{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
Fabian Faistauer
Director, Head Cybersecurity Technology & Transformation, PwC Schweiz
Katarina Nikolic
Cybersecurity und Privacy, PwC Schweiz
Christoph Ulmer
Cybersecurity und Privacy, PwC Schweiz
In diesem Blogbeitrag befassen wir uns mit Security-Compliance und ihren Vorteilen ‒ nicht nur im Hinblick auf die formale Einhaltung von Vorschriften, sondern auch als wirksames Mittel zur Erhaltung und Steigerung der Unternehmensleistung. Zu diesem Zweck müssen sicherheitsrelevante Bedrohungen im Unternehmen allgemein bekannt sein und wirksam gehandhabt werden.
Unternehmen sind zunehmendem Druck ausgesetzt, Daten zu schützen. Die Vorschriften zum Schutz personenbezogener und sensibler Geschäftsdaten werden nicht nur immer zahlreicher, sondern auch immer umfassender. Die Verpflichtung zur Einhaltung von Regelungen betrifft nicht mehr ausschliesslich traditionell streng regulierte Branchen wie das Gesundheitswesen oder Banken.
Wozu Sie heute mehr erfahren
- Was bedeutet Security-Compliance?
- In welchen Bereichen ist das Security-Compliance-Management anzuwenden?
- Governance
- Prozessintegration
- Automatisierung und Softwaretools/Tool-Integration
- Der Weg zu einem erfolgreichen Security-Compliance-Management
- Zusammenfassung: Sind Sie sicher, dass Sie alle Vorschriften einhalten?
Angesichts der bereits geltenden Datenschutz-Grundverordnung (DSGVO) der Europäischen Union und der im Herbst 2023 in Kraft tretenden Schweizer Datenschutzverordnung muss im Grunde jede Organisation, die mit regulierten personenbezogenen Daten umgeht, ein gewisses Mass an Datenschutz gewährleisten. Darüber hinaus muss jede Einrichtung, die Kredit- und Debitkartendaten annimmt, verarbeitet, speichert oder überträgt, den Payment Card Industry Data Security Standard (PCI DSS) einhalten. Kommt es zu einem Vorfall, drohen empfindliche Strafen für Verstösse gegen den Datenschutz.
Die von den Aufsichtsbehörden verhängten Bussgelder für die Nichteinhaltung der Anforderungen an den Schutz von Daten wie personenbezogenen Daten, Daten von Zahlungskarten und Gesundheitsdaten sind hoch und ziehen zusätzliche Kosten nach sich, lange nachdem der Vorfall eingetreten ist.
Cybersecurity und Datenschutz
Cyber-Angriffe stellen eine fortwährende Gefahr für Unternehmen aus allen Geschäftsfeldern dar. Wir helfen Ihnen, die Risiken zu erkennen und ihnen wirksam zu begegnen.
Mögliche Schäden können weit über Geldstrafen hinausgehen
Selbst ohne Sanktionen kann eine Datenschutzverletzung ein Unternehmen durch den Verlust sensibler Geschäftsdaten oder des guten Rufs und die Kosten der Wiederherstellung Millionen kosten. Laut der PwC-Studie «Global Digital Trust Insights 2023» hat weltweit jedes vierte Unternehmen in den letzten drei Jahren eine Datenschutzverletzung erlitten, die es 1 bis 20 Mio. USD oder mehr gekostet hat.
