Sie sind auf Seite 1von 9
TAKE CONTROL. Die Gemeinsamkeit: Wo sich Compliance und Datenschutz Uberschneiden Management Summary Urspriinglich war die Aufgabe eines C1SO, die Tr-Infrastruktur zu schiitzen. In letzter Zeit hat sich das Aufgabengebiet erweitert. Inzwischen ist der CISO zunehmend fiir die Einhaltung einer Vielzahl an Normen und Vorschriften verantwortlich. Deshalb werden sich CISOs auf der ganzen Welt diese Fragen stellen: ‘+ Wie kann ich bei diesen herausfordernden Aufgaben meine Sicherheitsziele erreichen? “+ In welchem Umfang iiberschneiden sich die Compliance- Initiativen wie PCI mit den Datenschute-Richtlinien? ‘+ Wenn ich compliant bin, bin ich auch sicher? '* Welche Technologien kénnen sowohl die Anforderungen der Compliance als auch die des Datenschutzes erfullen? In diesem White Paper soll zunichst das Aufgabengebiet der CIS0s beschrieben werden - die neuen Regularien und Standards, mit denen sie konfrontiert werden, zunehmende Hackerangriffe und eine komplexere IT-Umgebung, welche cine virtualisierte IT-Infrastruktur und Outsourcing mit cinschliekt. Aber dieses herausfordernde, komplexe Aufgabengebiet bietet auch Chancen. Da Unternehmen mehr Gelder fiir Compliance-Initiativen bereitstellen, profitieren auch, (ISOs von diesem Fokus auf die Compliance. Datenschutz und Compliance ~ zwei scheinbar unterschiedliche Ziele ~ konnen so viel gemeinsam haben, dass die Investitionen in das eine auch maigeblich das andere beeinflussen. Ebenso ‘iberschneiden sich eine Vielzahl von Compliance-Initiativen wie PCI-DSS und die Datenschutz-Vorschiiften in anderen Lander. Tatséchlich gibt es so viele Gemeinsamkeiten innerhalb dieser Compliance-Initiativen, dass die Erlangung der Compliance filr einen dieser Standards Hand in Hand mit dem Schutz sensibler Daten und den Anforderungen anderer Initiativen geht. Dieses White Paper zeigt die Méglichkeiten auf, die sich aus der ,Gemeinsamkeit” von Compliance, Datenschutz und einer Vielzahl von Compliance-Vorgaben ergeben. Des Weiteren wird exklart, welche Notwendigkeit innezhalb dieser Schnittmenge besteht, die Anderungen und Vorkommaisse innezhalb der gesamten IT-Infrastruktur transparenter zu gestalten, Sie erhalten Antworten, wie Aktivititen erkannt werden, die eine Bedrohung darstellen, und wie arbeitsintensive und fehleranfallige Aufgaben automatisch reduziert werden Diese Anforderungen missen erfllt werden, wenn ein CISO sensible Daten schiitzen sol. Das Aufgabengebiet eines CISO (180s sind fir den Schutz der Unternehmensdaten verantwortlich. Sie azbeiten nicht nur in einem herausfordernden Umfeld, sondern sind auch einem grofen Druck ausgesetzt. (150s miissen Systeme, Anwendungen, Daten und Gerite in einem Umfeld schitzen, das einer Vielzahl von Risiken ausgesetzt ist, wie zum Beispiel: * Expansivere und dynamischere IT-Infrastrukturen; + Immer hartnéckigere und raffiniertere Sicherheitsbedrohungen und * Compliance-Anforderungen mit vielen Normen und Vorschriften: KOMPLEXERES IT-UMFELD UND ERWEITERTE ANGRIFFSFLACHEN Die heutige IT-Infrastruktur ist hochkomplex. Die Anzahl dor TT-Assets in der Infrastruktur, die ein Unternehmen verwalten muss, kann iberwaltigend sein ~ unterschiedliche Plattiormen, Gerite, Server, Anwendungsdatenbanken und noch vieles mehr, Allein das Aktivitatsvolumen innerhalb dieser Infrastruktur ist unvorstellbar gro8. Viele Unternehmen