Net.Law.S 2018
20.02.18 - 21.02.18
In Nürnberg, Messezentrum

CESIS 2018
20.02.18 - 21.02.18
In München

SAMS 2018
26.02.18 - 27.02.18
In Berlin, Maritim proArte

Plentymarkets Online-Händler-Kongress
03.03.18 - 03.03.18
In Kassel

Search Marketing Expo 2018
20.03.18 - 21.03.18
In München, ICM – Internationales Congress Center

Matt DeanEin Plädoyer für eine intelligente richtliniengesteuerte Automatisierung von Matt Dean (Foto), VP Product Management, FireMon.

Es ist kein großes Geheimnis, IT-Abteilungen sind chronisch unterbesetzt, ungeachtet der stetig steigenden Anforderungen. Umso mehr gilt das für diejenigen, die für das Firewall-Management zuständig ist. Sie sind es, die in aller Regel Zugriffsanfragen bearbeiten und eben auch ablehnen. Sollte das in einem konkreten Fall dazu führen, dass Geschäftsprozesse (potenziell negativ) beeinflusst werden, stehen die Verantwortlichen schnell am Pranger. Im umgekehrten Fall werden allerdings nicht selten Zugriffsanfragen genehmigt, die der IT-Sicherheit nicht unbedingt förderlich sind. Denn in sehr, sehr vielen Fällen geht Produktivität immer noch vor Sicherheit. 

Das bleibt nicht folgenlos. Unter dem ständigen Druck Service Level Agreements (SLAs) zu erfüllen werden Zugriffsrechte nicht selten all zu großzügig vergeben. Für eine umfassende Sicherheitsanalyse fehlen die Ressourcen, was dazu führt, dass fehlerhafte Änderungen implementiert werden. Die wiederum wirken sich negativ aus und bringen unnötige Sicherheitsrisiken mit sich. Automatisierung sieht hier vielen nach dem Stein der Weisen aus.

Automatisierungs-Puzzle

Natürlich macht Automatisierung Sinn, wenn sich firmeninterne Workflows beschleunigen lassen und mehr Zeit bleibt die Bedingungen geplanter Veränderungen gründlicher zu analysieren. Allerdings ist Automatisierung kein Schalter, den man einfach nur umlegen muss, und alles wird besser. Jedes Unternehmen, ja vielleicht sogar jede einzelne Anfrage hat ihre eigenen Workflows, Befürworter und Herausforderungen. Automatisierung trägt auf der einen Seite dazu bei Zeit zu sparen und die Produktivität anzukurbeln. Nur sollte man sicherstellen, nicht gleichzeitig das Netzwerk löchrig wie einen Schweizer Käse zu machen. Sicherheitsschwachstellen sind eine Einladung an Hacker und ein Türöffner mit dem Angreifer quasi ein Bein im Unternehmen haben.

Schlüsselfertige Lösungen übersehen ein wichtiges Teil im Automatisierungs-Puzzle – der Kontext der Umgebung wird nicht mit automatisiert. Alles in allem sollte sich die Automatisierungslösung den unternehmerischen Prozessen anpassen und nicht umgekehrt. Dann nämlich besteht die Gefahr, dass der gesamte Prozess stockt und die Lösung nicht angenommen wird. Unter Umständen steht man dann wieder vor denselben Problemen, die man mithilfe der Automatisierung eigentlich lösen wollte.

Automatisierung den unternehmerischen Prozessen anpassen

Deshalb sollte jeder noch so winzige Schritt innerhalb des Automatisierungsprozesses den Kontext berücksichtigen in dem er steht und die praktischen Konsequenzen mit in Betracht ziehen. Es geht nicht nur darum, dass Änderungen möglichst schnell passieren. Auch wenn das eines der Hauptverkaufsargumente für Automatisierungslösungen ist. Es geht darum, dass diese Änderungen korrekt implementiert werden.

Der Markt für Policy-Automatisierung steckt noch in den Kinderschuhen. Aber er wächst sozusagen mit seinen Herausforderungen. Kunden verlangen bessere Kontrollen und gleichzeitig Lösungen, die individuell auf unterschiedliche Bedarfe hin ausgerichtet sind. Nur so lässt sich in der Praxis ein sicheres und effizientes Change Management umsetzen, das hilft Risikopotenziale zu senken.

Empfehlungen

Für die Übergangszeit haben wir einige Empfehlungen zusammengestellt wie Unternehmen sicherstellen, dass innerhalb eines Change Management-Prozesses und in allen Stadien der Implementierung die jeweiligen praktischen Bedürfnisse tatsächlich abgebildet werden:

