Verringerung des Risikos der Heimarbeit durch Schatten-IT während COVID-19

End User Computing (EUC)-Richtlinien sind komplex, und sich bei der Umsetzung solcher Richtlinien auf unter Zeitdruck stehende Personen zu verlassen, ist nicht nur eine große Herausforderung, sondern auch unpraktisch. Was hat diese Herausforderung noch verschärft? Die Verlagerung so vieler Unternehmensmitarbeiter in die Telearbeit.

Wie PricewaterhouseCoopers in einer Studie hervorhob neue Studie zur CybersicherheitDiese EUCs oder "Schatten-IT"-Anlagen stellen bei COVID-19 eine eindeutige Risikoquelle dar, gegen die sie spezifische Maßnahmen empfehlen:

Überwachung der Schatten-IT und Umstellung der Benutzer auf genehmigte Lösungen.

Überprüfen Sie die Web-Traffic-Protokolle, um die Nutzung von Schatten-IT (z. B. Dateifreigabe, Videokonferenzen und Tools für die Zusammenarbeit) zu überwachen, und arbeiten Sie daran, Benutzer auf vom Unternehmen genehmigte und sichere Lösungen umzustellen (z. B. mithilfe von Cloud Access Security Brokern und Web-Proxy-Filterung).

Die Durchführung einer EUC-Bestandsaufnahme ist mit manuellen Verfahren unpraktisch

Der erste Schritt, den ein Unternehmen zur Risikominimierung unternehmen muss, ist die Inventarisierung seiner Schatten-IT-Assets. Aber welche Maßnahmen müssen Risikomanager ergreifen, um die a richtig Inventar der EUCs?  Zunächst einmal muss jede EUC klar definiert werden - in welches Softwareprogramm ist sie eingebaut? Und wie kritisch ist sie aufgrund der Unternehmensrichtlinien? Danach müssen Eigentümer und Prüfer bestimmt werden, und es muss festgelegt werden, unter welchem geschäftskritischen EUC-Inventar die betreffende Anwendung protokolliert werden soll, und so weiter. Da die Anzahl der EUCs in einem Unternehmen in der Regel in die Hunderte oder gar Tausende geht, ist es eine große Aufgabe, die EUC-Richtlinien für jede einzelne Anwendung manuell genau einzuhalten.

Dieser Ansatz ist natürlich anfällig für menschliche Fehler. Oft werden die Nutzer gebeten, Formulare auszufüllen, um Einzelheiten zu den von ihnen genutzten und besessenen EUCs anzugeben, aber sie geben ausnahmslos nur grobe Informationen und möglicherweise nicht einmal vollständige Antworten. Außerdem ist das Dokument zur Erstellung des EUC-Inventars in der Regel...ein weiteres Tabellenblatt!

Einsatz von Technologie zur Einhaltung von EUC-Richtlinien während COVID-19

Angesichts des plötzlichen Übergangs zur Heim- oder Fernarbeit können Sie sich leicht vorstellen, welche Komplikationen dies in Bezug auf die Anzahl der EUCs und die verstreuten Vermögenswerte mit sich bringt - und welche Risiken damit verbunden sind.

Technologiesysteme bieten die beste Chance, die EUC-Richtlinie im gesamten Unternehmen einzuhalten, indem sie einen maßgeschneiderten Rahmen auf der Grundlage der spezifischen EUC-Richtlinie des Unternehmens schaffen. Diese sind selbst in Zeiten wie diesen, mit einer verteilten Belegschaft, praktikabel und sind ein dringenderes Bedürfnis als in "normalen" Zeiten.

Eine EUC-Inventarvorlage des Technologieanbieters leer an die Kundenorganisation geliefert wird, die dann es anpassen auf der Grundlage ihrer eigenen Anforderungen und EUC-Managementziele. Die anfänglichen Fragen können also lauten: Um welche Art von EUC handelt es sich (z. B. Excel, Access, Matlab-Datei)? Welches wesentliche Risiko (d. h. betrieblich, rechtlich, finanziell, Rufschädigung) birgt die Anwendung für das Unternehmen? Sowie andere organisationsspezifische Fragen.

