Mehr Durchblick bei IT-Richtlinien

Werkzeuge zur Prüfung der IT-Compliance

Seite: 3/4

4. Kann die IT-Infrastruktur noch die Vorgaben erfüllen?

Mehr als 70 Prozent der europäischen Finanz- und Versicherungsdienstleister bezweifeln die Compliance ihrer IT-Infrastrukturen, so eine Studie des Analystenhauses JWG. Auch in anderen Branchen stellt sich die Frage, ob die IT-Infrastruktur den hohen Sicherheitsanforderungen noch gerecht wird. Compliance-Suites wie die von Symantec oder Qualys erlauben einen Abgleich zwischen den vorhandenen IT-Systemen und den Compliance-Vorgaben.

Die QualysGuard-Suite z.B. enthält ein Modul zur Schwachstellenanalyse, zeigt Abweichungen vom jeweils geforderten Sicherheitsstatus und sucht nach Schadprogrammen und Sicherheitslücken bei Webanwendungen. Der Symantec Control Compliance Suite Risk Manager ermöglicht die Verknüpfung von IT-Assets, möglichen Risiken und erforderlichen Kontrollen, um die Compliance-Prüfung ganz gezielt durchführen zu können.

Bildergalerie
Bildergalerie mit 6 Bildern

5. Welche Priorität haben bestimmte Risiken?

Die Vielzahl an Compliance-Vorgaben erschwert die Priorisierung von Kontrollen und erforderlichen Schwachstellenbehebungen. Dies gilt insbesondere für Unternehmen, die die vorhandenen Risiken ohne weitergehende Unterstützung bewerten. So nutzen laut der PwC-Studie „Risk-Management-Benchmarking 2011/2012“ mehr als die Hälfte der befragten Unternehmen eine einfache Tabellenkalkulation wie Excel für ihre Risikobewertung.

Eine umfangreiche Unterstützung bei der Bewertung von Risiken liefert dagegen z.B. die Symantec Control Compliance Suite 11. Dabei werden die möglichen Auswirkungen der Risiken auf die Geschäftsentwicklung betrachtet.

Nicht die technische Sicht auf die IT-Risiken entscheidet dann über die Priorität bei Kontrolle und erforderlicher Schwachstellenbehebung, sondern die mögliche Bedeutung für das Business, zum Beispiel die Geschäftsrisiken für den Online-Shop des Unternehmens durch bestimmte Sicherheitslücken.

(ID:33904500)