Evolving from system management to services management with „best out of all clouds“

itsm-landing-pg_shutterstock_106100270

„Erst wenn „Licht“ (Cloud) in die jahrelang dynamisch / meist heterogene gewachsene <Schatten-Informatik> (Shadow IT) gelangt kann die künftig nötige befreiende Transparenz / automatisierte Hoch-Standardisierung entstehen als Basis für neue Geschäftsmodelle.
Jahrzehntelang mussten mangels echter Alternativen die Business-Prozess-/Anforderungen abgebildet werden mit lokalen ICT-Support-Prozessen und auch bis dato funktionierenden und stets als robustes „Rückgrat“ fungierenden „best practices“ basierten System-Management-Umgebungen.
Viele Hypes und Trends in Bereichen wie „bring your own devices (byod)“, „new economy“, „app economy“ und der stetig (längs überfälligen…) aufholenden Industriealisierung in der ICT veränderten auch die seitens Mitarbeiter und Führungsebene angewachsenen Bedürfnisse im „Fokus des Nutzens versus Technologie“

ICT in den Führungsgremien – Innovation und Marketing in der ICT
Als eine weitere „disruptive“ Entwicklung im fortwährenden Kampf der Diversifizierung im Mitbewerber-Markt war die Umkehr der Kräfteverhältnisse. Früher war die Basis von neuen halbwegs durchgängigen und umsetzbaren Prozesse und Produktion mit-gelegt worden seitens der damals zur Verfügung stehenden ICT-Lösungen. Seit längerer Zeit müssen sich geradezu umgekehrt die ICT-Support-Prozesse richten an den Anforderungen des dynamischen Marktumfeldes (z.B. time to market) und adaptierbaren Innovationen. Diese Paradigmawechsel hatte (zum Glück…) auch die Folge, dass ICT-KnowHow gefragt war in der Führungsebene für auch Themen wie Compliance, Mobility, Risk.

>> siehe separater Blog https://fridelonroad.wordpress.com/2014/09/26/ceo-cfo-cmo-gegen-oder-mit-cio-hauptsache-business-prozess-support-durch-ict/

(R)Evolution auch im ICT-KnowHow
Dieses ICT-KnowHow in der Führungsebene hat sich mittlerweile innert kurzer Zeit (und auch angetrieben durch die massivst laufend (r)evolutionierten Public Cloud Services) ebenfalls bereits wieder verändert vom ursprünglich gegebenen eher technischen ICT-KnowHow zum nun eher services- und nutzungs-orientierten Prozess-KnowHow.
Im Fokus stehen zunehmend die Nutzungs-Aspekte, Anwender und letztlich die Kunden und entsprechend änderten sich die gesuchten Qualitäten von reinen Spezialisten zu Generalisten mit auch „nicht-technischen“ Kenntnissen.

>> siehe separater Blog https://fridelonroad.wordpress.com/2014/11/15/the-always-online-knowledge-worker-supported-by-board-big-data-and-iot/

Take back control and then evolve … – hervor unter dem Pult und dann offen für die Welt
Die vielen „unter den Pulten“ gewachsenen und auch gelagerten (…) ICT-Systeme sind in vielen Fällen selbstverständlich erweiterbar und kombinierbar mit/als Hybrid-Cloud-Services. Mittlerweile sich stark veränderte Marktbedürfnisse, „time to market“-Aspekte und auch die oben beschriebenen Anforderungen der Führung / Firmeninhaber / Aktionären machen es nicht einfacher die vielfach sonst schon „eher blockierten“ Systeme in der verlangten Zeit und Qualität zu verändern.
Die lückenlose Transparenz und letztlich volle Kontrolle zurückzugewinnen – bei auch besser bewertbarem Risiko-Management – ist entsprechend und verständlicherweise teilweise verbunden mit der schrittweisen (Teil)Migration auf zukunftsorientierten, budgetierbaren und skalierbaren Cloud Services.

Betriebssicherheit (Safety) und Angriffssicherheit (Security) durch/in der Cloud
Unter dem Aspekt von z.B. „Schatten-Informatik (shadowIT)“, Anforderungen von „new economy“, Abhängigkeit von Mitarbeiter / KnowHow-Träger und entsprechenden Qualitätsaspekten und sich stark veränderten Bedrohungslage sind auch in diesen Aspekten die Anforderungen an die entsprechenden Prozesse und Systeme im Sicherheitsbereich und im Risk-Management-System hochkomplex geworden.
Diese Herausforderungen – gepaart z.B. mit den maximal gewachsenen Mobility-Bedürfnissen der Mitarbeiter – welche auch zunehmend getrieben sind durch Revisions-Stellen, Audits, Complianceanforderungen und der mittlerweilen zunehmend wahrgenommenen Verantwortung auf Führungsebene zeigen ebenfalls zum Trend der Gewaltentrennung (Unabhängigkeit von „internen“ Maschinen und „internen“ Menschen) durch Nutzung von externen Services in Bereichen wie Security, Systemredundanzen, Disaster Recovery Services, standortgetrenntes Backup, Monitoring und Alarmierung und auch Servicedesk as a Service.

