3. Control
In dieser Phase stehen präventive oder korrektive Überwachungsmaßnahmen im Vordergrund, die das Risiko von Compliance- oder Datenschutzverletzungen sowie Beeinträchtigungen der Datenintegrität und -verfügbarkeit reduzieren sollen. Ziel eines Policy-Frameworks ist es, Kontrollmechanismen zu implementieren, die die Erfüllung von Pflichten und Vorschriften sowie das Management von Risiken beziehungsweise deren Management gewährleisten. Die Control-Phase ist die logische Fortsetzung der Assess-Phase, in der Schwachstellen in den Steuerungsmechanismen identifiziert, und der Operate-Phase, in der Änderungen und Umgehungen von Steuerungsmechanismen ermittelt werden.
Die Control-Aktivitäten müssen flexibel sein. Zwar wäre es wünschenswert, Steuerungsmechanismen stets auf der Grundlage von Richtlinien und Standards zu implementieren. Allerdings ist dies oft nicht möglich - wie sich an dem Beispiel von Service-Accounts, bei denen sich Passwörter häufig nicht ändern lassen, zeigt. Wo sich die von Richtlinien vorgesehenen Kontrollmechanismen nicht implementieren lassen, sind risikomindernde oder ausgleichende Steuerungsmechanismen erforderlich.
Durch eine sachgemäße und methodische Handhabung von Steuerungsmechanismen können Unternehmen ein Sicherheitsverhalten etablieren, das dem jeweiligen Grad ihrer Risikobereitschaft entspricht und gegenüber Auditoren auch dann verteidigt werden kann, wenn es von Richtlinien abweicht. Darüber hinaus wird die erste Verteidigungslinie - die Mitarbeiter des Unternehmens - gestärkt, während gleichzeitig die Kosten des Sicherheits-Managements durch weitgehende Standardisierung gesenkt werden. Ferner lassen sich Risiken oft ohne nennenswerte Änderungen oder Störungen der produktiven Systeme reduzieren. Die Control-Phase besteht aus drei Schritten:
Mitarbeiter einbeziehen und das Sicherheitsbewusstsein erhöhen. Interne und externe Mitarbeiter können eine wesentliche Ursache von Sicherheitsvorfällen sein. Letztere werden oft jedoch nicht böswillig, sondern durch Unwissenheit verursacht. Ein wesentlich größeres Problem stellen uninformierte IT-Administratoren und -Architekten sowie andere technische Mitarbeiter dar, die unmittelbar für die Gestaltung und Implementierung von Sicherheitskontrollen verantwortlich sind. Häufig gelingt es nicht, zu gewährleisten, dass diese wichtigen Mitarbeiter mit den eingeführten Sicherheitsstandards vertraut sind. So wissen viele Windows-Administratoren nicht, wie ein Windows-Server richtig abgesichert wird.
Konfigurationsstandards durchsetzen. Sicherheitskonfigurationsstandards helfen, das Risiko- und Sicherheitsverhalten einer Ressource zu definieren. Bei der Ermittlung, inwieweit die Systeme die Basissicherheitsstandards erfüllen (Assess-Phase), zeigen sich mitunter Abweichungen von Konfigurationsstandards. Auch in der Operate-Phase werden häufig Änderungen der Systemkonfiguration entdeckt, die dazu führen, dass das System nicht mehr den Richtlinien entspricht. Die Durchsetzung dieser Standards kann daher ein probates Mittel sein, um solchen Problemen vorzubauen.
Ausgleichende Steuerungsmechanismen implementieren. Häufig ist es nicht möglich, Systeme vollständig richtlinienkonform zu konfigurieren. Daher sollten sich ausgleichende Steuerungsmechanismen implementieren lassen, mit denen die Risiken zu kontrollieren sind. Die zuvor genannten Service-Accounts werden von Applikationen genutzt. Obwohl diese mitunter mit erheblichen Privilegien (insbesondere im Hinblick auf den Datenzugriff) ausgestattet sind, lassen sie sich nicht durch regelmäßiges Ändern der Passwörter schützen, da dies zu Störungen oder zum Absturz der Applikation führen würde. In solchen Fällen gilt es, einen ausgleichenden Steuerungsmechanismus zu implementieren, um die Risiken zu verringern.