In diesem Artikel erläutert Xavier Van Lindt, wie sich mit Hilfe von Best Practices Sicherheitsprobleme bei den IT-Diensten vermeiden lassen.
Sicherheit ist das Ergebnis einer effektiven Kommunikation zwischen Management und IT-Diensten. Die IT-Sicherheit ist lediglich eine Anpassung an die vom Unternehmen geforderte Sicherheit. Auch hier erstrecken sich die Auswirkungen über die 3 hierarchischen Ebenen des Unternehmens. Es ist also die Governance, die es ermöglicht, die Sicherheitsbedürfnisse und -anforderungen des Berufsstandes zu kennen.
In ITIL 4 wird die Frage der Sicherheit in den Modulen Strategist: ITIL4DPI (Direct Plan and Improve) und ITIL4DITS (Digital and IT Strategist) untersucht. In DevOps gibt es ein Modul, das der Sicherheit gewidmet ist, einem der Grundprinzipien von DevOps, nämlich DevSecOps.
Entgegen der vorgefassten Meinung ist Sicherheit nur eine Frage des Konzepts. Es reicht nicht aus, Passwörter, Firewalls oder ISPs einzurichten. In den DevOps-Modulen wird gelehrt, dass Sicherheit in erster Linie im Tagesgeschäft, also im RUN (in der Produktion) stattfindet. Wenn Sie sich im RUN befinden, heißt das ursprüngliche Sicherheitskonzept „Beobachtbarkeit“.
Oft wird vergessen, dass man alles, was passiert, beobachten muss, um in Sachen Sicherheit nichts zu verlieren. Bei der Sicherheit geht es nicht nur um Hackerangriffe, Phishing oder Spamming. Bei der Sicherheit geht es auch um die Verfügbarkeit von Daten sowie um Vertraulichkeit und Integrität. Devops mit seinen SRE-, Continuous-Delivery- und DevSecOps-Modulen legt großen Wert darauf, alles zu messen, was in der Produktion passiert, um sicherzustellen, dass die Verfügbarkeit gewährleistet ist.
Die wichtigste Referenz zum Thema Sicherheit ist nach wie vor die Norm ISO 27000. ITIL erwähnt die Sicherheit als Praxis, aber DevOps konzentriert sich in einer sehr operativen Weise auf die Beobachtung und Kultur. In DevOps Foundation und DevSecOps wird die Sicherheit vom Beauftragten für die Sicherheit von Informationssystemen (RSSI) verwaltet, aber in Wirklichkeit gehört das Problem allen, weshalb es als kulturelles Phänomen betrachtet werden kann. Sicherheit hat nichts Technisches an sich, sondern ist in erster Linie ein kulturelles Problem und Teil der Arbeit. Jeder muss sich darauf konzentrieren, und das wird durch DevOps deutlich gemacht.
Von der RSSI wird daher nicht nur erwartet, dass sie Sicherheitsrichtlinien aufstellt (wie in der ITIL-4-Schulung erwähnt), sondern vor allem, dass sie die gesamte Direktion für Informationssysteme (ISD) sowie die Nutzer und Kunden für die verschiedenen Sicherheitsaspekte (taktisch, strategisch oder operativ) sensibilisiert. Sicherheit ist überall und betrifft jeden, und um Abhilfe zu schaffen, müssen wir kommunizieren! Da Sicherheit nicht nur eine politische Angelegenheit ist, werden die Mechanismen oder Systeme in der Betriebsphase entworfen, getestet und kontrolliert.
Es gibt 5 universelle Konzepte, die in den DevOps-, ISO- und ITIL-Standards zu finden sind, um die Informationen zu schützen, die das Unternehmen für die Durchführung seiner Aktivitäten benötigt:
- Datenschutz: Zugang zu den Daten nur für autorisierte Personen
- Integrität: Genauigkeit im gesamten System
- Verfügbarkeit: Daten sind verfügbar, wann, wo und für wen Authentifizierung
- Sicherstellung der Identität der Person, die auf die Daten zugreift
- Non-Disavowal: Nachweis der durchgeführten Aktion.
Das DevSecOps-Schema erweitert jedoch das Thema, macht es sowohl zu einem kulturellen als auch zu einem technologischen Thema und legt einen breiten Schwerpunkt auf die Beobachtbarkeit. Alles zu wissen, was in der täglichen Produktion passiert, ist ein integraler Bestandteil der Sicherheit.
Leider gibt es, obwohl fast alle Organisationen über Beobachtungstools verfügen, niemanden, der ständig überprüft, was passiert, oder man sieht nicht wirklich, was man sehen sollte, so dass es wie ein Kampf gegen Windmühlen ist. ITIL definiert diese Praxis als Event Management, DevOps als Observability, aber es ist vor allem DevOps, das sich auf die Kritikalität von Sicherheit und Event Management konzentriert.
Fachleuten, die Sicherheitsmaßnahmen durchführen wollen, empfehle ich eine ISO 27000-Schulung, und Fachleuten, die sich mit der Sicherheit in ihrer Gesamtheit befassen wollen, empfehle ich eine DevSecOps-Schulung.