haben ihre Technologiesysteme an verschiedenen Orten weltweit. Im Einzelhandel und Gastgewerbe beispielsweise betreiben diese Unternehmen Datenzentren und tausende von Ladenkassen sowie Point-of Sale-Gersten in Geschaften und Hotels, die ein potenzielles Risiko mit sich bringen. Des Weiteren sind Unternehmen aus Griinden der Kostenersparnis 2u kosteneffizienteren Technologien wie der Virtualisierung dbergegangen. Doch diese Aktivitaten bringen neue Komplikationen mit sich. Die Virtualisierung sag 2war kosteneffizient sein, doch die Verwaltung dieser dynamischen virtuellen Maschinen birgt Risiken und bendtigt eine genauere Uberwachung der Systemaktivitaten. Viele Unternehmen haben einen GroBtell ihrer Technolagie- Infrastruktur und Dienstleistungen an Dritte ausgelagert. Outsourcing macht die Sache nochmal kemplizierter, weil das Unternehmen immer noch verantwortlich fir die Daten ist, aber den Schutz dieser Daten einem dritten Unternehmen Uberlassen muss. Bei einer Sicherheitslcke entsteht ein Imageschaden, egal wer beim Schutz der Daten versagt hat. Brian Honan, Sichetheitsexperte und bekannter Blogger liber Datenschutz: ,Unternehmen sollten bei der Auswahl eines Third Party Providers auerst sorgfaltig sein, um eine Gefahrdung der Complinace auszuschlieken.” HAUFIGE UND KOSTSPIELIGE ANGRIFFE Datenschutzverletzungen sind auf dem Vormarsch Laut dem 2009 Verizon Business Data Breach Investigations Report wurden 2008 285 Millionen Datensatze kompromittiert. Dies ist ein deutlicher Anstieg gegeniber den insgesamt 230 Millionen der letzten vier Jahze. Eine Untersuchung es Identity Theft Resource Centres er 234 Millionen Datensatze in Gegeniiber den 35 Millionen des Anstieg von 85 Prozent. Unerall auf der Welt miissen sich Unternehmen der weitreichenden Folgen von Sicherheitsverletzungen bei Karteninhaberdaten bewusst sein, Im Mirz 2010 wurde ein einzelner Hacker verurteilt, weil er geschatzte 130 Millionen Kredit- und Debitkartennummern im Zeitraum von Ende 2006 bis Anfang 2008 unter anderem von Heartland Payment Systems, 7-Fleven, JC Penny und Hannaford Brothers gestohlen hatte. Obwohl diese Sicherheitsverietaung meist Unternehmen der Vereinigten Staaten betraf, sind Hacker selbstverstandlich weltweit aktiv und stellen fir jedes Unternehmen ein potenzielles Risiko dar. Viele Gro8konzeme sind multi-national Unternehmen, deren TT-Infrastruktur sich tber die ganze Welt verteilt. Die Folgen einer Sicherheitslicke kénnen an einem vallig anderen Ort widerhallen. Beispielsweise wurden die US-amerikanischen Wyndham Hotels und Resorts e:st Kiiralich Opfer eines Verstofes. Von einigen Hotels in den USA wurden Kundendaten gestohlen, doch der Hacker hatte es auerdem geschafft, in das Rechenzentrum des Unternehmens einzudringen, das mit Wyndham Hotels weltweit verbunden war. Es ist offensichtlich, dass die weltweite Vernetzung das Risiko solcher Verletzungen erhoht und die potenzielle Reichweite eines Schadens ausdehiat, AuBerdem sind die Kosten, die ein Verstof gegen den Datenschutz verursacht, enorm. Dem Ponemton Institute, einem unabhtingigen Forschungsinstitut, zufolge, betsugen die durchschnittlichen Kosten pro verletztem Datensatz im Jahr 2009 64,- GBP in GroBbritannien, 144,- EUR in Deutschland, 95,- EUR in Frankreich und im weltweiten Durchschnitt 113,- EUR, Werden die Kosten fir Zeitaufwand und Unterbrechungen