Page 1

Compliance Management Für Einsteiger Uwe Kissmann

Schwierigkeitsgrad

Kein Thema bestimmt aktuell die IT Security Welt so stark wie Compliance Management. Von den Unternehmen wurde Compliance, das gesetzes- und vorgabengetreue Verhalten, längst als geschäftliche Basis erkannt. Zuerst erforderte das Management dieser Compliance zunächst die Entwicklung von Instrumenten und Verfahren sowie deren nachvollziehbare Kontrolle.

D

ieser Bereich ist derzeit aber für die Unternehmen einer der wesentlichsten Kostentreiber im IT Security Umfeld. Unklare Kompetenzverteilung und mangelhafte Kostenkontrolle sind häufig die Realität. Nachdem die generelle Entwicklungsphase von Verfahren für Compliance Management abgeschlossen ist, sehen sich viele Unternehmungen nun vor der Herausforderung, die damit verbundenen Kosten zu optimieren. Dies sowohl im allgemeinen Compliance Umfeld, als aber vor allem auch im IT Security relevanten Compliance Umfeld. Klares Ziel ist es, die Kosten zu reduzieren, ohne die Compliance selbst in Frage zu stellen. Dies stellt die Verantwortlichen vor grossen Herausforderungen. Obwohl sie auf der einen Seite während ihrer täglichen Arbeit vielfach die Bestätigung erhalten: Ja, natürlich halten wir die Security-Vorgaben ein, belegen Audit-Erfahrungen hingegen, dass solche Einschätzungen oftmals nicht der Realität entsprechen. Diese Diskrepanz bleibt vielfach nicht ohne Folgen. Vor allem in neuerer Zeit hat sie zu sehr unangenehmen Expositionen von Firmen aus verschiedenen Industriezweigen in der Öffentlichkeit geführt. Dies war mit weitreichenden Auswirkungen auf deren Reputation verbunden,

2

hakin9 Nr. 11/2007

vor allem wenn sie in Bereichen tätig sind, welche ein hohes Vertrauensverhältniss als Basis der Geschäftsbeziehung voraussetzen. Eine weitere Herausforderung ist mit der Schätzung verbunden, dass in einer IT Organisation mit einer Grösse von 100 Servern, durchschnittlich 200-1000 Change Requests pro Tag bewältigt werden müssen. Dies kann von kleinen Änderungen bis hin zu grösseren Eingriffen rei-

In diesem Artikel erfahren Sie... •

Was Compliance Management ist und vor welchen Herausforderungen sie den IT Security Officer stellen; Welche Tools zur Kostenreduzierung eingesetzt werden und wie durch automatisierte Kontrollen Kosten gespart werden können.

Was Sie vorher wissen/können sollten... •

Grundlegende Kenntnisse in Compliance Management.

www.hakin9.org/de


Compliance Mangement

chen. Derartige Änderungen haben nicht selten direkten Einfluss auf die Sicherheit dieser Systeme. Einerseits ist es angesichts solcher Rahmenbedingungen offensichtlich, dass ein Audit oder eine Sicherheitsüberprüfung, die nur alle paar Quartale durchgeführt wird, nicht mehr ausreicht, um eine ausreichende und möglichst permanente Übereinstimmung mit den Sicherheitsvorgaben zu gewährleisten. Andererseits stehen in der Regel aber auch die personellen Mittel nicht zur Verfügung, um die Übereinstimmung mit den Vorgaben permanent von Hand zu überprüfen. Zunächst liegt eine Teillösung dieser Krux in der automatisierten Überprüfung von Einstellungen, die von in- und externen Vorgaben bestimmt werden. Auf dem Markt gibt es mittlerweile unter den Labels wie Compliance Control oder Regulatory Compliance Solution diverse Tools, die dieses Thema adressieren. Allerdings kann durch den Einsatz solcher Tools bei weitem nicht umfassend gewährleistet werden, dass alle wesentlichsten Anforderungen abgedeckt werden. Denn Anforderungen an eine solche Lösung sind vielfältig und weitreichend. Nicht nur die automatisierte Überprüfung aller sicherheitsrelevanten Einstellungen und die lückenlose Einbindung sämtlicher, erforderlichen IT-Systeme sind für Unternehmen von zentraler Bedeutung, sondern auch im Nachgang die kontrollierte und vor allem nachvollziehbare Abarbeitung der Korrekturen. Darüber hinaus muss der jeweilige Ist-Zustand stufengerecht darstellbar sein und ein Reporting für alle Unternehmenslevels, vom IT-Spezialisten bis hin zum Executive Board Member, ermöglicht werden. Da die Security-Vorgaben nicht statisch sind, ist eine leichte Adaptierbarkeit an sich ändernde Security-Settings unerlässlich. Eine Priorisierung von Abweichungen nach Risikoklassen sollte ebenso möglich sein, wie eine leichte Harmonisierung mit internen Prozessabläufen. Das heisst auch die Schaffung gemeinsamer Messpunkte mit vorgegebenen Securityprozessen zur Sicherstellung

Wie misst man den Security Level – Das Prinzip Erster Augenschein

Richtlinien

Vergleich

Validierung

Abweichungen

Ergebnisse

Realer Wert

Menschliche Bewertung

Verbesserung

Risko

Abbildung 1. Wie misst man den Security Level – Das Prinzip eines ganzheitlichen Ansatzes und zur Kosten- und Qualitätskontrolle. Dies erfordert unter anderem eine saubere und klare Definition von technischen Security-Vorgaben, welche wiederum hohe Kenntnisse von Security-Erfordernissen der diversen Systemplattformen voraussetzt. Diese vielfältigen Anforderungen können erst durch eine Kombinationslösung diverser Applikationen abgedeckt und durch deren Ein-

Screen Architektur

bindung in Ticketing- und Inventory Management Systeme, sowie in die Prozesslandschaft einer Unternehmung realisiert werden. Ein solcher Ansatz erlaubt es auch, die Einhaltung interner und externer Security-Vorgaben permanent zu überprüfen, was einen wesentlichen Teil diverser Compliance-Vorgaben bildet, und mittlerweile von diversen Unternehmungen eingesetzt wird.

