Dell Umfrage: IT-Manager haben wenig Vertrauen hinsichtlich Compliance Erfüllung
Die Ergebnisse einer Umfrage unter 200 IT-Verantwortlichen, die vor allem mit der Einhaltung von Compliance-Vorgaben in Unternehmen mit mehr als 2.000 Mitarbeitern aus dem Gesundheitswesen, aus dem Handel und aus dem Finanzumfeld betraut sind, haben gezeigt, dass nahezu alle Befragten wenig Vertrauen hinsichtlich einer erfolgreichen Bewältigung von behördlichen Vorgaben, IT-Risiken und Compliance (Governance, Risk & Compliance = GRC) haben. Es ist kein großes Geheimnis, dass die heutige komplexe GRC-Landschaft eine große Herausforderung hinsichtlich des generellen Verständnisses, der Implementierung notwendiger Maßnahmen und der dauerhaften Erfüllung von rechtlichen und industriellen Vorgaben ist. Dies gilt vor allem in stark regulierten Industriebereichen, in denen zudem die Compliance und IT-Sicherheitsteams meist voneinander unabhängig agieren. Die internen IT-Experten haben einen steinigen Weg vor sich, um die Standards, die von externen regulatorischen Kontrollorganen definiert wurden, wie auch die internen Richtlinien und Best Practices der eigenen Organisation zu erfüllen. Zudem sind die Kontrollmaßnahmen, die von den Aufsichtsbehörden vorgeschrieben werden, keine einmalige Installationsangelegenheit und damit erledigt. Vielmehr handelt es sich bei diesen Kontrollmaßnahmen um eine Zusammenstellung der Minimalanforderungen – in der Regel auf IT-Sicherheit basierende Standards – die eingehalten und permanent aktualisiert werden müssen, damit das Unternehmen im Falle einer intern oder extern verursachten Datenschutzverletzung, die jederzeit ohne Vorwarnung passieren kann, vorbereitet ist.
Zu den erstaunlichsten Ergebnissen der von Dimensional Research im Auftrag von Dell Software durchgeführten Umfrage gehören:
- 83 Prozent der Befragten sind der Meinung, dass sich die IT-Sicherheit in ihrer Organisation verbessern würde, wenn die IT-Sicherheits- und Compliance-Teams enger zusammenarbeiten und ihre Informationen teilen würden.
- Weniger als 50 Prozent der Mitarbeiter, die neue Datenquellen in Compliance- und IT-Sicherheitsrelevanten Umgebungen hinzufügen, nehmen sich die Zeit auch die IT-Sicherheits- und Compliance-Teams über die neuen Daten zu informieren.
- 59 Prozent der Befragten nannten zu wenig Personal und 49 Prozent den enormen Anstieg der Datenmengen als die beiden Hauptgründe für ihre Bedenken hinsichtlich einer Erfüllung der GRC Ziele.
- Organisationen haben Bedenken hinsichtlich ihrer eigenen Möglichkeiten, unautorisierte Zugriffe und Änderungen an sensiblen Daten rechtzeitig zu erkennen und damit ständig der Gefahr eines potentiellen Datenmissbrauchs ausgesetzt zu sein:
- 93 Prozent der Befragten haben Zweifel an ihren Fähigkeiten, unautorisierte Änderungen zu verhindern
- 22 Prozent der Befragten sind der Meinung keine ausreichende Kontrolle über unautorisierte interne Zugriffe durch Angestellte und Berater zu haben.
- 61 Prozent der Befragten sind sowohl über die internen wie auch externen unberechtigten Zugriffe besorgt.
- Die Organisationen haben zudem Zweifel, dass sie alle Compliance-relevanten Daten, die zur Erfüllung der regulatorischen Standards benötigen, auch erfasst haben. Ein weiterer großer Prozentsatz der Befragten hat keinen gleichbleibenden, standardisierten Prozess für die Verwaltung der Datenmengen implementiert, der für die Erfüllung der regulativen Kontrollen erforderlich sind:
- Weniger als 50 Prozent der Befragten überprüfen, ergänzen oder entfernen proaktiv Datenquellen, die nicht mehr benötigt werden. Dies setzt einen großen Teil der Organisationen einem deutlich höheren IT-Sicherheitsrisiko aus – obwohl diese Organisationen der Meinung sind, dass sie Compliant sind und die IT-Sicherheitsauflagen erfüllen.
- Nur 11 Prozent der Befragten sind sehr zuversichtlich, dass in ihrer Organisation wirklich alle notwendigen Daten zur Erkennung, Untersuchung und Identifikation der Ursache einer Datenschutzverletzung erfasst werden.
- Weniger als 50 Prozent der Befragten gaben an, dass sie im Unternehmen über einen durchgängigen, konsequenten Prozess für das Hinzufügen von regulatorisch wichtigen Daten verfügen.