hinzugerechnet, sind die finanziellen Folgen eines Versto8es enorm. Zu den Gesamtkosten kommen noch die regulatorischen, Kosten hinzu. Datenschutzgesetze und branchenspezifische Vorschriften wie das PCI-DSS schreiben hohe Geldstrafen vor. Das Information Commissioners Office (ICO), die Datenschutzbehérde in UX, kann im Falle von schwerwiegenden VerstéRen gemé8 dem Data Protection ‘Act (DPA) Geldstrafen von bis 2u 500.000,- GBP verhangen. Doch drohen den Unternehmen auch Zivilklagen. Der gréBte Kostenfaktor fir ein Unternehmen diifte allerdings die Rufschidigung sein. Kein Unternehmen kann sich negative Schlagzeilen iiber Sicherheitslicken erlauben. ERKENNUNG EINER SICHERHEITSLUCKE DAUERT ZU LANGE Sowohl Ursache als auch Quelle einer Sicherheitslicke sind nur schwer festzustellen. Eines der gréf8ten Probleme der Untemehmen hierbei ist die Dauer, bis eine Sicherheitstickt entdeckt wird - also die Zeitspanne awischen Sicherheits- lWcke und deren Erkennung. Oftmals stellen Kunden die Verletzung erst fest, wenn sie ungewohnliche Vorginge auf ihren Kreditkartenabrechnungen entdecken. Je grifer ie Zeitspanne awischen Sicherheitslicke und Erkennung ist, desto mehr Zeit bleibt den Hackern, um Daten zu stehlen, und desto haher sind die Folgekosten einer solchen Sicherheitslicke, Viele, scheinbar harmlose Vorginge kénnen mangelhafte Sicherheit zur Folge haben und dazu fahzen, dass sensible Daten verloren gehen. Oftmals ist es nicht ein groBer Vorfal, sondern vielmehr eine Serie kleiner Ereignisse, deren Kombination versehentlich zu einer Sicherheitslicke fren kann. Solch eine Serie kleinerer Ereignisse zu erkennen und ein Ristko daraus abzuleiten, ist zugegebenermatten nicht leicht; die meisten Untemehmen haben keine ganzheitliche Sicht in ihre IT-Infrastruktur und verwenden keine Lésungen, um diese Vorflle mit einer Sicherheitslicke in Verbindung setzen und ezkennen zu kinnen. ‘Um Vorfalle zu erkennen, die eine Sicherheitslicke zur Folge haben, und den Schaden méglichst gering zu halten, wenn eine Verletzung eingetreten ist, miissen Unternehmen in der Lage sein, diese sofort zu erkennen, Voraussetzung hierfir ist eine Ubersicht aller gespeicherten Daten, die Méglichkeit, die millionenfachen Verinderungen und Ereignisse innerhalb der gesa automatisch zu analysieren und eine sofortige Warnung bei solchen 2u erhalten, die ein potenzielles Risiko darstellen. en Th-Infrastruktur STETIG WACHSENDE ANFORDERUNGEN AN DIE ‘COMPLIANCE. Als Reaktion auf Sicherheitslicken und Datendiebstaht haben die EU-Mitoliedsstaaten gema& der EU-Richtlinie zum Datenschutz Gesetze verabschiedet, um personenbezogene Daten besser zu schiitzen, wie zum Beispiel der Data Protection Act (DPA) in GroBbritannien, Jedes Unternehmen, das personenbezogene Daten gespeichert hat, einschlieSlich der von Mitarbeitern und Kunden, uunterliegt dem Datenschutzgesetz des jeweiligen Landes. Des Weitezen existieren branchenspezifische Vorschriften zum Schutz spezifischer Daten. So schreiben beispielsweise die grofen Kreditkartenunternehmen Unternehmen, die Karteninhaberdaten verasbeiten, speichern oder Ubermitteln, ie Einhaltung des PCI DSS vor, um diese Daten zu schiitzen. DIE ZEITSPANNE ZWISCHEN SICHERHEITSLUCKE UND DEREN ERKENNUNG IST 2U GROSS alm Durchschnitt bleibt eine Sicherheitslicke fint ‘Monate lang unentdeckt.” ~HelpNet Security, Februar 2010 In 68 Prozent der Falle bleibt eine Sicherheitslcke flr Wochen oder Monate unentdackt. 