Beschleunigt durch COVID-19 sahen sich Unternehmen vermehrt gezwungen, Homeoffice und damit ein Zugriff von ausserhalb der regulären Firmenumgebung zu ermöglichen. Diese Umstellung stellt die Unternehmen jedoch vor Herausforderungen, da sie zur Gewährleistung sicherer Arbeitsplätze verpflichtet sind – ungeachtet dessen, wo sich diese befinden. Die Spielwiese für Cyberkriminelle ist jetzt viel grösser. Die Fähigkeit, den Überblick über Daten und IT-Ressourcen zu behalten (und sicherzustellen, dass sie sicher konfiguriert sind) sowie wichtige Systemänderungen und Revisionen geltender Vorschriften zu verfolgen, ist wesentlich. Hier braucht es ein wirksam koordiniertes Security-Compliance-Management:
Weniger Nachteile und mehr Vorteile
Es geht nicht darum, Vorschriften um ihrer selbst willen einzuhalten. Das Security-Compliance-Management ermöglicht es Ihnen, ein Sicherheitsniveau in Übereinstimmung mit bewährten Branchenstandards wie ISO 27001, COBIT oder NIST-800 zu gewährleisten. Zudem können Sie so Daten und Informationen sachgemäss verwalten, Ihren Ruf schützen, Sicherheitsvorfällen vorbeugen und potenzielle Schäden mindern, wenn es doch zu Vorfällen kommt. Insgesamt gesehen steigert und schützt Security-Compliance Ihre Unternehmensleistung, weil sie Ihnen hilft, wirksame Cybersicherheits- und Risikomanagementpraktiken in die Unternehmenskultur zu integrieren.
Was bedeutet also Security-Compliance?
Security-Compliance bedeutet, dass eine Reihe von Sicherheitsanforderungen (in der Regel von einer Aufsichtsbehörde oder einem Gesetz vorgeschrieben) zum Schutz der Vertraulichkeit, der Integrität und der Verfügbarkeit von Daten erfüllt werden. Diese Anforderungen, die häufig als Sicherheitskontrollen bezeichnet werden, gelten für jede Organisation, die diese Daten speichert, verarbeitet oder überträgt, und basieren auf bewährten Verfahren sowie Sicherheitsrichtlinien. Sie legen die Grundregeln für den Einsatz und die Konfiguration von Sicherheitsmechanismen zum Schutz der Daten eines Unternehmens fest.
Security-Compliance-Management umfasst die Überwachung und Bewertung von Systemen, Geräten und Netzwerken, um sicherzustellen, dass sie den Sicherheitsanforderungen und Branchenstandards entsprechen. Die Sicherheitskontrollen basieren auf bewährten Verfahren und Richtlinien (z. B. CIS-Benchmarks).
In welchen Bereichen ist das Security-Compliance-Management anzuwenden?
Governance
Es ist wichtig, eine wirksame IT-Governance zu etablieren, um zu ermitteln, welche IT-Assets in den jeweiligen Anwendungsbereich fallen. Zudem müssen die Rollen und Verantwortlichkeiten für eine konforme Datenverarbeitung eindeutig festgelegt werden.
Es handelt sich um einen wesentlichen Schritt für Unternehmen, die noch nicht auf ein Security-Compliance-Management-System zurückgreifen können, um die vorhandenen Sicherheitskontrollen zu verfolgen und Aktualisierungen sowie Änderungen geltender Vorschriften zu überwachen. Dies ist auch deshalb so wichtig, weil das Fehlen einer Governance-Grundlage zu mangelnder Durchsetzungsfähigkeit führt. Ohne eine angemessene Governance kann es keine klare Verantwortlichkeit und Koordination der Bewertung von Security-Compliance geben, mit der sichergestellt wird, dass die richtigen Stakeholder und Funktionen beteiligt sind.
Prozessintegration
Unternehmen brauchen ein Prozess-Framework mit einem anderen Blickwinkel auf IT-Überwachung, Event-Management und Incident-Management. Ein wirksames Security-Compliance-Management umfasst die Umsetzung von Richtlinien und die kontinuierliche Überwachung von Kontrollen, Prozessen sowie geltenden Vorschriften und Standards. Es sollte auch interne Bewertungen und regelmässige Audits voraussetzen, um die Kontrollen und Prozesse laufend zu überprüfen.
Die Prozessintegration ist ein wichtiger Schritt für Unternehmen, deren Prozesse zur Einhaltung der Security-Compliance nicht auf den Geschäftskontext abgestimmt sind. Sie gehört auch zu einer angemessenen Verwaltung von Datenbeständen und -inventaren, um die notwendigen Informationen zum Umfang des Compliance-Managements zu liefern. Nicht zuletzt stellt die Prozessintegration sicher, dass die richtigen Akteure im Falle von Verstössen zur Rechenschaft gezogen werden und handeln müssen.