>> siehe separater Blog https://fridelonroad.wordpress.com/2014/10/09/99-sicherheit-mensch-prozesse-technologie-risk-Management/

>> siehe separater Blog https://fridelonroad.wordpress.com/2014/11/11/data-loss-prevention-dlp-vom-erkanntem-daten-leck-zum-dosierbaren-daten-Ventil/

>> siehe separater Blog https://fridelonroad.wordpress.com/2014/05/18/ict-audit-und-controlling-innovationen-durch-risk-management-lizenzierungs-Audits/

Neue Freiheitsgrade und Potentiale durch Fokus auf orchestrierbare Services gegenüber kopf-abhängiges System-Management
Passend orchestrierte Cloud Services und dadurch auch die Chance und Herausforderung effizient „Licht in die Schatten-Informatik“ zu bringen und völlig neue (bisher nur erschwert erreichbare) Managed Services und dosierte Öffnung zur „new economy“ / neue Geschäftsmodelle zu ermöglichen, generieren auch neue Fokussierungs-Möglichkeiten. Der absolute Verlass, Standard und Sicherheit des „Stroms aus der Steckdose“ oder des „Wassers aus dem Wasserhahn“ ergibt die Möglichkeit, uns auf die Nutzung oder Genuss des Stroms oder Wassers konzentrieren (eine Art Services Management) zu können.
Diese Analogie sollte und wird auch entsprechend immer mehr Einzug halten in den ICT-Umgebungen und mit-helfen neue Konzentrationen zu ermöglichen auf gelieferten Services von hoch-standardisierten / spezialisierten Anbieter versus reiner selbstproduzierter / aufwändiger Technik (Wasser aus dem selbstgegrabenen Wasserloch ? und Strom produziert vom eigenen Dynamo ?)
Dadurch können die Kernkompetenzen und die internen Prozesse weiter optimiert werden und die dosierte Weiterentwicklung zu neu adaptierbaren Geschäftsmodellen vorangetrieben werden mit den bisher teilweise „blockierten“ KnowHow-Trägern oder „festgefahrenen“ Systemen.

„best out of all clouds“
Wie wir es als Konsumenten gelernt haben, eine freie und transparent im Internet recherchierbare und vergleiche Auswahl an Produkten und Lieferanten nutzen zu können ist es mittlerweilen auch so bei den Cloud Services.
Um sich als Konsument im Dschungel der unterschiedlichsten und nicht immer vergleichbaren Angeboten zurechtzufinden braucht es z.B. Vergleichsteste, Angebotsportale, erfahrene Berater oder aber Gesamtanbieter (Solution Brokers, Managed Services Anbieter) mit entsprechenden weitergehend unterstützenden Branchenerfahrungen und Referenzen. Solche erfahrene und auch offizielle zertifizierte Gesamtanbieter – welche dann auch als Gesamtansprechpartner (single point of contact) sämtliche Herausforderungen abdecken, Probleme beheben und vorallem die besten Lösungen finden – haben sich über Jahre und aus eigenen Erfahrungen / entsprechendem Branchenwissen die am besten orchestrierbaren und bestens bewährten Services aufgebaut. Da solche Gesamtanbieter teilweise dann auch über die entsprechenden zertifizierten Kompetenzen und spezielle Support-Verträge mit den Services-Lieferanten haben profitiert der Kunde zusätzlich. Dieses „unbezahlbare“ und aber für Kunden mittlerweile nutzbare Wissen und letztlich Vorteil gegenüber Mitbewerber stellt den Anspruch sicher, dass die Endlösung wirklich basiert auf den maximalst bewährten, standardisierten und automatisierten „Managed Cloud Services“. Durch genau solche auf „best out of all clouds“ basierten Lösungen bleibt die Lösung standardisierbar, skalierbar, beherrschbar und letztlich auch unabhängig von den Anbietern. Aufgrund dieser zukunftsorientierten Nutzung entsteht eine nachhaltige Lösung.

„Innovativ mit-denken, qualitativ handeln“
Dieser auf den ersten Blick einfach aussehende Idee, Anspruch und denkbare Anforderung für eine normale Weiterentwicklung von Prozessen oder Geschäftsideen funktionieren eben nur wenn man sich von möglichst vielen unterstützenden Themen (wie eben Wasser, Strom, Cloud…) entlasten und sich befreit, ungestört konzentrieren kann.

Change und Innovations Management inklusive
Viele solche Projekte gehen mitunter viel weiter und je nach Erfahrungen des gewählten Service Providers kann dieser den Kunden auch weitergehender beraten und begleiten – weitergehend eben als nur die reine Planung, Migration und Betrieb der orchestrierten Cloud-Lösung sondern viel mehr auch im nötigen Change Management, der Bewertung und Weiterentwicklung von adaptierbaren Innovationen oder Aufbau von neuen Basen für neue Geschäftsmodellen.

