Newsletter Anmeldung

Bleiben Sie mit dem Newsletter immer up to date.

Anfrage
arrow-to-top

Cybersecurity geht alle an (Kapitel 6)

Generalaufgaben für Recht und Compliance

Cybersecurity-Generalaufgaben: Sicherstellung der Einhaltung von Gesetzen, Vorschriften und Standards, Risikominderung und Befassung mit Rechtsangelegenheiten

Womit sich die Abteilung Recht und Compliance beschäftigt
Wenn Sie sich darauf konzentrieren, rechtliche Risiken zu mindern oder Compliance-Fragen zu beantworten bzw. darauf zu reagieren, gilt dieser Abschnitt für Sie.

Sie tun dies zu einem grossen Teil, indem Sie sicherstellen, dass das Unternehmen in Übereinstimmung mit den zahlreichen anzuwendenden Gesetzen, Vorschriften und Normen bleibt. Sie können auch auf externe Anfragen, Herausforderungen oder Beschwerden sowie auf interne Angelegenheiten sensibler Natur reagieren.

Sie sind enge Berater von Führungskräften und helfen, Richtlinien und Prioritäten so festzulegen, dass der Hauptzweck des Unternehmens mit den Risiken, denen es ausgesetzt sein könnte, in Einklang steht. Sie reagieren schnell auf juristische Bedrohungen und können zum Mittelpunkt der Interaktion mit Personen ausserhalb des Unternehmens werden, wenn Rechts- oder Compliance-Fragen behandelt werden müssen, wie beispielsweise bei Rechtsstreitigkeiten, Gerichtsverfahren, Audits und wenn Behörden involviert sind.

Sie sind dem Unternehmen wichtig, weil Sie sicherstellen, dass es Gesetze, Vorschriften und Normen befolgt, so dass es sich auf seine Kernkompetenzen konzentrieren kann. Ohne Sie könnte sich das Unternehmen leicht in Schwierigkeiten befinden und strafrechtlichen, zivilrechtlichen und Audit-Forderungen ausgesetzt sein.

Die Rolle von Recht und Compliance bei der Cybersecurity ist:

  1. Minimierung der Verbindlichkeiten im Zusammenhang mit der Cybersecurity des Unternehmens
  2. Sicherstellung der Einhaltung von Gesetzen, Vorschriften und Standards zur Cybersecurity
  3. Auseinandersetzung mit den rechtlichen Auswirkungen von Vorfällen, wenn sie auftreten.

Was Rechts- und Compliance-Experten tun sollten:

  • Verstehen Sie die rechtlichen Auswirkungen der Cybersecurity, um eine solide Risikominderung zu ermöglichen
    • Zusammenarbeit mit glaubwürdigen Dritten, um sich über Cybersecurity und Recht zu informieren – dazu gehören Berufsverbände, Branchengruppen, Berater und Ausbildner
    • Bleiben Sie auf dem Laufenden über neue Vorschriften und Normen
  • Implementierung eines effektiven Compliance-Programms für das Unternehmen
    • Bewertung der Exposition des Unternehmens gegenüber Gesetzen, Vorschriften und Industriestandards, um eine angemessene Abdeckung zu gewährleisten
    • Einrichtung und Durchsetzung von Informationsklassifizierungs- und Zugriffsprozessen
    • Nutzung bestehender Best Practices für die Durchsetzung von Compliance-Anforderungen
    • Sicherstellung der Einhaltung von Richtlinien zur Cybersecurity durch Dritte durch Vertragsbedingungen, wie z.B. Service Level Agreements (SLAs)
  • Aktive Teilnahme am Risikomanagementprozess des Unternehmens, in Zusammenarbeit mit Planung und Governance, Finanzen und Verwaltung sowie anderen Geschäftsfunktionen, um Risiken ganzheitlich zu minimieren
  • Umsetzung von Massnahmen zur Minderung von durch Partner und Lieferanten entstehenden Risiken
  • Aktive Unterstützung der Reaktionskräfte des Unternehmens bei einem vermuteten Verstoss, einschliesslich, soweit möglich, der Ergreifung geeigneter Massnahmen zur Wahrung des Rechtsprivilegs
  • Nach einem Vorfall und wo erforderlich Einbezug der Strafverfolgungsbehörden und Information der Lieferanten und der Öffentlichkeit
  • Schützen Sie den Zugriff auf jede Online-Datenaustausch- oder Entscheidungsunterstützungsplattform, indem Sie bewährte Verfahren anwenden, wie z.B.:
    • Starke Passwörter
    • Eindeutige Passwörter für jedes kritische Konto
    • Multi-Faktor-Authentifizierung
  • Schutz vertraulicher Rechts- und Compliance-Informationen
    • Nur notwendige Informationen weitergeben
    • Sicherstellen, dass die Informationen in Übereinstimmung mit den Datenhaltungsrichtlinien des Unternehmens oder externen Vorschriften vernichtet werden
    • Verwenden Sie starke Verschlüsselung, sichere Passwörter und andere Methoden, um Dateien zu schützen, wenn Sie sie an andere übertragen
  • Leitung der Bemühungen des Unternehmens zur Entwicklung und Umsetzung von Datenschutzrichtlinien in Übereinstimmung mit den geltenden Gesetzen, Branchenvorschriften und bewährten Verfahren

