Transformation World
19.10.17 - 20.10.17
In Heidelberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

PM Forum 2017
24.10.17 - 25.10.17
In Nürnberg

10. gfo-Jahreskongress
25.10.17 - 26.10.17
In Düsseldorf

Google Analytics Summit 2017
09.11.17 - 09.11.17
In Hamburg

Notiz 2018Die EU-Richtlinie zur Netz- und Informationssicherheit (NIS) und die Datenschutz-Grundverordnung (GDPR/DSGVO) sollen 2018 umgesetzt werden. Bei den von den Unternehmen geforderten technischen und organisatorischen Maßnahmen, um die Risiken für die Sicherheit ihrer Netze und Informationssysteme zu verwalten, ist die Rede von „State of the Art“. Dies gilt es zu beachten, wenn entsprechende Maßnahmen umgesetzt werden.

Die Maßnahmen müssen also dem „Stand der Technik“ entsprechen. Dabei geht es um Datensicherheit (wie im Falle der DSGVO) und den Schutz von grundlegenden Diensten, die von Netz- und Informationssystemen abhängig sind (wie im Falle der NIS).

Insgesamt ist die Anforderung hinsichtlich „State of the Art“ als positiv zu werten, da viele Unternehmen ihre Sicherheitsarchitektur neu aufstellen werden. Ziel ist es, Cyberrisiken besser abzuwehren und Datenmissbrauch zu verhindern. Offensichtlich arbeiten aber viele Unternehmen noch daran, herauszufinden, was dies für sie eigentlich genau bedeutet. Im Auftrag von Palo Alto Networks hat IDC kürzlich eine Studie durchgeführt, um zu ergründen, wie Unternehmen in Europa die anstehenden Anforderungen wahrnehmen. Befragt wurden IT-Entscheider in Deutschland, Frankreich, Italien, Spanien und Großbritannien. Die Ergebnisse finden sich im IDC-Whitepaper „The State of the Art Paradox“ (August 2016). Die Studie fand heraus, dass viele Unternehmen kein klares Verständnis des Begriffs „Stand der Technik“ haben. Ebenso verfügen sie nicht über Prozesse oder Metriken, um zu bestimmen, ob sie diese Anforderung erfüllen.

Die wichtigsten Ergebnisse der Studie

Vorbereitung

58 Prozent der Unternehmen glauben, dass sie für die NIS-Richtlinie vorbereitet sind, wenn die Gesetzgebung im Jahr 2018 eingeführt wird. 34 Prozent gaben an, dass die Bemühungen im Gange sind und dass sie erwarten, rechtzeitig fertig zu werden. 6 Prozent sagen, dass sie begonnen haben, aber vielleicht nicht rechtzeitig bereit sein werden. Für die DSGVO sind 40 Prozent bereit, 45 Prozent glauben, bis zum Start 2018 bereit zu sein und nur 1 Prozent glaubt, es vielleicht nicht zu schaffen.

Überprüfung

Bei der Frage nach einem Verfahren, um den Stand der Technik bei ihren Maßnahmen zu bestimmen, verweisen die meisten Befragten auf regelmäßige Audits oder externe Expertise. Kein Unternehmen gab an, dass es sein Sicherheitskonzept genau definiert hat, eine strukturierte Analyse von Daten nutzt oder einer Referenzarchitektur gegenüberstellt.

Evaluierung

Auf die Frage, wie oft Unternehmen den Evaluierungsprozess wiederholen, gaben die meisten (52 Prozent) „jährlich“ an. Hier stellt sich die Frage, ob dies angesichts der schnellen Weiterentwicklung der Technologie und der Zunahme der Zahl und Art von Angriffen ausreichend ist. 26 Prozent gaben „vierteljährlich oder halbjährlich“ an und nur 2 Prozent überprüfen den Stand der Technik kontinuierlich oder mindestens einmal im Monat.

Bedenken wegen DSGVO

Die Pflicht zur Meldung von Datensicherheitsverletzungen bereitet den europäischen Unternehmen offensichtlich Kopfschmerzen. 51 Prozent der Befragten haben diesbezüglich Sorgen, gefolgt von der Gefahr der Ablenkung von wichtigeren Sicherheitsthemen (48 Prozent) und dem Kostenfaktor (ebenfalls 48 Prozent). Andere Bedenken sind eine Übererfüllung der Compliance (38 Prozent), Strafen für die Nichteinhaltung (36 Prozent) und die Einhaltung der Compliance bei grenzüberschreitendem Datentransfer (auch 36 Prozent).