2010 Verizon Business Data Breach Investigations Report Allerdings wird Datenschutz auf der ganzen Welt unterschiedlich ausgelegt. Einige Lander wie zum Beispiel Deutschland haben sehr strenge datenschutzrechtliche Bestimmungen, wihrend andere das Thema sehr lax behandela, Die Vorsehviften im jeweiligen Land zeigen diese Unterschiede auf. Doch auch die EU-Linder legen dle EU-Richtlinie cum Datenschutz hichst unterschiedlich aus, was die Compliance multi-nationaler Unternehmen noch omplizierter werden lasst. Heutzutage kénnen Unternehmen einer Vielzahl von Compliance-Vorgaben unterliegen, wie zum Beispiel PCI DSS, SAS70, 1S0 27001, Sarbanes-Oxley, interne Prifungen, nationale Datenschutagesetze und viele mehr. Compliance ist keine einmalige Sache, sondern eine kontinuierliche und fortlaufende Anforderung, Mit immer mehr Compliance-Vorgaben, sich éndemden Vorschriften, strengeren Audits, Geldstrafen fur Non Compliance und der Verwisrung iiber unterschiedliche ‘Anforderungen sind die Kosten fir Sicherheit und Compliance fir die meisten Unternehmen zu hoch und arbeitsintensiv geworden, Firmen miissen einen Weg finden, dass der Aufwand fir Compliance und die Einhaltung von Vorschriften auch 2um Schutz der sensiblen Daten beitragen. Gemeinsamkeiten von Compliance und Datenschutz ‘An diesem Punkt scheint die Aussage, dass die Aufgabe eines CISO herausfordernd sei, maflos untertrieben. Doch ie einzelnen Faktoren, die die Herausforderung ausmachen, bieten 2usammengefasst die Chance, sowohl die Sicherheit als auch den Datenschutz kosteneffizient 2u gestalten. Imageschaden, Zivilklagen, Geldstrafen und Audit Ergebnisse haben Themen wie Datenschutz und PCI-Compliance inzwischen zu Tagesordnungspunkten auf der Agenda der Vorstandsebene werden lassen. Angesichts er Tatsache, dass nur jene Initiativen erfolgreich sind, die durch die oberste Fihrungsetage abgesegnet werden, ein entscheidender Schritt. Obwohl das Budget fiir die IT gekiirat wurde, nimmt das Budget fiir Compliance-Projekte weiter zu, Und auch wenn ein GroBteil dieses Budgets fir bestimmte Compliance-Projekte bereitgestellt wird; wenn ie Durchfihrung eines Compliance-Projektes zur Sicherheit, er Daten beitrigt und die Einhaltung einer Vorschrift dazu fihrt, dass auch die anderen eingehalten werden, dann kann ein einzelnes Compliance-,Projekt” schlussendlich mehrere Sicherheits- und Compliance-iele erfillen. ‘Um herauszufinden, wo die Gemeinsamkeiten liegen, miissen zundchst die Prinzipien der unterschiedlichen, Vorschriften und Standards exértert werden. Viele der bereits existierenden Standards und Vorschriften setzen die gleichen Themen voraus, wie 2um Beispiel + Schutz sensibler Daten '* Vertrauen der Stakeholder ++ Permanente Uberwachung ‘+ Einfilhrang von Security Best Practices + Die Notwendigkeit von Transparenz, Intelligenz und ‘Automatisierung ‘SCHUTZ SENSIBLER DATEN Das ibergeordnete Ziel der Compliance-Vorgaben und der Informationssicherheit ist der Schutz wichtiger Systeme, die bestimmte Anwendungsdaten wie etwa Karteninhaberdaten oder personenbezogene Informationen zusammentassen. Obwohl die Art der Daten, die geschiitat werden miissen, uunterschiedlich ist ~ zum Beispiel Karteninkaberdaten fiir PCI und personenbezogene Daten flr Datenschutagesetze ~ ist der Schutz