Verringerung des Risikos der Heimarbeit durch Schatten-IT während COVID-19

End User Computing (EUC)-Richtlinien sind komplex, und sich bei der Umsetzung solcher Richtlinien auf unter Zeitdruck stehende Personen zu verlassen, ist nicht nur eine große Herausforderung, sondern auch unpraktisch. Was hat diese Herausforderung noch verschärft? Die Verlagerung so vieler Unternehmensmitarbeiter in die Telearbeit.

Wie PricewaterhouseCoopers in einer neuen Cybersicherheitsstudie hervorhebt, stellen diese EUCs oder "Schatten-IT"-Anlagen bei COVID-19 eine eindeutige Risikoquelle dar, gegen die sie spezifische Maßnahmen empfehlen:

Überwachung der Schatten-IT und Umstellung der Benutzer auf genehmigte Lösungen.

Überprüfen Sie die Web-Traffic-Protokolle, um die Nutzung von Schatten-IT (z. B. Dateifreigabe, Videokonferenzen und Tools für die Zusammenarbeit) zu überwachen, und arbeiten Sie daran, Benutzer auf vom Unternehmen genehmigte und sichere Lösungen umzustellen (z. B. mithilfe von Cloud Access Security Brokern und Web-Proxy-Filterung).

Die Durchführung einer EUC-Bestandsaufnahme ist mit manuellen Verfahren unpraktisch

Der erste Schritt, den ein Unternehmen zur Risikominimierung unternehmen muss, ist eine Bestandsaufnahme seiner Schatten-IT-Assets. Doch welche Maßnahmen müssen Risikomanager ergreifen, um ein angemessenes Inventar der EUCs zu erstellen ? Zunächst einmal muss jeder EUC klar definiert werden - in welchem Softwareprogramm ist er eingebaut? Und wie kritisch ist sie gemäß den Unternehmensrichtlinien? Danach müssen Eigentümer und Prüfer bestimmt werden, und es muss festgelegt werden, unter welchem geschäftskritischen EUC-Inventar die betreffende Anwendung protokolliert werden soll, und so weiter. Da die Anzahl der EUCs in einem Unternehmen in der Regel in die Hunderte oder gar Tausende geht, ist es eine große Aufgabe, die EUC-Richtlinien für jede einzelne Anwendung manuell genau einzuhalten.

Dieser Ansatz ist natürlich anfällig für menschliche Fehler. Oft werden die Nutzer gebeten, Formulare auszufüllen, um Einzelheiten zu den von ihnen genutzten und besessenen EUCs anzugeben, aber sie geben ausnahmslos nur grobe Informationen und möglicherweise nicht einmal einen vollständigen Satz von Antworten. Außerdem ist das Dokument für die Erstellung des EUC-Inventars in der Regel...eine weitere Tabellenkalkulation!

Einsatz von Technologie zur Einhaltung von EUC-Richtlinien während COVID-19

Angesichts des plötzlichen Übergangs zur Heim- oder Fernarbeit können Sie sich leicht vorstellen, welche Komplikationen dies in Bezug auf die Anzahl der EUCs und die verstreuten Vermögenswerte mit sich bringt - und welche Risiken damit verbunden sind.

Technologiesysteme bieten die beste Chance, die EUC-Richtlinie im gesamten Unternehmen einzuhalten, indem sie einen maßgeschneiderten Rahmen auf der Grundlage der spezifischen EUC-Richtlinie des Unternehmens schaffen. Diese sind selbst in Zeiten wie diesen mit einer verteilten Belegschaft praktikabel und dringender erforderlich als in "normalen" Zeiten.

Eine EUC-Inventarvorlage des Technologieanbieters leer an die Kundenorganisation geliefert wird, die dann es anpassen auf der Grundlage ihrer eigenen Anforderungen und EUC-Managementziele. Die anfänglichen Fragen können also lauten: Um welche Art von EUC handelt es sich (z. B. Excel, Access, Matlab-Datei)? Welches wesentliche Risiko (d. h. betrieblich, rechtlich, finanziell, Rufschädigung) birgt die Anwendung für das Unternehmen? Sowie andere organisationsspezifische Fragen.

