Select the search type
  • Site
  • Web
Search

Durchblick im Paragraphen- und Vorschriftendschungel

Der Bereich der IT-Compliance & Security erscheint manchmal genauso undurchdringlich und undurchschaubar zu sein wie die Massen an Schlagwörtern mit denen man förmlich eingedeckt wird. Compliance ist dabei ganz wichtig, genauso wie Governance oder das Risikomanagement. Für alles gibt es Normen und Gesetze. Ansätze zu ITIL und CobiT werden auf einmal vermischt mit den ISO 2700x Normen und den BSI Grundschutzkatalogen – von SOX, Euro-SOX und dem BDSG ganz zu schweigen. Dazu kommt eine gewisse Mystifizierung der ganzen Materie, als wäre sie neu und nur von Spezialisten zu durch­schauen. Wir möchten Sie durch diesen Paragraphen- und Vorschriftendschungel führen.

Unser Bestreben ...

... innerhalb der Zusammenarbeit ist es, mit unseren Kunden einen methodischen Ansatz zum schrittweisen Aufbau geeigneter Maßnahmen zu entwickeln, bei wachsenden Compliance-Anforderungen schnell und mit vertretbarem Aufwand nachzukommen ist. Bereits mit geringem Aufwand lässt sich eine Quick-win-Situation unter Risiko-Aspekten schaffen.

 

Allein schon Antworten parat zu haben auf so heikle Fragen, wie "Wer alles hat Berechtigungen auf eine bestimmte Dateiablage?" oder "Welche Berechtigungen auf Dateiablagen haben sich bei einem Mitarbeiter über die Jahre angesammelt?", bringt IT-Abteilungen ein erhebliches Stück aus der Schusslinie. Am Ende des Prozesses soll ein hochautomatisiertes System stehen, das die Basis aller regulatorischen Konformitätsmaßnahmen auf dem Gebiet behördenweiter Zugriffsrechte bildet.

Einordnung in das Informationsschutz-Management

Das Informationsschutz-Management beinhaltet auf oberster Ebene die drei Grundpfeiler Governance, Risikomanagement und Compliance. Unter Governance versteht man dabei die Steuerung der IT unter dem Gesichtspunkt des Schutzes von Daten. Das Risikomanagement bearbeitet die Frage, welche Werte mit welcher Priorität zu schützen sind, welche Schwachstellen es gibt und letztendlich welche Maßnahmen ausgewählt und umgesetzt werden sollen, um diese Schwachstellen zu vermindern oder ganz zu beseitigen. Die Compliance letztendlich kümmert sich darum, dass bei allen Prozessen, oder allgemein im Umgang mit Daten gesetzliche und interne Vorgaben eingehalten werden.

 

Ein funktionierender Informationsschutz baut auf Basisrichtlinien (auch „Policies“ genannt) auf, die den sicheren Betrieb und den sicheren Umgang mit Daten beschreiben. Der tägliche Betrieb wird dabei genauso durch solche Richtlinien geregelt, wie auch der Umgang mit Projekten. Der dabei grundlegende Gedanke ist immer der der kontinuierlichen Verbesserung. Formal wird dies durch den Regelkreislauf des Plan-Check-Do-Act sichergestellt.

Was ist unsere präferierte Vorgehensweise?

Zunächst einmal ist es wichtig, sich über die eigenen Ziele klar zu werden. Soll lediglich ein technisches Basisniveau erreicht werden? Oder soll ein Prozess etabliert werden, der dafür sorgt, dass das Niveau weitgehend automatisiert mit der Zeit immer weiter ansteigt? Sollen Richtlinien erstellt werden, um die IT daran zu messen?

 

Diese Fragen müssen in jedem Fall zuerst geklärt werden, bevor darüber diskutiert wird, welche Werkzeuge dafür eingesetzt werden soll. In jedem Fall sollte das Hauptziel sein, Transparenz zu schaffen. Zu erkennen, wie sich die IT darstellt, welche Lücken es gibt und was zu tun wäre, um diese adäquat zu stopfen. Sehr häufig finden sich bei dieser Aufarbeitung genügend Anhaltspunkte für eine Verbesserung des allgemeinen Betriebs und damit die Möglichkeit Kosten zu sparen. Denn eine geregelte und praxisnahe Herangehensweise an einen IT Security Workshop beinhaltet immer eine offene Diskussion über die bestehende Landschaft, oftmals eingefahrene Prozesse und den Gedankenaustausch was denn zu verbessern wäre.

 

Vorgehensmodell:

  • Ist-Analyse im Gespräch und mit Toolunterstützung
  • Herausarbeiten eventueller Defizite und Dokumentation
  • Abstimmung von Prioritäten
  • Klären der weiteren Vorgehensweise

Download Flyer

Loading...

    IT-Compliance Workshop

    In dem von unserem Managing Partner moderierten Initialworkshop erarbeiten wir auf Basis einer kurzen IST-Analyse in den Bereichen ADS, Server, Benutzerzugriffe und Clients einen Ansatz für greifbare und messbare Lösungsschritte.

     

    IT-Compliance Workshop

    Webinare

    Über uns

    Die Dr. MORAWIETZ GmbH ist eines der führenden Beratungs- & Implementierungsunternehmen in den Bereichen Microsoft E-Mail-Systeme (Exchange) sowie IT-Sicherheit und Microsoft-basierter IT-Infrastruktur (ADS) sowie Client-Life-Cycle Management. Von der Planung bis zur schlüsselfertigen Installation begleiten wir die Einführung oder Migration von Active Directory-Umgebungen, Microsoft Exchange, Microsoft Teams und weiteren Microsoft-Lösungen (On-Premises, Cloud & Hybrid). Als Microsoft InnerCircle Partner für Unified Communication und Security zählen wir zu den Top-30-Partnern von Microsoft im Bereich Consulting-Services. Darüber hinaus sind wir auf das Lösungsportfolio von Quest Software spezialisiert.

    Werkstudent:in

    Werkstudent:in gesucht