Mehr Durchblick bei IT-Richtlinien

Werkzeuge zur Prüfung der IT-Compliance

Seite: 2/4

2. Werden die Policies überhaupt eingehalten?

Ein Drittel der Mitarbeiter missachtet IT-Richtlinien, so das Ergebnis einer Studie von Xerox und McAfee. Ob die IT-Compliance nur auf dem Papier besteht oder tatsächlich umgesetzt ist, zeigt nur eine regelmäßige Kontrolle.

Abweichungen von den definierten Policies zeigen Compliance Suites wie zum Beispiel die NetIQ Access Governance Suite für den Zugangs- und Zugriffsschutz oder die QualysGuard IT Security + Compliance Suite auf Knopfdruck.

Bildergalerie
Bildergalerie mit 6 Bildern

Dazu sammeln solche Compliance-Suites Protokolldaten aus zahlreichen IT-Systemen, werten diese einheitlich aus und gleichen sie mit den definierten Vorgaben ab. Berücksichtigt zum Beispiel ein Nutzer eine der Passwortvorgaben nicht, taucht dies unter den Abweichungen (Policy Violations) auf.

3. Kennen die Mitarbeiter die Policies wirklich?

Wenn sich die Mitarbeiter nicht an die Vorgaben halten, steckt nicht immer böser Wille, sondern oftmals Unkenntnis dahinter. Laut der genannten Studie von Xerox und McAfee kennen 21 Prozent der Mitarbeiter die IT-Richtlinien gar nicht.

Wie bekannt die Richtlinien tatsächlich sind, lässt sich mit einer Suite wie der NETconsent Compliance Suite (Modul Examiner) oder der Symantec Control Compliance Suite 11 (Modul Symantec Control Compliance Suite Assessment Manager) überprüfen.

Zusätzlich kann z.B. über die NETconsent Compliance Suite auch sichergestellt werden, dass die Mitarbeiter Kenntnis von den Policies genommen haben, bevor bestimmte Zugänge ermöglicht werden. Mit der PEP-Technik (Policy Enforcement Point) kann die Zustimmung zu einer Policy zum Beispiel vor der Netzwerkanmeldung (LANconsent), vor der Internetnutzung (WEBconsent), vor der E-Mail-Verwendung (MAILconsent) oder vor einem SSL-verschlüsselten Fernzugriff (SSLconsent) eingeholt und protokolliert werden.

(ID:33904500)