Je nach Antwort auf die verschiedenen Fragen können weitere Abfragen erforderlich sein - wenn die Datei beispielsweise ein hohes Risiko darstellt, muss ein geeigneter Stilllegungsplan eingegeben werden. Die Technologie kann sicherstellen, dass diese zusätzlichen Informationen durch Pflichtfelder erfasst werden, um die Einhaltung der EUC-Richtlinien zu unterstützen.

Bei der Beantwortung von Fragen werden über Active Directory auch Abteilungs- und Eigentumsinformationen erfasst. Auf diese Weise kann ein Unternehmen ein konsistentes, ganzheitliches Bild der EUC-Landschaft erstellen, um einen klaren Überblick über die wichtigsten Dateien im gesamten Unternehmen zu erhalten. Wenn beispielsweise eintausend Dateien registriert sind, reicht die Granularität aus, um zu wissen, dass sich einhundert davon auf Remote-Geräten befinden, von denen zehn kritisch sind und zwei zu den Preismodellen gehören.

Die Flexibilität und die Vorteile eines technologiebasierten EUC-Konzepts

Natürlich kann die Kontrolle der EUC-Politik nicht auf einem "punktuellen" Überblick über die EUC-Landschaft beruhen. Entscheidend ist, dass die Technologie ein "lebendiges" Inventar unterstützt, das immer aktuell ist und nicht nur zum Zeitpunkt der jährlichen Bewertung. Eine EUC-Anwendung, die zu Beginn des Jahres vielleicht noch ein mittleres Risiko darstellte, könnte nun zu einem hohen Risiko werden, da sie nun per Fernzugriff und in einem anderen Sicherheitskontext bearbeitet wird. Mit der Automatisierung, die technologische Systeme bieten, wird diese Änderung automatisch aufgezeichnet, und die erforderlichen Richtlinienkontrollen werden durchgesetzt.

Wenn sich der Status der Belegschaft ändert - sei es, dass sie zu einer Remote-Basis wechselt oder wieder ins Büro zurückkehrt - können alle Änderungen an den Richtlinien im Fragebogen berücksichtigt werden, der dann automatisch an die Mitarbeiter verschickt werden kann. Wenn ein bestimmter EUC-Eigentümer das Unternehmen verlässt, können die Dateien, die "umgesiedelt" werden müssen, leicht markiert werden. Der sich ständig ändernde Regulierungsdruck kann auch Änderungen an der Richtlinie erforderlich machen, so dass neue Fragen in den Inventarisierungsfragebogen aufgenommen werden müssen. Mit der richtigen Technologie kann auch dies automatisch an die Benutzer weitergeleitet werden, mit der Bitte um zusätzliche Informationen.

Alle registrierten EUC-Dateien können dann automatisch der Änderungsverwaltung und den Kontrollstandards unterzogen werden, die auf der EUC-Richtlinie des Unternehmens basieren und Dinge wie Versionsverwaltung, Zugriffsüberwachung und Schutzüberwachung sowie Prüfpfade für die Einhaltung von Vorschriften und Risikomanagement umfassen. Das System erleichtert auch die Wiederherstellung oder Stilllegung von EUCs auf der Grundlage der Unternehmensrichtlinien.

Es bietet einen vollständigen Einblick in die Compliance-Prozesse der Mitarbeiter und ein detailliertes Verständnis der unstrukturierten Dokumente, Systeme und Anwendungen, auf die der Einzelne im Tagesgeschäft angewiesen ist. Sie erleichtert die Bescheinigung und Überprüfung, die regelmäßige Berichterstattung und die vollständige Überprüfbarkeit bis hin zur Modell-Governance, um Risiken zu verringern.

Der Einsatz von Technologie ist die zuverlässigste, vertrauenswürdigste, zeiteffizienteste und kostengünstigste Art, die gesamte EUC-Umgebung in Unternehmen zu verwalten - von der Erstellung von EUC-Richtlinien und deren Einhaltung bis hin zum Modell des Risikomanagements für die Einhaltung von Vorschriften. Dies ist heute, da die Mitarbeiter gezwungen sind, aus der Ferne zu arbeiten, wichtiger und notwendiger denn je.