Was wir alle tun sollten:

  • Stellen Sie sicher, dass alle Betriebssysteme und Anwendungen auf dem neuesten und sichersten Stand sind, indem Sie automatische Updates vom Hersteller aktivieren.
  • Wenn Sie von zu Hause aus arbeiten, sichern Sie Ihr Heimnetzwerk durch die Anwendung von Best Practices, z.B.:
    • Ändern Sie Ihr Passwort für den Wireless Router, Ihre SSID und schränken Sie die Möglichkeiten anderer ein, es zu finden
    • Maximieren Sie die Verschlüsselungsstufen auf Ihrem Wireless Router
    • Erhöhen Sie die Datenschutzeinstellungen in Ihrem Browser
    • Verwenden Sie wann immer möglich Virtual Private Networks (VPN) um auf Ihre Unternehmensnetzwerke zuzugreifen.
    • Für zusätzliche Sicherheit schützen Sie die Privatsphäre beim Surfen durch verschlüsselte Browser
    • Für zusätzliche Sicherheit schützen Sie persönliche E-Mail-Konten durch verschlüsselte E-Mails
  • Sichern Sie auf Reisen Ihre Verbindungen zum Unternehmen
    • Geben Sie keine sensiblen Informationen auf öffentlichen Computern ein, z.B. in Hotel-Lobbys, Bibliotheken und Internetcafés
    • Nutzen Sie den VPN-Zugang zu Unternehmensnetzwerken, wann immer dies möglich ist
    • Verwenden Sie kein öffentliches Wi-Fi ohne VPN, um sensible Informationen zu übertragen
    • Verwenden Sie einen dedizierten drahtlosen Hotspot für den Internetzugang
    • Wenn ein Hotspot nicht verfügbar ist, sollten Sie die Anbindung an ein Firmen- oder Geschäftshandy in Betracht ziehen
    • Erwägen Sie die Verwendung von Einwegtelefonen, wenn Sie in Regionen mit fragwürdiger Datensicherheit oder übermässiger Überwachung reisen
    • Schützen Sie Ihren Computer physisch vor Diebstahl und unbefugtem Zugriff
  • Social Media sinnvoll nutzen
    • Wenden Sie starke Datenschutzeinstellungen an
    • Geben Sie keine personenbezogenen Daten auf Geschäftskonten weiter
    • Geben Sie keine Geschäftsinformationen auf Privatkonten weiter

NIST; Susie Cone, Maurice Uenuma; Übersetzung bow; 22.10.2018
Creative Commons Attribution https://creativecommons.org/licenses/by-nc-sa/4.0
Link: https://bit.ly/2UVbfdQ


© Swiss Infosec AG 2024