CyberSecurity und Sicherheit ist eine gemeinsam geteilte Verantwortung – Security Awareness #7

CyberSecurity und Sicherheit ist eine gemeinsam geteilte Verantwortung 

Rund 90% der erfolgreichen und schädigenden  Hacker-Attacken bzw. CyberSecurity-Vorfällen basieren auf sogenannten Phishing-Mail-Angriffen oder Social Engineering (Clevere Manipulation der menschlichen Tendenz zum Vertrauen und dem darauf basierten (falschen) Verhalten).

Noch besorgniserregender ist der Fakt, dass die durchschnittliche Erkennungszeit eines solchen gezielten Angriffs mitunter mehrere Monate dauern kann. Die entsprechende, dadurch zusätzlich entstehende Gefahr des weiteren indirekten Schadens oder unerwünschten Nebeneffekten sind je nach Branche oder Ausmass gar existenzbedrohend.

Im Zuge der restriktiver werdenden Regulationen und Compliance-Anforderungen rund um z.B. Datenschutz-Gesetz DSG, Datenschutzgrundverordnung DSGVO / GDPR, Privacy Shield, FINMA können weitere Klagen oder Bussen erwachsen aus solchen erkannten oder unerkannten Gesamt-Sicherheits-Defiziten.

Obwohl die Digitalisierungs- und ICT-Strategie (und integriert die ICT-Sicherheit) – angelehnt an die Firmenstrategie – in der Verantwortung und letztlich auch Haftung der Führungs-Ebene steht, sollten auch die betroffenen Mitarbeiter beteiligt und sensibiliert / wachsam gemacht werden für den Umgang, Mithilfe und Massnahmen in der dynamischen Bedrohungslage.

Hierzu eignen sich – nebst technischen und organisatorischen Massnahmen – unterstützend auch stufengerecht verständliche Sensibilisierungs-Workshops mit aktuellen Beispielen, Visualisierungen und Erklärungen zur Anatomie von CyberSecurity-Attacken, bewusst wiederkehrende Newsletters oder E-Learning Modulen mit Tests.

Mittels Weisungen und speziell abgestimmten ICT-Sicherheits-Richtlinien – bei Bedarf als integrierter Bestandteil des Arbeitsvertrages – kann die angestrebt gemeinsam geteilte Verantwortung zur besseren Gesamt-Sicherheit unterstützt werden. Darin sollte auch geachtet werden auf den Schutz des Mitarbeiters durch z.B. klar verständliche Regeln und Abgrenzungen.

Die Mitarbeiter sollten dabei auch technisch unterstützt werden im gemeinsamen Kampf zugunsten des Datenschutzes und Kennwortsicherheit mittels integrierten Lösungen in Bereichen wie z.B. Daten-Verschlüsselung, Email-Verschlüsselung, Multi-Factor Authentication MFA, Information Rights Management IRM / Information Protection oder auch griffigen Kennwort-Richtlinien. Erst dann kann man von Datenschutz sprechen wenn auch effektiv die eigentliche Datensicherheit maximiert hat.

Je nach Branche / Funktion und damit allenfalls verbundener, erhöhter Sicherheits-Relevanz können auch bereits bei der Rekrutierung oder im Rahmen der Compliance und Regulation weitergehende Integritäts- oder Sensibilisierungs-Tests gemacht werden zur Erkennung und Beurteilung von firmen- oder projekt-relevanten Defiziten oder personenbezogenen Risiken.

Spezielles Augenmerk sollte auf die mobilen / externen Arbeitsplätze, Anwendungen und Geräte im z.B. Aussendienst, Niederlassungen oder HomeOffices gelegt werden mit geeigneten, proaktiven und monitored Services (z.B. vollautomatisierte, regelbasierte Verschlüsselung oder Datenklassifizierung) im Fokus einer integrierten Gesamt-Sicherheits-Lösung.

Zunehmend entstehen auch unterstützende Technologien auf Basis von künstlicher Intelligenz KI / artificial intelligence AI oder machine learning ML – dieses auch nötige „human-machine teaming“ (infolge bald erreichten Grenzen von „nur“ Technologie) eröffnet völlig neue Komplexitäts-Stufen und Sicherheits-Evolution im CyberSecurity-Bereich – aber leider auch auf Seite der Angreifer.

