Cyber Resilience nie ohne IT Service Management

Cyber Resilience nie ohne IT Service Management

Artikel erschienen in IT Magazine 2016/03
Cyber Resilience und IT Service Management haben viele gemeinsame und überlappende Themenbereiche. Trotzdem werden beide Management Disziplinen vielfach in unterschiedlichen Fachbereichen und oftmals auch isoliert behandelt. ITSM wird vielfach als eine rein operative IT-Disziplin verstanden. Andererseits ist Cyber Resilience oft eine Spezialisten-Funktion im Risiko- und IT-Security Management Bereich. Durch diese unabhängige Betrachtung der teils gleichen Themenfelder kommt es nicht selten zu Konflikten und Überschneidungen der Zuständigkeiten für die Aufgaben. Beispiele hierfür sind:

• Governance: Beim IT Service Management werden durch eine wirkungsvolle Governance die strategische Richtung, die Weisungen und Verantwortlichkeiten definiert, um IT Services so zu planen, zu designen und managen zu können, dass sie die Anforderungen der Anspruchsgruppen erfüllen. Bei Cyber Resilience stellt die Governance sicher, dass die Ansprüche der Stakeholder bezüglich der Cyber Kontrollen so umgesetzt werden, dass die Anforderungen des Business erfüllt werden können. Hier kann es zu Zielkonflikten zwischen den beiden Bereichen führen: Conformance versus Performance.

• Change Management und Configuration Management: Änderungen an IT-Systemen und Services sind wichtig für Unternehmen, um mit der Entwicklung des Business mithalten zu können. Gleichzeitig sollen mit Änderungen keine Sicherheitskontrollen ausgehebelt oder neue Einfallslöcher geschaffen werden. Die Transparenz der vorhandenen IT-Assets und deren Beziehungen untereinander sind in einer komplexen IT-Landschaft nicht nur aus betrieblichen, regulatorischen und finanziellen Gründen notwendig; immer mehr sind sie zentral aus Cyber-Security-Sicht, um deren Gefahrenpotential und entsprechenden Schutzbedarf ableiten zu können.
• Availability Management: Aus Sicht von Cyber Resilience müssen die Daten und Informationen immer dann zur Verfügung stehen, wenn diese vom Business benötigt werden. Entsprechend werden Massnahmen zum Schutz vor Attacken wie DDoS oder Cryptolocker eingerichtet. Aus Sicht des IT Service Managements geht es auch beim Availability Management um die Planung von Massnahmen zur Sicherstellung der erwarteten Verfügbarkeit und zur Definition von Vorkehrungen zur Beherrschung der Downtime. Beide Disziplinen haben die Verfügbarkeit der Daten und Informationen zum Ziel – aber oft arbeiten diese nicht zusammen und arbeiten mit unterschiedlichen Methoden und Techniken.

• Incident Management: Beim IT Service Management geht es im Incident Management Prozess darum, den IT Service so schnell wie möglich für das Business wieder bereitzustellen. Auch beim Cyber Resilience ist das rasche Reagieren bei Security Incidents entscheidend, um den potentiellen Schaden einzudämmen. Hier ist eine enge Zusammenarbeit sehr wichtig, um keine Zeit bei der Lokalisierung der Störung und deren Behebung zu verlieren.

Diese Überlappungen ziehen sich weiter in den Bereichen Service Level Management (zur Bestimmung der Sicherheits-Anforderungen), Business Continuity Management oder auch Event Management (zur Überwachung und Feststellung von Anomalien in den Systemen). Cyber Resilience ist keine einsame Spezialfunktion innerhalb des Unternehmens, sondern muss eine Querschnittfunktion in allen Bereichen des IT Service Managements sein, um seine Wirkung effektiv zu entfalten. Deshalb sollte deren Umsetzung nicht isoliert in verschiedenen Fachbereichen erfolgen, sondern eine enge Kollaboration angestrebt werden. Kollaboration ist mehr als eine Kooperation zwischen den beiden Bereichen; es geht um die Abstimmung und Erreichung der gleichen Ziele und der Nutzung gemeinsamer Entscheidungswege.

Neuen Kommentar erfassen

Anti-Spam-Frage Wie hiess im Märchen die Schwester von Hänsel?
Antwort
Name
E-Mail
SPONSOREN & PARTNER