Neben allen technischen L\u00f6sungen ist der organisatorische Teil der Cyber Security ein weiterer Aspekt, der im Fokus stehen muss. In einer Serie von Blogartikeln beleuchten wir verschiedene Aspekte, die die technischen L\u00f6sungen erg\u00e4nzen und deren Wirksamkeit erh\u00f6hen.<\/p>\n\n\n\n
Nach den vorangehenden Blogartikeln, die Grundlagen und der CMDB, geht es nun um den Change-Prozess als Kernelement der IT-Serviceprozesse.<\/p>\n\n\n\n
In IT-Organisationen ist der Change- neben dem Incident-Prozess einer der absoluten Kernprozesse, da er in unterschiedlichen Formen, und zum Teil abgewandelt, \u00fcberall dort zum Einsatz kommt, wo Ver\u00e4nderungen geplant und umgesetzt werden. Ein Change-Prozess ver\u00e4ndert Bestehendes, f\u00fchrt Neues ein oder entfernt Bestehendes. Der Change-Prozess ist aus dem Bed\u00fcrfnis entstanden, Ver\u00e4nderungen zu steuern und zu planen. Oftmals existiert er in drei typischen Auspr\u00e4gungen, als regul\u00e4rer<\/em><\/strong>, als Standard <\/em><\/strong>und als Emergency Change<\/em><\/strong>. Diese drei Varianten unterscheiden sich zum einen in der Dringlichkeit aber auch in der Absch\u00e4tzbarkeit. Der regul\u00e4re Change<\/em> ist immer im Voraus geplant und kann vor<\/em> der Umsetzung beurteilt werden. Der Standard Change<\/em> ist erprobt und seine Parameter sind bekannt. Der Emergency Change<\/em> ist, wie der Name schon sagt, ein Notfallprozess, bei dem zuerst gehandelt und sp\u00e4ter gepr\u00fcft wird. Ein weiterer wichtiger Aspekt sind die mit dem Change verbundenen Rollen des Change Managers und des Change Advisory Boards (CAB), die beide in die Bewertung und Freigabe eingebunden sind.<\/p>\n\n\n\n Grunds\u00e4tzlich gibt der Change-Prozess einen bestimmten Workflow vor. Wenn wir ihn auf die wichtigsten Elemente reduzieren, sind die folgenden Schritte die Hauptelemente:<\/p>\n\n\n\n\n\n Ist entschieden, dass es sich um einen \u00abnormalen\u00bb Change handelt, der dem vollst\u00e4ndigen Prozess unterliegt, erfolgt die Bewertung und anschliessende Genehmigung, je nach Bewertung durch das CAB oder den Change Manager. Vorg\u00e4ngig muss der Change beschrieben worden sein, und die wichtigsten Attribute wie Auswirkung und Risiko, aber auch Dringlichkeit und Umfang (\u00c4nderungsklasse) m\u00fcssen definiert werden. In vielen F\u00e4llen muss ab einem gewissen Umfang bzw. Risiko auch ein Rollback-Szenario und eine Risikobewertung vorliegen. In der Praxis l\u00e4sst sich \u00fcber diese ohnehin vorhandenen Informationen, auch direkt die Einbindung der IT-Security steuern. So k\u00f6nnen bereits im Rahmen der Genehmigung Auflagen definiert oder der Change aufgrund von Sicherheitsm\u00e4ngeln zur\u00fcckgewiesen werden. Als Beispiel hier eine Maske f\u00fcr die Erfassung eines Changes, wobei ein modernes ITSM-Tool den Workflow anhand der Felder Change Type<\/em> (13), Risiko<\/em> (6), Auswirkung<\/em> (4) und weiterer Kriterien steuern kann.