Wie gehen Best Practices mit dem Sicherheitsmanagement um? – Interview mit Xavier Van Lindt

Datum: 16/10/2023| Kategorie: Tipps und Interviews| Tags: ,

In diesem Artikel erläutert Xavier Van Lindt, wie sich mit Hilfe von Best Practices Sicherheitsprobleme bei den IT-Diensten vermeiden lassen.

Sicherheit ist das Ergebnis einer effektiven Kommunikation zwischen Management und IT-Diensten. Die IT-Sicherheit ist lediglich eine Anpassung an die vom Unternehmen geforderte Sicherheit. Auch hier erstrecken sich die Auswirkungen über die 3 hierarchischen Ebenen des Unternehmens. Es ist also die Governance, die es ermöglicht, die Sicherheitsbedürfnisse und -anforderungen des Berufsstandes zu kennen.
In ITIL 4 wird die Frage der Sicherheit in den Modulen Strategist: ITIL4DPI (Direct Plan and Improve) und ITIL4DITS (Digital and IT Strategist) untersucht. In DevOps gibt es ein Modul, das der Sicherheit gewidmet ist, einem der Grundprinzipien von DevOps, nämlich DevSecOps.

Entgegen der vorgefassten Meinung ist Sicherheit nur eine Frage des Konzepts. Es reicht nicht aus, Passwörter, Firewalls oder ISPs einzurichten. In den DevOps-Modulen wird gelehrt, dass Sicherheit in erster Linie im Tagesgeschäft, also im RUN (in der Produktion) stattfindet. Wenn Sie sich im RUN befinden, heißt das ursprüngliche Sicherheitskonzept „Beobachtbarkeit“.

Oft wird vergessen, dass man alles, was passiert, beobachten muss, um in Sachen Sicherheit nichts zu verlieren. Bei der Sicherheit geht es nicht nur um Hackerangriffe, Phishing oder Spamming. Bei der Sicherheit geht es auch um die Verfügbarkeit von Daten sowie um Vertraulichkeit und Integrität. Devops mit seinen SRE-, Continuous-Delivery- und DevSecOps-Modulen legt großen Wert darauf, alles zu messen, was in der Produktion passiert, um sicherzustellen, dass die Verfügbarkeit gewährleistet ist.

Die wichtigste Referenz zum Thema Sicherheit ist nach wie vor die Norm ISO 27000. ITIL erwähnt die Sicherheit als Praxis, aber DevOps konzentriert sich in einer sehr operativen Weise auf die Beobachtung und Kultur. In DevOps Foundation und DevSecOps wird die Sicherheit vom Beauftragten für die Sicherheit von Informationssystemen (RSSI) verwaltet, aber in Wirklichkeit gehört das Problem allen, weshalb es als kulturelles Phänomen betrachtet werden kann. Sicherheit hat nichts Technisches an sich, sondern ist in erster Linie ein kulturelles Problem und Teil der Arbeit. Jeder muss sich darauf konzentrieren, und das wird durch DevOps deutlich gemacht.

Von der RSSI wird daher nicht nur erwartet, dass sie Sicherheitsrichtlinien aufstellt (wie in der ITIL-4-Schulung erwähnt), sondern vor allem, dass sie die gesamte Direktion für Informationssysteme (ISD) sowie die Nutzer und Kunden für die verschiedenen Sicherheitsaspekte (taktisch, strategisch oder operativ) sensibilisiert. Sicherheit ist überall und betrifft jeden, und um Abhilfe zu schaffen, müssen wir kommunizieren! Da Sicherheit nicht nur eine politische Angelegenheit ist, werden die Mechanismen oder Systeme in der Betriebsphase entworfen, getestet und kontrolliert.

Es gibt 5 universelle Konzepte, die in den DevOps-, ISO- und ITIL-Standards zu finden sind, um die Informationen zu schützen, die das Unternehmen für die Durchführung seiner Aktivitäten benötigt:

  • Datenschutz: Zugang zu den Daten nur für autorisierte Personen
  • Integrität: Genauigkeit im gesamten System
  • Verfügbarkeit: Daten sind verfügbar, wann, wo und für wen Authentifizierung
  • Sicherstellung der Identität der Person, die auf die Daten zugreift
  • Non-Disavowal: Nachweis der durchgeführten Aktion.

Das DevSecOps-Schema erweitert jedoch das Thema, macht es sowohl zu einem kulturellen als auch zu einem technologischen Thema und legt einen breiten Schwerpunkt auf die Beobachtbarkeit. Alles zu wissen, was in der täglichen Produktion passiert, ist ein integraler Bestandteil der Sicherheit.

Leider gibt es, obwohl fast alle Organisationen über Beobachtungstools verfügen, niemanden, der ständig überprüft, was passiert, oder man sieht nicht wirklich, was man sehen sollte, so dass es wie ein Kampf gegen Windmühlen ist. ITIL definiert diese Praxis als Event Management, DevOps als Observability, aber es ist vor allem DevOps, das sich auf die Kritikalität von Sicherheit und Event Management konzentriert.

Fachleuten, die Sicherheitsmaßnahmen durchführen wollen, empfehle ich eine ISO 27000-Schulung, und Fachleuten, die sich mit der Sicherheit in ihrer Gesamtheit befassen wollen, empfehle ich eine DevSecOps-Schulung.

Xavier Van Lindt

Xavier Van Lindt ist Senior Consultant und Trainer mit den Akkreditierungen ITIL 4 Foundation & Intermediate, ITIL v3 Foundation, Practitioner & Intermediate, ITIL MALC, ITIL Expert, DevOps Foundation, ISO20000 Foundation, Lean IT Foundation, Lean, Kaizen, Scrum Master, DevOps Leader, DevOps SRE, DevOps Continuous Delivery, Integrated Service Management (ISM).

Teilen Sie diesen Beitrag, wählen Sie Ihre soziale Plattform!

Newsletter

Melden Sie sich für den QRP International-Neswletter an und erhalten Sie alle Neuigkeiten über Trends, nützliche Inhalte und Einladungen zu unseren kommenden Veranstaltungen.

QRP International wird die Informationen, die Sie auf diesem Formular angeben, verwenden, um mit Ihnen in Kontakt zu treten. Wir möchten Sie auch weiterhin mit all unseren neuesten Nachrichten und exklusiven Inhalten auf dem Laufenden halten, die Ihnen helfen sollen, in Ihrer Rolle effektiver zu sein und Ihre beruflichen Fähigkeiten auf dem neuesten Stand zu halten.

Sie können Ihre Meinung jederzeit ändern, indem Sie auf den Abmeldelink in der Fußzeile jeder E-Mail klicken, die Sie von uns erhalten, oder indem Sie uns unter marketing@qrpinternational.com kontaktieren. Wir werden Ihre Informationen mit Respekt behandeln. Für weitere Informationen über unsere Datenschutzpraktiken besuchen Sie bitte unsere Website. Wenn Sie unten klicken, erklären Sie sich damit einverstanden, dass wir Ihre Daten in Übereinstimmung mit diesen Bedingungen verarbeiten.

Wir nutzen Mailchimp als unsere Marketing-Plattform. Indem Sie unten klicken, um sich zu abonnieren, bestätigen Sie, dass Ihre Daten zur Bearbeitung an Mailchimp übertragen werden. Erfahren Sie hier mehr über die Datenschutzpraktiken von Mailchimp.