Mit Resilia™ und ITIL® zu mehr Cyber-Security – mehr IT-Sicherheit durch IT Service Management

«Russische Hacker brechen in Systeme in der Schweiz und den USA ein» – «Denial of Services Attacken legen Schweizer Online-Anbieter lahm und stören den Internetverkehr in den USA»: Das sind nur wenige der vielen Schlagzeilen, die man dieses Jahr im Bereich der Internet- (sprich «Cyber-») Security lesen konnte. Es ist deshalb an der Zeit, das Thema aus der Sicht IT Service Management zu betrachten.

Jeder IT-Service-Anbieter ist sich selbstverständlich bewusst, dass die Sicherheit der Services, der Kunden- und Mitarbeiter-Informationen, der monetären Transaktionen und Daten von grundlegender Bedeutung für den Erfolg eines Service ist und dass in den dunklen Winkel des Internets ganze Heerscharen von Hackern sitzen, die unsere Systeme unablässig nach Lücken und Schwachstellen absuchen. Nur verhält es sich leider mit der IT Security ganz ähnlich wie mit dem Thema IT Financials: Das Gebiet ist komplex und nicht unbedingt «sexy», sodass man es gerne einem Fachmann überlässt und sich damit in Sicherheit wähnt!

Die eingangs erwähnten Attacken illustrieren, dass Cyber-Attacken ein existentielles Risiko für jeden IT-Betrieb darstellen. Sie zu bekämpfen, ist keine rein technische Herausforderung, bestehend aus Firewalls, DMZs, Verschlüsselungslösungen und hochkomplexen Passwortregeln, sondern es muss eine zentrale, ganzheitliche Aufgabe des IT Managements sein.

Welche Hilfsmittel stehen uns nun zur Verfügung, um IT Security als Management-Aufgabe in der Organisation zu verankern?

ITIL® als das «Swiss Army Knife» des Service Managements gibt uns einige Hinweise darauf (IT-Security-Management- und Access-Management-Prozesse, Asset Management in der CMDB und Hinweise zum Risiko-Management), wird aber der Komplexität des Themas nicht gerecht. Sehr passend, da aus dem gleichen Hause wie ITIL®, ist das relativ neue «Resilia™». Für alle, die den Service-Lifecycle-Gedanken von ITIL® verinnerlicht haben, bietet Resilia™ eine gute, robuste Best-Practice-Sammlung, die IT Security vor allem als Management-Aufgabe betrachtet.

Die Nutzung von Resilia™ Best Practices kann eine gute Vorbereitung darauf sein, das erreichte Niveau der IT-Sicherheit von einer unabhängigen Stelle prüfen zu lassen und damit das Vertrauen der Kunden zu verstärken. Der globale Standard dafür ist ISO 27000. Die Anforderungen für die Erfüllung dieser Qualitätsnorm sind sehr hoch. Sie decken alle Bereiche der IT Security ab, vom Management über die Organisation bis zu technischen und physischen Elementen. Die nachstehende Grafik illustriert, dass ITIL® und Cobit® nur Teile der Anforderungen adressieren. Vor allem ITIL® kann sehr gute Grundlagen für den Sicherheitsstandard bereitstellen. Kernkonzepte aus ITIL® wie CSI, IT Service Continuity Management und CMDB bilden ein robustes Fundament. Blau dargestellt sind die Prüfbereiche von ISO 27000, gelb & grün die unterstützenden Bereiche aus ITIL® und COBIT®:

Es wird der Aufbau eines Informationssicherheits-Managementsystems (ISMS) verlangt, was hohe Aufwände verursachen kann. Ist man bereits mit den Best Practices ITIL® und Resilia™ gut unterwegs, reduzieren sich diese Aufwände entsprechend. Ideal ist natürlich auch eine Zertifizierung des Service-Management-Systems nach ISO 20000. Damit wäre die Basis für das Qualitätsmanagement bereits gelegt; denn auch beim ISMS besteht der Kern aus dem kontinuierlichen Verbesserungsprozess («CSI» in ITIL®), auf dem die jährlichen, obligatorischen Re-Zertifizierungen aufbauen.

Der Aufwand für Aufbau und Unterhalt des ISMS kann beträchtlich sein. Mittlerweile ist es aber zumindest für kommerzielle IT-Service-Anbieter fast schon Voraussetzung für die Marktteilnahme. Folgende Grafik zeigt die möglichen Entwicklungen von der Service Excellence zur geprüften IT-Sicherheit:

IT Security ist auch ein Bereich mit intensiven gesetzlichen und branchenspezifischen Regulierungen, die von internen und externen Revisoren geprüft werden müssen. IT Security muss deshalb ein integraler Bestandteil der GRC-Strategie (Governance, Risk und Compliance) des Unternehmens sein. Als Rahmenwerk hierfür eignet sich COBIT® 5 oder auf Unternehmensebene COSO. Dazu mehr in nächsten Blogbeitrag.

Entwickeln Sie Ihre IT Security Practices weiter

ITIL® und Resilia™ sind also grosse Hilfen in der Entwicklung von IT Security Practices. Für den Erfolg auf beiden Seiten braucht es Wissen von beiden Seiten. Digicomp fördert dieses interdisziplinäre Wissen und bietet Teilnehmenden von ausgewählten Security-Kursen ab sofort bis Ende Januar 2017 einen Prüfungsgutschein für ITIL® Foundation oder Resilia™ Foundation – einlösbar bis 31.12.2017. Die Teilnahme am entsprechenden Foundation-Kurs bei Digicomp ist Voraussetzung für die Gültigkeit des Prüfungsgutscheins. Ihren Gutscheincode erhalten Sie beim Besuch des Security-Kurses.