Admins

Sicherheitsrichtlinien

CSO Security Verantwortliche Management

SCREEN

Ticket

KPI ProblemManagement

Erstellung Problemticket

Reports

Reporting Engine

Inventory Data Problem Ticket Status Contract Information (Konfiguration)

SicherheitsDatenbank

Asset Management Inkl. Config Mgmt Data

Security Tool Konfigurationsrichtlinien

Security Berater manueller Gesundheitscheck

Wartung Kontrolle ErgebnissTCP/IP Scanning Ergebnisse Tool 1

Tool 2

Tool 3

Tool n

Abbildung 2. Screen Architektur

www.hakin9.org/de

hakin9 Nr. 11/2007

3


Für Einsteiger

Eine mögliche Lösung besteht darin, auf den zu überprüfenden Systemen Softwareagenten zu installieren, die die securityrelevanten Einstellungen regelmässig mit den spezifischen Vorgaben der Security-Policy vergleichen. Die daraus resultierenden Resultate werden in der Folge an ein zentrales Datenbanksystem weitergeleitet. Ergeben sich Abweichungen gegenüber den Vorgaben, werden diese automatisch an ein TicketingSystem weitergeleitet. Dieses System sendet dann automatisch eine Korrekturanforderung an den jeweiligen Systemverantwortlichen. Es kontrolliert und eskaliert auch, falls die Korrektur nicht innerhalb eines vorgegebenen Zeitraums erfolgt. Sämtliche Messungen und deren Resultate und Korrekturen werden darüber hinaus in einem zentralen, webbasierenden Reportingsystem erfasst. Aus diesem System heraus lassen sich in der Folge frei wählbare und stufengerechte Reports erstellen, welche detailliert über den aktuellen und den vergangenen ComplianceStatus Auskunft geben können. Durch die automatisierte, sehr detaillierte und stufengerechte Abarbeitung dieser Thematik lassen sich im operativen Bereich markante Reference Security Policy standard

Kosteneinsparungen im Bereich der IT Security relevantan Complianceaufwendungen realisieren. Diese Einsparungspotentiale liegen im Wesentlichen in der automatisierten Abdeckung der Mess-, Korrekturund Dokumentationserfordernisse. Eine wesentliche Voraussetzung für maximale Kosteneinsparungen ist die Beachtung der Tatsache, dass

• •

http://www.research.ibm.com/journal/sj/462/abrams.html – Ein Journalartikel vom IBM Forscherteam in Zürich; http://www.cert.org/ – Das Computer Emergency Response Team an der Carnegie Mellon University.

Compliance Management und die grosse Krux des IT Security Officers. Automatisierung und maximale Kostenreduktion bestimmen das Compliance Management Ganzheitliche und flexible Ansätze sind die Lösungen der Zukunft im IT Security Umfeld.

der optimale Nutzen nur erreicht werden kann, wenn nicht nur die technologische Lösung im Fokus steht, sondern auch parallel eine starke Harmonisierung mit den Securityprozessen erfolgt.

Ticketing Inventory Management

Centralized Database [aggregation, correlation and storage]

Automated, controlled and reproducable ticketing of control&correction activities

Specific, corporate Security Policy Health Checking Wintel

UNIX

zOS

A S/400 and others

TCP/IT Scanning

Logs

Check of Network environment

Logging of activities

Abbildung 3. Architektur- und Funktionsübersicht

4

hakin9 Nr. 11/2007

Uwe Kissmann ist seit mehr als 10 Jahren in verschiedenen, nationalen und internationalen Funktionen im IT Security Bereich tätig. Er verantwortet das IT Security Consulting Geschäft von IBM in der Schweiz, Österreich, Osteuropa und Mittlerem Osten.

Im Internet

Reports [For IT Management, -specialist, and non IT staff]

Connection with Inventory Systems to ensure complete measurement

Über den Autor

www.hakin9.org/de

Nach der Einführung solcher Lösungen ist ausserdem häufig der Effekt zu beobachten, dass sich die Aufwände für die Behebung von Securityabweichungen markant reduzieren. Hintergrund dafür ist die Tatsache, dass die betroffene Organisation nach einer gewissen Phase der Angewöhnung, die Abarbeitung solcher Abweichungen ins Daily business integriert, was zur effizienteren und routinemässigen Bearbeitung solcher Abweichungen führt.

Fazit

Zusammenfassend kann gesagt werden, dass die automatisierte Kontrolle und Abarbeitung von IT Security relevanten Complianceüberprüfung –nebst einem erhöhten Compliancegrad- ein wesentliches Kosteneinsparpotential bietet. Dies vor allem dann, wenn mehrere Lösungen miteinander kombiniert und in die Prozesslandschaft eines Unternehmens eingebunden werden. Dies ist der Grund, dass sich immer mehr Unternehmen zur Einführung solcher Lösungen entscheiden. l

Compliance Management  

Compliance Management

Read more
Read more
Similar to
Popular now
Just for you