Wie ich lernte, Compliance zu lieben
Compliance kommt in der heutigen Zeit eine maßgebliche Bedeutung zu. Dass einem Unternehmen Vertrauen geschenkt wird und es einen guten Ruf genießt, ist für seinen Erfolg entscheidend und untrennbar mit der Einhaltung von Cybersicherheitsstandards verbunden. Unserer Erfahrung nach ist Compliance allerdings weder besonders leicht zu erreichen noch aufrechtzuerhalten. Sicherheitsverantwortliche müssen wissen, wie eine wachsende Anzahl von Vorschriften, Gesetzen und Standards eingehalten werden können – von denen die meisten unvereinbar erscheinen. Diese Komplexität macht es äußerst schwer, Compliance zu erreichen, aufrechtzuerhalten und nachzuweisen.
Bei Cloudflare verwenden wir beträchtliche Ressourcen darauf, Compliance-Anforderungen zu verstehen, die richtigen Sicherheitsverfahren und -kontrollen zu implementieren, Änderungen in unserer Umgebung zu überwachen und Bewertungen für den Compliance-Nachweis durchzuführen. Früher hätte ich diesen Aufwand als unnötige Last angesehen. Doch nach 20 Jahren beruflicher Tätigkeit im Cybersicherheitsbereich habe ich Compliance für das zu schätzen gelernt, was sie uns als Gemeinschaft ermöglicht, anstatt sie unter dem Aspekt zu betrachten, was damit verwehrt wird.
Bildquelle: Dr. Seltsam oder: Wie ich lernte, die Bombe zu lieben
Compliance mit einem ergebnisorientierten Sicherheitskonzept verbinden
Jahrelang wurde das Ausmaß von Cybersicherheitsbedrohungen nicht wirklich verstanden. Die Folge: Heute ist eine Abhängigkeit von grundlegend unsicheren Technologien zur Norm geworden. Zu lange waren Geschwindigkeit und Kosten wichtiger als Sicherheit und Datenschutz. Es handelt sich um ein Versagen in mehrfacher Hinsicht: auf Ebene der Politik, des Managements und der Fähigkeiten, vor allem jedoch der Vorstellungskraft.
Im Verteidigungsministerium und in der Nationalen Sicherheitsbehörde der Vereinigten Staaten haben wir uns sehr auf die „Mission“ konzentriert, was für viele ein ergebnisorientierter Ansatz zur Lösung kritischer Probleme ist. Er impliziert irrigerweise, dass man sich nicht um die Einhaltung von Vorschriften kümmert, sondern alles auf einmal in Angriff genommen wird und nur das Endergebnis zählt. Meiner Erfahrung nach war dies jedoch nie zutreffend. Ergebnisse und Compliance verliefen schon immer in parallelen Bahnen und führten gemeinsam zu einer Verringerung des betrieblichen Risikos, aber auch zu besserem Denken und größerer Kreativität.
Als Verantwortliche für Cybersicherheit obliegt uns die Aufgabe, Vorschriften und Strategien so aufeinander abzustimmen, dass die Sicherheit erhöht, Vertrauen aufgebaut und neue Beziehungen geknüpft werden. Wenn wir diesen Ansatz anwenden, können wir aufgabenorientierte Lösungen für die Herausforderungen finden, die der Schutz von Nutzerdaten und geistigem Eigentum, die Vermeidung von Finanzdiebstahl und in einigen Fällen auch die von Sachschäden darstellen.
Höhere Sicherheit auf Grundlage der Compliance
Vertrauen ist schwer zu gewinnen und leicht zu verlieren. Eine Nichteinhaltung von Rechtsvorschriften kann neben Geldstrafen auch den Verlust des Vertrauens von Kunden und Partnern zur Folge haben.
Wir alle wissen, dass Compliance-Vorgaben oft nur bedeuten, dass Punkte auf einer Liste abgehakt werden, ohne dass dadurch das betriebliche Risiko gesenkt würde. Deshalb betrachte ich die Art, wie Cybersicherheit in hochgradig regulierten – und stark unter Beschuss stehenden – Bereichen wie dem Gesundheitswesen, dem Finanzdienstleistungssektor und der nationalen Sicherheit praktiziert wird, als starkes Vorbild für uns alle. Dort begnügen sich Unternehmen und Organisationen nicht mit dem Ankreuzen von Kästchen: Sie halten sich freiwillig an Standards, die strenger sind als die gesetzlich vorgegebenen.
Unsere Arbeit in puncto Sicherheit beginnt also eigentlich erst, wenn wir die Standards erfüllt haben. Compliance ist ein Werkzeug, mit dem wir unsere Arbeit in eine bestimmte Form gießen und herausfinden können, wem wir vertrauen können. Dann beginnt die harte Arbeit der Neutralisierung von Bedrohungen. Of heißt es, dass ein SOC-Bericht oder eine ISO-Zertifizierung Sicherheitsverstöße verhindern soll, doch es kommt trotzdem zu solchen Verstößen. Und weshalb? Die Einhaltung von Richtlinien und Standards bietet nur eine Möglichkeit, früher zu erkennen, wenn etwas nicht stimmt. Vollständig verhindern lassen werden sich Vorfälle und Gefährdungen damit für Unternehmen oder Teams jedoch nie. Dafür erfordert es einen noch umfassenderen Ansatz für Cybersicherheit, der auf technischen Kontrollen basiert.
Bei Cloudflare halten wir uns an die wichtigsten Vorschriften und Standards und haben eine Reihe wichtiger Zertifizierungen erhalten. Wir nutzen die Möglichkeiten, die sich aus der Einhaltung von Vorschriften ergeben können. Aber damit geben wir uns nicht zufrieden. Vielmehr konzentrieren wir uns weiterhin auf unsere Aufgabe, ein besseres und sichereres Internet zu schaffen. Wir gehen über die Einhaltung von Vorschriften hinaus, indem wir fortschrittliche Sicherheitsfunktionen implementieren, die unser Unternehmen, unsere Partner und unsere Kunden schützen. Wir haben Cloudflare entwickelt, damit das Internet für Sie und Ihre Kunden sicherer wird. Informieren Sie sich über die Zertifizierungen, die uns helfen, diese Sicherheit aufrechtzuerhalten.
Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.
Autor
Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare
Wichtigste Eckpunkte
Folgende Informationen werden in diesem Artikel vermittelt:
Wie man Compliance nicht als Last, sondern als Erleichterung betrachten kann
Richtlinien und Standards werden Sicherheitsvorfälle oder -risiken niemals vollständig beseitigen
Die Implementierung ausgefeilter Sicherheitsmaßnahmen, die über die Einhaltung grundlegender Vorschriften hinausgehen, gewährleistet die Sicherheit von Unternehmen, Partnern und Kunden