Kontinuierliches Überwachungsprogramm

Das kontinuierliche Überwachungsprogramm ermöglicht NICE die Verfolgung der Sicherheit des CXone Mpower Systems. Es basiert auf dem folgenden Prozess: NIST SP 800-137, Information Security Continuous Monitoring for Federal Information Systems and Organizations. Dieses Programm soll für Folgendes sorgen:

  • Operative Transparenz.

  • Jahresberichte zur Implementierung von Sicherheitskontrollen.

  • Änderungskontrolle.

  • Bereitschaft zu Vorfallsreaktionspflichten.

Für dieses Programm sammelt NICE mit der Sicherheit verbundene Informationen, um das System zu schützen. Das Programm beinhaltet die folgenden Schritte:

  1. NICE definiert eine Strategie der kontinuierlichen Überwachung auf Basis der Risikotoleranz. Diese Strategie sorgt dafür, dass NICE:

    1. Genau sieht, wie Anlagen behandelt werden.

    2. Die Schwächen im System kennt.

    3. Aktuelle Bedrohungsinformationen hat.

  2. NICE legt Folgendes fest:

    1. Maßnahmen.

    2. Metrics.

    3. Statusüberwachung.

    4. Beurteilungen, die:

      • Den Status und die Effektivität der Sicherheit der Organisation zeigen.

      • Änderungen an der Systeminfrastruktur und der Umgebung betrieblicher Prozesse erkennen.

  3. NICE implementiert ein Programm, um:

    1. Die für die definierten Maßnahmen erforderlichen Daten zu sammeln.

    2. Die Erkenntnisse zu berichten.

    3. Die Sammlung, Analyse und Berichterstattung der Daten, wo möglich, zu automatisieren.

  4. NICE analysiert die in den vorherigen Schritten im Programm gesammelten Daten.

  5. NICE berichtet die Erkenntnisse zusammen mit Empfehlungen zur Verbesserung des Programms. Falls nötig, werden weitere Informationen gesammelt, um vorhandene Daten zu klären oder zu ergänzen.

  6. NICE reagiert auf die Beurteilungsergebnisse durch:

    • Abmilderung technischer, betrieblicher und Management-Schwachstellen.

    • Akzeptieren des Risikos.

    • Übertragung der Beurteilung an eine andere Instanz.

  7. Schließlich überprüft und aktualisiert NICE das Überwachungsprogramm durch:

    1. Überarbeitung der Strategie.

    2. Verbesserung des Messfähigkeiten.

    3. Erhöhung der Sichtbarkeit von Anlagen, Bewusstsein über Schwachstellen und organisatorische Flexibilität.

    4. Verbesserung der datengestützten Kontrolle der CXone Mpower-Infrastruktur.

Regelmäßige Überprüfungen bestätigen, ob Sicherheitskontrollen:

  • Korrekt implementiert sind.

  • Wie beabsichtigt funktionieren.

  • Die Basislinien erfüllen.

Die Berichterstattung liefert staatlichen Behörden die nötigen Informationen. Dies ermöglicht ihnen:

  • Das Treffen risikobasierter Entscheidungen.

  • Gewissheit in Bezug auf die Sicherheit des Systems.

Der Sicherheitsmanagementstandard ISO 27001 erfordert häufige Prüfungen.