Automatisierung und Softwaretools/Tool-Integration
Der Einsatz von Softwaretools zur Automatisierung sich wiederholender Aufgaben spart viel Zeit und ermöglicht es Ihren Fachkräften, sich auf andere Dinge zu konzentrieren. Es stehen Tools zur Verfügung, mit denen automatisch regelmässige Berichte über die Einhaltung der Vorschriften erstellt werden können, um die Wirksamkeit der risikomindernden Kontrollen zu überwachen oder um Änderungen der Rahmenbedingungen und Vorschriften zentral zu aktualisieren. Der entscheidende Schritt besteht darin, die Lösung vollständig in Ihre bestehenden Systeme zu integrieren, damit Sie über ein einziges zentrales Dashboard verfügen, das alle betroffenen Datenbestände und Kontrollen anzeigt. Diese Systeme sind auch für Prüfungszwecke nützlich.
Ein gutes Beispiel ist Security-Configuration-Management-Software, die dafür sorgt, dass Informationssysteme immer sicher konfiguriert und aktualisiert sind. Einige Anbieter entwickeln auch komplexe Compliance-Management-Lösungen. Darüber hinaus bieten SOAR-Lösungen (Security Orchestration, Automation and Response) eine einheitliche Plattform für die Koordination, Ausführung und Automatisierung von Aufgaben zwischen verschiedenen Tools.
Die Anschaffung und die Integration von Automatisierungs- und Softwaretools sind besonders für Unternehmen von Vorteil, deren Compliance-Management einen hohen manuellen Aufwand erfordert oder bei denen die Integration der Tools für die Registrierung und Überwachung von Datenbeständen nicht gegeben ist. Schlechte Datenqualität kann dabei oft am Ursprung eines zu einem geringen Automatisierungsgrads stehen.
Der Weg zu einem erfolgreichen Security-Compliance-Management
Um ein erfolgreiches Managementsystem für die Einhaltung der Security-Compliance einzurichten, müssen Sie Ihre Ressourcen, Aktivitäten und Mitarbeitenden eng koordinieren. Bei PwC haben wir einen Ansatz entwickelt, der für Unternehmen an jedem Punkt auf ihrem Weg zu einem erfolgreichen Security-Compliance-Management anwendbar ist.
Wir bewerten Ihre derzeitigen Möglichkeiten zur Überwachung von Compliance und Konfiguration und zeigen Ihnen die Vorteile eines effektiven und integrierten Systems.
- Wir bestimmen den Umfang in Bezug auf den IT-Bestand, die Datentypen und die geltenden Vorschriften und Normen. Wir berücksichtigen die Art der Datentransaktionen, die Gesetze der Länder und Gebiete, an die Daten übermittelt werden, und die Wohnsitzländer der betroffenen Personen.
- Wir bewerten die Lücken zwischen dem Ist-Zustand und den Compliance-Anforderungen. Wir helfen Ihnen dabei, die ermittelten Lücken zu priorisieren, um einen auf Prioritäten fokussierten Transformationsprozess zu gewährleisten. Zu diesem Zweck werden Risiken und Schwachstellen bewertet, damit die kritischsten Sicherheitsmängel bekannt sind und ein klareres Bild von den bereits vorhandenen Kontrollen entsteht. Ein Überblick über sämtliche Geschäfts-, IT- und Datensicherheitsrisiken ist grundlegend für den Aufbau eines wirksamen Security-Compliance-Managements.
Wir helfen Ihnen bei der Gestaltung der Zielarchitektur und des integrierten Prozesses. Dazu gehört, entsprechende Rollen und Zuständigkeiten festzulegen. Wir können Sie auch dabei unterstützen, die richtigen Tools auszuwählen und sie in Ihre bestehende Landschaft zu integrieren.