Die 100% Sicherheit wird es nie geben.
Jedoch kann die Technologie + die Prozesse + der Faktor Mensch (human-machine teaming) ein angemessenes Sicherheits-Schutz-Niveau von rund 99% in gemeinsamer Orchestrierung erreichen. Der restliche, nicht erreichbare Anteil ist und bleibt Bestandteil des (Rest)-Risiko-Managements.

+++

«Phishing Mail»
Unter dem Begriff Phishing versteht man Versuche, über gefälschte Webseiten, E-Mails oder Kurznachrichten an persönliche Daten eines Internet-Benutzers zu gelangen und damit Identitätsdiebstahl zu begehen. Ziel des Betrugs ist es, mit den erhaltenen Daten den entsprechenden Personen oder Firmen zu schaden. Es handelt sich dabei um eine Form des Social Engineering, bei dem die Gutgläubigkeit des Opfers ausgenutzt wird

«Social Engineering»
Clevere Manipulation der menschlichen Tendenz zum Vertrauen und dem darauf basierten (falschen) Verhalten). Beispiele: Telefonanrufe mit Vortäuschen und Erfragen von Kennwörtern / Bankkonten / sensitive Daten, Phishing Mail

“Multi-Factor Authentication”
Die Multi-Faktor-Authentifizierung (MFA) ist eine Methode der Computerzugriffskontrolle, bei der ein Benutzer nur dann Zugriff erhält, wenn mehrere Authentifizierungsmechanismen erfolgreich einem bestimmten Authentifizierungsmechanismus präsentiert werden – typischerweise mindestens zwei der folgenden Kategorien: Wissen (etwas, das sie kennen z.B. Kennwort) , Besitz (etwas, das sie haben z.B. Smartphone) und Inhärenz (etwas, das sie sind z.B. Emailidentität).

«CyberSecurity»
Cyber Security ist eine Sammlung von Richtlinien, Konzepten und Maßnahmen, um persönliche oder firmensensitive Daten zu schützen. „Cyber Security verbindet technische und organisatorische Aspekte, zum Beispiel Sicherheitssysteme, Prozessdefinitionen, Leitlinien oder Pflichtenhefte. Auch Schulungen zur Sensibilisierung von Mitarbeitern spielen eine wichtige Rolle.

Advertisements

Hybrid- und Multi-Cloud-Trends

Hybrid- und Multi-Cloud-Trends:

-Strategische «security minded» ICT-Planung und «security minded» ICT-Architecture, angelehnt an die Firmen- bzw. vorallem zugunsten der Digitalisierungs-Strategie zur «Business Model Maturity für growing expectations» und letztlich «data monetization» / «services brokerage»

Siehe auch: https://www.digitaldialog.swiss/de/dialog/security-minded-open-minded-innovation-and-digitalization

+++

– ICT-Gesamtarchitektur «best out of all clouds» / «services brokerage» / «everything as a service» bzw. intelligenter Orchestrierung von auch «hybrid-/multi-clouds» mit z.b. «microservices», «analytics», «containerization», «IoT», «bots», «machine learning», «artificial intelligence», «serverless computing», «cloud coding» / «software defined everything» / DevOps

Siehe auch: https://fridelonroad.files.wordpress.com/2016/06/holzbau-schweiz-ict-servicesmanagement-hybridcloud-04_hbch_201604_it.pdf

Und Referat an HSLU: (time is running… 2 Jahre her aber immer noch irgendwie passend 😉)

http://netclose.ch/web/wp-content/uploads/ct_Referat_HSLU-Solution_Brokerage-consumption_based_computing-best_out_of_all_clouds-SHORT-300915.pdf

+++

– «maximized» Automation und ICT-Transformation mit Ziel zu «minimized human interaction but maximized customer self service» und «optimization» / «cost management optimization» / «cloud intelligence»

Siehe auch : in Artikeln

+++

– Vom klassischen System- zum flexiblen, «scalable» Services-Management / Managed Services > Sourcing-Strategie

