Compliance-Maßnahmen
Compliance heißt nicht Sicherheit
Fortsetzung des Artikels von Teil 1
Sicherheit ist individuell
Keine Frage, bestimmte Geschäftsmodelle sind zwangsläufig darauf angewiesen, Compliance-Anforderungen zu befolgen: Wenn etwa daran eine Zulassung hängt, wie an PCI-DSS für Anbieter von Kreditkarten oder die Erfüllung von Basel III-Kriterien die Kreditwürdigkeit beeinflusst. Es empfiehlt sich jedoch, genau zu prüfen, ob und in welchem Maße das eigene Unternehmen Compliance-Vorschriften nachkommen muss - oder aber, ob der Compliance-Vorwand nicht nur als Geschäftsführerschreck und Honorarmaschinerie für Unternehmensberater und Security-Anbieter angeführt wird.
Wichtiger als Compliance-Anforderungen akribisch zu erfüllen, ist für die meisten Unternehmen, ein Sicherheitskonzept zu entwickeln, das wirklich passgenau auf die eigenen Ansprüche zugeschnitten ist. Dafür müssen sie sich folgende Fragen stellen:
• Was sind eigentlich unsere schützenswerten Informationen - Patente, Kunden- und Buchhaltungsdaten, Produktionsprozesse?
• Was sind die Risiken? Was passiert, wenn diese Informationen in fremde Hände gelangen oder verloren gehen?
• Welche Maßnahmen sind nötig, um diese Unternehmenswerte wirksam zu schützen?
• Was wird bereits getan, um diese Informationen zu schützen?
Wer schützenswerte Informationen besitzt, braucht einen Mitarbeiter der sich explizit um Informationssicherheit kümmern kann. Für ein erstes Sicherheitskonzept unterstützen idealerweise externe Sicherheitsberater, die die nötigen Strukturen aufbauen und dabei helfen eigene, interne Kräfte zu qualifizieren, damit sie diese Aufgaben übernehmen können. Kleinere Firmen ohne eigene personelle Ressourcen sind gut beraten, einen externen Sicherheitsbeauftragen langfristig zu beauftragen, so wie es heute mit einem Datenschutzbeauftragten üblich ist.
- Compliance heißt nicht Sicherheit
- Sicherheit ist individuell