des Systems, das sensible Daten erfasst oder verarbeitet, von gréfter Wichtigkeit. Der Schutz dieser Systeme setat den Schutz wichtiger IT-Xonfigurationen voraus, indem sie mit Best Practices und Policies abgestinmt werden, Ungli Moglichkeit auer Acht, eine breiter angelegte, allumfassende Datenschutz-Strategie 2u entwickeln, Statt dessen konzentrieren sich viele auf eine einzige Compliance-Anforderung und deren bevorstehende Deadline. Sie verwenden eingeschrinkte Projektansitze, die die Implementierang ungleicher Technologie-Tools lund deren unzureichenden Integritat zur Folge haben, Nach Beendigung einiger Compliance-,Projekte" wird das Unternehmen kaum oder nicht mehr in der Lage sein, die von unterschiedlichen Tools erfassten Daten einauordnen, weise lassen viele Unternehmen die Ein Beispiel: Ein File Integrity Monitoring-Tool erfasst bestimmte Daten iiber Anderungen der Konfigurationen, Dateien und Dateiattribute, Fin anderes Tool erfasst Log Dateien fir eine Log Daten-Sammlung und zur Einhaltung der Vorschriften. Die von den Tools erfassten Daten werden ‘Ublicherweise an verschiedenen Orten gospeichert. Es gibt, keine automatisierte Vorgehensweise zur Bestimmung, ob erkannte Anderungen einer Serie von Ereignissen, die durch cin Log Tool erfasst werden, angehéren. Und nicht nur das; in vielen Fallen werden Protokolldaten zwar erfasst, doch aufgrund der hohen Anzahl an erfassten Daten ist es Sicherheitsexperten nicht méglich, die Daten in Echtzeit zu analysieren. Unternehmen bendtigen eine Méglichkeit, die von unterschiedlichen Sicherheits-Tools erfassten Daten zusammenzufiihren, um sowohl Sicherheit und Compliance gewaheleisten 2u kénnen als auch Kosten zu sparen und den ROI 2u maximiezen, SICHERHEIT FUR STAKEHOLDER Das zmeite, nicht weniger wichtige Ziel von Sicherhelts- Komponenten, Vorschrften und branchenspezifischen Standards ist es, den Anteilseigner diesen Datenschutz zu vetsichern. Ein Beispil: ++ Verbraucher miissen darauf vertrauen kénnen, dass thre personlichen Daten durch korrekte Exfassung und sichere Speicherung geschitzt sind; + Sowohl Kunden als auch Geschafispartner miissen darauf vertrauen, dass das Untemehmen iiber eine entsprechende und effektive IT-Sicherheit verfigt: ‘+ Aufsichtsbehdrden muss versichert werden, dass strenge SicherheitsmaBnahmen implementiert sind, von PCI DSS, um Karteninhaberdaten zu schitzen, bis hin 2u Datenschutzgesetzen fir personenbezogene Daten; und + Fuhrungskrafte missen sich darauf verlassen kénnen, dass Unternehmensdaten ~ der wichtigste Vermagenswert eines Untemehmens ~ nicht wegen schlechter oder nicht entsprechender Sicherheitsstrategien verloren gehen, dass Sicherheitsticken schnell erkannt und die Kosten niedrig gehalten werden, Sie missen darauf vertrauen kénnen, ass der Ruf des Unternehmens nicht gefahrdet wird DIE NOTWENDIGKEIT DER PERMANENTEN UBERWACHUNS: Nun sind einige Faktoren zusammengekommen, die die Haltung der Unternehmen gegeniber dem Schutz wichtiger Daten grundlegend andern sollte. Von den sicherheitsspezifischen Herausforderungen, die sowohl von einer zunehmenden Anzahl von Sicherheitsvorfallen als auch von der Ausgekligeltheit dieser Bedrohungen ausgeht, bis hin zu héheren Strafen im Zusammenhang mit Sicherheitslicken und explodierenden Kosten, erkennen, Untermehmen, dass sensible Daten konstant geschiltzt und liberwacht werden