Siehe auch:
https://fridelonroad.wordpress.com/2015/06/07/evolving-from-system-management-to-services-management-with-best-out-of-all-clouds/

http://netclose.ch/web/wp-content/uploads/ct_Referat_HSLU-Solution_Brokerage-consumption_based_computing-best_out_of_all_clouds-SHORT-300915.pdf

+++

– Regulation, Compliance, Risk-Management und Assessment / Audit à Auseinandersetzung und «classification» / «regtech» ergibt Chancen gegen «ShadowIT» / «blind spots» und zugunsten «take back control» / «data lifecycle

Siehe auch:
https://fridelonroad.wordpress.com/2017/06/24/privacy-security-ch-dsg-ch-e-id-eu-dsgvo-eu-gdpr-all-for-the-best-privacy-by-design/

und: https://fridelonroad.wordpress.com/2014/05/18/ict-audit-und-controlling-innovationen-durch-risk-management-lizenzierungs-Audits/

– «multilayered» Cybersecurity-Strategie / Cloud Security und Massnahmen zur Vision «security by design», «privacy by design», «privacy by default», «regtech», und «full identity and rights management as a managed security service»» (derzeit auch speziell zu CH-DSG und EU-DSGVO / GDPR) mit dynamischen Audit-Zyklen / «incident response management» gegen die dynamischen Bedrohungslagen

Siehe auch:
https://www.mit-group.ch/onprem/ict-security-gesamt-sicherheit-braucht-eine-gesamt-sicht/Und auch mein ISACA.ch-Artikel https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

„security minded but open minded“ for innovation and digitalization

        

 Beitrag von Fridel Rickenbacher


https://www.digitaldialog.swiss/de/dialog/security-minded-open-minded-innovation-and-digitalization 

Um die Strategie „Digitale Schweiz“ weiterzuentwickeln, braucht es die Bündelung der kreativen und innovativen Kräfte in der Schweiz.Die fortschreitende Digitalisierung hat einen Transformationsprozess ausgelöst, der unsere Gesellschaft und die Wirtschaft betrifft. Daraus ergeben sich oft komplexe Fragen, die diskutiert werden müssen. Deshalb ist es nötig, alle Anspruchsgruppen zu vernetzen und die Zusammenarbeit aller Ebenen der Verwaltung mit der Wirtschaft, der Zivilgesellschaft, der Politik und der Wissenschaft zu fördern. Der Bundesrat hat mit der Verabschiedung seiner Strategie „Digitale Schweiz“ im 2016 zu einem interdisziplinären Dialog zur Weiterentwicklung der digitalen Schweiz aufgerufen.

Eine „security minded“ Grundeinstellung im Rahmen der Digitalisierung / Industrie 4.0 und Gesamt-Konzeption von entsprechenden Prozessen und eingesetzten Technologien ist nicht in jedem Falle ein Widerspruch zum „open minded“, mutigen Hunger gegenüber Innovationen.

Innovationen und Strategien zur Digitalisierung funktionieren wie „rettende“ Fallschirme… am besten wenn sie „offen“ sind! Dieser Leitspruch soll einem vor Augen führen, dass bildlich gesehen selbst der Sprung aus dem sicheren (?) Flugzeug (Business) in neue Erfahrungen (Innovation, Digitalisierung, Industrie 4.0) trotz aller Euphorie begleitet sein sollen von Sicherheitsmechanismen. Genau dadurch lässt es sich vorallem „open minded“ besser „fallen“ in das Wagnis und neuen Erfahrungen in Wissen der besseren Sicherheit.

Echte Innovation und Weiterentwicklung auf strategischer Ebene kann optimiert und teilweise gar erst ermöglicht werden, wenn gewisse operative Kern-Prozesse und Disziplinen als mittragende Säulen wie z.B. Managed Services in den Fachbereichen ICT, Security, Software, Clouds hochstandardisiert bzw. hochspezialisiert betrieben oder gar ausgelagert werden. Erst dann kann man befreiter und unbelasteter «innovativ mitdenken und qualitativ handeln» für neue Geschäftsmodelle und Transformation. Diese Konzentration auf die eigene Kernkompetenz und Auslagerung von möglichst vielen, nicht kernkompetenz-kritischen Prozessen hat wiederum positive Seiteneffekte auf z.B. das eigene Risk Management, Compliance und Auditierung.