Zu guter letzt und wiederkehrend… Training, Befähigung und Weiterentwicklung
Da wir bekanntlicherweise nur jeweils einen Bruchteil der effizienzsteigernden Basis- und Erweitert-Features nutzen – geschweige denn die enthaltenen, mit-lizenzierten Features – ist es sehr lohnenswert, mittels entsprechenden Lösungs-Demonstrationen und darauf aufbauenden Trainings und „best practices“-Workshops diese Zusatz-Nutzen-Aspekte zugänglich zu machen. Die laufenden Services- / Features-Weiterentwicklungen können dann auch einfacher / kontinuierlich in der eigenen Weiterentwicklung / Effizienzsteigerung der Organisation nach-geschult werden.
Letztlich führen solche Werkzeuge / Möglichkeiten / Effizienzsteigerungen mitunter auch zur Unterstützung der Arbeitgeber-Attraktivität und Mitarbeiter-Motivation.

Data Loss Prevention DLP – vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil

dlp3dlp

Als Grundlage – und bei weitergehendem Informations-Interesse als „nur“ dem Artikel-Haupt-Thema – für meine persönliche Philosophie zum schier unfassbar grossen Big Thema Security / Safety / Risk Management referenziere ich meinen publizierten Artikel bei ISACA Chapter Switzerland im SWISS IT MAGAZINE
>> 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

Viele Produkte und Technologien rund um DLP – wo bleiben der Mensch und die Prozesse?
Sämtliche Bemühungen in technischer und prozessmässiger Hinsicht zur „beinahen“ Verhinderung oder eher „nur“ Behinderung von Daten-Lecks bzw. Entwendung oder Nutzen-Veränderung von firmen- oder personen-sensitiven Daten scheinen zunehmend reine eher reaktive Symptombekämpfungen anstelle proaktive integrierte Ursachenbekämpfungen zu sein. Hierbei steht einmal mehr der Mensch und die Prozesse im Vordergrund und im Fokus der Wirkung am Ziel.

Angriffs- und Betriebs-Sicherheits-Krieg auf höchstem Niveau – Mensch immerschwächer werdendes Glied in der Kette
Die sehr raffinierten Angriffs- und Verteidigungs-Methoden im Kontext von z.B. auch Zeitfaktoren / Multifaktor-Anmeldungen / Berechenbarkeit / Eintrittswahrscheinlichkeiten / Verschlüsselung scheinen mittlerweilen auf einem Höchst-Niveau abzulaufen – jenseits in dieser Betrachtung vom sicherheits-technisch immer schwächer werdenden Glied in der Kette – des Menschen selber.
Der grösste Schaden – es gibt genügend Beispiele seit längerer Zeit – basiert meist auf einer raffiniert aufgebauten und von langer Hand geplanter Angriffs-Strategie basierend auf  einer „Vertrauens-Bildung zwischen Angreifer und Opfer“.
Hierbei können folgende stichwortartig aufgelistete sehr einfache Fälle als Referenz dienen:
– Mail-Anhang mit bösartigem Code von einem (gefälschten) Bekannten öffnen
– Zugangs-Kennwort per Telefon, Webseite, Socialmedia, Email oder gar Zuruf bekanntgeben
– Kennwörter an beliebten Orten öffentlich zugänglich machen (Tastatur, Pult, Tasche etc.)
– Arbeitsplatz ungesperrt hinterlassen und den Zugang ermöglichen für Kollegen oder Externe
– „Unsicheres“ Daten austauschen per Webmail, Socialmedia, Smartphone, Wechseldatenträger
– Social Engineering – extern aber auch von intern …

Patt-Situation – Informations-Schutz versus Menschen-Schutz – was schützen und klassifizieren wir zuerst ?
Wo nun die Organisationen / Führungsebene beginnen sollten im Teil-Bereich von „Data Loss Prevention DLP“  ist demnach nicht einfach zu beantworten bevor man überhaupt weiss was „schützenswerte“ Informationen sind mittels einer zuerst nötigen Basis-Arbeit der Daten-Klassifikation.
Aufgrund dieser Klassifikation (auf die genaue Methode und Ansätze wird hier nicht eingegangen) entsteht dann ein klareres und überschaubareres Gesamt-Bild der schützenswerten Objekten und deren Einstufungen in z.B. Eintrittswahrscheinlichkeit, Risiken, Schadenspotential. Daraus sollten sich dann eine hoffentlich beherrschbarere Gesamtsicht entstehen mit z.B. Massnahmen, Compliance-Anforderungen, Auswirkungen auf Mitarbeiter Security Policy und Risk-Management / Audit.

Datenschutz und Persönlichkeits-Rechte – und trotzdem auch Schutz-Recht von Firmen-Eigentum ?
Zum Schutze und als Basis der (hoffentlich) gemeinsamen Interessen – auf der einen Seite des Mitarbeiters und dessen z.B. Persönlichkeits-Rechten und auf der anderen Seite der Firma und deren z.B. „intellectual property“ – sollte eine gemeinsame Vereinbarung in Form einer „ICT Security Policy / ICT Weisungen“ verabschiedet und als verbindlicher Bestandteil zum Arbeitsvertrag unterzeichnet werden.
Diese Spielregeln können letztlich kein Daten-Leck verhindern jedoch dient diese vorallem auch der Sensibilisierung und Aufklärung zu betriebs-vitalen oder gar betriebs-hoch-kritischen Gefahren, Regeln und Massnahmen.
Dabei ist auch die Balance zu finden zwischen den Rechten beider Partner (Arbeitnehmer und Arbeitnehmer oder auch Kunden und Service-Anbieter) unter Wahrung der Persönlichkeitsrechten und Balance zwischen Vertrauen und genau zu beschreibenden Kontroll- und Verteidigungs-Mechanismen (z.B. mehrstufig, anonymisiert, Trends, Baselines, Anomalien, Traffic-Controlling, Filterungen, Blockaden, Alerting).

