Wie viel Sicherheit ist genug?

Sicherheitsexperten haben einen interessanten Job. Sie verwalten vorhandene Sicherheitskontrollen und suchen ewig nach Lücken in der Verteidigung ihres Unternehmens. Erkannte Lücken führen häufig dazu, dass Analysten für eine andere Anwendung, Appliance oder einen anderen Dienst zum bevorzugten Sicherheitsanbieter laufen. Aber ist dies finanziell oder „defensiv“ der beste Ansatz? Wahrscheinlich nicht.

Die Herausforderung Viele Unternehmen nähern sich der Sicherheit wie Spieler von Whack-a-Mole. (Siehe Abbildung A, 360digest.com.) Wenn grundlegende Sicherheitskontrollen eingerichtet sind, warten sie auf die nächste aufkommende Bedrohung und schlagen sie mit einem virtuellen Hammer. Dieser Prozess wird ohne Ende und ohne echte Schutzstrategie fortgesetzt. Der einmalige Ansatz kann die Organisation schützen, aber die damit verbundenen Kosten sind wahrscheinlich viel höher als nötig. Darüber hinaus erhöht die Integration neuer Geschäftslösungen lediglich die Anzahl der Löcher, aus denen Maulwürfe ihre kleinen pelzigen Köpfe herausragen könnten.

Abbildung A.

Die Verwaltung unterschiedlicher Sicherheitskontrollen, die als Reaktion auf neue Bedrohungen oder behördliche Anforderungen implementiert werden, erfordert eine große Anzahl von weichen Dollars. Diese häufig redundanten und „nicht einheitlichen“ Komponenten können tatsächlich Lücken in der Verteidigung des Unternehmens verursachen, was den Schutz von Informationsressourcen und die Bereitstellung neuer Geschäftslösungen erschwert.

Auf diese Weise begann der Sicherheitsberuf seine Amtszeit. Business Manager sind jedoch müde von dem, was sie als Nickel ansehen und das IT-Budget schmälern. Es ist also an der Zeit, Sicherheitsziele über eine Sicherheitsarchitektur zu verwalten. Die Architektur muss andere Unternehmens-Business-Frameworks unterstützen, mit denen Geschäftsziele erreicht werden sollen. Durch die Erstellung aller Lösungen innerhalb dieser Architekturen können wir sicher sein, dass die Umgebung „sicher genug“ ist und flexibel genug, um neue oder vorhandene Geschäftssysteme sicher aufzunehmen.

Die Lösung Abbildung B zeigt eine Reihe von Unternehmensarchitekturen, mit denen die erwarteten Geschäftsergebnisse erzielt werden sollen. Zuerst kommen die Ergebnisse, die auf einer klar definierten Geschäftsstrategie basieren. Die Ergebnisse werden dann in eine Informationsarchitektur übersetzt, die das Geschäft tatsächlich definiert. Netzwerk- und Systemarchitekturen unterstützen Prozesse, die für Management- und Betriebsteams relevante Informationen erstellen, massieren und bereitstellen. Die Aufgabe von Security besteht darin, den sicheren und verfügbaren Betrieb von Komponenten, die in diesen Architekturen enthalten sind, kontinuierlich zu ermöglichen.

Abbildung B.

Die aktivierenden Ziele der Sicherheit spielen beim Whack-a-Mole-Ansatz nicht gut. Was benötigt wird, ist eine klar definierte, dokumentierte und verwaltbare Sicherheitsarchitektur. Mithilfe dieser Funktion erstellen IT-Teams Systeme und Netzwerksegmente mit integrierter Sicherheit. Erforderlich ist das, was Jay Roxe von Novell als einheitliches Framework bezeichnet.

Laut Roxe

Der erste Schritt besteht darin, sich vom schrittweisen Ad-hoc-Ansatz zur Einhaltung gesetzlicher Vorschriften und zum Risikomanagement zu lösen. Dies wird am besten erreicht, indem zunächst alle Risikomanagementprozesse und -kontrollen des Unternehmens inventarisiert und dann sichergestellt werden, dass sie klar definiert und dokumentiert sind. Da je nach Größe der Organisation möglicherweise Hunderte bis Tausende von Kontrollen und Richtlinien vorhanden sind, kann dies einige Zeit und Mühe in Anspruch nehmen. Aber es lohnt sich (ZDNet, 2010).
Dieser Schritt führt zu einer Liste aller derzeit vorhandenen Steuerelemente, ihrer Funktion und einer Ansicht vorhandener Lücken und Redundanzen. Wir haben diese Aufgabe vor einigen Jahren bei ManorCare durchgeführt. Wir haben eine Tabelle wie die in Abbildung C gezeigte verwendet.

Abbildung C.

Die Spalte Ebene / Erforderliche Steuerung stellte die Erwartungen in Bezug auf die neue Sicherheitsstrategie dar, die wir geschrieben hatten. Die Strategie basierte auf einer Kombination von COBIT-, HIPAA- und ISO / IEC 27002-Überlegungen, die alle Daten- und Systemschutzziele umfassten. Der Zweck der Strategie bestand darin, eine Architektur zu definieren und zu dokumentieren, die:

  • Erfüllte die gesetzlichen Anforderungen
  • Geschützte Mitarbeiterdaten
  • Geschützte vertrauliche Geschäftsinformationen
  • Sicherstellung der Verfügbarkeit kritischer Prozesse gemäß den Erwartungen des Managements
  • Ermöglicht die sichere Übermittlung von Daten jederzeit und überall
  • Erlaubte uns, sowohl interne als auch externe Audits zu bestehen

Nachfolgende Spalten zeigten, wie jede vorhandene Sicherheitslösung jede Kontrollanforderung erfüllte oder nicht erfüllte. Der Prozess dauerte ungefähr 60 Tage, aber die Ergebnisse waren sofort sichtbar.

Mithilfe der Matrix haben wir mehrere Steuerelemente aufgrund von Redundanz oder durch Aktivieren nicht verwendeter Funktionen für andere Steuerelemente eliminiert. Wir haben die Matrix weiterhin verwendet, um unser Risiko jedes Mal zu identifizieren, wenn eine neue Bedrohung identifiziert wurde. In den meisten Fällen konnten wir einfach Konfigurationen an vorhandener Software oder Hardware ändern, um sie an die neuen Herausforderungen anzupassen. (Weitere Informationen zur Verwendung der Matrix finden Sie unter Verwenden einer Sicherheitskontrollmatrix, um Kontrollen zu rechtfertigen und Kosten zu senken .)

Die Kombination aus einer Strategie und einer verwalteten Kontrollmatrix reduzierte die Kosten, kommunizierte, wie Systeme und Netzwerkkomponenten in den Aktivierungsprozess passen, und ermöglichte flexible Reaktionen auf neu auftretende Bedrohungen. Wir hörten auf zu reagieren und begannen, proaktiv ein Framework zum Verhindern, Erkennen, Eindämmen und Reagieren zu entwickeln, um alle Eventualitäten zu erfüllen.

Das letzte Wort

Wir haben früher als viele Sicherheitsorganisationen erkannt, dass unsere Fähigkeit, eine rote Fahne zu hissen und automatisch Budget-Dollars zu erhalten, nachlässt. Ich werde nicht sagen, dass unser Ansatz perfekt war, aber er bildete eine Grundlage dafür, dass wir uns im Laufe der Zeit verbessert haben. Das Endergebnis war die Fähigkeit, auf geschäftliche Anforderungen zu reagieren und gleichzeitig externe und interne Sicherheitsherausforderungen methodisch und proaktiv zu angemessenen Kosten anzugehen.

© Copyright 2021 | pepebotifarra.com