Cyber Resilience nie ohne IT Service Management
Quelle: ISACA

Cyber Resilience nie ohne IT Service Management

Zwei ungleiche Disziplinen mit starker Abhängigkeit

Von Martin Andenmatten

Artikel erschienen in Swiss IT Magazine 2016/03

     

Bei Cyber Resilience geht es um den Schutz der Informationen hinsichtlich Vertraulichkeit, Integrität und Verfügbarkeit in einem stark vernetzten und mobilen Umfeld. Bei IT Service Management werden die IT Systeme und Services gemanagt, welche die Daten speichern, verarbeiten und steuern. Bei beiden Disziplinen geht es darum, den Mehrwert der Informationen für das Business und dessen Kunden zu sichern und zu steigern. Aber Cyber Resilience und IT Service Management werden in IT-Organisationen oftmals als zwei völlig verschiedene und unabhängige Fachaufgaben gesehen und entsprechend von unterschiedlichen IT-Funktionen wahrgenommen. Dabei verfolgen doch beide Disziplinen das gleiche Ziel: sichere und verlässliche Informationen und Services für das Business zu gewährleisten.»

Cyber Security Fachexperten gehen heute davon aus, dass es nicht mehr eine Frage ist, «ob» man von einer Cyber Attacke getroffen wird oder nicht; es ist vielmehr eine Frage der Zeit, wann diese eintrifft. Der absolute Schutz ist finanziell und technisch für kein Unternehmen realisierbar. Unternehmen müssen sich heute vielmehr darauf besinnen, wie sie als Organisation genügend widerstandsfähig werden, um drohende Cyber-Vorkommnisse einigermassen unbeschadet zu überstehen. Der Begriff Resilience streicht speziell hervor, dass eine ausgewogene Fokussierung auf verhindernde, aufdeckende und korrigierenden Massnahme benötigt wird. Die Ausgewogenheit der Massnahmen ist auch in Bezug auf Menschen, Prozesse und Technologien zu suchen.
vices, so dass diese einen Mehrwert für das Business und der Kunden liefern können. Dies beinhaltet neben vielem anderen den Betrieb eines Service Desks um Kundenanfragen und Störungen zu managen, der Planung und Abstimmung von Änderungen an IT-Systemen und Services oder auch das Verhandeln der Service Level Erwartungen und der Sicherstellung der versprochenen Qualität. Es geht also hier auch um die proaktive Planung, um die Kundenerwartungen hinsichtlich Performance, Verfügbarkeit, Sicherheit und Service Kontinuität jederzeit erfüllen zu können.
Cyber Resilience und IT Service Management haben viele gemeinsame und überlappende Themenbereiche. Trotzdem werden beide Management Disziplinen vielfach in unterschiedlichen Fachbereichen und oftmals auch isoliert behandelt. ITSM wird vielfach als eine rein operative IT-Disziplin verstanden. Andererseits ist Cyber Resilience oft eine Spezialisten-Funktion im Risiko- und IT-Security Management Bereich. Durch diese unabhängige Betrachtung der teils gleichen Themenfelder kommt es nicht selten zu Konflikten und Überschneidungen der Zuständigkeiten für die Aufgaben. Beispiele hierfür sind:

• Governance: Beim IT Service Management werden durch eine wirkungsvolle Governance die strategische Richtung, die Weisungen und Verantwortlichkeiten definiert, um IT Services so zu planen, zu designen und managen zu können, dass sie die Anforderungen der Anspruchsgruppen erfüllen. Bei Cyber Resilience stellt die Governance sicher, dass die Ansprüche der Stakeholder bezüglich der Cyber Kontrollen so umgesetzt werden, dass die Anforderungen des Business erfüllt werden können. Hier kann es zu Zielkonflikten zwischen den beiden Bereichen führen: Conformance versus Performance.


• Change Management und Configuration Management: Änderungen an IT-Systemen und Services sind wichtig für Unternehmen, um mit der Entwicklung des Business mithalten zu können. Gleichzeitig sollen mit Änderungen keine Sicherheitskontrollen ausgehebelt oder neue Einfallslöcher geschaffen werden. Die Transparenz der vorhandenen IT-Assets und deren Beziehungen untereinander sind in einer komplexen IT-Landschaft nicht nur aus betrieblichen, regulatorischen und finanziellen Gründen notwendig; immer mehr sind sie zentral aus Cyber-Security-Sicht, um deren Gefahrenpotential und entsprechenden Schutzbedarf ableiten zu können.
• Availability Management: Aus Sicht von Cyber Resilience müssen die Daten und Informationen immer dann zur Verfügung stehen, wenn diese vom Business benötigt werden. Entsprechend werden Massnahmen zum Schutz vor Attacken wie DDoS oder Cryptolocker eingerichtet. Aus Sicht des IT Service Managements geht es auch beim Availability Management um die Planung von Massnahmen zur Sicherstellung der erwarteten Verfügbarkeit und zur Definition von Vorkehrungen zur Beherrschung der Downtime. Beide Disziplinen haben die Verfügbarkeit der Daten und Informationen zum Ziel – aber oft arbeiten diese nicht zusammen und arbeiten mit unterschiedlichen Methoden und Techniken.