Vorallem auch Regulatorien rund um „privacy and security“ wie z.B. das Datenschutz-Gesetz (CH-DSG), elektronischer Identitätsnachweis (CH-e-ID) und internationale, auch für Schweizer Unternehmen relevante Compliance Anforderungen wie die Datenschutzgrundverordnung / general data protection regulatory (EU-DSGVO / EU-GDPR) ab dem 25. Mai 2018 sind hierbei als weitere Impacts zu beachten.

Zwar ist das Auseinandersetzen mit Themen rund um Security, Privacy, Regulatorien, Compliance Anforderungen und Audits auf den ersten Blick vermeintlich unnötig oder mitunter mühsam. Jedoch bieten genau diese auch Chancen, sich mit der Sicherheit und dem Schutz der persönlichen oder firmensensitiven Daten kritisch auseinanderzusetzen, Licht in ältere, optimierbare Prozesse oder gar «ShadowIT» zu bringen und dadurch auch mehr Kontrolle zu erlangen und befreiendes Vertrauen zu schaffen für neue, hochdynamische Herausforderungen der Transformation und Digitalisierung.

 
Fridel Rickenbacher
Unternehmer, geschäftsführender Partner, VR, Fachgruppen-/Verbands-Aktivist

swissICT – swiss IT Magazine – Digitalisierung heisst mitgestalten und agieren, statt nur zu reagieren

12publizierter Artikel bei swissICT / Swiss IT Magazine

Digitalisierung heisst mitgestalten und agieren, statt nur zu reagieren

ITM2017_09_SwissICT-Magazin_Digitalisierung-mitgestalten-Fridel-Rickenbacher

http://www.itmagazine.ch/Artikel/65482/Digitalisierung_heisst_mitgestalten_und_agieren_statt_nur_zu_reagieren.html

Digitalisierung – Cybersicherheit ist ein zentraler Bestandteil von Innovation – MIT-GROUP

Digitalisierung – Cybersicherheit ist ein zentraler Bestandteil von Innovation – MIT-GROUP   


Cybersicherheit ist nicht nur Risikoreduktion, sondern ein zentrales Element, damit disruptive digitale Geschäftsmodelle gefunden, eingeführt und betrieben werden können.“

Interview: Fridel Rickenbacher, Mitglied Redaktion swissICT, Mitbegründer und Partner MIT-GROUP

Cybersicherheit ist es nicht nur ein Technologiethema, sondern ein wichtiges Traktandum für die Geschäftsleitung und den VR.“

Link zum Interview welches publiziert wurde bei swissICT und Swiss IT Magazine.

Privacy + Security: CH-DSG, CH-e-ID, EU-DSGVO, EU-GDPR – all for „the best privacy by design“ ?!

Chance wahrnehmen – auch für die Digitalisierung
Der Prozess zum Erlangen der GDPR-Compliance bis 25. Mai 2018 ist eine Chance, sich mit der Sicherheit und dem Schutz der eigenen Daten kritisch auseinanderzusetzen, Licht in die «ShadowIT» zu bringen und dadurch auch mehr Kontrolle zu erlangen und Vertrauen zu schaffen. Man sollte hier begleitet werden von der Analyse (z.B. Risiko- und Compliance-Bewertung) über das Ergreifen geeigneter technischer und organisatorischer Massnahmen (z.B. auch Datenschutz-Sensibilisierungs-Trainings und detaillierte Aufklärung der Mitarbeiter und Kunden bezüglich z.B. Einsatz von „work analytics / monitoring“ mittels Technologien wie „data loss prevention DLP“, „legal hold“, „data classification / encryption“, next Generation Firewall NGWF“, „unified threat Management UTM, „mobile device Management MDM“, „bring your own device BYOD“) bis hin zur Erfolgskontrolle (z.B. auch Assessments, Penetration-Tests).

