Neben allen technischen L\u00f6sungen ist der organisatorische Teil der Cyber Security ein sehr wichtiger Aspekt. In einer Blogserie beleuchten wir unterschiedliche Faktoren, die die technischen L\u00f6sungen erg\u00e4nzen und deren Effektivit\u00e4t erh\u00f6hen. Dar\u00fcber hinaus gehen wir auch auf die Einbettung der Cyber Security in die Prozesse der operativen IT und anderer Organisationseinheiten ein.
<\/p>\n\n\n\n
In den letzten Jahren haben sich in der IT unterschiedliche Frameworks und Prozessmodelle etabliert. Ab einer gewissen Unternehmensgr\u00f6sse und Komplexit\u00e4t ist es heute \u00fcblich und notwendig ein IT Service Management (ITSM) zu nutzen. Massgebend f\u00fcr ITSM ist im operativen IT-Betrieb das ITIL Framework,<\/a>welches den gesamten IT-Betrieb \u00fcberspannt und die Themen Security und Riskmanagement auff\u00fchrt. Der Fokus liegt hier jedoch auf dem gesamten IT-Betrieb und Security ist nur eines von vielen Themen. ITIL als Framework korrespondiert in vielen Punkten mit dem ISO 20000 Standard, der sich auch zertifizieren l\u00e4sst. Der ISO 20000 Standard<\/a>orientiert sich sehr stark an Prozessen, in der Form von Practices und Value Streams, die beschrieben und festgelegt werden.<\/p>\n\n\n\n Auf der anderen Seite haben sich im Bereich IT-Sicherheit, basierend auf Anforderungen unterschiedlicher Stakeholder innerhalb und ausserhalb des IT-Betriebs, \u00abInformation Management Security Systems\u00bb (ISMS)<\/strong> etabliert. Diese orientieren sich meist an der ISO 27001als Norm und an Best Practice Guides wie dem NIST Cyber Security Framework.<\/a>Daraus abgeleitet werden Anforderungen in der Form von Controls, und als praktische Umsetzung wird idealerweise eine Cyber-Defense-Plattform etabliert, die von einem internen oder externen SOCbetrieben wird.<\/p>\n\n\n\n Es ist im Weiteren zu beachten, dass Organisationen in klassischen Strukturen oder \u00abagile\u00bb in \u00abDevOps\u00bb Teams arbeiten k\u00f6nnen. Dies kann die Umsetzung der Standards beeinflussen; schlussendlich m\u00fcssen aber die Anforderungen eines ITSM oder eines ISMS trotzdem erf\u00fcllt werden. In der Praxis zeigt sich, dass \u00abDevOps\u00bb und \u00abAgile\u00bb andere Vor- und Nachteile und neue Risiken ergeben, die es zu adressieren gilt. Dies ist ein eigener Themenbereich, auf den wir an dieser Stelle nicht im Detail eingehen.<\/p>\n\n\n\n F\u00fcr die praktische L\u00f6sung der Aufgaben und der Dokumentation der Aktivit\u00e4ten werden unterschiedlichste Tools eingesetzt.<\/p>\n\n\n\n Gewisse technische L\u00f6sungen sind etabliert und geh\u00f6ren zum \u00fcblichen Standard. Dies sind typischerweise Monitoring<\/strong> und Ticketing <\/strong>im IT-Betrieb, Endpoint Detection und Response (EDR)<\/strong> sowie Security Information und Event Management (SIEM)<\/strong>im IT-Security Bereich. Diese Tools erm\u00f6glichen eine zielgerichtete und effektive Arbeit und sind jeweils Teil der gesamten L\u00f6sung.<\/p>\n\n\n\n Zu beachten ist, dass die Prozesse immer an erster Stelle stehen; sie sind den Tools vorgelagert beziehungsweise \u00fcbergeordnet. Hier besteht vielfach ein noch grosses Potential, in dem erst Prozesse definiert werden, idealerweise angelehnt an bestehen und erprobte Frameworks, und diese dann ihre Abbildung in unterschiedlichen Tools finden sollen. Vielfach existieren die operativen Prozesse getrennt von den Prozessen des Security Managements. Aus unserer Erfahrung ist immer wieder zu pr\u00fcfen, wie diese Prozesse integriert werden k\u00f6nnen. Insbesondere bei der Einf\u00fchrung neuer Cyber Defense Tools ist es wichtig, auch die Prozesse zu analysieren und bestehende IT-Betriebsprozesse um IT-Security-Elemente zu erg\u00e4nzen. Wie bei \u00abDevOps\u00bb, wo Entwicklung und IT-Betrieb als Ganzes gesehen werden sollen, muss auch hier angestrebt werden, dass IT-Betrieb und Security Operations als Ganzes agieren k\u00f6nnen. Dies ist prim\u00e4r und priorit\u00e4r auf der Prozessebene anzugehen. In einem weiteren Schritt k\u00f6nnen Tools integriert werden.