  • Set Up – Vollständig flexible Workflows sorgen dafür, dass unterschiedliche Anforderungsprofile und Prozesse während der Automatisierung jederzeit berücksichtigt werden. Out-of-the-box-Funktionalitäten versagen an Stellen, wo es vielleicht besser ist, manuelle Prozesse beizubehalten. Das gilt beispielsweise für hoch komplexe oder riskante Änderungen.
  • Anfragen – Integrieren Sie den Automatisierungsprozess in die bestehenden Ticket-Systeme. Damit stellen Sie sicher, dass neu eingehende Anfragen direkt in die Change-Automation-Plattform einfließen. Sammeln Sie bereits vorab alle für den Automatisierungsprozess notwendigen Informationen um die spätere Verwaltung zu erleichtern. Und behalten Sie dieses Vorgehen im präferierten System während des gesamten Lebenszyklus eines Tickets bei.
  • Design – Stehen neue Änderungen an, sollte der Prozess sich am Kontext der bereits existierenden Richtlinienbasis orientieren. Wenn diese Änderung bereits existiert oder eine bestehende Regel modifiziert werden kann, ist es nicht notwendig eine komplett neue Regel zu erstellen und umzusetzen. Weniger überflüssige Regeln verlängern die Lebensdauer eines Gerätes und reduzieren das Risiko.
  • Analysieren – Gilt es als erwiesen, dass eine Regel nötig ist, analysieren Sie die potenziellen Auswirkungen auf die Sicherheit und Compliance bevor Sie die Regeln endgültig implementieren. Anpassbare Kontrollen sorgen dafür, dass die in einem Unternehmen bewährten Praktiken bei jeder neuen Anfrage berücksichtigt und gestärkt werden.
  • Überprüfen – Hat die Regel den Design- und Analyseprozess durchlaufen, kann man sich anschließend entscheiden, ob man den übrigen Prozess ebenfalls automatisieren will oder nicht. Grundsätzlich ist es empfehlenswert nur risikoarme Prozesse zu automatisieren. Definieren Sie während der Analysephase Kriterien, die automatisierte Überprüfungen, Implementierung und Verifizierung auslösen. Oder auch einen Mix aus allen dreien.
  • Implementierung – Es passiert häufiger, dass Regeln, die nicht im Einklang mit den geltenden Richtlinien oder Kriterien stehen, den Automatisierungsprozess dennoch unbehelligt durchlaufen. Solange bis sie kompromittiert werden. Hierin liegt das Dilemma begründet, ob man wirklich sämtliche Stadien des Change Management Prozesses automatisieren will. Wenn man sich nicht schon im Vorfeld ausreichend viele Gedanken über die möglichen Folgen der Automatisierung macht hat man Ende mehr Schwierigkeiten als einem lieb ist.
  • Verifizieren – Auch dieser Teil des Prozesses lässt sich automatisieren. Der Zuständige entscheidet vorab, welche Änderungen manuell und welche automatisiert verifiziert werden sollen. Auf Änderungen die außerhalb der bestehenden Regeln gemacht wurden sollte man sein besonderes Augenmerk richten.
  • Monitoring/Überprüfen – Bestehende Richtlinien sollten Sie stetig überprüfen, verbessern oder stilllegen und an geschäftliche Anforderungen und potenzielle Bedrohungen anpassen. Ist die Change Automation-Plattform mit rezertifizierten Workflows integriert, vereinfacht das den Stilllegungsprozess. Wenn nun eine solche individualisierte Regel (nach Datum, Event, aufgetretener Bedrohung und so weiter) zur Überprüfung angetriggert wird lassen sich innerhalb des Change Management Workflows Tickets erstellen und der Zugriff entsprechend anpassen.

Sachkundige Mitarbeiter für die Change-Automation-Lösung  

Der Mensch hinter der Sicherheitstechnologie wird dadurch nicht überflüssig werden. Zu guter Letzt kennt ja niemand dieses Geschäft besser als der Administrator, der das dahinter liegende Netzwerk verwaltet. Wenn man aber auf jegliche Automatisierung verzichtet, stauen sich die Änderungsanfragen nur auf. Mit diesem Gedanken im Kopf und wenn Automatisierung ganze Industriezweige wirklich revolutionieren soll muss das auf eine bestimmte Art und Weise passieren. Automatisierung ist nur dann sinnvoll, wenn alle Feinheiten und Abhängigkeiten innerhalb einer Organisationsstruktur berücksichtigt und in einen Kontext gesetzt worden sind. Ja, Administratoren können Richtlinienänderungen sehr viel schneller umsetzen, wenn sie sich dabei auf automatisierte Prozesse stützen. Ganz entscheidend sind aber die übrigen Prozesse. Das, was unmittelbar vor und unmittelbar nach einer Änderung passiert, entscheidet darüber, ob eine Änderung tatsächlich in jeder Hinsicht korrekt umgesetzt worden ist.

Wenn so viel auf dem Spiel steht wie in der Cybersecurity, dann sollten Unternehmen sich nicht mit einer One-size-fits-all-Lösung zufriedengeben. In der Praxis sind sie gehalten eine passende Change-Automation-Lösung zu implementieren und sachkundige Mitarbeiter an dieser Schnittstelle einzusetzen. Das stellt sicher, dass die unternehmerischen Anforderungen berücksichtigt werden, ohne bei der Informationssicherheit Kompromisse einzugehen.

GRID LIST
Tb W190 H80 Crop Int 7b240a672f346adba7106f43f59804b0

Industrial Security neu denken

Industrial Security ist spätestens nach dem diesjährigen Lagebericht des BSI wieder in…
Data Breach Detection

Tipps für Data Breach Detection

Mit den bewährten Best Practices dieser Checkliste können Unternehmen unerwünschte…
Oliver Keizers

Integration von Security-Tools - Den Wald vor lauter Bäumen nicht sehen

"Den Wald vor lauter Bäumen nicht sehen" lässt sich gut auf die Situation in vielen…
Tb W190 H80 Crop Int 756f2d2c4f6fbb1774da012155e3a3b1

Apama EagleEye: KI-unterstützte Marktüberwachungslösung

Die Software AG hat Apama EagleEye vorgestellt, ein Marktüberwachungssystem, das eine…
Oliver Bendig

Patentrezept für IT-Security

Es gibt kaum ein Unternehmen, das nicht schon einmal Ziel einer Cyber-Attacke geworden…
Tb W190 H80 Crop Int 60c948299ec6ed8114ef0acdb6b25f11

Neue Clavister-Firewall E10 für den Mittelstand

Der schwedische Hersteller Clavister stellt seine neue Next Generation Firewall E10 NGFW…
Smarte News aus der IT-Welt

IT Newsletter


Hier unsere Newsletter bestellen:

 IT-Management

 IT-Security