<\/p>\n\n\n\n Change-Eingabemaske in einem ITSM-Tool<\/p>\n\n\n\n\n\n Wichtig ist hier die Rolle des Change Managers, der einen gewissen Spielraum haben sollte, welche Changes dem CAB vorzulegen sind und welche direkt genehmigt werden d\u00fcrfen. Ja, nat\u00fcrlich ist es in der Praxis viel zu aufw\u00e4ndig, jeden Change komplett zu beurteilen. Deshalb gibt es im Gesamtprozess auch Verzweigungen. Bereits bei der Erfassung wird zwischen \u00abNormal\u00bb oder \u00abStandard\u00bb unterschieden, wobei ein Standard Change (oder Service Request) vordefinierte und standardisierte Aufgaben umfasst, die immer wieder gleich umgesetzt werden. Diese k\u00f6nnen ohne den aufw\u00e4ndigen Prozess einfach durchgef\u00fchrt werden und ben\u00f6tigen nur eine formale Genehmigung durch das Change Management oder k\u00f6nnen sogar ganz ohne Genehmigung auskommen.<\/p>\n\n\n\n In der Praxis sind eine Vielzahl von Anforderungen unterschiedlicher Stakeholder unter einen Hut zu bringen. Einerseits sollen Changes agil, flexibel und kurzfristig umgesetzt werden k\u00f6nnen, andererseits soll der Change-Prozess auch sicherstellen, dass sowohl \u00abSecurity\u00bb als auch \u00abBusiness Continuity\u00bb und \u00abAvailability\u00bb ihre Ziele erf\u00fcllen. Dies muss individuell gel\u00f6st werden. Das gr\u00f6sste Risiko von komplexen Prozessen besteht darin, dass sie umgangen werden. Die Kreativit\u00e4t der Mitarbeitenden, sich administrativen Aufgaben zu entziehen, ist oft gross und f\u00fchrt dann den Sinn des Prozesses ins Absurde. Beispielsweise erlaubt das ITIL V4 Framework eine relativ freie Gestaltung der Value Streams und erm\u00f6glicht eine optimale Abbildung der Anforderungen. In der Praxis hat sich gezeigt, dass nur in wenigen F\u00e4llen eine explizite, vorg\u00e4ngige Genehmigung notwendig ist. Oft kann der Tool-Workflow anhand der angegebenen Kriterien vieles direkt freigeben. In diesen F\u00e4llen kann dennoch ein hoher Compliance Level erreicht werden, indem im Post Implementation Review<\/em> nochmals explizit gepr\u00fcft wird, ob die angegebenen Kriterien auch korrekt waren. Dies wiederum erlaubt dann steuernd einzugreifen.<\/p>\n\n\n\n Die CMDB ist unsere wichtigste Datensammlung, vorausgesetzt, sie ist vollst\u00e4ndig und aktuell. Wie bereits im vorhergehenden Artikel (CMDB und Risikobewertung) beschrieben, ist eine umfassende CMDB das Herzst\u00fcck des gesamten ITSM aber auch der Cyber Defense. Ein Change ben\u00f6tigt in jedem Fall einen Verweis auf die betroffenen Configuration Items aus der CMDB, also auf Assets, Identities oder auch Systeme. Nur anhand der in diesen Objekten hinterlegten Klassifizierungen zu BCM und Security kann eine systematische Bewertung erfolgen.<\/p>\n\n\n\n Typischerweise definiert man im Rahmen des Change-Prozesses drei Rollen<\/strong><\/p>\n\n\n\n Es gibt eine weitere Rolle bzw. Gruppe, die mit besonderem Bedacht definiert werden muss:<\/p>\n\n\n\n Der Post Implementation Review<\/em> ist ein wertvolles Instrument, um einfache Changes durchzuf\u00fchren und trotzdem Compliance sowie die Einhaltung von Regeln zu erm\u00f6glichen. Dies setzt jedoch voraus, dass der PIR nicht nur bei fehlgeschlagenen Changes angewendet wird, sondern auch erfolgreiche Changes \u00fcberpr\u00fcft werden, insbesondere alle Emergency Changes im Hinblick auf die Einhaltung der relevanten Prozessschritte und Vorgaben.