Immer einen aktuellen Blick auf den eigenen Compliance-Status: Compliance as a Service
Unternehmen haben im Allgemeinen durch Regelwerke und Gesetzgebung Anforderungen, denen mehr oder weniger Folge zu leisten ist. Damit sind internationale Qualitätsrichtlinien wie die gesamte ISO-Familie gemeint ebenso wie bspw. die DSGVO. Insbesondere wenn es um rechtliche Vorgaben geht, geht es auch bei deren Nichteinhaltung oder Nichtbeachtung auch um teilweise empfindliche Strafen. Im Falle der DSGVO, bei einer zu spät oder nicht erfolgten Meldung eines Datenschutzvorfalls, können so z.B. bis zu 4% des Unternehmensumsatzes fällig werden. Das kann bei größeren Unternehmen schon recht viel sein und ist sicher für die Betroffenen weit mehr als ein blaues Auge.
Die Kernfrage, die wir hier beleuchten möchten, lautet:
Wie stelle ich als verantwortliche Person im Unternehmen, als CISO, als CTO o.ä. sicher, dass Compliance oder rechtliche Konformität aktuell, jetzt gerade, bestehen und nicht nur oder bestenfalls ein Snapshot eines Audits vor längerer Zeit vorliegt?
Die Frage dürfte im Kontext der kontinuierlichen und auch nicht langsamen Fortentwicklung von IT- und Software-Landschaften durchaus interessant sein, denn in verantwortlicher Position muss man ggf. nachweisen, nach einem Datenschutzvorfall o.ä., dass alle erwartbaren, zumutbaren und sinnvollen Vorkehrungen getroffen wurden; und dass eben über den aktuellen Compliance-Status, um bei diesem Terminus zu bleiben, Kenntnis besteht, um stets entsprechende Maßnahmen ergreifen zu können.
Wie also damit umgehen? Der Ansatz von conventic hat sich auch aus der tiefgreifenden Prämisse entwickelt, alle Infrastrukturen zu 100% im Sinne von IaC (Infrastructure as Code) zu automatisieren. Das haben wir in vielen Projekten mit verschiedenen Automatisierungs-Tools wie Ansible, TerraForm, CDK u.a. oft und umfänglich getan. Moderne Software-Infrastrukturen basieren nach unserem Verständnis stark auf Cloud-Angeboten, vornehmlich von Amazon (AWS), Microsoft (Azure) und zunehmend auch Google (Google Cloud). Auch hier lässt sich der Automatisierungsansatz weiter verfolgen respektive hochhalten.
Ein verbindlicher Blick auf die eigene aktuelle Compliance ergibt sich nun aus der Nutzung einer Kombination von verschiedenen (Automatisierungs-) Tools und Frameworks, dazu gehören auch verschiedne Bordmittel der Hyperscaler (bspw. AWS Security Hub, AWS Config, etc.) Je nach Komplexität und Umfang der zu überwachenden Infrastrukturen kommt man mit kleineren (OpenSource-) Werkzeugen (z.B. cfn-linter, checkov.io ) zurecht oder eben nicht, dann gibt es auch professionelle Software, welche die Ansprüche größerer Kunden erfüllen kann, dafür aber auch etwas kostet.
Auch anzumerken ist hier, dass es kein One-Size-Fits-All gibt, d.h. man muss sich die Anforderungen und deren Umfeld ansehen und ein entsprechendes Compliance-Projekt auch abhängig von den kundenseitig vorhandenen Kenntnissen definieren und planen.
Aktuell definieren wir auf Basis von Automatisierung und dem zur Verfügung stehenden Toolset verschiedene Ansätze und Dienstleistungspakete, um Compliance und auch Security messbar und damit greifbar zu machen. Entsprechend wird sich in der nähren Zukunft dieses Angebot auch auf unserer Website wiederfinden. Wir freuen uns auf Euer Feedback und Fragen zum Thema!