Sensibilisierung via ICT Security Policy verschwindet nach der Unterzeichnung
ICT Security Policies als Bestandteil zum Arbeitsvertrag werden a) nur vor dem Start des Arbeitsverhältnisses unterzeichnet, b) geraten dann schnell in Vergessenheit, c) beinhalten vielfach keinen offenen ergänzbaren Bereich für die die hoch-dynamischen Bedrohungs-Lagen und d) sollten eine Arbeitspapier als Ausgangslage für weitergehende, wiederkehrende Schulungen und Sensibilisierungen. Hierbei reichen vielfach nur schon ausgewählte und auf die Firma adaptiert kommentierte, einfache Beispiele von Daten- und Sicherheits-Lecks von anderen betroffenen Organisationen und auch entsprechende juristisch strafrechtliche Auswirkungen.
Es sollte dadurch selbsterklärend sein, dass dann mitunter auch „naive“ Aussagen oder Ausreden im Sinne von „das war mir gar nicht bewusst oder das hat mir niemand so explizit gesagt“ nicht mehr einfach akzeptiert werden.

Lange Rede rund um… und nun: Am Schluss kommt „nur“ noch die Technologie
Und eine Wiederholung mehr: 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf
Zuerst umfassend sensibilisierte Mitarbeiter (Mensch) und klassifizierte schützenswerte Informationen (Maschinen, Prozesse) bilden dann die beherrschbare Basis für dann ein umfassend orchestrierte und bewusst vielschichtig aufgebaute Gesamtlösung.

Data Loss Prevention – best out of breed and out of best practices
Alleine die Aufzählung von verschiedenen Ansätzen, Methoden, Produkten würde jeglichen Rahmen sprengen dieses Impuls-Artikels. Ich beschränke mich hiermit auf die stichwortartige Aufzählungen von gewissen Ansätzen, Szenarien und einfach erklärten Ideen:
– Sehr hohe Priorität sollte dem „Schutz der digitalen Identität“ zugewandt werden – z.B. bei Kennwort-Richtlinien, Kennwort-Manager-Software, Multifactor-Anmeldung, One Time Token, Devices, Cloud-Dienste etc. damit hier nicht mittels einem „zentralen Einfalls-Tor alle anderen Zugänge und Angriffs-Schutz-Mechanismen“ ausgehebelt werden …
– Filterung, Ueberwachung und Sperren von WLAN-, Smartphone-, Internet- und Webbrowser-Zugänge und Berechtigungen für die proaktive Verhinderung von unerwünschten oder gefährlichen Webseiten- oder Internet-Aufrufen
– Software- und/oder Hardware-Verschlüsselung von z.B. Festplatten, Wechseldatenträger, Smartphones, Emails, Dokumenten (z.B. Bitlocker)
– Transportregeln auf Basis des Email-Systems welche per Voll-Text-Inhalts-Filterung gewisse geschützte und so klassifizierte Mails oder Anhänge sperrt / umleitet oder archiviert
– Automatische Disclaimer-Erzwingung oder PopUp-Fenster-Anzeige im Mail-Programm an den Anwender (proaktive Sensibilisierung) bei allen ausgehenden Emails oder bei klassifizierten Informationen
– Automatische Email- und Datenaustausch-Verschlüsselung (und auch z.B. Sender-Identitäts-Nachweis) ohne Einwirkung des Senders und Empfängers
– Verschlüsselungs-Punkte in der ganzen Kette der Kommunikation (User to Services, Daten zwischen Datencentern, Daten auf Datenträgern, End-to-End-Verschlüsselung von User zu User)
– Geschützte Output-Umgebungen mit Druck / Scan per Kennwort, Keycard, Token
– Compliance-Einschränkungen von z.B. Smartphone für Kamera, Bluetooth, NFC, WLAN, Cloud, Apps, Socialmedia, Speicher-Einschränkungen, Kennwort- und Geräte-Sperr-Vorgaben und Remote Löschungen
– Device Management Lösungen oder Software-Agents auf Clients für z.B. Sperre von Printscreens, Copy Paste Sperre je nach Anwendung, Software-Compliance-Kontrollen, AppLocker
– Zentral verwaltete, proaktive Endpoint Protection Lösungen welche zusammen mit neuartigen Internet-Firewalls auch Anomalien aufspüren oder Base-Line-Vergleiche sicherstellen kann (Stichwort: Trojaner, RootKits, Viren, Würmer, Schläfer, Kennwort-Logger, Spionage-Tools, Datenströme
– Baseline-Compliance-Vergleiche von zugelassenen und unerwünschten / nachträglich installierten Tools / Malware / Apps mit entsprechender Alarmierung
– Fingerprinting, Watermarking, Metadaten-Kennzeichnung, Keywords für das Filtern und Aufspüren von Informations-(Ab)flüssen oder Missbrauch
– Erweiterte Right Management Services (RMS) oder Digital / Information Right Services (DRM, IRS) welche eine sehr hohe, erweiterte Granularität von z.B. Dokumenten-Rechte / Schutz beim Empfänger steuern kann (z.B. Regelung von Autorisierung / Weitergabe / Druck / Speicherung / Protokollierung / Gültigkeitsdauer)