Vertrauen in Erfahrung und Engagement – Der Kunde profitiert von Erfahrungen 
Durch langjährigen Erfahrungen aus z.B. eigenem Rechencenter-Betrieb und des ICT-Beratungs-Angebots für Organisationen sollten spezialisierte Anbieter engagieren für die Bedürfnisse und zukunftsorientierten Massnahmen. Zusätzlich sollte der Anbieter als sehr engagierter, zertifizierter Partner auf aktuellste Entwicklungen und spezieller Zusammenarbeit / Service Level Agreement SLA mit den Technologie-Anbietern basieren. Allenfalls auch mittels zusätzlichen Verbandsaktivitäten und Fachexperten-Gruppenmitgliedschaften in speziell auch aktuellen Gesetzesvernehmlassungen und normativen Bereichen sollte diese Expertise weiter durch das aktuellste Wissen / Networking gefördert werden.

Die nötigen Schritte – mit Unterstützung von Partnern

  • Analyse + Klassifizierung: Wo sind welche persönliche, kritische Daten im Unternehmen?
  • Regulieren + Labeling: Zugang zu und Verarbeitung von persönlichen Daten
  • Schutz und Audit der Datensicherheit in technischer und organisatorischer Sicht
  • Berichte, Anfragehandling, Automatisierung, Dokumentation, Monitoring, Alarmierung

Diese teilweise umfassende Massnahmen können ebenfalls als weitere Chance und Mehrwert erstklassigen Schutz bieten vor Klagen im Hinblick auf geistiges Eigentum (intellectual property IP) und vor Risiken in der Cloud. In partnerschaftlicher Zusammenarbeit mit unseren Kunden sind wir bestrebt, ein Umfeld zu schaffen, in dem Entwickler, Unternehmer, Unternehmen und Kunden „vertrauensvoll und geschützt“ Innovationen schaffen können in einem „Security Development LifeCycle“.

Aktualisierte oder neue Regulationen wie die in der Schweiz in Vernehmlassung stehenden Datenschutzgesetz (CH-DSG), Elektronische Identität (CH-e-ID), Bundesgesetz über das elektronische Patientendossier (CH-EPDG) und auch europäische / internationale Gesetze und Standards wie die Datenschutz-Grundverordnung (EU-DSGVO) / General Data Protection Regulation (EU-GDPR) haben anspruchsvolle und je nach Business Modell (z.B. bezüglich dem Umgang und Nutzung von personensensitiven Daten) tiefgreifende Auswirkungen und möglichst frühzeitige Massnahmen zur Folge in der Organisation / Prozesse / ICT-Prozesse bis hin zur Firmen- und ICT-Strategie. Beim EU-DSGVO / GDPR ist das als Beispiel bis spätestens dem 15. Mai 2018 der Fall.

Mittels Regeln soll die Verarbeitung von personenbezogenen Daten (auch Datenhoheit, Daten-Selbst- oder Mit-Bestimmung, Datenlöschung, privacy by design, privacy by default) durch private Unternehmen und öffentliche Stellen EU-weit vereinheitlicht werden. Dadurch soll einerseits der Schutz von personenbezogenen Daten innerhalb der Europäischen Union sichergestellt, andererseits der freie Datenverkehr innerhalb des Europäischen Binnenmarktes gewährleistet werden. Dass hierbei das Binnenland Schweiz sich im Rahmen der eigenen Regulation nicht abschotten darf und kann ist aus meiner Sicht selbsterklärend. Schliesslich muss sich auch die Schweiz im Rahmen der Industrie 4.0 / Digitalisierung orientieren an Europa bzw. internationale Standards und nur dadurch von adaptierbare Innovationen von neuesten Entwicklungen in den Bereichen wie z.B. CyberSecurity, Privacy, Clouds, AI, Big Data, Data Science mitprofitieren kann im globalen Wettbewerb.

Was das in der Praxis bedeutet erfährt derzeit eine inflationäre Meinungsbreite. Folgend einige persönliche Meinungen:

Eigentlich kann der Datenschutz als Hochseil-Balanceakt und Gratwanderung zwischen den Unternehmensanforderungen in Zeiten der Digitalisierung und des Erfüllungsgrades der zunehmenden Bürokratie verstanden werden. Die Frage nach dem Fangnetz oder Balance-Werkzeug (z.B. von Strategie, Technologie und Prozessen) ist berechtigt.

