu senken.

Das individuelle Risiko entscheidet

Die Dosis der Kontrollen und die Wahl der „Waffen“ für mehr IT-Sicherheit richten sich idealerweise immer nach den Risiken. Eine wichtige Frage dabei ist, wie manipulationssicher Kontrollen sind. Kann sich ein Mitarbeiter beispielsweise auch mit einem anonymen Zugang in eine Anwendung einloggen, steigt das Risiko, dass sich Personen Überprüfungen entziehen.

Bei der Auswahl der Kontrollen zählt zudem, dass Maßnahmen immer bezahlbar und im Verhältnis zum Risiko vertretbar sein sollten. Damit erreichen Unternehmen eine bessere Feinjustierung und setzen nicht nur stur Compliance-Vorschriften um. Das setzt jedoch voraus, dass die Geschäftsleitung ihr Restrisiko kennt und akzeptiert und weiß, wie groß der Schaden ist, wenn beispielsweise ein Betrugsfall bei einem bestimmten Geschäftsablauf auftritt.

Standards helfen beim Managen von IT-Risiken

Im Idealfall orientieren sich Kontrollsysteme an anerkannten Methoden und Richtlinien wie zum Beispiel ISO 27001/2, der IT Infrastructure Library (ITIL) oder den Control Objectives for Information and Related Technology (CobIT), welches auch Eigenschaften wie Verlässlichkeit von IT betrachtet. ITIL dagegen konzentriert sich eher auf die Vermeidung von Risiken in Prozessen wie Problem und Change Management, Configuration Management und in Service Level Agreements (SLAs).

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung.

Aufklappen für Details zu Ihrer Einwilligung

(ID:39050910)