Compliance / Audit

Sie müs­sen es nach­wei­sen können!

 

Die IT eines Unter­neh­mens muss einer Viel­zahl an natio­na­len und inter­na­tio­na­len Auf­la­gen gerecht wer­den. So ist die sichere Ver­wen­dung von Daten­zu­grif­fen, Berech­ti­gun­gen, NDA / Geheim­hal­tungs­er­klä­run­gen nicht nur anzu­wen­den, son­dern auch nachzuweisen.

Über­geht ein Unter­neh­men sol­che Vor­ga­ben fol­gen Kon­se­quen­zen: Wer seine Daten­si­cher­heit nicht lücken­los nach­wei­sen kann schnei­det beim Ran­king schlecht ab, mit allen dar­aus resul­tie­ren­den Folgen…

Im Falle von Daten­miss­brauch ist das Unter­neh­men bis zum Beweis sei­ner Unschuld regress­pflich­tig. So könnte Kunde A, der einen gro­ßen Ent­wick­lungs­auf­trag ver­ge­ben hat, ent­de­cken, dass Kunde B ele­men­tare Ent­wick­lungs­er­geb­nisse von ihm besitzt. Da beide den glei­chen Ent­wick­ler beauf­tragt haben, muss die­ser nach­wei­sen, dass die Ent­wick­lungs­da­ten und Zugriffs­rechte für Kunde A und Kunde B strickt getrennt und sau­ber admi­nis­triert wur­den. Sollte der Nach­weis nicht lücken­los sein, wer­den emp­find­li­che Ver­trags­stra­fen für die Ver­let­zung der Daten­schutz­ge­heim­nisse fällig.

His­to­ri­en­füh­rung und Audit­werk­zeuge lie­fern zu jeder Zeit Ant­wort auf die Frage „Wer hatte wann auf was Zugriff und wer hat das geneh­migt.“ Durch einen auto­ma­ti­sier­ten SOLL-IST-Abgleich erken­nen sie zeit­nah beste­hende Pro­bleme und kön­nen deren Behe­bung ein­lei­ten. Sicher­heits­lü­cken wer­den sofort geschlos­sen. Ihre Daten­si­cher­heit ist nachweisbar.

Der Nut­zen von Auditfunktionen

  • Sie kön­nen Ihre Daten­si­cher­heit vor Part­nern, Kun­den, Ban­ken, Prü­fern,… beweisen.
  • Sicher­heits­lü­cken wer­den ange­zeigt und kön­nen sofort beho­ben werden.
  • Revi­si­ons­si­cher­heit, Anfoderungen der internen und externen Revision / Wirtschaftsprüfer werden erfüllt.
  • Durch die His­to­ri­en­füh­rung von Iden­ti­tä­ten und Entitlements können Sie auch für Berechtigungsvergaben und Ereignisse, die in der Vergangenheit liegen, nachweisen, wer der Verursacher war und haften muss.

Stolpersteine beim Thema Compliance

  • Nicht alle Pro­dukte unter­stüt­zen alle Sys­tem­platt­for­men. Wer für alle Sys­teme die Analyse- und Reporting-Funktionen nut­zen will, muss in der Pra­xis oft Ein­bu­ßen in der Funk­tio­na­li­tät des Audit-Tools in Kauf nehmen.
  • Sel­ten herrscht Sicher­heit dar­über, wel­che recht­li­chen Anfor­de­run­gen (Datenschutzgesetze, Basel II, HIPAA oder SOX) das Unter­neh­men über­haupt betreffen.
  • Bei der Ana­lyse von Benut­zer­ver­wal­tun­gen und Zugriffs­be­rech­ti­gun­gen tau­chen eigent­lich immer Regelverstöße auf. Leider sind diejenigen, welche die Ursache dafür kennen, oft nicht ins Projekt eingebunden. Einfach nur Löschen ist nicht sinnvoll. Keiner weiß was zu tun ist.