Risikomanagement als IT-Dienstleister

By | June 16, 2022
Spread the love

Ein IT-Dienstleister zu sein, hat sich verändert. Früher reichte es aus, nur gut mit Computern umzugehen und sie am Laufen zu halten. Die Dinge haben sich weiterentwickelt und Technologie ist heute für fast jedes Unternehmen auf dem Planeten von entscheidender Bedeutung. Wir verlassen uns mehr auf E-Mails als auf das Telefon. Es gibt eine ganze Generation von Menschen, die lieber über Text als über das gesprochene Wort kommunizieren. Der besorgniserregendste Teil dieser Entwicklung ist, wie Technologie von kriminellen Organisationen ausgenutzt wird, um Unternehmen, die sich auf ihre Informationen und Systeme verlassen, nicht nur zu stehlen, sondern zu stören und Lösegeld zu verlangen, um ihre täglichen Geschäfte abzuwickeln. Wie schützen Sie sich und Ihre Kunden als Lieferant dieser Technologiesysteme vor diesen Risiken?

Autor: Eric Anthony, Direktor, MSP-Community und Partneraktivierung, Egnyte

Das Risiko für Ihre Kunden ist heute fast täglich in den Nachrichten zu sehen. Wir haben auch gesehen, dass sich diese Risiken auf IT-Dienstleister übertragen, da jeder MSP als Torwächter für Hunderte und manchmal Tausende kleiner Unternehmen fungiert. Die Tools, die wir verwenden, um uns Zugang zu unseren Kunden für einen schnellen und effizienten Service zu verschaffen, können auch eine Bedrohung für alle unsere gemeinsamen Kunden darstellen. Das ist der klassische Convenience vs. Sicherheitsproblem. Wie viele MSPs gewähren Benutzern immer noch Administratorzugriff auf ihre einzelnen Geräte, einfach aus Bequemlichkeit? Gehen wir ebenso zu unbekümmert mit RMM-Tools um, die ein extrem hohes Maß an Zugriff auf Endpunkte, Server und Netzwerke bieten? Wie schaffen wir es, unsere Kunden zu bedienen und unsere Systeme (und ihre) sicher zu halten?

Während ich dies schrieb, flog ich gerade zu einem Branchenevent nach Dallas, Texas. Die klassische Ankündigung, dafür zu sorgen, dass wir unsere eigenen Sauerstoffmasken aufsetzen, bevor wir anderen helfen, ist eine Erinnerung daran, dass wir als MSPs zuerst unsere eigenen Häuser in Ordnung bringen müssen. In diesem Artikel geht es nicht darum, wie das geht, sondern um einen Prozess zur Minimierung unseres Risikos in diesem neuen Zeitalter der IT-Services. Daher besteht der erste Schritt darin, sicherzustellen, dass wir ein bekanntes Framework zum Schutz unserer eigenen Unternehmen und Systeme verwenden.

Es könnte endlos darüber diskutiert werden, welches Framework verwendet werden soll, und hier sind einige zur Auswahl:

  1. NIST
  2. GUS
  3. CMMC

Welche Sie verwenden, ist jedoch nicht so wichtig wie die Tatsache, dass Sie einem allgemein anerkannten Satz von Regeln/Prozessen/Sicherheitsvorkehrungen folgen, die von einer anerkannten Stelle definiert wurden. Warum ist das wichtig? Wenn Sie den unvermeidlichen Fragebogen, die Prüfung oder die Vorladung beantworten müssen, ist es wichtig, dass Sie eine Antwort haben, die von der Person oder Organisation anerkannt wird, die die Fragen stellt. Wie das Motto der Pfadfinder sagt: „Sei vorbereitet“.