• Incident Management: Beim IT Service Management geht es im Incident Management Prozess darum, den IT Service so schnell wie möglich für das Business wieder bereitzustellen. Auch beim Cyber Resilience ist das rasche Reagieren bei Security Incidents entscheidend, um den potentiellen Schaden einzudämmen. Hier ist eine enge Zusammenarbeit sehr wichtig, um keine Zeit bei der Lokalisierung der Störung und deren Behebung zu verlieren.


Diese Überlappungen ziehen sich weiter in den Bereichen Service Level Management (zur Bestimmung der Sicherheits-Anforderungen), Business Continuity Management oder auch Event Management (zur Überwachung und Feststellung von Anomalien in den Systemen). Cyber Resilience ist keine einsame Spezialfunktion innerhalb des Unternehmens, sondern muss eine Querschnittfunktion in allen Bereichen des IT Service Managements sein, um seine Wirkung effektiv zu entfalten. Deshalb sollte deren Umsetzung nicht isoliert in verschiedenen Fachbereichen erfolgen, sondern eine enge Kollaboration angestrebt werden. Kollaboration ist mehr als eine Kooperation zwischen den beiden Bereichen; es geht um die Abstimmung und Erreichung der gleichen Ziele und der Nutzung gemeinsamer Entscheidungswege.

Der Cyber Resilience LifeCycle

Sicherheit muss somit ein integraler Bestandteil der zu erbringend IT-Services werden. Nur wenn IT-Services robust entwickelt und umgesetzt werden, die leistungserbringenden Prozesse mit schützenden Kontrollen versehen und die Nutzer und aller internen und externen IT-Mitarbeiter mit wachsamen Sicherheits-Bewusstsein mit den IT-Services arbeiten, können Cyber-Attacken rechtzeitig erkannt, abgewiesen und der mögliche Schaden auf ein Minimum reduziert werden.


Eine gute Möglichkeit bietet sich bei der Adaption von Cyber Resilience in das Service LifeCycle-Konzept, welches viele Mitarbeiter bereits von ITIL® her kennen. Es können dabei Praktiken und Kontrollen in den Phasen Strategie, Design, Transition, Operation und Continual Improvement aus Sicht der Cyber Resilience definiert und in das bestehende Service Management System und deren Prozesse integriert werden:
• Cyber Resilience Strategie: Hier gilt es, den Schutzbedarf der IT-Assets mit den verschiedenen internen und externen Stakeholdern abzustimmen, das Verständnis der dafür notwendigen Ressourcen zu schaffen, um damit die Ziele des Unternehmens zu erreichen.

• Cyber Resilience Design: Beim Design des Management Systems und der Kontrollen wird sichergestellt, dass zur Realisierung der Strategie die Risiken und Chancen richtig verstanden werden und das Massnahmen definiert werden, welche ausgewogen die Kosten und die negativen Auswirkungen berücksichtigen.


• Cyber Resilience Transition: Die Transition stellt sicher, dass das Design ordnungsgemäss in die Produktion überführt und die damit verbundenen Risiken gemanagt werden. Alle Änderungen werden so gesteuert, dass die Cyber Resilience Anforderungen jederzeit gewährleistet bleiben.

• Cyber Resilience Operation: Der Betrieb ist jene Phase im Service LifeCycle, wo die Kontrollen eine direkte Wirkung auf die Risiken haben: sie werden, wenn möglich vermieden und diejenigen, die nicht verhindert werden können, werden erkannt und korrigiert.

• Cyber Resilience Continual Improvement: In der Phase der kontinuierlichen Verbesserung werden die Einstellung des Managements und der Mitarbeiter sowie deren Verhalten und das Umfeld in der Organisation beleuchtet, um die Cyber Resilience nachhaltig zu gewährleisten.

Der Cyber Resilience LifeCycle

Sicherheit muss somit ein integraler Bestandteil der zu erbringend IT-Services werden. Nur wenn IT-Services robust entwickelt und umgesetzt werden, die leistungserbringenden Prozesse mit schützenden Kontrollen versehen und die Nutzer und aller internen und externen IT-Mitarbeiter mit wachsamen Sicherheits-Bewusstsein mit den IT-Services arbeiten, können Cyber-Attacken rechtzeitig erkannt, abgewiesen und der mögliche Schaden auf ein Minimum reduziert werden.


