IT-»Sicherheit« wird hierzulande oft mit Compliance verwechselt: Richtlinien, Vorlagen, Prozesse – alles sauber dokumentiert und abheftbar. Hauptsache: Niemand ist schuld, wenn es knallt.

Reale Sicherheit entsteht nicht durch Papier, sondern durch gute IT-Leute, Zeit, Budgets, klare Zuständigkeiten – und Technik, die wirklich gehärtet, gepflegt und überprüft wird.

Checkboxen senken keine Risiken. Sie senken nur das Haftungsgefühl.

#compliance #sicherheit #security

Als Antwort auf Kuketz-Blog 🛡

Genau! Vor geraumer Zeit haben wir noch mit Verantwortungsbewusstsein dafür gesorgt, dass die Systeme der Belegschaft korrekt funktionieren. Es gab zwar auch formulierte Abgrenzungen darüber, wer für was zuständig ist, jedoch haben wir uns gegenseitig kollegial bei der Erfüllung des Gesamtziels unterstützt. Es ging für das Team primär darum, gesamtheitlich Tickets korrekt zu bearbeiten um sie berechtigt schließen zu können.
Im laufe der Zeit kamen immer mehr sogenannte Prozessoptimierer mit ihren Prozessdefinitionen und der Festlegung: Ohne definierten Prozess kein Einsatz. Es wurde stärker abgegrenzt und meine beschriebene Kollegialität immer mehr blockiert. Da einige, darunter auch ich, sich größtenteils an derartig irrsinnige Festlegungen zu Gunsten real funktionierender System nicht gehalten haben, wurden wir aus den Projekten verdrängt.

teilten dies erneut

Als Antwort auf Kuketz-Blog 🛡

Gar nicht so selten widersprechen sich die Ziele auch, da bekommt man seine Software/sein System in genau DIESEM Zustand zertifiziert und Updates verbieten sich, selbst wenn es bekannte Sicherheitslücken gibt, aber für die neue Version gibt es kein Zertifikat und ein neues würde Geld kosten etc. also fährt man auf der alten Version, denn dass man eine als sicher zertifizierte Version benutzt ist mit dem Kunden vereinbart (oder gesetzliche Pflicht).
Als Antwort auf Kuketz-Blog 🛡

Kann ich so bestätigen.

Globales Unternehmen mit klar aufgeschriebenen Regeln und Vorgaben. Jede Entity musste einmal pro Jahr ein Self Assessment durchführend. Das dokumentierte Ergebnis an den globalen CISO schicken. Alles sah auf dem Papier immer sehr gut aus. Knicken lochen abheften 😉
Dann wechselte der CTO und hat nach Absprache mit dem CEO ein fünfköpfiges Pentest Team beauftragt.
Ergebnis war niederschmetternd und ab dann wurde aufgeräumt!

Als Antwort auf Kuketz-Blog 🛡

Die Medien in diesem Beitrag werden Besuchern nicht angezeigt. Um sie anzusehen, gehe bitte zum Originalbeitrag.

Tja Mike, erzähl das mal den Verantwortlichen Geschäftsführern, die nicht selten gegen den IS-Beauftragten arbeiten. Nicht alle, aber meine persönliche Bilanz bei KMU ist ernüchternd. Im Postmortem oder Bericht schreibe ich dann immer: "Führungs und Governanceproblem beim Übergang von personalgeführten zu einer systemgeführten Organisation."
Als Antwort auf Kuketz-Blog 🛡

Compliance ist nur heiße Luft, jeder hat sie, keiner hält sich daran. Aber man hat ein Papier in dem man behauptet es gäbe sie.
Ähnlich sehe ich ISO9000, Prozesse werden schriftlich niedergelegt und eine Abweichung davon ist nicht erlaubt. Selbst wenn sie Fehler enthält müssen diese Fehler solange fortgeführt werden, bis die ISO neu verfasst und erlassen wurde.
Der Scheiks kommt mir nicht ins Haus
Als Antwort auf Kuketz-Blog 🛡

das sehe ich tatsächlich anders. Ich habe ich genug gesehen, wie extrem gute Leute trotzdem Fehler machen. Eine gute Compliance ist dazu da, die gute IT-Leute eine gewisse Sicherheit bieten, nichts übersehen zu haben, ggf auch effizienter arbeiten zu können. Das Problem entsteht, wenn das eine mit dem anderen verwechselt wird.
Als Antwort auf Kuketz-Blog 🛡

#realsatire Sorry konnte den Server nich nicht updaten, weil ich erst aufschreiben musste das er upzudaten ist und dann musste ich noch nachfragen ob ich das darf und ob ich es genehmigt bekomme das ist nämlich in unseren Richtlinien so festgelegt. Ah der Server muss nach dem Hack komplett neu aufgesetzt werden. Ah und ich muss niemand deswegen um Erlaubnis fragen. Weil es jetzt ganz schnell gehen muss. Cool. Ist das jetzt der neue compliance konforme Update Prozess?