Nehmen Sie jetzt dasselbe Framework (aus Gründen der Konsistenz) und wenden Sie es auf Ihre Kunden an. Bauen Sie Ihren Software-Stack, Schulungen und Überprüfungen darauf auf. Eine der wichtigsten Überlegungen für jeden Kunden wird seine Cyber-Versicherungspolice sein. Was wird von ihrer Politik verlangt? Wie werden Sie die laufende Einhaltung dieser Anforderungen überwachen, überprüfen und darüber berichten? Ebenso wichtig sind etwaige Compliance-Anforderungen. Akzeptieren sie Kreditkarten, verarbeiten sie Daten, die von HIPAA oder GDPR abgedeckt sind? Sind sie in einer stark regulierten Branche wie Biowissenschaften oder Finanzen tätig? Berücksichtigen Sie diese Dinge, wenn Sie ihre Lösung entwickeln. Denken Sie daran, dass Sie all die schlimmen Dinge nicht verhindern können, zumal so viele Vorfälle durch menschliches Versagen verursacht werden, aber Sie können und müssen in der Lage sein, das zu verteidigen, was Sie getan haben. Der beste Weg, Ihre Methoden zu verteidigen, besteht darin, zu zeigen, dass sie einem anerkannten Sicherheitsrahmen folgen.

Was ist mit den Kunden, die nicht tun, was Sie ihnen sagen?

  1. Dokumentieren Sie Ihre verschreibungspflichtige Lösung
  2. Dokumentieren Sie ihre Weigerung, die Lösung anzunehmen
  3. Überprüfen Sie die Lösung bei jeder Überprüfung und dokumentieren Sie die fortlaufende Ablehnung

Eine Versicherung ist wichtig, da sie oft das letzte Mittel ist (das oder ein Rechtsstreit). Der wirksamste Schutz ist, wenn alle versichert sind. Es reicht Ihnen nicht aus, Cyber-E&O zu haben. Für einige Ihrer Kunden reicht eine Cyber-Versicherung nicht aus. Das geringste Risiko für alle besteht darin, dass alle ausreichend versichert sind.

Was ist, wenn Sie Ihre Dienste nicht sicherer machen möchten? Arbeiten Sie mit jemandem zusammen, der dies tut, und machen Sie allen Parteien klar, wer für was verantwortlich ist.

Sei konsequent. In stark regulierten Branchen ist Konsistenz oft der Schlüssel zur Compliance. Sicherzustellen, dass alles getan wird, wann es sollte und wie es sollte, von allen, ist ein Grundpfeiler für die Datensicherheit.

Alles dokumentieren. Ihre Konfigurationen, die Änderungen an diesen Konfigurationen, Besprechungen usw. Automatisieren Sie die Berichterstattung, erfassen Sie alles Mögliche in Ihrem PSA-/Ticketing-System.

Bericht monatlich. Erstellen, teilen und archivieren Sie mindestens monatlich Berichte über Ihre interne Compliance sowie die Compliance Ihrer Kunden. Finden Sie für maximale Effizienz eine Möglichkeit, die Erstellung und gemeinsame Nutzung dieser Berichte zu automatisieren.

Jährlich neu bewerten. Anforderungen und Sicherheits-Frameworks entwickeln sich ständig weiter. Stellen Sie sicher, dass Sie Versicherungspolicen, Compliance-Anforderungen und Rahmenaktualisierungen mindestens einmal jährlich überprüfen, um Ihr Unternehmen und Ihre Kunden auf dem neuesten Stand und konform zu halten.

Das Risiko, ein IT-Dienstleistungsunternehmen zu führen, ist stark gestiegen, seit ich vor fast 30 Jahren angefangen habe. Die Befolgung dieser Prozesse kann Ihnen helfen, diese Risiken im Griff zu behalten und sie zu minimieren.


Gastblog mit freundlicher Genehmigung von Egnyte. Lesen Sie hier mehr Egnyte-Gastblogs. Regelmäßig verfasste Gastblogs sind Teil des Sponsoring-Programms von ChannelE2E.

Leave a Reply

Your email address will not be published.