– Je nach Informations-Klassifizierung und Risk-Management gar erweiterte Massnahmen mittels einem „Intellectual Property Management“ System zum erweitertem Schutz von firmenvitalen Geisteseigentum.

– Letztlich: strategisch bewusstes Auslagern / Archivieren oder Sichern / Spiegeln von (Teil)Daten / Zusatz-Backups oder ganzen Systemen auf viel leistungsfähigere und ausfallsicherer orchestrierbare Public Cloud Dienste für die Reduktion von internen (grösseren…) Gefahren in einem lokalen Betrieb und lokalem physischen Datenzugang (Analogie: Die Suche nach der berüchtigten Nadel – aus Sicht eines Angreifers – in einem BigData-Heuhaufen und in einem reissenden Daten-Strom kann schwieriger sein als Firmendaten gezielt an einer Firmen- oder System-Lokation angreifen versuchen …) –> Enhanced Cybersecurity with Big Data …

Vom erkanntem Daten-Leck zum dosierbaren Daten-Ventil ?? und es tropft weiter …
Mittels einigen genannten Beispielen aber vorallem mittels einer eigens aufgebauten und an die zu schützenden Organisation angepasstes Szenarien- / Frage-Framework sollten rasch die klassifizierten und priorisierten, schützenswerten Informationen und deren Schwachstellen (Lecks, Leaks) erkannt werden können für entsprechende stufenweise eingeführten Gegenmassnahmen für die möglichst grosse Reduktion von Informations-Missbräuchen / Abfluss (Loss).

Data Loss Prevention im Spannungsfeld zu Data Leak Management bzw. „offener“ Informations-Verbreitung / -Nutzungsänderung in der künftigen New Economy
Auch hier wird am Schluss eine Teilmenge von Risiken übrigbleiben welche im Risk-Mangement bewertet / überwacht und kontrolliert werden muss. Denn das Daten-Ventil tropft immer irgendwo weiter und weiter …
In einem teilweise (un)beherrschbarem Wachstum und derer Weiterentwicklung von z.B. Big Data, Internet of things (IoT) und Daten-Universum werden sich auch Business Modelle ändern (müssen) für einen offeneren – dann aber geregeltem und in einen mehrwert-generierenden – Informations-Austausch.
Bisher schützenswerte, klassifizierte Informationen / Datenbanken / Produkte / Schnittstellen / Standards / Normierungen / Apps / geistiges Eigentum finden – basierend auf einem neuen (r)evolutionierten Business-Modell – neue und mehrwert-generierende Services-Nutzungs-Kanäle für den Anbieter / Nutzer.

ISACA 99% Sicherheit = (Mensch + Prozesse + Technologie) + Risk-Management

cloud-big-data-mega-stream-security

>> Publizierter Artikel im Swiss IT Magazine / Swiss IT Reseller von ISACA ITM2014_09_ISACA_03

Der Titel dieses Artikels will aussagen, dass es die 100% Sicherheit nicht gibt – der Rest ist reines Risk-Management und nicht Technologie
Diverse Ansätze / Empfehlungen / Methoden / Compliance Anforderungen / Regulatoren / Zertifizierungen wie z.B. Business Recovery System (BRS), Disaster Recovery Tests, Contingency Plan, CISA, CISM, ISO 22301/BCMS, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001 ISMS, IEC17799, SOX, IT GSHB, DSG, VDSG können schon sehr viel an generischen Risiken und entsprechenden Gegenmassnahmen abdecken.
Jedoch sind diese eben “nur generisch” und müssen massgeschneidert an die effektive Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele (z.B. mittels ICT-Governance) der Firmen-Gesamt-Strategie angelehnt werden.
Es bleiben immer Rest-Risiken übrig welche im Risk-Management abgebildet und verwaltet werden müssen – und dies auf Ebene der Führung oder Verwaltungsrat.
Innerhalb des Risk-Management-System / ICT-Governance geht es um einen laufenden Loop von “Erkennung”, “Bewertung und Klassifizierung”, “Managen” und “Ueberwachung und Kommunikation”
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: “Es ist vieles abdeckbar mit den Akteuren Menschen, Prozessen, ICT-Technologien und vorallem Baseline / Tests / Monitoring. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich etwas mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage sondern eine Kombination von wiederkehrenden Prozessen in einem Gesamt-ICT-Audit-System”

DatenSCHUTZ in der DatenFLUT ?
Ein kleines Rinnsal und dessen bescheidener Wasserfluss mit Sicht auf den Grund zu überwachen, ist einfacher als ein grosser Fluss mit einem reissenden und mitunter auch wellenden und zunehmend jährlich anwachsenden Wasserstrom ohne Sicht auf den Grund …
Diese einfache Analogie zeigt das zunehmende Problem auf, in diesem Datenschutz- und Sicherheits-Bereich im Zeitalter der hochdynamischen Entwicklung in Bereichen wie z.B. Cloud, Big Data, Internet der Dinge und letztlich der fortschreitenden digitalen Transformationsprozessen.