Obwohl derzeit noch keine ausreichende Langzeit-Daten oder Erfahrungswerte vorhanden sind kann man eigentlich derzeit nur eine weitere Meinung einnehmen oder kundtun bzw. derzeit in “security minded best practices” Prozess- und Technologie-Gestaltung vorbereiten und stufenweise einführen. Dabei sollte man auch eine gewisse Flexibilität für die anzunehmende Dynamik der weiteren Entwicklung beibehalten in der entsprechenden ICT-Gesamtarchitektur.

Derzeit gehören sicherlich die Aspekte des benötigten Datenschutzbeauftragten DSB / “data protection officer” DPO und der denkbaren Datenschutzverletzungen zur Risikominimierung (“data breach notification”) / Datenschutzfolgenabschätzungen (wird zu einem Teilbereich von “Risk Management”, internen Kontrollsystemen IKS oder “Incident Response Management”) zu den ersten praktischen Prioritäten. Bei den offiziellen Gesetzes-Vernehmlassungen zum CH-DSG , CH-e-ID, CH-EDPG seitens Bundesbern (bei welchem ich mit grossem Eigen- und Unternehmer-Interesse mitwirkte in Taskforces seitens isss.ch) ist entsprechende diesbezügliche Anpassung oder nötige Orientierung an die europäische Gesetzesgebung bzw. internationalen Standards abzusehen. Ungeachtet dessen kommt (zum Glück, aber jedoch nur wenigstens…) unverändert die einzuhaltende Pflicht gemäss CH-OR zur Anwendung von “Treue und Sorgfaltspflicht” beim Umgang mit Daten von Kunden und Geschäftspartnern.

In Anbetracht der umfassenden Überarbeitung und Zukunftsausrichtung von Privacy / Datenschutz ist natürlich erkennbar, dass prinzipiell ALLE Unternehmen, Branchen, Anbieter, Provider betroffen sind und alle zu “Hochseil-Tänzern” (hoffentlich mit besagtem Fangnetz oder Balance-Werkzeug) werden (müssen). Speziell genannt seien auch das Gesundheitswesen (eHealth, EPDG), Schulen, Universitäten, Personalwesen (HR Analytics, Recruiting, Assessment, Work Analytics), Platform-Economy (z.B. CRM, Nutzerverhalten, Einkaufsverhalten, Social Media / Engagement Analytics) und generell die “digitale Gesellschaft”.

Die Industrie 4.0 und die entsprechende Digitalisierung fordert integrierte und robuste Prozesse als Rückgrat der integrierten Collaboration – auch auf Basis von ICT-Systemen / Clouds und Schnittstellen mit dem Fokus auf maximale, auditierbare Angriffs- und Betriebs-Sicherheit bei maximalen Datenschutz- / Privacy-Aspekten.

Es sollen möglichst produkte- und methoden-neutrale Ansätze / Fragestellungen, aber basierend auf Regulationen / Industriestandards und durch jede Firmen- / Projekt-Grösse adaptierbare «best practices» umfassend / verständlich aufgezeigt und passend eingeführt werden. Und zwar so automatisiert und integriert, dass der betroffene Anwender, Geschäftspartner oder Kunde dadurch nicht gestört oder eingeschränkt wird, jedoch zu den relevanten Auswirkungen im Bilde ist, informiert wird und die transparente Kontrolle erhält und behält bei Bedarf. Dabei sollten auditierbare Prozess-Zyklen unter den Aspekten «identify + classification» / «labeling» / «protection» / «share» / «monitoring + logging» / «report + auditing» beachtet werden.

Der «Plattform Kapitalismus» und die «massive Interkonnektion» im Rahmen der Industrie 4.0 / Digitalisierung und neuen Universen wie auch IoT, Big Data, Data Science, Künstliche Intelligenz AI, «Cyberphysical Systems» hinterlassen Konzept- und Security-Fragen welche dann auch «managed» und «auditiert» werden müssen.

Ein reiner «Schweizer Datenschutz» in der Regulierung / Standardisierung ist aktiv zu verhindern, verbannt die Zukunft ins Ausland und es gehen adaptierbare Innovationen und Entwicklungen (auch Aufträge) im Ausland verloren ansonsten.

