Startseite
01.2009		  
 

Klarheit und Nachvollziehbarkeit Das Richtige richtig tun – auch in der IT Security

Sicherheit für webbasierte ERP-/CRM-Portale – Neue Möglichkeiten aber auch neue Herausforderungen

Outsourcing – Wer kontrolliert eigentlich die Dienstleister?

Dem Täter auf der Spur – Forensische Analysen

Managed Security Services – Überwachung, Alarmierung und Betriebsunterstützung
informer 01.2009
.pdf-Datei [425 kB]
Events und
Workshops
Ihr Feedback
ist uns wichtig

Integralis.com
Impressum

e-newsletter »informer« abbestellen

Outsourcing – Wie kontrolliert man eigentlich die Dienstleister?

Uwe Maurer, Business Development Manager Security Operations, CISSP
Uwe Maurer, Business Development Manager Security Operations, CISSPDer Trend zum Outsourcing zeichnete sich bereits im vergangenen Jahr ab, doch die aktuelle wirt­schaft­liche Lage zwingt weitere Unternehmen, über Ein­sparungen in allen Bereichen nach­zu­denken.
Vor allem in der IT und IT-Security wird der Rot­stift angesetzt. Auch, weil viele Infra­struk­tur­pro­jekte den schnellen Nutzen oder sofortige Ein­sparungen kaum nachweisen können.
Selbst bei Projekten, deren Rentabilität oder strate­gischer Nutzen offensichtlich sind, wird gespart.
Viele Unternehmen entschließen sich unter diesen Bedingungen, die Kapitalausgaben zugunsten von Betriebsausgaben zu reduzieren. Das geht zum Beispiel, indem wichtige Rationalisierungen verschoben werden oder Aufgaben komplett über einen Dienstleister abgewickelt und als Betriebsausgaben verrechnet werden.

Kontrolle externer Dienstleister wird immer wichtiger
Die Aufgaben für die Dienstleister nehmen daher in Zeiten der finan­ziellen Krise mit weniger Budget eher zu.
Für immer mehr Unternehmen heißt das, sie müssen den Dienstleistern vertrauen und sind auf eine zuverlässige Arbeit dieser angewiesen. Denn sie erwarten hohe Effizienz sowie Fehlerfreiheit und gehen da­von aus, dass die eigenen Daten in sicheren Händen sind.
Doch gerade in Zeiten, in denen es immer häufiger zu unzuverlässigem Umgang mit Daten kommt, reicht Gutgläubigkeit nicht mehr aus.
Es wird daher immer wichtiger, die Dienstleister zu kontrollieren. Die meisten Compliance-Regularien raten zu einer laufenden Ver­haltens­kon­trolle der Externen.
Auch, weil in letzter Zeit immer wieder Fälle bekannt wurden, in denen Dienstleister tatsächlich Schadensverursacher waren oder bei einem Schaden sofort verdächtigt wurden. Eine später verwertbare Er­fassung der sensiblen Aktivitäten wäre hier sicher sinnvoll gewesen.

Wie können Dienstleister kontrolliert werden?
Bei der Kontrolle von Dienstleistern geht es nicht nur um die not­wen­dige laufende Verhaltenskontrolle, sondern auch um Er­folgs­kon­trolle. Diese orientiert sich an den zugesagten Leistungen. So sollte bei Outsourcing und Betriebsunterstützung beispielsweise noch die Erbringung der folgenden Aufgaben überwacht werden:

Ordungsgemäßes Systemmanagement mit der Gewährleistung von Funktions- und Sicherheitsstandards:
  • Vermeidung und Beseitigung von kritischen Schwachstellen
  • Korrektes, effizientes und voll dokumentiertes Change-Management
  • Überwachung der Funktion und Sicherheit der Systeme sowie schnelles kompetentes Fehlermanagement
  • Laufende Reviews und Verbesserungen der Systemkonfigurationen
  • Vorbereitung auf Audits durch regelmäßiges und vollständiges Reporting
Zusätzlich muss selbstverständlich der Umgang des Dienstleisters mit sensiblen Daten kontrolliert werden. Genau genommen bedeutet das:
  • Einhaltung der gesetzlich empfohlenen und vereinbarten Verfahrensweisen beim Datenhandling
  • Einhaltung der Sicherheitsrichtlinien beim (Fern-) Zugriff und bei der Benutzung der Einrichtungen
  • Beschränkung auf die Arbeit im vereinbarten Bereich
  • Beschränkung der eigenen Privilegien auf das minimal Erforderliche
Letztendlich dürfen Unternehmen vom  Dienstleister eine ausreichende Kompetenz, Prozesseffizienz und Fehlerfreiheit erwarten.



E-Mail an den Autor     Artikel weiterempfehlen