Die Vineyard Management Consulting GmbH hat das Buch “Information Security – Smarte Lösungen zu neuartigen Bedrohungen und erweiterter Regulatorik” publiziert:
In einer Welt mit weiteren neuen globalen Krisen und neuartigen Bedrohungen gilt es mehr denn je gewappnet zu sein. Dies trifft auch in einem nie gekannten Ausmaß auf den Cyberspace zu, dessen Schutz einen immer größeren Stellenwert einnimmt. Die Vielfältigkeit und Intensität der Hackerangriffe waren noch nie so groß wie aktuell, nicht zuletzt auch als Folge der geopolitischen Veränderungen und aktuellen Krisen.
Den allgemeinen Trends größerer Bedrohungen und auch steigender Abhängigkeiten der Wirtschaft von der IT folgend haben die meisten Staaten kontinuierlich entsprechende Gesetze und Regularien für eine wirksamere „Information Security“ abgebildet, um kritische Infrastrukturen und damit das Staatswesen und die Unternehmen systematisch zu schützen.
DORA und NIS2 sind aktuell in der EU die wohl bekanntesten Beispiele an Neuerungen und erweiterten Schutzanforderungen. Auch in der Praxis hat größtenteils bereits eine Anpassung der Cyber-Security an die neue Welt schon stattgefunden: Investitionen in Cybersecurity sind in den letzten Jahren weiter
kontinuierlich gestiegen. Meist als Folge von konkreten Vorfällen, die nicht mehr passieren dürfen oder verordneter Maßnahmen durch interne/externe Prüfungen. Als weiterer Treiber für die Cyber-Programme ist sicherlich auch die immer weiter steigende Nutzung der Cloud zu nennen, insbesondere auch in den regulierten Branchen, wenngleich auch etwas zeitverzögert.
In diesem Buch startet der erste Beitrag direkt mit dem Thema NIS2. Im Fokus steht eine zielgerichtete Einführung der Anforderungen für kritische Infrastrukturen, insbesondere auch für die Zielgruppe der mittelständischen Unternehmen.
Der US-Amerikanischen Gesetzgebung folgend wird die neue Gesetzgebung zu „Whistleblowing“ mit etwas Verspätung nun auch innerhalb der EU durch entsprechende Gesetzgebung in Deutschland zur Pflicht. Dazu werden die wesentlichen Herausforderungen und passende Ansätze skizziert, wie Unternehmen sich diesbezüglich aufstellen sollten.
Über die Nutzung von Cyber Frameworks zur Strategie-Implementierung und Risikosteuerung geht es im nächsten Beitrag. Einige der wesentlichen Frameworks (NIST und SANS20/CIS) werden dazu im Rahmen von Praxisbeispielen analysiert. Der Beitrag versucht Wege aufzuzeigen, wie gerade das Thema Risiko-Management auf der Basis von NIST konsistent auch für unstrukturierte Daten umgesetzt werden kann, um bestmöglichen Schutz auf Basis von risikobasierten Ansätzen zu erzielen.
Ein Artikel zur Security in der Cloud schließt sich an. Nach einer allgemeinen Betrachtung der Anforderungen geht der Beitrag auf konkrete Best Practices und Tools für die Microsoft Azure Cloud ein, um am Ende die Frage zu erörtern „Wie sicher ist die Cloud-Security?“.
Relativ hohe Aufwände in den Cyber-Security-Programmen der letzten Jahre sind zurecht in Identity und Access Management geflossen. Dieses Thema wird wegen der weiteren steigenden Verwendung von unstrukturierten Daten mit Partnern, Kunden und innerhalb von 3rd Party Services weiter an Bedeutung gewinnen, da auch diese Informationen unter Kontrolle gehalten werden müssen und entsprechend risikobezogen zu managen sind. Der Beitrag zu IAM geht auf die unterschiedlichen Disziplinen ein, die für ganzheitliches IAM relevant sind und stellt einige der wichtigsten Ansätze und Tools dazu vor.
Mit der Veröffentlichung von ersten Detailanforderungen in diesem Jahr hat das Thema DORA nochmals höhere Priorität als im Jahr zuvor bekommen, zumal die Implementierung Ende 2024 abgeschlossen sein muss. Zur Sicherstellung der Widerstandsfähigkeit von Finanzinstituten und IKT-Drittdienstleistern wird dazu eine Betrachtung der wesentlichen Anforderungen und Herausforderungen diskutiert sowie entsprechende Ansätze und Vorgehensweisen zur Implementierung gegeben.
Nach Einschätzung der Autoren gilt es mehr denn je für alle Unternehmen den Überblick über die gesetzlichen Anforderungen nicht zu verlieren und dazu smarte Lösungen zu entwickeln, die die relevanten Risiken adressieren. Für die Restrisiken gilt es, diese stets im Auge zu behalten, um hierzu zeitnah und gezielt mit bereits etablierten Partnern die Information Security auf dem erforderlichen Sicherheits-Niveau betreiben zu können und strategisch und operativ weiterzuentwickeln.
Herausgeber:
Vineyard Management Consulting GmbH, Carsten Fabig und Alexander Haasper.
Autoren:
Hans-Jörg Vohl (Project Management Partners Vohl & Partner), Rainer Sponholz (Vineyard Management Consulting GmbH), Laura Beckervordersandforth (Vineyard Management Consulting GmbH), Alexander Haasper (Vineyard Management Consulting GmbH), Yoan Petrov (Actegro GmbH), Dimitar Dimitrov (Vineyard Management Consulting GmbH), Carsten Fabig (Vineyard Management Consulting GmbH), Laura Dinis (Vineyard Management Consulting GmbH).
Zu erwerben bspw. via Amazon Bookstore