SRC Blog - SRC Security Risk Compliance GmbH

Schritt 3: Referenzmaßnahmenkatalog und Soll-Ist-Abgleich

Geschrieben von Dr. Jaber Kakar | 16.02.22 15:39

Erinnern Sie sich noch daran, dass es in Schritt 1 darum geht, ein solides Verständnis der sicherheitsrelevanten Vermögenswerte zu entwickeln, während es in Schritt 2 darum geht, die Kritikalität der Vermögenswerte im Hinblick auf die Schutzziele zu bestimmen? Die alleinige Kenntnis über Ihre schützenswerten Assets bedeutet jedoch nicht, dass sie bereits die entsprechenden Sicherheitsanforderungen erfüllen. An dieser Stelle setzt Schritt 3 ein, um die schnelle digitale Transformation mit Sicherheit und Compliance in Einklang zu bringen. 

Soll-Ist-Abgleich von Sicherheitsmaßnahmen

Die Kenntnis Ihrer schützenswerten Assets allein bedeutet nicht, dass diese bereits die entsprechenden Sicherheitsanforderungen erfüllen. Schließlich müssen Ihre Sicherheitsanforderungen mit den aktuellen technologischen Entwicklungen und Risiken Schritt halten.

Ein Referenzmaßnahmenkatalog dient als Sammlung von sicherheitsrelevanten Maßnahmen.

Zweifelsohne müssen für Anwendungen, die ein relativ hohes Schutzniveau in Bezug auf die Vertraulichkeit erfordern, z.B. weil sie hochsensible Daten gemäß DSGVO verarbeiten oder sammeln, andere Sicherheitsmaßnahmen ergriffen werden, als für Systeme, die weniger Schutz benötigen. Der erwähnte Referenzmaßnahmenkatalog muss daher insbesondere mit Blick auf Schutzziele, Schutzbedarf und Technologie erstellt werden.

Ein ständig aktualisierter Katalog von Sicherheitsanforderungen ist entscheidend, um Ihre Sicherheitsimplementierung auf den Prüfstand zu stellen.

Unserer Erfahrung nach ist ein Team aus Technologie- und Audit-Experten erforderlich, um eine konforme und technisch fundierte Sammlung von Sicherheitsmaßnahmen zu erstellen. Digitale Werkzeuge sind hier wichtige Instrumente, die die Erstellung und Aktualisierung im Umgang mit dem Referenzmaßnahmenkatalog  vereinfachen und beschleunigen können.

Denn ohne diese Werkzeuge würde der Paradigmenwechsel von "Schnell bewegen ODER sicher bleiben" zu "Schnell bewegen UND sicher bleiben", d.h. der Prozess hin zur Governance des digitalen Zeitalters, nicht stattfinden.

Darüber hinaus erkennen digitale Lösungen sofort Mängel als Teil des Soll-Ist-Abgleichs bei der Umsetzung von Sicherheitsmaßnahmen schützenswerter Werte. Die Erkennung von Sicherheitsmängeln muss vollautomatisch erfolgen und sich an Ihren Sicherheitsanforderungskatalog anpassen.