miissen. Honan, Security-Experte und bekannter Blogger zum ‘Thema Datenschutz: ,In den kommenden Jahren werden die Unternehmen zunehmend feststellen, dass eine gute TT-Sicherheit von gro8em Wert und im Wettbewerb mit anderen von entscheidendem Vorteil ist.” Die meisten Unternehmen sehen Compliance jedoch als Jahresprojekt, tum wenigstens die Mindestanforderungen der Auéits zu erfillen. Ziel eines jeden Projektes ist es dann, ein Hikchen hhinter ,Compliance” zu setzen, anstatt die Sicherheit zu verbessern und wertvolle Unternehmensdaten zu schiitzen — einschlieftich des guten Rufes, Doch immerhin haben einige die Notwendigkeit von Kontinuierlicher Sicherheit und Compliance bereits erkannt. Zam Beispiel gehen viele davon aus, dass die Internationale Owanisation fir Standardisierung (verantwortlich fir 1S0 27001) den Rahmen fix andere Gesetzesanforderungen oder Regularien bildet ~ zum Beispiel fir JSOX, SOX und die Datenschutarichtlinien sowie vertraglichen Normen wie PCL DSS, weil Unternehmen dazu verpflichtet werden, den hohen Anspriichen der Informationssicherheit 2u geniigen. Bob Russo, Generaldirektor des PCI Security Standards Councils erklarte vor dem House Subcommittee on Emerging Threats, Cybersecurity and Science and Technology: ,Die nachihaltige Compliance mit PCI DSS und kontinuiertiche Uberwachung im Bezug auf andere Sicherheitsverfahren sind fortlaufende Prozesse, die systematisch in die Entwicklung, Geschaftsabldufe und Policies jedes Unternehmens eingebunden werden missen, um den bestméglichen Schutz, vor Datenschutzverletzungen 2u gewahrleisten.” Er betonte, dass Unternehmen nicht bloB eine Sicherheitscheckliste abhaken oder sich auf regelmaSige SicherheitsUberpriifungen verlassen sollten, sondern eine kontinuierliche Uberwachung und die Einhaltung eines strengen Sicherheitsprogrammes verfolgen miissen, um eine konstante und fortlaufende PCE DSS-Compliance zu gewahrleisten. PCI ALS BASIS FUR SECURITY BEST PRACTICES David Whitelegg, ein Experte fir Kreditkartenbetrug lund PCI DSS-Themen und seit 15 Jahren im Bereich der TP-Sicherheit tétig, meint: ,Ein zentraler PCI-Ansatz ist fir das gesamte Unternehmen von Vorteil.” PCI DSS als Basis fr Security Best Practices kann von enormem Vortell fir die Der PCI Compliance-Prozess ist sowohl Ressourcen- intensiv als auch teuer. Es ist nicht leicht, Compliance dauerhaft zu gewahrieisten ~ es ist ein fortlautender Prozess.” David Whitelegg, Experte fur Kreditkartenbetrug und PCI OSS Implementierung einer einwandfreien Sicherheitsstrategie sein. Dieser umfassende Standard ist weitaus bindender, detaillierter und bietet weniger Raum fiir Interpretationen als es zum Beispiel die 1S0 27000er Serie tut. ,PCI ist ein sehr guter Sicherheitsstandand; er entwirft detallierte Best Practices” so Whitelegg. ,Darilber hinaus ist PCT ein weltweit geltender Standard, der es Unternehmen erméglicht, den Anteilseignern auf der ganzen Welt die Qualitat der Sicherheit au demonstrieren.” Und obwohl PCI ein hervorragender und gut abgestimmter Standard sowie ein guter Einstieg flr jede Compliance- Initiative ist, so ist es doch nur ein Baustein der Sicherheit, Whiteleag weiter: ,PCI DSS ist kein Ersatz fir die gesamte IT-Sicherheit, es sollte sie aber erganzen; die PCI DSS-Anforderungen sind nur ein Baustein der SicherheitsmaRinahmen, die ergriffen werden missen.” Whitelegg