Die digitale Transformation und Wandlungsdruck der Informationsgesellschaft hat interdisziplinäre Auswirkungen – auch im Sicherheits-Bereich
Die heutigen und vorallem die künftige Bedürfnisse und dessen Auswirkungen der Informationsgesellschaft betrifft mittlerweilen globale Prozesse, Technologien und lassen sich nicht mehr isoliert betrachten und abdecken. Es braucht zunehmend interdisziplinäre Zusammenarbeiten von Akteuren von z.B. Gesellschaft, Politik, Technologie, Wissenschaft, Ausbildung (z.B. nur schon Sensibilisierung zu Sicherheitsthemen) und auch Spezialthemen wie auch Psychologie oder Management-Ansätze damit dieses entstehende Next Generation Informationsuniversum an Mensch und Maschine mehr Nutzen als Schaden mit sich bringt und so gut es (hoffentlich noch) geht auch beherrschbar bleibt – auch eben in datenschutz- und sicherheits-technischen Aspekten  und auch Auswirkungen auf die jeweilige ICT-Firmenstrategie und Firmen-Compliance- und Governance-Anforderungen.
Der entsprechende „Wandlungsdruck der Informatik“ – nennen wir es mal „Transformation“ – in ein neues Informatik-Zeitalter mit jeweilig an die Firmenstrategie orientierte ICT-Strategie hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich in dieser Transformation zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT (und auch die ICT-Sicherheit) wird vielfach leider immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

The new Economy versprach und vernichtete vieles… Wertschöpfung durch „sichere“ ICT
Vor zirka 15 Jahren versprachen viele Berater, Strategien, Firmen, Leadership-Methoden, Führung ein ungeahntes Potential in den Bereichen Internet, E-Business etc. und viele Firmen, Organisationen, Technologien wuchsen ins Unermessliche an ohne auch z.B. die Prozesse, Sicherheit, Risiken und nötigen Organisationsanpassungen zu prüfen und anzupassen.
Die DOT.COM-Blase platzte entsprechend und auch die ICT-Industrie litt stark darunter als damals als reiner Kostenfaktor und Wertvernichter deklariertes notwendiges Uebel.
Damit die ICT zunehmend entscheidend unterstützen kann zur Wertschöpfung und Effizienzsteigerung / Business-Support braucht es immer noch entsprechende überzeugende „Missionarsarbeit“ und zunehmende abgesicherte / überwachte Prozesse aufgrund der zunehmend business-kritischen ICT.

Ein Teil des Internet – Internet ein Teil von uns – Big Brother is watching us in our „smart“ homes
Vor nicht allzu langer Zeit war das unsichere Internet isoliert begrenzt auf einen Firmen- oder Heim-Computer. Mit der fortschreitenden Entwicklung von Internet- / Cloud-Lösungen und wachsender Mobilität mittels z.B. Smartphones, Notebooks, HomeOffice-Arbeit schwindete die Grenze zwischen Privat und Business zunehmend – und letztlich auch die Gesamt-Sicherheit.
Weitere Entwicklungen im Bereich der Heimvernetzung und letztlich „Internet der Dinge“ wird dazu beitragen, dass wir nicht mehr nur ein Teil des Internets sind sondern das Internet ein Teil von uns wird. Dass dann hierbei Unmengen von (hoffentlich) erwünschten und auch unerwünschten Informationen in alle Richtungen fliessen werden im gesamten Haushalt / Haustechnik / HomeOffice-Firmen-EDV / Privat-EDV und speziell auch Kinder-EDV wird weitere Fragen und Herausforderungen der beherrschbaren Sicherheit aufwerfen.
Nur noch dies: globale Internet-Industriegiganten wie z.B. CISCO, Google, Microsoft, Amazon, Siemens sind aufgrund Ihrer Landesherkunft und deren dominanten Verbreitung im Internet und wachsenden totalen Vernetzung, auf Internet-Core-Infrastruktur-Bereichen und dem künftigen „Internet der Dinge“ letztlich überall „allzu sehr heimisch“ in unseren Haushalten, Firmen und Netzwerken – und immer wieder mit dem irgendwo hinterlegten „Master-Passepartout-Datenschlüssel“ ausgestattet genau zu beobachten … oder werden diese gar mal genötigt, regulatorisch vorgegebene Staats-Trojaner zu „akzeptieren“ oder „mit zu implementieren“ (?)
Hoffen wir doch, dass künftig die Hacker nicht via Kühlschrank zu uns kommen oder deren eigene Leibspeisen zu uns nach hause bestellen … oder uns ein- oder raus-sperren via Türen-Management-System.
Unsere „connected smart homes“ mögen zwar irgendwann smart sein… aber auch wirklich sicher ??