Im Rahmen der «Nationale Strategie zum Schutz der Schweiz vor Cyberrisiken NCS» (Fridel Rickenbacher ist ebenfalls Akteur) werden ebenfalls adaptierbare «Outcomes» (der bisherigen 16 verabschiedeten und kommenden Massnahmen) von den kritischen Infrastrukturen wie z.B. Kraftwerke, Stromversorgung, Flugverkehr, Verkehr, Spitäler, Grossbauten zu erwarten sein. Die zweite Auflage des NCS wird derzeit erarbeitet und bis Ende 2017 sollten weitere Details hierzu verfügbar sein.

Seit letztes Jahr laufende «Digitalisierungstest der Schweizer Gesetze» seitens SECO Bern (siehe Interview seitens Fridel Rickenbacher mit Dr. Eric Scheidegger) bilden ein weitere Grundlage für kommende Standards und Merkblätter oder gar Normierungen in allen Bereichen.

«Open Systems / Open Standards» verlangen nach möglichst offener (cross-connect, transparency) aber zugleich möglichst sicherer Collaboration der Akteure (Mensch und Prozesse) als Widerspruch von möglichst isolierten, geschlossenen Systemen bei möglichst maximalen Sicherheits-Stufen.

Ein «Security minded» Modell dient auch als Sensibilisierung / Mindset zur maximalen Sicherheits-Orientierung und Auditierbarkeit in Systemarchitekturen mit allen Akteuren (Mensch – Prozesse – Technologie – unter Betrachtung der physischen und logischen Sicherheit).

Eine intelligent orchestrierte, vollintegrierte ICT-Gesamtarchitektur mit Maximierung von Angriffs- und Betriebs-Sicherheit wird zur einer mittragenden Säule für die Industrie 4.0 / neue Geschäftsmodelle bzw. in diesem Anwendungsfall für die Erreichung des höchsten «Maturity Levels» / Reifegrades von bestehenden oder neuen «Business Models» / Geschäftsmodellen.

Die Zukunft wird geprägt werden von (hoffentlich) security minded «Business Model Maturity Empowering» oder «Data Monetization» von allen «Business Models» / Geschäftsmodellen mittels ICT, Big Data, AI, Data Science.

Der Betriff «Data Monetization» oder ganz einfach übersetzt «Daten zu Erfolg bringen und zu Geld machen» zeigt einen anspruchsvollen Weg (oder gar Widerspruch?!) auf von Fachbereichen (Hochseil-Akt wie besagt…) wie «Privacy & Security», «Information Ethics» oder Ideen / Konzepte / Visionen der «digitalen Gesellschaft» oder auch «Open Data».

 

eHealth: Mögen die digitalisierenden Geister, die wir riefen, uns wohlgesinnt sein

Siehe Interview in Ausgabe April 2017 von Swiss IT Magazine, swissICT von Fridel Rickenbacher, Mitglied Redaktion swissICT, Mitbegründer und Partner MIT-GROUP

Dr. med. Bettina Schlagenhauff ist praktizierende Ärztin, Mitgründerin und Partnerin von eigenen Arztpraxen. Nebst diversen Mitgliedschaften, Vorstandstätigkeiten und Lehrtätigkeit engagierte sie sich unter anderem auch in der AG eHealth der schweizerischen Ärztegesellschaft FMH. Sie ist vorsichtig optimistisch für den rechtzeitigen und fachlich anwendbaren Abschluss des Gesetzgebungsprozesses zum Bundesgesetz über das elektronische Patientendossier (EPDG). Gemäss ihrer Einschätzung werden die grossen Herausforderungen eher bei der praktischen organisatorischen Umsetzung auf der Ebene der angeschlossenen Praxen oder Akteure der Stammgemeinschaften liegen

„Die Patienten-Informationen und Daten – auch im Rahmen des Arztgeheimnisses – unterlagen schon immer der Maxime von Security und Privacy. Durch die fortwährende Digitalisierung von älteren oder neuen Patientenakten war und wird es immer anspruchsvoller, dieses Informations-Universum unter Kontrolle zu halten

„Viele neue Themen scheinen adaptierbarer zu werden und sollten nicht durch zu starre Regulierung behindert oder gar verhindert werden.“