„Sicherheitsbereiche nicht länger isolieren“
Mike Bursell, Chief Security Architect von Red Hat spricht sich dafür aus, im kommenden Jahr die Bereiche, die in Unternehmen für die Sicherheitsarchitektur verantwortlich sind, nicht länger technisch und organisatorisch zu trennen: „Die Auflösung voneinander isolierter Sicherheitsbereiche und die Umstellung auf Automatisierung wäre wünschenswert“. Warum? Das begründet er im folgenden Statement.
Es wäre wünschenswert, wenn es in den nächsten 12 Monaten zu einer Auflösung voneinander isolierter Sicherheitsbereiche im Unternehmen und zu einer Umstellung auf automatisierte Prozesse kommt. Da sich jeder mit den stetig steigenden Kundenerwartungen nach schneller Markteinführung und der Forderung nach nahezu sofortiger Innovation bei Dienstleistungen auseinandersetzt, ist die Erwartung, dass die Sicherheitsanforderungen “schnell abgehakt” werden können bevor ein Produkt oder eine Dienstleistung in Betrieb geht, völlig unhaltbar geworden.
Es gibt daher drei Möglichkeiten:
- Firmen entwickeln “in Stein gemeißelte,” unternehmensweite Sicherheitsregeln und hoffen, dass sie die unvermeidlichen Ausnahmen, die fast jedes Projekt generieren wird, managen können;
- Sie erkennen, dass sie mit bestehenden Prozessen nicht schnell genug agieren können und versuchen, Probleme zu beheben, sobald sie auftauchen;
- Sie finden einen Weg, ihr Sicherheitswissen in automatisierte Prozesse umzusetzen, die sowohl schnell als auch skalierbar sind.
Mit der ersten Variante ist es unmöglich, agil genug zu sein, um mit der zunehmenden Geschwindigkeit der Bereitstellung fertig zu werden. Auch wenn Unternehmen agile Methoden wie DevOps für ihre gesamte Entwicklung sofort oder schrittweise in ihren Teams einsetzen, werden sie mit einem grundsätzlich reaktiven Ansatz gegenüber ihren Wettbewerbern und neuen Marktteilnehmern an Boden verlieren. Die zweite Option wird früher oder später zu einer Datenpanne oder einer Betriebsunterbrechung führen, die sie nicht bewältigen können. Das ist die Art von Strategie, die den Sicherheitsverantwortlichen ein kurzes und unbequemes Gespräch im Büro ihres CISO oder CFO verschafft. Die letzte Option ist also die, die es zu verfolgen gilt, aber was bedeutet sie und wie wird sie umgesetzt?
Zuerst müssen Unternehmen ihre Sicherheitsexperten aus ihrem „Elfenbeinturm“ herausholen. Um fair zu bleiben: Die meisten Sicherheitsgruppen oder -abteilungen sind viel weniger isoliert als oft angenommen. Im Jahr 2019 sollten Unternehmen es sich zur Priorität machen, einen stärkeren Austausch ihres Sicherheitswissens in den verschiedenen Abteilungen zu fördern. Nicht nach dem Motto: „Schaut her, hier ist ein Sicherheitsverantwortlicher, meldet euch bei ihm, wenn es ein Problem gibt“, sondern, indem Unternehmen die Arbeit der Kollegen in verschiedenen Abteilungen und Funktionen würdigen und kommunizieren, so dass beide „Seiten“ den Nutzen erkennen und aufhören, sich nicht als Gegenspieler sondern als Mitstreiter zu betrachten.
Verständnis im Unternehmen
Doch das allein reicht nicht aus: Ein Unternehmen kann noch so viele Sicherheitsexperten beschäftigen, es werden nie genug sein. Der Wissenstransfer muss gefördert werden. Es ist nicht davon auszugehen, dass jeder im Unternehmen ein Sicherheitsexperte wird, aber wenn Mitarbeiter über Grundkenntnisse verfügen und wissen, an wen sie sich in kritischen Fällen wenden müssen, dann ist bereits sehr viel erreicht. Das zeigt auch den Sicherheitsexperten im Unternehmen, dass ihr Fachwissen nach wie vor relevant und nützlich ist. Dabei gilt es, ein ausgewogenes Verhältnis zwischen der Förderung des Informationstransfers ohne Banalisierung zu finden.
Sobald Unternehmen es geschafft haben, das Sicherheitsbewusstsein in der Organisation zu verankern, ist es an der Zeit, darüber nachzudenken, das Fachwissen des Sicherheitsteams in die täglichen Prozesse der Entwicklungs-, Test-, IT-Betriebs-, Audit- und Governance-Teams einzubringen. Dann steht der nächste Schritt an. Wenn die Security-Experten die wirklich sicherheitskritischen Stellen im Entwicklungsprozess identifiziert haben, beispielsweise die Wahl von Base Container Images oder wo die Überwachung des Betriebs tatsächlich den Auditprozess unterstützen kann, gibt es Möglichkeiten, immer mehr Teile der Sicherheitsfunktionen in den Prozesse selbst zu automatisieren. Dabei geht es keineswegs darum, die Arbeit von Sicherheitsexperten überflüssig zu machen, sondern sie von den alltäglichen „Routineaufgaben“ zu befreien, damit sie sich auf die wirklich wesentlichen Aufgaben konzentrieren können, bei denen sie selbst innovative Prozesse entwickeln können.
Weitere Informationen unter:
www.redhat.com
CC BY-SA 4.0 DE
Sie dürfen:
- Teilen — das Material in jedwedem Format oder Medium vervielfältigen und weiterverbreiten
- Bearbeiten — das Material remixen, verändern und darauf aufbauen und zwar für beliebige Zwecke, sogar kommerziell.
- Der Lizenzgeber kann diese Freiheiten nicht widerrufen solange Sie sich an die Lizenzbedingungen halten.
- Bitte berücksichtigen Sie, dass die im Beitrag enthaltenen Bild- und Mediendateien zusätzliche Urheberrechte enthalten.
Unter den folgenden Bedingungen:
- Namensnennung — Sie müssen angemessene Urheber- und Rechteangaben machen, einen Link zur Lizenz beifügen und angeben, ob Änderungen vorgenommen wurden. Diese Angaben dürfen in jeder angemessenen Art und Weise gemacht werden, allerdings nicht so, dass der Eindruck entsteht, der Lizenzgeber unterstütze gerade Sie oder Ihre Nutzung besonders.
- Weitergabe unter gleichen Bedingungen — Wenn Sie das Material remixen, verändern oder anderweitig direkt darauf aufbauen, dürfen Sie Ihre Beiträge nur unter derselben Lizenz wie das Original verbreiten.