IT-»Sicherheit« wird hierzulande oft mit Compliance verwechselt: Richtlinien, Vorlagen, Prozesse – alles sauber dokumentiert und abheftbar. Hauptsache: Niemand ist schuld, wenn es knallt.
Reale Sicherheit entsteht nicht durch Papier, sondern durch gute IT-Leute, Zeit, Budgets, klare Zuständigkeiten – und Technik, die wirklich gehärtet, gepflegt und überprüft wird.
Checkboxen senken keine Risiken. Sie senken nur das Haftungsgefühl.
mögen das
teilten dies erneut
Kuketz-Blog 🛡
Als Antwort auf Kuketz-Blog 🛡 • • •Steffen 🦉🇪🇺 mag das.
Steffen 🦉🇪🇺
Als Antwort auf Kuketz-Blog 🛡 • •Im laufe der Zeit kamen immer mehr sogenannte Prozessoptimierer mit ihren Prozessdefinitionen und der Festlegung: Ohne definierten Prozess kein Einsatz. Es wurde stärker abgegrenzt und meine beschriebene Kollegialität immer mehr blockiert. Da einige, darunter auch ich, sich größtenteils an derartig irrsinnige Festlegungen zu Gunsten real funktionierender System nicht gehalten haben, wurden wir aus den Projekten verdrängt.
mögen das
jplie, Kassander, Andreas und Doris mögen das.
teilten dies erneut
Andreas und Doris haben dies geteilt.
Deus Figendi.jwd
Als Antwort auf Kuketz-Blog 🛡 • • •crossgolf_rebel - kostenlose Kwalitätsposts mag das.
homesweethome
Als Antwort auf Kuketz-Blog 🛡 • • •Kann ich so bestätigen.
Globales Unternehmen mit klar aufgeschriebenen Regeln und Vorgaben. Jede Entity musste einmal pro Jahr ein Self Assessment durchführend. Das dokumentierte Ergebnis an den globalen CISO schicken. Alles sah auf dem Papier immer sehr gut aus. Knicken lochen abheften 😉
Dann wechselte der CTO und hat nach Absprache mit dem CEO ein fünfköpfiges Pentest Team beauftragt.
Ergebnis war niederschmetternd und ab dann wurde aufgeräumt!
TheTomas
Als Antwort auf homesweethome • • •Lacrosse 🥍
Als Antwort auf Kuketz-Blog 🛡 • • •TheTomas
Als Antwort auf Kuketz-Blog 🛡 • • •Tja Mike, erzähl das mal den Verantwortlichen Geschäftsführern, die nicht selten gegen den IS-Beauftragten arbeiten. Nicht alle, aber meine persönliche Bilanz bei KMU ist ernüchternd. Im Postmortem oder Bericht schreibe ich dann immer: "Führungs und Governanceproblem beim Übergang von personalgeführten zu einer systemgeführten Organisation."
Naturadler
Als Antwort auf Kuketz-Blog 🛡 • • •Kuketz-Blog 🛡
Als Antwort auf Naturadler • • •Steffen 🦉🇪🇺 mag das.
Steffen 🦉🇪🇺
Als Antwort auf Kuketz-Blog 🛡 • •Andreas Tengicki
Als Antwort auf Naturadler • • •@Naturadler Konzerne reden Denglish, dann fällt es nicht so auf.
Wikipedia sagt: de.wikipedia.org/wiki/Complian… "Die Gesamtheit der Grundsätze und Maßnahmen eines Unternehmens zur Einhaltung bestimmter Regeln... "
Die Medizin sagt laut Oxford Dict: "Bereitschaft eines Patienten zur aktiven Mitwirkung an therapeutischen Maßnahmen"
Therapie ist ein guter Ansatz.
Compliance (BWL) – Wikipedia
Autoren der Wikimedia-Projekte (Wikimedia Foundation, Inc.)Nicolai von Neudeck
Als Antwort auf Andreas Tengicki • • •Andreas Tengicki
Als Antwort auf Nicolai von Neudeck • • •Nicolai von Neudeck
Als Antwort auf Naturadler • • •Michel
Als Antwort auf Kuketz-Blog 🛡 • • •Ähnlich sehe ich ISO9000, Prozesse werden schriftlich niedergelegt und eine Abweichung davon ist nicht erlaubt. Selbst wenn sie Fehler enthält müssen diese Fehler solange fortgeführt werden, bis die ISO neu verfasst und erlassen wurde.
Der Scheiks kommt mir nicht ins Haus
Rainer
Unbekannter Ursprungsbeitrag • • •@microbloggertom
Genau, beides braucht Zeit, Menschen und Technik, damit die Zuständigkeiten zusätzlich zur Doku auch herausfinden, was sie dokumentieren müssen.
@kuketzblog
Jan Sandbrink
Unbekannter Ursprungsbeitrag • • •@microbloggertom ist nur leider oft nicht was in der Praxis geschieht. Da ist die Doku (und Doku über Zuständigkeiten) halt losgelöst von der eigentlichen Arbeit.
Das ist doof und läuft dem Ziel der compliance entgegen und trotzdem leider so.
Rens van der Heijden
Als Antwort auf Kuketz-Blog 🛡 • • •0mega
Als Antwort auf Kuketz-Blog 🛡 • • •TheTomas
Unbekannter Ursprungsbeitrag • • •EvilBob
Als Antwort auf Kuketz-Blog 🛡 • • •