IDC hat einige grundlegende Fragen definiert, die sich CEOs und CISOs stellen sollten, um die offensichtliche Wissenslücke zu überwinden, die in ganz Europa besteht.

Fragen, die CEOs und Geschäftsführer betreffen

  • Gelten die DSGVO oder die NIS-Richtlinie, oder beide, für Ihr Unternehmen?
  • Wer ist am besten in Ihrem Unternehmen geeignet, um Fragen zur Compliance zu beantworten?
  • Auf welche externen Organisationen können Sie zurückgreifen, um Einblicke in die Anforderungen zu erhalten?
  • Was ist der Zeitplan, um die Compliance zu erreichen und welche Maßnahmen müssen jetzt zur Einhaltung der Fristen ergriffen werden?
  • Welches Budget wurde für die Compliance zugewiesen? Wie wurde diese Zahl festgelegt, was sind die wichtigsten Herausforderungen hinsichtlich Ressourcen und wie lässt sich die effektive Nutzung der getätigten Investitionen messen?

Fragen, die CISOs (IT-Sicherheitsverantwortliche) betreffen

  • Nimmt der Vorstand die Einhaltung der NIS-Richtlinie und/oder DSGVO ernst? Wie kann man dessen Aufmerksamkeit gewinnen, und was gilt es dem Vorstand über den aktuellen Ansatz des Unternehmens in Sache Compliance zu berichten?
  • Wer im Unternehmen sollte Unterstützung oder Finanzmittel zur Verfügung stellen? Wer sind die Akteure bei der Erreichung und Aufrechterhaltung der Anforderungen und wer wird für das Geschäftsrisiko verantwortlich sein?
  • Was ist aus der Perspektive des Unternehmens Sicherheit auf dem „Stand der Technik“? Wie wurde diese definiert und wer berät das Unternehmen hierzu?
  • Wie sieht der Prozess aus, um den bestehenden Sicherheitsstatus dem definierten „Stand der Technik“ gegenüberzustellen und wie oft sollte eine solche Überprüfung stattfinden?
  • Welche Prozesse müssen nun umgesetzt werden und in welchem ​​Zeitraum, so dass das Unternehmen eine realistische Chance hat, Sicherheitsfähigkeiten nach dem Stand der Technik umzusetzen?

www.paloaltonetworks.com

 

GRID LIST
Tb W190 H80 Crop Int D1a9e4fb59f56aef82a0754bb96c5f75

Umfrage offenbart hohes Cybersicherheits-Risiko | IT-Sicherheit in deutschen Unternehmen

Dringender Handlungsbedarf für deutsche Unternehmen: Das Risiko, Opfer eines…
Tb W190 H80 Crop Int 9168b2ba3e6259e0f1fd673ee066a7c3

Produkt-Performance ist wichtiger als IT-Sicherheit

Im Zweifelsfall ist mehr als zwei Dritteln der deutschen Unternehmen Produkt-Performance…
Tb W190 H80 Crop Int B01d5408433c87e01a881e190b070011

Jeder vierte Internetnutzer besucht keine Bankfiliale mehr

Geld wird zunehmend digital verwaltet und angelegt: Rund jeder vierte Internetnutzer (24…
Tb W190 H80 Crop Int 7b240a672f346adba7106f43f59804b0

IT-Sicherheit bei deutschen Mittelständlern | IT-Security Barometer

Neun von zehn Mittelständler in Deutschland finden es wichtig oder sehr wichtig, dass…
Advanced Analytics

SAS „dominiert“ bei Advanced-Analytics-Plattformen

Die aktuelle BARC-Studie bescheinigt Softwareherstellern besondere Stärken bei…
Superheldin

Bürokräfte wünschen sich Chief Happiness Officer

Nur knapp die Hälfte der deutschen Arbeitnehmer (49 %) ist der Ansicht, an ihrem…
Frische IT-News gefällig?
IT Newsletter Hier bestellen:

Newsletter IT-Management
Strategien verfeinert mit profunden Beiträgen und frischen Analysen

Newsletter IT-Security
Pikante Fachartikel gewürzt mit Shortnews in Whitepaper-Bouquet