Je nach Antwort auf die verschiedenen Fragen können weitere Abfragen erforderlich sein - wenn es sich beispielsweise um eine Datei mit hohem Risiko handelt, muss ein geeigneter Stilllegungsplan eingegeben werden. Die Technologie kann sicherstellen, dass diese zusätzlichen Informationen durch Pflichtfelder erfasst werden, um die Einhaltung der EUC-Richtlinien zu unterstützen.

Bei der Beantwortung von Fragen werden über Active Directory auch Abteilungs- und Eigentumsinformationen erfasst. Dies ermöglicht es einer Organisation, eine konsistentes, ganzheitliches Bild der EUC-Landschaft um einen klaren Überblick über die wichtigsten Dateien im gesamten Unternehmen zu erhalten. Wenn z. B. tausend Dateien registriert sind, ist die Granularität ausreichend, um zu wissen, dass sich hundert Dateien auf Remote-Geräten befinden, von denen zehn kritisch und zwei als Preismodelle gelten.

Die Flexibilität und die Vorteile eines technologiebasierten EUC-Konzepts

Natürlich kann die Kontrolle der EUC-Politik nicht auf einer punktuellen Sicht auf die EUC-Landschaft basieren. Das ist entscheidend, Technologie unterstützt ein "lebendiges" Inventar, das immer aktuell ist, nicht eine, die nur zum Zeitpunkt der jährlichen Bewertung aktuell ist. Eine EUC-Anwendung, die zu Beginn des Jahres noch ein mittleres Risiko darstellte, könnte zu einem hohen Risiko werden, weil sie jetzt per Fernzugriff und in einem anderen Sicherheitskontext genutzt wird. Mit der Automatisierung, die technologische Systeme bieten, wird diese Änderung automatisch aufgezeichnet, und die erforderlichen Richtlinienkontrollen werden durchgesetzt.

Wenn die Veränderungen im Status der Belegschaft - Umstellung auf die Fernsteuerung oder Rückführung in im Büro - alle Änderungen an den Richtlinien können in den Fragebogen aufgenommen werden, der dann automatisch an die Mitarbeiter verschickt werden kann. Wenn ein bestimmter EUC-Eigentümer das Unternehmen verlässt, können die Dateien, die "umgesiedelt" werden müssen, leicht gekennzeichnet werden. Der sich ständig ändernde Regulierungsdruck bedeutet, dass Änderungen an der Richtlinie möglicherweise auch erforderlich sein, so dass neue Fragen in den Fragebogen zur Bestandsaufnahme aufgenommen werden müssen. Mit der richtigen Technologie kann auch dies automatisch an die Benutzer mit der Bitte um zusätzliche Informationen weitergeleitet werden.

Alle registrierten EUC-Dateien können dann automatisch der Änderungsverwaltung und den Kontrollstandards unterzogen werden, die auf der EUC-Richtlinie des Unternehmens basieren und Dinge wie Versionsverwaltung, Zugriffsüberwachung und Schutzüberwachung sowie Prüfpfade für die Einhaltung von Vorschriften und Risikomanagement umfassen. Das System erleichtert auch die Wiederherstellung oder Stilllegung von EUCs auf der Grundlage der Unternehmensrichtlinien.

Sie bietet einen vollständigen Einblick in die Compliance-Prozesse der Mitarbeiter und ein detailliertes Verständnis der unstrukturierten Dokumente, Systeme und Anwendungen, auf die der Einzelne im Geschäftsalltag angewiesen ist. Sie erleichtert die Bescheinigung und Überprüfung, die regelmäßige Berichterstattung und die vollständige Überprüfbarkeit bis hin zur Modell-Governance, um Risiken zu verringern.

Der Einsatz von Technologie ist die zuverlässigste, vertrauenswürdigste, zeiteffizienteste und kostengünstigste Art, die gesamte EUC-Umgebung in Unternehmen zu verwalten - von der Erstellung von EUC-Richtlinien und deren Einhaltung bis hin zum Modell des Risikomanagements für die Einhaltung von Vorschriften. Da die Mitarbeiter heute gezwungen sind, aus der Ferne zu arbeiten, ist dies wichtiger und notwendiger denn je.