Heute müssen Technologie- und Compliance-Teams mehr denn je zusammenarbeiten, um die Integrität ihrer Unternehmen zu schützen. Sensible Informationen werden in digitaler Form gespeichert und übertragen und die damit verbundenen Vorschriften werden immer strenger und komplexer. Während die Compliance-Abteilung dafür verantwortlich ist, die für die Informationssicherheit relevanten Vorschriften zu ermitteln, müssen die Technologie-Teams die besten Lösungen zur Einhaltung dieser Vorschriften ermitteln und implementieren.
Active Directory ist eine Schlüsselanwendung für die Einhaltung von Vorschriften, da es als Fenster zu den IT-Aktivitäten und -Richtlinien eines Unternehmens dient - es muss geschützt werden, um die Integrität des Unternehmens und die Einhaltung von Vorschriften zu gewährleisten. Jedes Unternehmen, das mit sensiblen Kundendaten wie Finanz- oder Gesundheitsdaten zu tun hat, muss die Sicherheit seiner Active Directory-Umgebung gewährleisten und regelmäßige Audits durchführen, um nach Informationssicherheitsrisiken zu suchen. Wenn sie nicht aktiv überwacht werden, stellen veraltete Benutzerkonten und lockere Kontrollen für den administrativen Zugriff eine Bedrohung für die Sicherheit von Active Directory dar und bergen das Risiko, dass Unternehmen die Vorschriften nicht einhalten.
Einhaltung der Informationssicherheit
Vorschriften wie SOX und HIPAA wurden zum Schutz von Verbrauchern und Aktionären geschaffen und schreiben vor, dass Unternehmen Active Directory auf verdächtiges Verhalten prüfen, digitale Aufzeichnungen vor Missbrauch schützen und private Kundendaten sichern. Auch wenn die spezifischen Vorschriften von Branche zu Branche variieren können, ist die allgemeine Regel dieselbe: Führen Sie Verfahren und Kontrollen ein, die die sensiblen Daten Ihres Unternehmens schützen. Bei so vielen Gesetzen, die eingehalten werden müssen, ist es schwer zu wissen, welche Vorschriften für Ihr Unternehmen gelten. Deshalb haben wir die Akronyme der Vorschriften entschlüsselt, um die Einhaltung der Vorschriften etwas einfacher zu machen.
SOX: S steht für Shareholder - Der Sarbanes-Oxley Act (SOX) schreibt vor, dass jedes börsennotierte Unternehmen Verfahren zum Schutz der Finanzunterlagen vor Zerstörung, Verlust und Missbrauch einrichten muss, um die Aktionäre des Unternehmens zu schützen und die Möglichkeit von Unternehmensbetrug zu verringern. SOX schreibt außerdem vor, dass das Unternehmen diese Kontrollen prüft und darüber berichtet.
PCI: P steht für Payments (Zahlungen) - Die Verordnung zum Payment Card Industry Data Security Standard (PCI DSS) besagt, dass jedes Unternehmen, das Kartenzahlungen akzeptiert, indem es Karteninhaberdaten speichert, verarbeitet und überträgt, diese Daten sicher bei einem PCI-konformen Hosting-Anbieter hosten muss. Um PCI-konform zu sein, müssen Sie den gesamten Zugriff auf Netzwerkressourcen überwachen, die Sicherheitssysteme regelmäßig testen und eine Richtlinie zur Informationssicherheit einhalten.
GLBA: GL steht für Gives Loans - Der Gramm-Leach-Bliley Act (GLBA), auch bekannt als Financial Modernization Act von 1999, regelt, wie Finanzinstitute mit privaten Kundendaten umgehen. Die Safeguards Rule des GLBA schreibt vor, dass alle Finanzinstitute Sicherheitsvorkehrungen zum Schutz von Kundendaten schaffen, durchführen und aufrechterhalten. Gemäß der Safeguards Rule müssen Finanzinstitute betriebliche Risiken für Kundendaten identifizieren, ein Informationssicherheitsprogramm einführen und das Sicherheitsprogramm regelmäßig überprüfen.
HIPAA: H steht für Gesundheit - HIPAA, der Health Insurance Portability and Accountability Act, wurde ursprünglich geschaffen, um den Krankenversicherungsschutz für Personen zu schützen, die ihren Arbeitsplatz verlieren oder wechseln, und hat sich inzwischen zu einer Reihe von Standards zur Sicherung von Patientendaten entwickelt. Der HIPAA schreibt vor, dass jedes Unternehmen, das mit geschützten Gesundheitsinformationen (PHI) zu tun hat, physische, Netzwerk- und Prozesssicherheitsmaßnahmen einführt und befolgt. Elektronisch übermittelte PHI, oder e-PHI, sind durch die HIPAA-Sicherheitsregel geschützt und Unternehmen müssen diese Informationen durch die Identifizierung und den Schutz vor Bedrohungen sichern.
FISMA: F steht für Federal Government (Bundesregierung) - Der Federal Information Security Management Act (FISMA) wurde vom Department of Homeland Security (Ministerium für Innere Sicherheit) ins Leben gerufen, um Informationen, Abläufe und Vermögenswerte der Regierung vor allen natürlichen oder von Menschen verursachten Bedrohungen zu schützen. Es besagt auch, dass Regierungsbehörden Instrumente zur Prüfung ihrer Informationssicherheitsprogramme, zum Testen von Sicherheitsverfahren und zur Durchführung regelmäßiger Risikobewertungen einsetzen müssen.
Active Directory-Überprüfung und -Einhaltung
Unabhängig von der Branche müssen Unternehmen aufgrund solcher Vorschriften ihre IT-Umgebung überwachen, um potenzielle Bedrohungen zu erkennen und zu beseitigen. Der Semperis Active Directory State Manager (ADSM) unterstützt Unternehmen bei der Einhaltung von Vorschriften durch Echtzeit-Audits und Berichte über potenzielle Lücken, darunter:
- Prüfung von Active Directory-Änderungen - Bei staatlichen Prüfungen müssen Organisationen wissen, welche Änderungen vorgenommen werden und wer sie vornimmt.
- Identifizierung inaktiver aktivierter Konten - Veraltete und ungenutzte Konten stellen ein Risiko für die Sicherheit von Active Directory dar, da diese Konten ausgenutzt und als Angriffsvektoren verwendet werden können.
- Nachverfolgung sensibler und privilegierter Benutzerkonten - Durch die Nachverfolgung von Änderungen an sensiblen und privilegierten Benutzerkonten können Sie sicherstellen, dass Ihr Unternehmen die Richtlinien zur Informationssicherheit einhält, die im Rahmen der Vorschriften zur Informationssicherheit eingeführt wurden.
Die meisten dieser Vorschriften zur Informationssicherheit wurden im Gefolge der Finanzkrise und der Unternehmensskandale um die Jahrhundertwende geschaffen. Angesichts der zunehmenden Häufigkeit und des Ausmaßes von Cyberangriffen und der großen Sicherheitsverletzungen im letzten Jahr sind die Unternehmen sensibler für Fragen der Cybersicherheit geworden. Es werden neue Vorschriften erlassen, um sicherzustellen, dass Unternehmen Maßnahmen zur Cybersicherheit ergreifen, um sensible Daten vor Datenverletzungen zu schützen. Um der Entwicklung einen Schritt voraus zu sein, ist es wichtig, Active Directory aktiv zu überprüfen und sich vor Bedrohungen zu schützen und diese zu beseitigen.