Eine gute Möglichkeit bietet sich bei der Adaption von Cyber Resilience in das Service LifeCycle-Konzept, welches viele Mitarbeiter bereits von ITIL® her kennen. Es können dabei Praktiken und Kontrollen in den Phasen Strategie, Design, Transition, Operation und Continual Improvement aus Sicht der Cyber Resilience definiert und in das bestehende Service Management System und deren Prozesse integriert werden:
• Cyber Resilience Strategie: Hier gilt es, den Schutzbedarf der IT-Assets mit den verschiedenen internen und externen Stakeholdern abzustimmen, das Verständnis der dafür notwendigen Ressourcen zu schaffen, um damit die Ziele des Unternehmens zu erreichen.

• Cyber Resilience Design: Beim Design des Management Systems und der Kontrollen wird sichergestellt, dass zur Realisierung der Strategie die Risiken und Chancen richtig verstanden werden und das Massnahmen definiert werden, welche ausgewogen die Kosten und die negativen Auswirkungen berücksichtigen.


• Cyber Resilience Transition: Die Transition stellt sicher, dass das Design ordnungsgemäss in die Produktion überführt und die damit verbundenen Risiken gemanagt werden. Alle Änderungen werden so gesteuert, dass die Cyber Resilience Anforderungen jederzeit gewährleistet bleiben.

• Cyber Resilience Operation: Der Betrieb ist jene Phase im Service LifeCycle, wo die Kontrollen eine direkte Wirkung auf die Risiken haben: sie werden, wenn möglich vermieden und diejenigen, die nicht verhindert werden können, werden erkannt und korrigiert.

• Cyber Resilience Continual Improvement: In der Phase der kontinuierlichen Verbesserung werden die Einstellung des Managements und der Mitarbeiter sowie deren Verhalten und das Umfeld in der Organisation beleuchtet, um die Cyber Resilience nachhaltig zu gewährleisten.

RESILIA™ – ein völlig neues Rahmenwerk für Cyber Security und Cyber Resilience

Im Juni des letzten Jahres ist von Axelos (www.axelos.com) ein neues Rahmenwerk für Cyber-Resilience publiziert worden. Es gibt zwar bereits viele und gute Leitfaden für Informations-Sicherheit und auch Abhandlungen zur Optimierung der Cyber-Sicherheit im Rahmen des Information Security Management Systems (ISMS). RESILIA ist aber anders. Der Ansatz ist, dass im Unternehmen nicht für verschiedene Themen unterschiedliche Management Systeme eingesetzt werden sollen, sondern dass man ein Management System aufbaut, dass für allen Bedürfnissen genügt: Für Security Management, Quality-Management, Service Management, Compliance Management und dem Management von allen Aspekten des Business. Aus diesem Grunde hat RESILIA das LifeCycle-Konzept von ITIL® adaptiert.

Da RESILIA das Thema Cyber Resilience auf eine Management System Ebene definiert, ist die Zielgruppe sehr weit definiert. Sie zielt auf Personen, welche in allen Aspekten der Informatik arbeiten – und nicht bloss die IT Security Spezialisten. Es werden aber insbesondere das Management adressiert, welches die Verantwortung für die Sicherheit von Assets wahrnehmen müssen. Es werden entsprechende Grundlagen- und Praktiker-Ausbildungen angeboten.


Das Rad für eine erfolgreiche Cyber-Resilience muss daher nicht neu erfunden werden. Das Top-Management muss ihre Verantwortung erkennen, das Thema zur Chefsache erklären und als Vorbild vorangehen.

Der Autor

Martin Andenmatten ist seit 30 Jahren in unterschiedlichen Bereichen der Informatik tätig. Certified Information System Auditor (CISA), Certified in the Governance of Enterprise IT (CGEIT), Certified in Risk and Information System Control (CRISC), COBIT® 5 Certified Assessor und akkreditierter COBIT® 5 Trainer für Foundation, Implementation und Assessor Ausbildungen. Zudem ist Martin Andenmatten zertifizierter ITIL® Master, ISO/IEC 20000 Auditor und Practitioner. Als diplomierter Wirtschaftsinformatiker II und diplomierter Betriebsökonom FH verfügt er über ein breit abgestütztes theoretisches Wissen. Seine Praxiserfahrungen hat er als Herausgeber und Autor in seinen Büchern «ISO 20000: Praxishandbuch für Servicemanagement und IT-Governance» sowie «Services managen mit ITIL®» und «COBIT 5 Grundlagen» beschrieben.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER