GDPR, VAIT und Co. – Chance statt Strafe

Publish date:

Die meisten Unternehmen kennen es – ein neues Audit, wieder ein neuer Satz an Dokumenten. Diese werden für das Audit erstellt, aber meist nie wieder genutzt. Dabei sollten regulatorische Anforderungen und Audits nicht als Strafe, sondern eher als Chance in der IT und im Business gesehen werden, um benötigte Ressourcen zu mobilisieren, lang bestehende Lücken nachhaltig zu schließen und das Sicherheitsniveau im Unternehmen langfristig zu erhöhen.

Ob KMUs oder Großkonzerne, mit fortschreitender Digitalisierung sehen sich alle Unternehmen auch zunehmenden gesetzlichen und regulatorischen Anforderungen von Dritten ausgesetzt. Ob GDPR, VAIT oder auch Kundenanforderungen, die Ansprüche an die IT und insbesondere an Datenschutz und Informationssicherheit steigen.

Eine neue Härte

Was dagegen neu ist, ist das stark veränderte Verhalten der Regulatoren. Zwei Beispiele für dieses neue Verhalten aus diesem Jahr sind British Airways und Marriott. Beide Unternehmen sehen sich mit bisher ungewohnt hohen Strafen von über 200 Millionen Euro respektive 110 Millionen Euro konfrontiert. Dieser Ermessensspielraum für Strafen, verhängt durch die Aufsichtsbehörden im Zusammenhang mit Datenschutzvergehen, wurde bisher äußerst selten ausgereizt. Weitere Fälle zeigen, dass diese härtere Herangehensweise der Regulatoren auch kleinere Unternehmen trifft. Diese flogen bisher häufig unter dem Radar.

Information Security Management System – Nutzung des Impulses

Während sich die meisten Unternehmen von Audit zu Audit kämpfen, sollten sie viel eher die Chance nutzen, um wichtige Projekte zur Erhöhung der Informationssicherheit anzustoßen. Ein klassisches Beispiel dafür ist der Aufbau eines ganzheitlichen Betriebsmodells, eines sogenannten Information Security Management Systems (ISMS). Dieses kann genutzt werden, um nachhaltig auf bestehende und neue Anforderungen vorbereitet zu sein und damit zukünftige Audits effizienter beantworten zu können.

Die Basis dafür bietet ein strukturiertes Policy Framework basierend auf der Norm ISO 27001. Die ISO Norm wird dabei oftmals als internationaler De-Facto-Standard gesehen, welcher einen ganzheitlichen Ansatz für die Informationssicherheit bietet und viele Kontrollen anderer Standards in sich vereint.

Auch wenn die Implementierung eines solchen Policy Frameworks basierend auf dem ISO Standard ein langer Weg ist, so bietet es doch mehr Sicherheit und sichert die Compliance zu den unterschiedlichen und sich stets ändernden Regularien, nicht zuletzt, da ein Schlüsselaspekt des Standards die kontinuierliche Verbesserung ist. Die kontinuierliche Anpassung des Frameworks bietet daher einen geregelten Prozess, um sich auf neue Anforderungen einzustellen und diese als Teil des ISMS umzusetzen.

Erfolgsfaktoren

Unserer Erfahrung nach gilt es, bei der Implementierung eines Policy Frameworks als Basis eines ISMS, folgende Erfolgsfaktoren zu beachten.

erfolgsfaktoren-policy-framework-capgemini-invent
Abbildung 1: Erfolgsfaktoren

Wird der durch neue Anforderungen geschaffene Impuls genutzt und die genannten Erfolgsfaktoren berücksichtigt, so besteht die Chance durch ein geeignetes Policy Framework einen echten Mehrwert zu generieren, anstatt sich auf potenzielle Strafen und negative Konsequenzen zu fokussieren.

Falls Sie Fragen zur Implementierung eines Policy Frameworks und ISMS haben, schreiben Sie mich gerne jederzeit persönlich an.

Vielen Dank an den Co-Autoren Luca Thun.

Weitere Posts

Cybersecurity

Agile Security: Wie kann Cybersecurity Agilität und Innovationen unterstützen?

Sebastian Heierhoff
Date icon Dezember 11, 2019

Immer mehr Organisationen wenden agile Methoden an oder sind gar vollständig agil...

Compliance (de-de)

Durch das Prisma der KI: Gestaltung der Next Generation Compliance

Friedrich Haase
Date icon November 29, 2019

Welche Anwendungsmöglichkeiten findet Künstliche Intelligenz (KI) im Bereich Compliance und...

cookies.

Mit dem Fortsetzen des Besuchs dieser Website akzeptieren Sie die Verwendung von Cookies.

Für mehr Informationen und zur Änderungen der Cookie-Einstellungen auf Ihrem Computer, lesen Sie bitte Privacy Policy.

Schließen

Cookie Information schließen