<\/p>\n\n\n\n Innerhalb des gesamten Prozessframeworks gibt es unterschiedliche Personengruppen mit divergierenden Anspr\u00fcchen. Es ist wichtig diese Stakeholderzu identifizieren und in das Gesamtkonzept einzubeziehen, denn nur wenn die gesamten personellen Ressourcen genutzt werden k\u00f6nnen, wird das Optimum erreicht. Langfristig muss eine Sicherheitskultur etabliert werden, die von allen getragen wird. So wie die Qualit\u00e4t nicht nachtr\u00e4glich durch Tests in ein Produkt integriert werden kann, sondern bereits bei der Produktentwicklung ber\u00fccksichtigt werden muss, verh\u00e4lt es sich auch mit der Sicherheit. Bereits bei der Konzeptentwicklung, beziehungsweise Integration m\u00fcssen die IT-Sicherheitsaspekte beachtet werden. Nur so entstehen nachhaltig sichere L\u00f6sungen. Wir k\u00f6nnen mit fr\u00fchzeitiger Beratung und Auditsbereits in der Anfangsphase entsprechende Unterst\u00fctzung bieten, vorausgesetzt wir kennen die Stakeholder. Vielfach ist auch das Schaffen von Awareness hilfreich, wobei Awareness-Kampagnensehr wohl auch spezifisch auf IT-Abteilungen oder Development-Teams fokussieren k\u00f6nnen.<\/p>\n\n\n\n Wenn wir uns \u00fcber Prozesse und Tools unterhalten, ist immer auch zu ber\u00fccksichtigen, wie Prozesse gestaltet werden sollen. Bei meiner T\u00e4tigkeit \u0336 sowohl bei IT-Dienstleistern wie auch auf IT-Betreiberseite \u0336 konnte ich immer wieder feststellen, dass an sich sehr professionell und umfassend definierte Prozesse daran gescheitert sind, dass sie im Tagesgesch\u00e4ft nicht praktikabel waren. Ein klassisches Beispiel ist der Change Prozess, der bei vielen Unternehmen als ein relativ komplexer Prozess mit vielen Schritten und Attributen definiert ist. In der Praxis f\u00fchrt dies dazu, dass der Prozess nicht benutzt wird bzw. dass man Begr\u00fcndungen und Wege findet wie man den Prozess umgehen kann. Ich werde in einem separaten Blogartikel vertieft auf den Change Prozess und seine Signifikanz f\u00fcr die IT-Security eingehen. Kurz gesagt, Prozesse m\u00fcssen so aufgebaut sein, dass sie auch genutzt werden<\/strong>. Dies ist meist mit einfachen Prozessen und einem anwenderfreundlichen und den Benutzer mit Automatismen unterst\u00fctzenden Tool zu erreichen.<\/p>\n\n\n\n Das Risikomanagement ist meist einer eigenen Abteilung oder Person zugeordnet, losgel\u00f6st von den operativen Prozessen. Vielfach wird themen\u00fcbergreifend gearbeitet, da neben den IT-Risiken auch noch andere Risiko- und Compliance-Themenzu behandeln sind. Trotzdem sollte man Risikomanagement nicht komplett von operativen Aufgaben entkoppeln. Es ist so viel Awareness f\u00fcr das Thema \u00abRisiko\u00bb schaffen, dass innerhalb der IT-Betriebs- und IT-Security-Prozesse Input f\u00fcr das Risikomanagement gegeben werden kann; d.h. Risiken werden identifiziert und zur Beurteilung an das Risikomanagement \u00fcbergeben. Hierbei muss beachtet werden, dass Change- und Incident-Prozesse nicht blockiert oder verz\u00f6gert werden, sondern dass weitergearbeitet wird unter Ber\u00fccksichtigung der Risikobeurteilung.