|
Effizienz
dank Managed Security Services
Quelle: Schutz
und Sicherheit, Tages-Anzeiger vom 20. Dezember
2007
Autor: Tom Hager, CEO, InfoTrust
Der umfassende
Schutz von produktiven IT-Systemen stellt
für Unternehmen heute eine grosse Herausforderung
dar. Auch die Anforderungen an die internen
IT-Mitarbeiter sind gestiegen. Dank Managed
Security Services erhöhen Unternehmen
die Effizienz und optimieren den Aufbau
und den Betrieb ihrer Sicherheits-Infrastruktur.
Die Anforderungen an
den Schutz von produktiven IT-Systemen sind
in den letzten Jahren stark gestiegen. Die
Zeiten, in der ein Unternehmen durch den
Einsatz von Firewall- und Virenschutz-Lösungen
relativ gut geschützt war, gehören
definitiv der Vergangenheit an. Die immer
grössere Anzahl Schwachstellen in den
IT-Komponenten trägt zur rasanten Verbreitung
verschiedenster Arten von Angriffen bei.
Gezieltes Patch Management kann diese Schwachstellen
eliminieren. Dies setzt voraus, dass die
Hersteller der entsprechenden Client- und
Server-Software auch rechtzeitig die Patches
zur Verfügung stellen oder dass mit
entsprechenden Sicherheitslösungen
die Problematik entschärft wird.
Auch die Know-how-Anforderungen
an die IT-Sicherheitsmitarbeiter sind markant
gestiegen. Neben fundiertem Wissen über
Netzwerkmechanismen sind auch ein detailliertes
Verständnis über die Funktionsweise
der Applikationen und tiefe Betriebssystemkenntnisse
erforderlich.
Ein erster Schritt
zur Absicherung von sensitiven Unternehmensdaten
ist die Implementierung einer Sicherheitslösung.
Diese Sicherheitslösung muss wegen
des dynamischen Umfelds kontinuierlich überprüft
und angepasst werden. Für das seriöse
Management der Sicherheitskomponenten fehlt
im Unternehmen jedoch oft die Zeit oder
das Know-how. Gerade der Aufbau und Erhalt
von Know-how ist für ein Unternehmen
jeder Grösse mit erheblichen Kosten
verbunden.
IT-Sicherheit
bringt einem Unternehmen keinen direkten
Wettbewerbsvorteil, sondern nur einen beträchtlichen
Schaden, wenn der IT-Grundschutz nicht gewährleistet
ist. Bei den meisten Unternehmen zählt
IT-Sicherheit nicht zum Kerngeschäft.
Eine detaillierte Risikoanalyse definiert,
wie viel in die IT-Sicherheit investiert
werden soll und welche Präventionsmassnahmen
mit welcher Prioritätsstufe zwingend
sind. Die Ergebnisse der Analyse bilden
zusammen mit der IT-Strategie die Grundlage
zum IT-Sicherheitsstrategie-Entscheid „make
or buy“.
Wichtige Aspekte
beider IT-Sicherheitsstrategien
Beim
Entscheid, die IT-Sicherheit selber zu implementieren
und zu betreiben, müssen die Investitionen
nicht nur für die technischen Massnahmen,
sondern auch für die Aus- und Weiterbildung
der Mitarbeiter gesprochen werden. Die Möglichkeiten
von Tests in Laborumgebungen sind jedoch
oft mangelhaft. Die Überprüfung
von Releases ist kostenintensiv und nur
beschränkt möglich. Auf keinen
Fall darf aber die Pflege der IT-Sicherheit
zur gelegentlichen Zusatzaufgabe verkommen.
Sie muss als definierter Prozess seriös
wahrgenommen und umgesetzt werden. Nur dadurch
kann das notwendige Sicherheitsniveau aufrechterhalten
werden.
Der Entscheid,
die IT-Sicherheit bei einem Managed Security
Service Provider (MSSP) einzukaufen, bietet
neben dem Kosteneinsparungspotential durch
Skaleneffekte beim MSSP auch den Vorteil,
dass die Kosten für den Betrieb und
die Überwachung genau budgetierbar
werden. Zudem werden Technologierisiken
auf den MSSP transferiert. Die Konzentration
auf das Kerngeschäft erhöht die
Wirtschaftlichkeit sowohl des Unternehmens
wie auch des MSSPs selbst. Die Sicherheitsexperten
des MSSPs erkennen dank ihrer äusserst
grossen Erfahrung frühzeitig Verhaltenstrends
der Angreifer. Das dadurch entstehende Synergiepotential
kommt den Unternehmen in Form von höherer
Qualität und schnellerer Reaktion des
Managed Security Services (MSS) zugute.
Die
richtige Wahl des Managed Security Service
Providers
Bei der Wahl des MSSPs
spielt der Faktor Vertrauen eine zentrale
Rolle. Vertrauen basiert auf Offenheit und
Transparenz. Der MSSP muss in der Evaluationsphase
aufzeigen können, wie er diese Transparenz
sicherstellt. Es ist wichtig, in der Implementierungsphase
die Zusammenarbeitsprozesse klar zu definieren.
MSS müssen auch trotz ihrer hohen Standardisierung
bei der Parametrisierung genügend flexibel
sein, um den Bedürfnissen der zu schützenden
Umgebung zu entsprechen. Die Ausgestaltung
des MSS ist je nach Anbieter unterschiedlich.
Die Angebote gehen von der Übernahme
des Betriebs (Outsourcing Operational Tasks)
bis hin zum Rückkauf von bestehender
Hard- und Software-Komponenten. Die genaue
Definition bietet die Servicebeschreibung
mit dem dazugehörenden Service Level
Agreement (SLA). Das SLA definiert im Detail
die Leistungen des Services wie den Umfang
der Aktivitäten, den Durchsatz, die
Verfügbarkeit, die Reaktionszeit, die
Service- und Supportzeiten, als auch den
Eskalationsprozess und die Pennalen. Im
SLA ist auch erwähnt, welche Leistungen
explizit nicht enthalten sind und welche
zusätzlichen Kosten bei Nutzung dieser
Leistungen anfallen.
Voraussetzungen
für die Zusammenarbeit
Die Systemverantwortung
kann das Unternehmen mittels SLA dem MSSP
übergeben. Das Risiko-Management und
die Verantwortung aus strategischer Sicht
lassen sich aber nicht outsourcen. Ein Erfolgsfaktor
der Zusammenarbeit ist die Transparenz.
Das heisst, es wird klar definiert, welcher
Leistungsnachweis in Form von Reporting
in welcher zeitlichen Periode vom MSSP erbracht
wird. Bei der Zusammenarbeit ist auch zu
regeln, welche Mitarbeiter welche Art von
Aufträgen dem MSSP erteilen können
und welche Informationen sie vom MSSP erhalten.
Auch die Art der Authentisierung wird genau
festgelegt.
Unternehmen können
sich dank Managed Security Services auf
ihre Kernkompetenzen konzentrieren. Qualifizierte
Sicherheitsspezialisten überwachen
kontinuierlich die Services und reagieren
sofort auf neue Angriffstrends.
Fazit
Unternehmen können
sich dank Managed Security Services auf
ihre Kernkompetenzen konzentrieren und werden
dadurch effizienter. Sie erhalten zu definierten
Kosten den Zugang zu qualifizierten Sicherheitsspezialisten.
Nebst der kontinuierlichen Überwachung
der Services übernehmen die Spezialisten
auch das Management von Schwachstellen und
reagieren sofort auf neue Angriffstrends.
Das Unternehmen hat über das Reporting
jederzeit die Übersicht über den
Status der IT-Sicherheit.
top
|