Der Schutz der digitalen Identität im 21. Jahrhundert – ein „multifaktoreller“ Widerspruch ?!
Ein Megatrend des plattformübergreifenden „Single Sign On (SSO) / Anmeldung mit nur einer Anmeldung“ im Zuge der standort- und geräte-unabhängigen Zugangsmöglichkeiten auf z.B. Cloud, Social Media, Apps, Firma, Kreditkarte via allen Geräten wie Smartphones, Tablets, Notebooks, PC, Heimgeräte eröffnet völlig neue Konform-Stufen bei auch unschwer zu erkennenden, erhöhten Sicherheits-Gefahren.
Eine sehr grosse Herausforderung wird der künftige Schutz genau dieses zunehmend, konsolidiert zentralen Einstiegspunktes sein, der ja auch irgendwann mal nebst z.B. dem reinen Datenzugang auch weitergehende sehr personensensitive Informationen wie z.B. Bankzugänge, Gesundheitsinformationen, Familie, Kinder schützen wird (hoffentlich).
Dass hier vorallem in den Bereichen wie Social Media (Facebook, Twitter etc.) und Email dermassen unnötig und gefährlich viele personensensitive Daten bereits jetzt schon fahrlässig öffentlich (und teilweise unaufgefordert…) verteilt werden erschwert auch hier der Spagat zwischen Fahrlässigkeit und Sicherheitsanforderung. Leider ist der „gläserne“ Mensch im Internet nicht schwer sichtbar, nur weil er aus Glas ist… im Gegenteil: er macht sich meist selbstverschuldet selber „extrem gläsern“ und sichtbar…
Auch muss zur Kenntnis genommen werden, dass die eigene Identität nicht mehr genügend geschützt ist mir „nur“ Benutzername und Kennwort und es wenigstens jetzt schon z.B. Einmal-Anmelde-Verfahren (OneTimeToken, OTP) gibt.
Den Bedrohungen des 21. Jahrhunderts ist die Authentifizierung per einfacher oder auch zweifacher Anmeldung nicht mehr gewachsen. Eine neue Generation – von gar bewusst system-verteilten und voneinander unabhängigen, nicht konzentriert angreifbaren – (Cloud)-Anmeldelösungen mit dynamischer Multifaktor-Authentifizierung und Authorisierung ist unumgänglich. Diese können dann noch mehrstufig verstärkt werden mit z.B. kontextbasierten Verhaltensmustern, Standortbezogenheit und Echtzeit-Token an persönliche Devices.

Sicherheitsoptimierung durch (Hybrid)Cloud oder Big Data ?
Im Zuge der aktuellen Erkenntnissen rund um die verschiedenen Nachrichtendienste und deren grenzenlosen Datenzugangs-Möglichkeiten und dem offenbaren Trend von „jeder bespitzelt jeden“ stellen sich einige Grundsatzfragen.
Eine Private Cloud ist schon längstens nicht mehr „privat“ – sei es durch Schwachstellen in den Bereichen Prozesse, Technologie oder vorallem  des Menschen / Mitarbeiter – oder eben durch die Nachrichtendienste und künftig der Staaten mit z.B. Staatstrojanern (?)
Wäre aus diesem Aspekt dann die Auslagerung von einzelnen ICT-Themen in die Public Cloud / Hybrid Cloud „sicherer“ und „beherrschbarer“ wenn nur schon mal einer der Haupt-Sicherheits-Risiko-Faktor „Mitarbeiter“ und lokale Prozesse ausgelagert sind?
Eine gezielt, isolierter Sicherheits-Schwachstellen-Angriff auf eine Firmen-ICT-Infrastruktur (inkl. auch physisch vor Ort oder per Social Engineering / Trojaner / Malware etc.) ist natürlich viel einfacher als ein eher ungezielter, nicht isolierbarer Angriff auf eine Public Cloud oder „Mega Cloud“. Die Analogie bei der „Mega Cloud“ zur mühsamen und eher unendlichen Suche nach der bekannten Nadel (Firmendaten) im dann aber SEHR grossen Heuhaufen (Cloud) ist hier mehr als angebracht.
Und leider müssen hier noch weitere Fakten (oder alte Paradigmen) adressiert werden:
Der Datenstandort wird zunehmend irrelevant für die teilweise schon jetzigen oder dann künftigen immer globaler werdenden Sicherheitsfragen.
Zunehmend lassen CH-Firmen sicherheits-relevante Systeme von externen oder gar ausländischen Serviceorganisationen betreiben – inkl. auch grenzüberschreitendem Informationsaustausch.
Ein „sicherer“ Weg (als bisher…) in einen ICT-Transformations-Prozess / Cloud kann also auch – trotz allen anderslautenden Meldungen – gerade darum eine gut orchestrierte Kombination von (Hybrid)Cloud-Lösungen und Managed Services sein. Hier könnte der Ansatz „the very best out of all Clouds“ ein gangbarer Weg sein wenn diese mittels den nötigen Prozessen, Technologien, Mitarbeiter und Risk-Management / ICT-Governance gestützt werden von der Führungsebene und letztlich der Firmen-Strategie und davon abgeleitet der ICT-Strategie.