<\/p>\n\n\n\n Wo sind SOC und CISO\/ISO in der Organisation angegliedert? Diese Frage besch\u00e4ftigt IT-Organisationen und Verantwortliche immer wieder. Die Governance innerhalb der IT-Organisation muss beachtet werden. Soll das SOC eine Kontrollinstanz sein oder soll es unterst\u00fctzend wirken? Je nach dem ist das SOC Teil der IT-Organisation oder separiert. Wir bieten \u00fcber unseren SOC-Servicebaukastendiverse Module an, die auf den klassischen Grundleistungen eines allt\u00e4glichen SOC-Betriebs aufbauen. Es gibt L\u00f6sungen f\u00fcr dedizierte oder hybride SOC,wobei wir individuell auf Ihre evtl. schon bestehende Cyber-Defense-Plattform<\/strong> eingehen k\u00f6nnen. Dazu kommen erg\u00e4nzende Baukastenelemente wie Reporting der KPSIs und regelm\u00e4ssige Beratungen in Steering Meetings, die auch den C-Level adressieren. Im Weiteren kann unser Audit- und Consulting-TeamSie bei der Optimierung Ihrer Sicherheitsinfrastruktur und dem Aufbau der Cyber Resilienzunterst\u00fctzen.<\/p>\n\n\n\n In den n\u00e4chsten Blogartikeln werden wir auf einzelne Aspekte der Organisation eingehen. Unter anderem werden CMDB und typische Prozesse wie Incident, Change und Eskalation detailliert betrachtet.<\/p>\n\n\n\n Kopie meines Blogs aus www.terreactive.ch\/www.swiuss-post-cybersecurity.ch <\/p>\n","protected":false},"excerpt":{"rendered":" Neben allen technischen L\u00f6sungen ist der organisatorische Teil der Cyber Security ein sehr wichtiger Aspekt. In einer Blogserie beleuchten wir unterschiedliche Faktoren, die die technischen L\u00f6sungen erg\u00e4nzen und deren Effektivit\u00e4t erh\u00f6hen. Dar\u00fcber hinaus gehen wir auch auf die Einbettung der Cyber Security in die Prozesse der operativen IT und anderer Organisationseinheiten ein. Zusammenspiel ITSM mit … mehr lesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7,60,61,8,6],"tags":[124,126,125,23],"class_list":["post-472","post","type-post","status-publish","format-standard","hentry","category-leadership","category-management","category-strategie","category-technologie","category-unternehmensfuehrung","tag-isms","tag-iso-20000","tag-iso27001","tag-itil"],"_links":{"self":[{"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/posts\/472","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/comments?post=472"}],"version-history":[{"count":17,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/posts\/472\/revisions"}],"predecessor-version":[{"id":528,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/posts\/472\/revisions\/528"}],"wp:attachment":[{"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/media?parent=472"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/categories?post=472"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/tags?post=472"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Tools sind nur Hilfsmittel, Ausgangslage sind die Prozesse<\/h2>\n\n\n\n
Identifikation von Stakeholdern<\/h2>\n\n\n\n
Prozessbeschreibung<\/h2>\n\n\n\n
<\/h2>\n\n\n\n
Vorsicht vor zu komplexen Prozessen<\/h2>\n\n\n\n
Risikomanagement ist Teil der Prozesslandschaft<\/h2>\n\n\n\n
Governance<\/h2>\n\n\n\n
Zu welcher Instanz wird bei Vorkommnissen eskaliert, wer trifft schlussendlich die Entscheidungen? Angesichts der heutigen Relevanz der Governance ist klar, dass ein Information Security Officernicht ausreicht: der ISO muss als CISOim C-Level angesiedelt sein. Er braucht Unterst\u00fctzung vom SOC und vom Riskmanagement sowie Akzeptanz im IT-Betrieb und in der Entwicklung, gleich wie R\u00fcckendeckung vom Management.<\/p>\n\n\n\nWie kann terreActive Sie unterst\u00fctzen?<\/h2>\n\n\n\n
Zudem unterst\u00fctzen wir unsere Kunden mit Workshopsum das Vorgehen planen, mit Tabletop-Exercises um die Planung zu validieren und mit Simulationen um die ganze Organisation \u00abEnd to End\u00bb zu testen.<\/p>\n\n\n\n