Security-Konzept
Sicherheit gehört ins IT-Management
von
com!
professional - 24.07.2017
Foto: Pavel Ignatov / Shutterstock.com
Auch wenn es mancher Anbieter anders suggeriert: APT, IDS und all die Security-Technologien schützen nicht vor Angriffen, wenn Sicherheit nicht integraler Bestandteil des IT-Managements ist.
Dieser Artikel wurde von Thomas Hediger, Associate Partner von alevo, verfasst.
Kleiner Fehler, großer Schaden: Aufgrund von Ferienabwesenheit wurde in einem Finanzinstitut ein ungeprüfter Change eingespielt, der am Access System einige Konfigurationsparameter änderte. Wegen einer Sicherheitslücke in einer veralteten Software konnte außerdem ein noch aktiver Account eines früheren Administrators übernommen werden. So hat sich ein Angreifer weitere Zugriffsrechte verschafft und über längere Zeit sensible Kundendaten extrahiert.
Thomas Hediger von alevo plädiert für das Integrieren von IT-Management und IT-Security.
(Quelle: alevo)
Vom CISO, der internen Revision oder dem Regulator getrieben, wird meist top-down ein Policy-Framework aufgebaut. Doch von oben veranlasste Vorgaben greifen selten bis in die betriebliche Realität. Was fehlt, ist die Rückmeldeschleife aus dem Betrieb. Damit ist nicht der regelmäßige Auditbericht gemeint, der als zusätzliches Kontrollinstrument seine Berechtigung hat. Es geht vielmehr um die Nutzung der vorhandenen Informationsquellen aus dem Service-Management.
Zwar führen viele Unternehmen Service-Management-Prozesse wie Change, Deployment und Incident sowie die entsprechenden Tools auf einem hohen Reifegrad nach ITIL ein oder lassen sich sogar nach ISO 20000 zertifizieren. Aber für das Risiko-Management werden diese Methoden meist nicht genutzt. Wenn Security als Qualitätsfaktor eines IT-Services verstanden wird, liegt die Integration in die Service-Management-Prozesse eigentlich auf der Hand.