rdumt ein, dass die wachsende Anzahl der Bedrohungen, die immer ausgekliigelter und raffinierter werden, den Compliance-Prozess erschwert haben. Der Experte geht jedoch davon aus, dass die Vorschriften insgesamt strenger geworden sind und den Unternehmen damit eine bessere Anleitung cur Durchfiihrung von Sicherheitskontrollen geboten wird. VORTEILE DER UBERSCHNEIDUNG Die entscheidende Frage ist, ob es eine Uberschneidung von PCI DSS und anderen bewahrten Sicherheitsstandards gibt, die den Untemehmen Rationalisierungsvorteile verschatft und dazu beitragt, Kosten zu senken. Laut Whitelegg kkinnen die Konzepte des PCI sowohl auf den Datenschutz als auch auf 150 27001 angewendet werden. Anforderungen wie Patch-Management, Anti-Virus, Schwachstellen-Scans, Monitoring und Alarme sowie Sicherheitsrichtlinien sind allen Standards gemein Daritber hinaus kann der PCI-Ansatz fir Karteninhaberdaten auch fir andere sensible Daten innerhalb des Untemehmens verwendet werden. Wenn zum Beispiel das Fie Integrity Monitoring fir PC implementiert wurde, kann die IT damit auch den Schutz anderer sensibler Daten, nicht nur Karteninhaberdaten, verbessem. ‘Am Beispiel der Verschlisselung sensibler Daten, wie es viele Compliance-Standards und Datenschutzgesetze vorschreiben, lasst sich PCI DSS néher beschreiben. PCI schreibt eine Verschilisselung der Karteninhaberdaten vor. Die Verschlisselungsmethode des PCI-Standards kann auch auf andere sensible Daten angewendet werden, wie ‘zum Beispiel personenbezogene Daten, die durch die EU-Richtlinie fir Datenschute definiert werden. Diese Richtlinie schreibt 2war die Verschliisselung vor, bietet jedoch keine Anleitung hierfi. Unternehmen bendtigen eine einfache, automatisierte Moglichkeit, ihce Compliance anhand einer Vielzahl von. Vorgaben und Datenschutzrichtlinien zu iberprifen. Lésungen, die die IT-Kontigurationen Kontinuierlich mit diesen vielen Vorschriften abgleichen ~ 2um Beispiel PCT fir Hiindler, SOX fr Bilanaierungsmethoden und 180 27001 als Sichetheitsrahmen - und mit vielen anderen Plattiormen, Hardwaretypen und Geriten, verhelfen Unternehmen zu einer starkeren Compliance und einem besseren Security-Umfeld. VERBESSERTE TRANSPARENZ, INTELLIGENZ UND. AUTOMATISIERUNG SIND ENTSCHEIDEND b fiir ein Compliance-Projekt oder fir die IT-Sicherheit, die IT muss verdichtige Sicherheitsereignisse und Anderungen identifizieren, die ein Risiko darstellen, um sensible Daten zu schiitzen, Voraussetzung hierfir ist eine transparente Tr-Infrastruktur, sowohl virtuell als auch physisch. Eine weitere Voraussetzung ist die Méalichkeit, Ereignisse automatisch zu analysieren, um bestimmen zu kénnen, welche Ereignisse ein Risiko aur Folge haben kénaten. Diese Ereignisse miissen mit einer hdheren Prioritat behandelt werden. Des Weiteren muss die IT die Méglichkeit haben, die Daten eines Sicherheitstools mit denen eines anderen speicherortunabhangig in Verbindung zu bringen, um erkennen zu kénnen, ob eine Datenschuteverletzung bereits eingetreten oder im Gange ist. Um den Schaden einer solchen Datenschutzverletzung méglichst gering zu halten, russ die IT das nahezu in Echtzeit ausfihren kénnen. SchlieBlich muss die IT die Vorfalle, von denen ein Risiko ausgebt, automatisch beheben kénnen. Diese ‘Automatisierung trigt dazu bei, febleranfallige, manuelle Reparaturen 2u vermeiden und so Zeit und Geld zu