Die richtige Mischung aus Kontrolle und Vertrauen

Überlegte IT- und Netzwerk-Überwachung

| Autor / Redakteur: Dr. Gerald Spiegel, Steria Mummert Consulting / Stephan Augsten

Verschiedene Kontrollmethoden mischen

Ein planvolles Vorgehen beim Organisieren von IT-Kontrollen lässt sich zudem an einer ausgewogenen Mischung der eingesetzten Kontrollen ablesen. Zu diesem Verbund unterschiedlicher Typen zählen erkennende Kontrollen (detective controls). Sie zeigen beispielsweise über Logdateien, dass ein Mitarbeiter ständig versucht, sich in ein System einzuloggen, für das er keine Berechtigung hat.

Dazu kommen präventive Vorkehrungen (preventive controls). Sie unterstützen die erkennenden Kontrollen, indem ein Mitarbeiter, der das Unternehmen verlässt, automatisch erinnert wird, sein Notebook abzugeben.

Korrigierende Sicherheitsmaßnahmen (corrective controls) legen zudem Schritte fest, die greifen, wenn Sicherheitsverstöße eintreten und entdeckt werden. Das bedeutet, dass jemand letztendlich dafür sorgt, dass der ehemalige Mitarbeiter sein Notebook abgibt und dass bei Häufungen andere Maßnahmen entwickelt werden, um das Sicherheitsrisiko zu senken.

Das individuelle Risiko entscheidet

Die Dosis der Kontrollen und die Wahl der „Waffen“ für mehr IT-Sicherheit richten sich idealerweise immer nach den Risiken. Eine wichtige Frage dabei ist, wie manipulationssicher Kontrollen sind. Kann sich ein Mitarbeiter beispielsweise auch mit einem anonymen Zugang in eine Anwendung einloggen, steigt das Risiko, dass sich Personen Überprüfungen entziehen.

Bei der Auswahl der Kontrollen zählt zudem, dass Maßnahmen immer bezahlbar und im Verhältnis zum Risiko vertretbar sein sollten. Damit erreichen Unternehmen eine bessere Feinjustierung und setzen nicht nur stur Compliance-Vorschriften um. Das setzt jedoch voraus, dass die Geschäftsleitung ihr Restrisiko kennt und akzeptiert und weiß, wie groß der Schaden ist, wenn beispielsweise ein Betrugsfall bei einem bestimmten Geschäftsablauf auftritt.

Standards helfen beim Managen von IT-Risiken

Im Idealfall orientieren sich Kontrollsysteme an anerkannten Methoden und Richtlinien wie zum Beispiel ISO 27001/2, der IT Infrastructure Library (ITIL) oder den Control Objectives for Information and Related Technology (CobIT), welches auch Eigenschaften wie Verlässlichkeit von IT betrachtet. ITIL dagegen konzentriert sich eher auf die Vermeidung von Risiken in Prozessen wie Problem und Change Management, Configuration Management und in Service Level Agreements (SLAs).

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel

Der Kommentar wird durch einen Redakteur geprüft und in Kürze freigeschaltet.

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
Zur Wahrung unserer Interessen speichern wir zusätzlich zu den o.g. Informationen die IP-Adresse. Dies dient ausschließlich dem Zweck, dass Sie als Urheber des Kommentars identifiziert werden können. Rechtliche Grundlage ist die Wahrung berechtigter Interessen gem. Art 6 Abs 1 lit. f) DSGVO.
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

copyright

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 39050910 / Sicherheitsvorfälle)