I-Net Innovations

Nachdem wir bereits im letzten Beitrag darauf hingewiesen haben, daß zahlreiche Firmen versäumen, eine IT-Compliance Strategie einzurichten, wollen wir in unserem heutigen Artikel beschreiben, was eine gute Strategie ausmacht. Das Thema ist besonders dringlich, da sich in den letzten Jahren die gesetzlichen Vorschriften zur IT-Sicherheit deutlich verschärft haben. Die Bußgeld- und Haftungsrahmen wurden beispielsweise durch die Novellierung von 2009 merklich erhöht. Um sich vor größeren Schäden zu schützen ist daher jedes Unternehmen auf eine für sich zugeschnittene Strategie angewiesen.
 

Leider wird die Entwicklung derartiger Strategien von den meisten Unternehmen vor sich hergeschoben. Häufig ist auch nicht bekannt, was für Maßnahmen überhaupt notwendig sind. So versäumen etwa viele Betriebe, sich um geeignete Speicherlösungen für steuerrechtlich relevante Daten zu kümmern. Dabei müssen alle diese Daten in ihrer ursprünglichen Form für mehrere Jahre abgespeichert werden. Es reicht daher nicht, E-Mails auszudrucken und zu archivieren. Sie müssen stattdessen als Originaldateien vorliegen, falls eine Steuerprüfung ansteht. Anderenfalls drohen Strafen oder ungünstige Steuerschätzungen.

Aufgrund derartiger möglicher Folgen einer mangelnden Compliance, lohnen sich selbst höhere Investitionen in eine optimale Strategie. Langfristig wird sich eine solche Optimierung bezahlt machen. Die implementierten Sicherheitsmechanismen lassen sich z.B. auch durch das Management zur Kontrolle des Betriebs nutzen. Außerdem kann die Umsetzung der Strategie mit einer Prozeßoptimierung einhergehen, die langfristige Effektivität gewährleistet.

Beim Aufstellen eine Compliance-Strategie beginnt man mit der Identifikation und Bewertung der Gefahrenpunkte im Bereich IT-Sicherheit. Zum Beheben dieser Punkte werden anschließend unternehmensweite Benutzerrichtlinien erstellt. Auf diese Weise wird der Zugang zu sensiblen Daten und Technologie beschränkt. Gleichzeitig werden die Mitarbeiter regelmäßig geschult und auf Gefahrenquellen hingewiesen. Außerdem muß sich das Unternehmen durch externe und interne Berater laufen über neue Risiken für ihre IT-Sicherheit informieren.