<\/p>\n\n\n\n Ein richtig eingesetzter Change-Prozess f\u00fchrt zum Ziel<\/p>\n\n\n\n Wenn mit den Elementen der Klassifizierung und den M\u00f6glichkeiten von Standard Changes korrekt gearbeitet wird, steht der Aufwand in einem guten Verh\u00e4ltnis zum Nutzen. Der Nutzen eines optimalen Change-Prozesses zeigt sich langfristig sowohl operativ in der Termintreue und der guten technischen Umsetzung, aber auch mit verbesserter Security und Resilienz.<\/p>\n\n\n\n <\/p>\n\n\n\n Kopie meines Blogs aus www.terreactive.ch www.swiss-post-cybersecurity.ch<\/p>\n","protected":false},"excerpt":{"rendered":" Neben allen technischen L\u00f6sungen ist der organisatorische Teil der Cyber Security ein weiterer Aspekt, der im Fokus stehen muss. In einer Serie von Blogartikeln beleuchten wir verschiedene Aspekte, die die technischen L\u00f6sungen erg\u00e4nzen und deren Wirksamkeit erh\u00f6hen. Nach den vorangehenden Blogartikeln, die Grundlagen und der CMDB, geht es nun um den Change-Prozess als Kernelement der … mehr lesen<\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[5,62,7,60,61,8,6],"tags":[124,126,127,23],"class_list":["post-477","post","type-post","status-publish","format-standard","hentry","category-gedanken","category-itil","category-leadership","category-management","category-strategie","category-technologie","category-unternehmensfuehrung","tag-isms","tag-iso-20000","tag-iso-27001","tag-itil"],"_links":{"self":[{"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/posts\/477","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/comments?post=477"}],"version-history":[{"count":6,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/posts\/477\/revisions"}],"predecessor-version":[{"id":534,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/posts\/477\/revisions\/534"}],"wp:attachment":[{"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/media?parent=477"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/categories?post=477"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/hwl-consulting.ch\/blog\/wp-json\/wp\/v2\/tags?post=477"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Wie kann der Change-Prozess die Sicherheit f\u00f6rdern?<\/h2>\n\n\n\n
Bei Emergency Changes<\/em> erfolgt die Bewertung und Genehmigung korrekterweise nachtr\u00e4glich, was zur Folge haben kann, dass Nacharbeiten in Auftrag gegeben werden m\u00fcssen.<\/p>\n\n\n\nBewertung von Changes<\/h2>\n\n\n\n
\n
Es ist darauf zu achten, dass Auftraggeber und die Person, die die Genehmigung erteilt, nicht die gleiche Person sind bzw., dass die Governance eingehalten wird.<\/p>\n\n\n\nIst es nicht zu aufwendig, jeden Change so zu bearbeiten?<\/h2>\n\n\n\n
Praktische Umsetzung, Stolpersteine und Fallen<\/h2>\n\n\n\n
Wir konnten schon beobachten, dass einfach alles als Emergency Change<\/em> deklariert wurde und damit am regul\u00e4ren Prozess vorbeilief, oder auch dass Standard Changes<\/em> so weit gefasst deklariert wurden, dass damit alles abgebildet werden konnte. All dies ist nicht zielf\u00fchrend. Deshalb ist es wichtig, auf einfache und verst\u00e4ndliche Prozesse zu setzen, die wenig von den eigentlichen Aufgaben ablenken oder den Workflow unterbrechen.<\/p>\n\n\n\nConfiguration Management Data Base (CMDB)<\/h2>\n\n\n\n
Rollen<\/h2>\n\n\n\n
\n
\n
Post Implementation Review (PIR)<\/h2>\n\n\n\n
Fazit: ein richtig angewandter Change-Prozess hilft die Security zu verbessern<\/h2>\n\n\n\n
\n