Gefahr durch Schatten-IT
3 Sicherheitsebenen der IT-Architektur
Drei Ebenen der IT-Sicherheitsarchitektur
Foto: Symantec
Eine wichtige Aufgabe von CISOs ist auch, die verschiedenen IT-Initiativen sinnvoll zu bündeln und zu überblicken. So können sie ein effizientes Risiko-Management auf Grundlage einer integrierten IT-Sicherheitsarchitektur etablieren. Die Architektur besteht aus drei Ebenen:
1. Daten sichern durch Verschlüsselung: Das stellt sicher, dass nur die Einheiten auf kritische Geschäftsdaten zugreifen können, die den Schlüssel zur Dekodierung haben. Je nach Kritikalität der Daten sollten unterschiedliche Verschlüsselungsmethoden angewendet werden.
2. Applikationen gegen Angriffe schützen: Die meisten Attacken auf Firmendaten erfolgen über die Oberflächenschicht webbasierter Applikationen, etwa durch Cross Site Scripting (XSS). Mit einer Architektur, die sich auf die Applikationsebene fokussiert, lässt sich eine substantiell höhere IT-Sicherheit erzielen. Noch geben Firmen dafür zu wenig Geld aus.
3. Angriffstolerante Systeme aufbauen: Unternehmen sind vielfältigen Angriffen ausgesetzt, und manche sind erfolgreich. Bei angriffstoleranten IT-Systemen versagen im Ernstfall nicht alle Kontrollen auf einmal. Diese bilden zugleich eine sichere Plattform, um sich künftig besser gegen Bedrohungen zu schützen.
IT-Risiko-Management und Risiko-Kontrolle entkoppeln
Damit IT-Sicherheit besser an die Bedürfnisse des Business angepasst werden kann, sollte das Risiko-Management von der Risiko-Kontrolle, wie etwa die Verwaltung und Prüfung von Zugriffsrechten, entkoppelt werden. Da sich die in Unternehmen eingesetzten IT-Technologien immer mehr diversifizieren, benötigen IT-Security-Chefs zudem einen Rahmen zur Risiko-Bewertung. Dieser ist auf die zwei Aspekte "gesetzliche Regelungen" und "Compliance-Vorgaben" fokussiert.