Organisationen müssen eine umfangreiche GRC-Strategie entwickeln, um die Risiken von kostspieligen Datenschutzverletzungen zu minimieren
Eine solide Governance, Risiko und Compliance-Strategie erfordert, dass die Compliance- und IT-Sicherheitsteams von Organisationen zusammenarbeiten und Informationen austauschen müssen. Dies gewährleistet, dass eine Organisation dauerhaft die Compliance-Vorgaben erfüllen, einen maximalen Schutz vor Datenschutzverletzungen aufbauen und effektiv auf potentielle Datenmissbrauchsvorfälle reagieren kann. Dell Software empfiehlt IT-Organisationen ein besseres Verständnis für die Mehrwerte einer engeren Zusammenarbeit zwischen IT-Sicherheits- und Compliance-Teams sowie die Bedeutung des Austausches regulativer Informationen zwischen diesen Teams zu entwickeln. Es hat viele Vorteile regelmäßig und proaktiv die gesammelten Datenquellen zu überprüfen, die alten Datenquellen auszusortieren und zu gewährleisten, dass nur die richtigen Leute mit den richtigen Zugriffsrechten auf die richtigen Informationen zugreifen können. Hinsichtlich den heutigen Datenmengen ist eine Entschlackung wichtiger als eine Sammlung und Bevorratung. Weiterhin hat es viele Vorteile, die Zugriffsrechte sauber und ordentlich zu verwalten wie auch Daten ohne einen generellen Zugriff auf die geschützte Applikations- oder Infrastruktur zur Verfügung stellen zu können. Dies kann auch das Wissen, wie die Daten gesammelt wurden, erfolgen. Und vergessen sie abschließend nicht die privilegierten Accounts. Mit den Zugriffsmöglichkeiten auf geschäftskritische Anwendungen und Daten wie Kreditkarteninformationen oder Krankengeschichten sind privilegierte Accounts heiß begehrt – leider auch hinsichtlich der Gefahr für interne wie externe Bedrohungen. Es ist sehr wichtig zu verstehen, was privilegierte Accounts für die IT-Umgebung einer Organisation wie auch hinsichtlich der Durchsetzungsmöglichkeiten von Zugangskontrollen und Wahrung der Privatsphäre in einer eigentlich unvereinbaren Weise bedeuten.
Die Lösungen von Dell Software können das Vertrauen von Organisationen wiederherstellen, sensible Unternehmensdaten schützen und kostspielige Datenverluste vermeiden zu können
Die Compliance und Identity und Access Management (IAM) Lösungen von Dell Software helfen den Kunden, eine kontinuierliche Compliance Einhaltung zu erreichen und eine Organisation zu schützen, indem die leitenden Mitarbeiter die Zugriffskontrolle auf sensible Daten durch interne wie auch externe und privilegierte Nutzer zurückerhalten. Die Lösungen von Dell helfen IT-Abteilungen das Vertrauen in die Prozesse zur Verwaltung der enormen Fülle von regulatorischen Datenquellen wie auch hinsichtlich der Berechtigungen und Zugriffsmethoden für alle Systeme und Daten, auf die mit tagtäglichen Methoden zugegriffen werden muss, im Sinne einer proaktiven Beibehaltung einer dauerhaften Compliance zurückzugewinnen.
- Dell ChangeAuditor: Der Dell ChangeAuditor ist eine Compliance-Lösung, die es IT-Mitarbeitern wie auch IT-Sicherheits- und Compliance-Verantwortlichen in Microsoft dominierten Netzwerkumgebungen ermöglicht, über Benutzer- und Administrations-Aktivitäten wie auch Konfigurations- und Applikationsänderungen in Echtzeit alarmiert und informiert zu werden. Über eine zentrale Konsole können sich Auditoren und interne Interessensvertreter vergewissern, dass die Compliance und IT-Sicherheitsrichtlinien in der gesamten Organisation durchgesetzt werden – natürlich auch mit entsprechender Berichtsfunktionalität.
- Dell One Identity Manager: Der Dell One Identity Manager automatisiert und rationalisiert Zugriffe im Sinne der Governance. Die Lösung schützt eine Organisation, indem die Zugriffskontrolle in die Hände der jeweiligen Bereichsleiter gelegt wird – denjenigen Personen im Unternehmen, die wissen sollten, wer welche Zugriffsrechte auf welche sensiblen Daten benötigt. Die Lösung beinhaltet auch einen automatisierten Zugriffs-Anfrage-und-Freigabe Arbeitsprozess wie auch einen Bescheinigungs-/Rezertifizierungsprozess, um die Belastung der IT-Abteilung zu verringern.
- Dell One Identity Privileged Password Manager: Der Dell One Identity Privileged Password Manager gewährleistet, dass sämtliche Zugriffe der Administratoren nur autorisiert und genehmigt erfolgen und auch diese Aktivitäten nachverfolgbar aufgezeichnet werden.
- Dell One Identity Cloud Access Manager: Der Dell One Identity Cloud Access Manager gewährleistet, dass Zugriffe auf webbasierte Ressourcen nur autorisiert, nachvollziehbar und nach generellen, einheitlichen IT-Sicherheitsrichtlinien für Nutzer aller Art erfolgen (intern, remote, Mobil, Partner, Kunden).
- Dell Recovery Manager for Active Directory: Der Dell Recovery Manager for Active Directory ermöglicht es der IT-Abteilung, die maximale Verfügbarkeit der Active Directories zu gewährleisten und Produktivitätsverluste durch menschliche oder Hard-/Softwarefehler zu vermeiden.
Über Dell Software
Dell Software hilft Kunden bei der besseren Nutzung ihres Potentials mit Hilfe von Technologie durch skalierbare, günstige und benutzerfreundliche Lösungen zur Vereinfachung der IT und zur Absicherung gegen Risiken. Das Softwareangebot von Dell richtet sich an fünf Schlüsselbereiche des Kundenbedarfs: Rechenzentrums- und Cloud-Management, Informationsmanagement, Mobile-Workforce-Management sowie Sicherheit und Datenschutz. In Kombination mit Dell Hardware und Services bietet die Software unerreichte Effizienz und Produktivität zur Beschleunigung der Unternehmensergebnisse. Weitere Informationen zu Dell und Dell Software sind unter www.dell.de und www.dell.de/software abrufbar.
Über Dell
Dell hört seinen Kunden zu und bietet innovative und zuverlässige IT-Lösungen und -Dienstleistungen, die auf Industrie-Standards basieren. Sie sind ganz auf die individuellen Anforderungen der Anwender zugeschnitten und ermöglichen es Unternehmen, erfolgreicher zu sein. Weitere Informationen unter www.dell.de und www.dell.de/d2dblog.