sparen, Sicher und gleichzeitig compliant zu bleiben erfordert die Fahigkeit, frihzeitige Erkennung mit einer schnellen und automatisierten Risikominderung in Echtzeit 20 Kombinieren, Da die Budgets tiberall zusammengestrichen werden, russ die IT mit den Mitteln auskommen, die ihr bleiben, Doch trotz dieser Budgetkiirzungen sollen die Ausgaben fiir Sicherheitssoftware laut einer Gartner-Studie im Jahr 2010 um 4 Prozent steigen. Das ist mehr als in allen anderen Bereichen der Infrastruktur-Software. Unternehmen stellen einen Grofteil dieser Mittel bereit, um bestimmte Compliance-Vorgaben zu erfillen und die unangenehmen Folgen einer Sicherheitslicke oder eines Audit-Reports zu vermelden. Doch die Zeiten sind rauer geworden und zusitzliche Ausgaben der IT missen sowohl gerechtfertiat als auch effektiv sein, Unternehmen bendtigen integrierte Losungen, die Transparenz und Automatisierung liefern, ‘um Compliance und IT-Sicherheit zu geringeren Kosten zu erhalten, Zusammenfassung Die Herausforderungen, denen sich ein CISO heute stellen russ, haben ironischerweise dazu beigetragen, die iealen Voraussetzungen flr die dringend bendtige finanzelle Unterstitzang ou schafen, in den Schutz sensible Daten zu investeren, Sicherheitslicken, Audt-Reports und andere Kosten, die durch unzureichende Sicherheit und Non-Compliance entstanden sind, haben daza geht, dass Unternehmen selbst in konjunkturell harten Zeiten Mittel fir Compliance-Proekte beretstellen. Da Compliance und Sicherheit das gleiche Ziel verfolgen, némlich sensible Daten zu schiitzen, kénnen strategisch denkende CISOs dies zu ihrem Vorteil mutzen. Strategiseh denkende (150s suchen nach Uberschneidan- gen der Standards und Vorschiften, denen thr Untemehmen untertiegt, um mithilfe der Einhaltung regulatorscher Standards ihe Ziel mu ereichen, ndmlch die sensibten Daten au schitzen Sie fhren Standards wie PCI ein, um Richtlinien, rozesse und Kontollen einzuichten, die das Unternehmen sicherer machen, (US0s missen ter das Lésen von Sichesheltsroblemen hinauswachsen und dem Unternehmen aufzeigen, welcher West den Daten 2ugrunde ligt, die geschitet werden miissen. Informationssicherheit sollte nicht nur Aufgabe der IT sein. Informationssicherheit bedeutet, Unterehmenswerte nu schitzen und das Riso 2 mindern, das mit Datenesfssung, ~speicherung and -lischung verbunden ist. Strategisch denkenden CSOs verdeutlichen den Wert des Schutzes dieser Daten und der damit einhergehenden Rstkominderung, Nur dann werden ihnen Unterstitzang und zusitaliche Mitel durch die Geschiftsleitung ror Verfigung gestlt. Um eine gute T?-Sicherheit im komplexen und herausfordernden Umfeld au erreichen, missen die Untemehmen Lasungen einsetzen, die die Like zwischen Datenschutz und Compliance schlieBen, um eine bessere Transparenz innerhalb ihrer gesamten IT-Infrastruktur zu erhalten, Bedrohungen proaktiv zu behandeln, Risiken zu minder, die Compliance zu aberprifen und Sicherheitsticken vorzubeugen. Durch die Nutzung der Gemeinsamkeit von Standards und Vorschriften und durch den Einsatz der entsprechenden Lsungen kénnen Unternehmen einen besseren Datenschutz eeichen, ihre Kosten seniken und ihren Anteilseignem den Schutz der Daten garantieren. So kann der strategische CISO den wahzen Wert eines Unternehmens vermittetn ti TAKE CONTROL. 20 rp ne re te egal Pst rane es mie eigen gee Ala rete FE