Unternehmen stehen heute vor einer enormen Herausforderung: Sie müssen inmitten eines zunehmend komplexen Regulierungsumfelds die digitale Transformation ihres Geschäfts vorantreiben. Die digitale Transformation – also die Nutzung von Cloud-Computing, Mobilität, IoT und anderen neuen Technologien, die Unternehmen innovativer, agiler und flexibler machen sollen – ist zu einer Voraussetzung für Wettbewerbsfähigkeit und Wachstum geworden. Zugleich weiten die Regierungen jedoch die Vorschriften immer mehr aus, insbesondere diejenigen, die den Datenschutz ihrer Bürger stärken sollen, wie etwa die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union. Das Zusammentreffen dieser beiden Entwicklungen schafft den perfekten Sturm und zwingt die Unternehmen, den digitalen Wandel zu beschleunigen und dabei Sicherheit neu zu denken – weg von der „aufgesetzten“ und hin zur „eingebauten“ Sicherheit.
Aus diesem Grund greifen Unternehmen zu cloudbasierten, skalierbaren Architekturen und Lösungen, die die Sicherheit und Richtlinienkonformität von On-Premises-Systemen, Endgeräten sowie öffentlichen und privaten Cloud-Umgebungen automatisieren und laufend bewerten. Das ist eine komplexe Aufgabe, weil durch die Digitalisierungsbestrebungen neue, schnell veränderliche Anwendungen und Webservices hinzukommen, die enorme Mengen an Kundendaten erzeugen, erfassen und analysieren. Unternehmen brauchen heute unbedingt umfassenden Überblick über ihre hybride IT-Umgebung – vor Ort, in Clouds und auf mobilen Endgeräten. Nur so können sie ihre IT-Assets laufend überwachen und schützen, um Risiken zu minimieren und die Einhaltung der Vorschriften zu dokumentieren.
Aus der Cloud, für die Cloud
Unternehmen müssen nach einer Lösung suchen, die Sicherheit und Compliance vereint und über eine einzige, hochskalierbare Cloud-Plattform automatisch alle Assets an jedem Ort scannt, um sie auf Sicherheit und Richtlinienkonformität zu überprüfen. Die Ergebnisse sollten dann in entsprechenden Berichten dargestellt werden. Dank der Cloud-Architektur können Kunden Assets in jeder hybriden Umgebung identifizieren, mithilfe von leichtgewichtigen Agenten und (aktiven und passiven) Scannern. Diese Sensoren erfassen automatisch und fortlaufend IT-, Sicherheits- und Compliance-Daten und übermitteln sie an die Plattform, wo sie in Echtzeit analysiert werden.
Den „Stack“ konsolidieren
Die Konsolidierung des Technologie-Stacks ist für CIOs und CISOs zu einem Muss geworden, da es schlicht unmöglich ist, für neue Umgebungen und Vorschriften einfach immer noch mehr punktuelle Sicherheits- und Compliance-Lösungen hinzuzufügen. Dank nativer Integrationen mit allen großen Public-Cloud-Anbietern können Anbieter wie Qualys eine Suite aus integrierten, sich selbst aktualisierenden Cloud-Anwendungen anbieten, um neuen regulatorischen Anforderungen gerecht zu werden. Sämtliche Anwendungen werden über eine einzige Plattform bereitgestellt, sodass CIOs, CISOs, Sicherheitsteams und Compliance-Auditoren eine einheitliche Sicht (Single-Pane-of-Glass) zur Verfügung steht.
Unternehmen können mit Compliance-Policies Risiken laufend reduzieren und die Einhaltung einer Vielzahl interner Richtlinien und externer Vorschriften von globaler Reichweite nachweisen. Dazu zählen etwa die DSGVO, die NIST (U.S. National Institute of Standards and Technology) Frameworks, der Payment Card Industry Data Security Standard (PCI-DSS) und die Cybersicherheitsrichtlinien der Reserve Bank of India (RBI). Das enorme Ausmaß des digitalen Wandels macht automatisierte Lösungen erforderlich, um die nötigen Daten zu erfassen. Compliance-Lösungen automatisieren die arbeitsaufwändige Überprüfung und Dokumentation der Konfigurationseinstellungen auf jedem IT-Asset im Netzwerk.
Die anstehende DSGVO, die am 25. Mai 2018 verbindlich wird, stellt Unternehmen vor neue Herausforderungen. Sie stellt strenge Anforderungen an Millionen von Unternehmen und legt für Nichteinhaltung hohe Strafen fest. So müssen Unternehmen zum Beispiel wissen, über welche Daten von Personen in der EU sie verfügen, wo diese Daten gespeichert sind, an wen sie sie weitergeben, wie sie sie schützen und wozu sie sie verwenden. Zudem verpflichtet die DSGVO Unternehmen, schnell auf Anfragen von Personen zu reagieren, die beispielsweise von ihrem Recht auf Löschung, Auskunft oder Datenübertragbarkeit Gebrauch machen möchten. Verletzungen der Datensicherheit müssen binnen 72 Stunden gemeldet werden. Außerdem müssen Unternehmen nachweisen, dass sie die Zustimmung der Personen eingeholt haben, deren Daten sie verarbeiten. Und schließlich schreibt die DSGVO Unternehmen vor, sich zu vergewissern, dass Dritte, an die sie Daten weitergeben, wie etwa Zulieferer oder Partner, die Bestimmungen der Verordnung ebenfalls einhalten.
Von Philippe Courtot, CEO und Sumedh Thakar, Chief Product Officer bei Qualys
#Netzpalaver #Qualys
Über Philippe Courtout:
Philippe Courtot ist CEO von Qualys und arbeitet in dieser Position mit zahlreichen Unternehmen und Behörden zusammen, um deren IT-Sicherheit und Compliance zu verbessern.. Er wurde 2011 bei den SC Magazine Awards Europe zum „CEO des Jahres“ gekürt und gehörte dem Board of Trustees der Internet Society an, einer internationalen gemeinnützigen Organisation, die die Weiterentwicklung des Internets durch weltweite Kooperation und Koordination vorantreiben will. Der gebürtige Franzose hat an der Universität von Paris ein Masterstudium in Physik absolviert, kam 1981 in die USA und lebt seit 1987 im Silicon Valley.
Über Sumedh Thakar:
Sumedh Thakar, Chief Product Officer von Qualys, besitzt umfassende Kompetenz und Erfahrung beim Aufbau und der Bereitstellung der hochskalierbaren Cloud-Plattform-Architektur, auf der die Qualys Cloud-Anwendungen aufsetzen. Thakar hat an der University of Pune, Indien, einen Bachelor-Abschluss in Informatik erworben und ist seit 2002 bei Qualys tätig.