- Wir definieren einen Soll-Zustand und ein Soll-Betriebsmodell mit den entsprechenden Prozessen, Instrumenten und Governance-Regeln. Wir dokumentieren alle Entscheidungen und Prozesse in Richtlinien und internen Standards.
- Wir einigen uns auf einen Plan zur Schliessung von Lücken und auf die Beschaffungsoptionen (Herstellung oder Kauf).
- Wir implementieren die definierten Compliance-Management-Prozesse und integrieren die gewählten Tools. Entsprechend Ihren Anforderungen und Ihrer Risikotoleranz führen wir auch technische und nichttechnische Kontrollen ein.
Mehr zum Management und den Herausforderungen von Security-Transformationsprojekten, erfahren Sie in unserem Blog.
Unabhängig davon, ob Sie sich für Herstellung oder Kauf entscheiden, bieten wir Ihnen die Möglichkeit, den gesamten Lebenszyklus der Compliance- und Konfigurationsüberwachung für Sie zu verwalten. So können Sie die Einhaltung der Vorschriften gewährleisten und gegenüber Ihren internen und externen Stakeholdern nachweisen. Unsere Rolle kann Folgendes umfassen:
- Übergabe des festgelegten Kontrollsystems an Ihre Geschäfts- und IT-Teams
- Sicherstellen, dass die definierten Kontrollen eingerichtet und wirksam sind
- Einrichten eines Dashboards und einer Berichterstattung zur kontinuierlichen Überwachung der Einhaltung der Vorschriften
- Betrieb der implementierten Prozesse, wie z. B. regelmässige Risiko- und Schwachstellenbeurteilung, sowie der integrierten Tools
- Unterstützung bei der Vorbereitung auf eine Prüfung durch externe Dienstleister/unabhängige Dritte zur Überprüfung der Einhaltung der Vorschriften
- Hilfe bei der Einführung eines Verfahrens zur regelmässigen Revision, Überprüfung und Änderung der implementierten Kontrollen und Prozesse
Sind Sie sicher, dass Sie alle Vorschriften einhalten?
Mit fortschreitender Entwicklung von Informationstechnologie erhöht sich der gesellschaftliche Druck auf Unternehmen, die in ihrem Besitz befindlichen Daten zu schützen. Für moderne Unternehmen mit sehr komplexen Strukturen und einem breiten Geschäftsspektrum, die oft in mehreren Ländern tätig sind, ist es eine echte Herausforderung, diese Vorschriften und Gesetze genau zu verfolgen. Diese Herausforderung brauchen Sie jedoch nicht allein zu bewältigen. Es gibt Fachkräfte, die Ihnen bei der Einführung eines wirksamen Security-Compliance-Managements helfen, um sowohl Ihre eigenen Daten als auch die Ihrer Kundschaft zu schützen. Auf diese Weise vermeiden Sie finanzielle Sanktionen, mindern den Schaden, der durch eine mögliche Datenschutzverletzung entsteht, und – was am wichtigsten ist – schaffen Vertrauen in Ihr Unternehmen.
#social#
Kontaktieren Sie uns
Wir helfen Ihnen, die Sicherheit Ihrer Systeme zu erhöhen und Sicherheitsstandards und -vorschriften einzuhalten. Kontaktieren Sie uns, wenn Sie Fragen haben oder über Ihre Pläne und Anforderungen sprechen wollen.
https://pages.pwc.ch/core-contact-page?form_id=7014L000000DY4xQAG&embed=true&lang=de
Mit Vertrauen zum Erfolg
Vertrauen Sie auf ein Team, das bei der Transformation Ihres Unternehmens wirklich mitdenkt, die passenden Cybersecurity-Lösungen entwickelt, implementiert und kontinuierlich begleitet. So schaffen wir gemeinsam mit Ihnen nachhaltigen Wert und Vertrauen – heute und in Zukunft.
{{filterContent.facetedTitle}}
{{contentList.loadingText}}
{{contentList.loadingText}}
Contact us
Director, Cybersecurity Technology & Transformation, PwC Switzerland
Tel: +41 58 792 13 33
