theNet von CLOUDFLARE

Wie ich lernte, Compliance zu lieben

Compliance kommt in der heutigen Zeit eine maßgebliche Bedeutung zu. Dass einem Unternehmen Vertrauen geschenkt wird und es einen guten Ruf genießt, ist für seinen Erfolg entscheidend und untrennbar mit der Einhaltung von Cybersicherheitsstandards verbunden. Unserer Erfahrung nach ist Compliance allerdings weder besonders leicht zu erreichen noch aufrechtzuerhalten. Sicherheitsverantwortliche müssen wissen, wie eine wachsende Anzahl von Vorschriften, Gesetzen und Standards eingehalten werden können – von denen die meisten unvereinbar erscheinen. Diese Komplexität macht es äußerst schwer, Compliance zu erreichen, aufrechtzuerhalten und nachzuweisen.

Bei Cloudflare verwenden wir beträchtliche Ressourcen darauf, Compliance-Anforderungen zu verstehen, die richtigen Sicherheitsverfahren und -kontrollen zu implementieren, Änderungen in unserer Umgebung zu überwachen und Bewertungen für den Compliance-Nachweis durchzuführen. Früher hätte ich diesen Aufwand als unnötige Last angesehen. Doch nach 20 Jahren beruflicher Tätigkeit im Cybersicherheitsbereich habe ich Compliance für das zu schätzen gelernt, was sie uns als Gemeinschaft ermöglicht, anstatt sie unter dem Aspekt zu betrachten, was damit verwehrt wird.

Bildquelle: Dr. Seltsam oder: Wie ich lernte, die Bombe zu lieben

Compliance mit einem ergebnisorientierten Sicherheitskonzept verbinden

Jahrelang wurde das Ausmaß von Cybersicherheitsbedrohungen nicht wirklich verstanden. Die Folge: Heute ist eine Abhängigkeit von grundlegend unsicheren Technologien zur Norm geworden. Zu lange waren Geschwindigkeit und Kosten wichtiger als Sicherheit und Datenschutz. Es handelt sich um ein Versagen in mehrfacher Hinsicht: auf Ebene der Politik, des Managements und der Fähigkeiten, vor allem jedoch der Vorstellungskraft.

Im Verteidigungsministerium und in der Nationalen Sicherheitsbehörde der Vereinigten Staaten haben wir uns sehr auf die „Mission“ konzentriert, was für viele ein ergebnisorientierter Ansatz zur Lösung kritischer Probleme ist. Er impliziert irrigerweise, dass man sich nicht um die Einhaltung von Vorschriften kümmert, sondern alles auf einmal in Angriff genommen wird und nur das Endergebnis zählt. Meiner Erfahrung nach war dies jedoch nie zutreffend. Ergebnisse und Compliance verliefen schon immer in parallelen Bahnen und führten gemeinsam zu einer Verringerung des betrieblichen Risikos, aber auch zu besserem Denken und größerer Kreativität.

Als Verantwortliche für Cybersicherheit obliegt uns die Aufgabe, Vorschriften und Strategien so aufeinander abzustimmen, dass die Sicherheit erhöht, Vertrauen aufgebaut und neue Beziehungen geknüpft werden. Wenn wir diesen Ansatz anwenden, können wir aufgabenorientierte Lösungen für die Herausforderungen finden, die der Schutz von Nutzerdaten und geistigem Eigentum, die Vermeidung von Finanzdiebstahl und in einigen Fällen auch die von Sachschäden darstellen.

Höhere Sicherheit auf Grundlage der Compliance

Vertrauen ist schwer zu gewinnen und leicht zu verlieren. Eine Nichteinhaltung von Rechtsvorschriften kann neben Geldstrafen auch den Verlust des Vertrauens von Kunden und Partnern zur Folge haben.

We all know that compliance requirements often create box-checking exercises instead of operational risk reduction. For this reason, I see the practice of cyber security within highly regulated—and highly targeted—fields such as healthcare, financial services, and national security as a strong blueprint for all of us. In these fields, organizations do more than checking boxes: they voluntarily hold themselves to even higher standards than regulations require.

Our security work begins when we meet standards. As a tool, compliance allows us to express our work, look around and see who we can trust, and begin to tackle the hard work of eliminating threats. We often hear that a SOC report or ISO certification should stop breaches, but breaches still happen. Why? The answer is that compliance with frameworks and standards is just a way for us to recognize when something is amiss sooner. It'll never be a way for companies or teams to prevent incidents and exposure. That requires an even more comprehensive approach to cyber security, one based in technical controls.

Bei Cloudflare halten wir uns an die wichtigsten Vorschriften und Standards und haben eine Reihe wichtiger Zertifizierungen erhalten. Wir nutzen die Möglichkeiten, die sich aus der Einhaltung von Vorschriften ergeben können. Aber damit geben wir uns nicht zufrieden. Vielmehr konzentrieren wir uns weiterhin auf unsere Aufgabe, ein besseres und sichereres Internet zu schaffen. Wir gehen über die Einhaltung von Vorschriften hinaus, indem wir fortschrittliche Sicherheitsfunktionen implementieren, die unser Unternehmen, unsere Partner und unsere Kunden schützen. Wir haben Cloudflare entwickelt, damit das Internet für Sie und Ihre Kunden sicherer wird. Informieren Sie sich über die Zertifizierungen, die uns helfen, diese Sicherheit aufrechtzuerhalten.

Dieser Beitrag ist Teil einer Serie zu den neuesten Trends und Themen, die für Entscheidungsträger aus der Tech-Branche heute von Bedeutung sind.

Autor

Oren Falkowitz — @orenfalkowitz
Security Officer, Cloudflare



Wichtigste Eckpunkte

Folgende Informationen werden in diesem Artikel vermittelt:

  • Wie man Compliance nicht als Last, sondern als Erleichterung betrachten kann

  • Richtlinien und Standards werden Sicherheitsvorfälle oder -risiken niemals vollständig beseitigen

  • Die Implementierung ausgefeilter Sicherheitsmaßnahmen, die über die Einhaltung grundlegender Vorschriften hinausgehen, gewährleistet die Sicherheit von Unternehmen, Partnern und Kunden


Andere Artikel in dieser Serie

Erhalten Sie eine monatliche Zusammenfassung der beliebtesten Internet-Insights!