Kontrollen über Kontrollen = Bestandteil der unabhängigen Qualitätssicherung, aber auch echte Sicherheit ?
Seit Jahren entstanden immer mehr ICT-Kontroll-Methoden oder Vorgaben seitens der ICT-Industrie, Regulatoren oder auch seitens einzelnen Branchen-Verbänden.
Bei vielen Firmen in der Schweiz wurden meist seitens der Treuhänder, Revisions-Stellen, Auditoren oder des eigenen Verwaltungsrates an gewisse Standards angelehnte interne Kontrollsysteme (IKS) aufgebaut und eingeführt.
Viele dieser Kontrollsysteme bedienen sich an generischen und aber zum Glück auch an spezialisierteren Fragestellungen rund um ICT-Prozesse und ICT-Risk Management. Firmenvitale Prüfpunkte rund um z.B. ICT-Gesamt-Sicherheit, Datensicherheit, Datensicherungs-Prozesse, Social Engineering, Mensch als Sicherheits-Faktor 1, KnowHow-Transfer, Mitarbeiter-Eintritt / Mitarbeiter-Austritt, ICT Security Polices, Internet-Nutzungs-Richtlinien, Datenklassifizierungen etc. wurden mehr oder minder darin abgedeckt und dann aber vielfach dann “einfach abgehakt”

Gut orchestrierte Theorie- und Praxis-Anwendung schafft echter Mehrnutzen
Aus eigener jahrelanger Beobachtung und eigener Anwendung und Beratung in solchen ICT-Audits oder Zweitmeinungs-Abgaben erhärtete sich der Eindruck und Fakt, dass viele dieser Kontrollsystemen teilweise in gewissen kritischen Bereichen zu wenig tief oder zu wenig weit in der Tragweite gehen.
Die besten Expertisen und Audits / ICT-Governance sind immer solche, die Theorie (Methoden, Standards, Prozesse) und Praxis (Systemtechnik, Systemengineering, Automatisierung) auf der Basis von z.B. “Best Practices” oder selber angewandten Prozessen abdecken.
Ein echter Mehrnutzen – und nicht nur eben das “Abhaken” von theoretisch basierten Kontroll-Listen – kann entstehen wenn der ICT-Auditor gemeinsam mit den Systemverantwortlichen echte Schwachpunkte und Verbesserungs-Potentiale analysiert, testet und dann effektiv auch einführt. Hierzu gilt es, sämtliche Hands-On-Praxis und besten Erfahrungen von anderen Kunden, der eigenen Infrastruktur-Umgebung und von allen taktisch gut ausgewählten KnowHow-Trägern zu nutzen und massgeschneidert passend in die ICT-Organisation einzuführen. Daraus muss letztlich ein echter Mehrnutzen (und zwar nicht nur aus Sicht des ICT-Auditoren…) entstehen für z.B. die ICT-Organisation, ICT-Automatisierung, Führungs-Ebene und den Revisions-Stellen / Treuhändern und letztlich dem Risk-Management.

Und trotzdem: Innovationen durch Audits und Risk-Management
Die Erfahrung zeigt, dass durch das proaktive Anwenden und Akzeptieren von gemeinsam definierten Prozessen oder IKS – mit eben auch Blick nach vorne oder auf neue adaptierbare Technologien und Methoden – durchaus auch Innovationen entstehen in einer solchen fortwährenden Transformation in eine Art “Business Excellence in der ICT”.
Dies auch unter dem Aspekt, dass sich mehrere Sichten, Bedürfnisse, Expertisen und Erfahrungswerte vereinen und das “möglichst Beste aus der Praxis und Theorie” einbringen in dann ein echtes und vorallem dann angewandtes IKS / Audit-System.
Eine daraus realisierbare Standardisierung, Automatisierung, Changemanagement oder Homogenisierung von ICT-Prozessen oder ICT-Infrastrukturen kann ein weiteres Nebenprodukt sein hierbei.

Performance- und Sicherheits-Penetration-Tests mit Baselining – einer ist keiner.
Es gibt viele Möglichkeiten, vorgegebene Sicherheits-Standards und Compliance-Vorgaben intern oder extern überprüfen zu lassen. Je nach Sicherheits-Anforderungen oder Vorgaben des IKS kann es nötig sein, erweiterte Test-Szenarien zu definieren und prüfen zu lassen durch die externe ICT-Serviceorganisation oder externe, darauf spezialisierte Dienstleister.
Auf dem Markt gibt es viele Anbieter und ab und an entpuppen sich preisgünstige Angebote als reine, simple Security Scans mit gängigen technischen Tools aber ohne weitergehende Ueberprüfung dahinter – mit auch Defiziten in denLerneffekten und best practices technischen Massnahmen als Gegenwert der Ueberprüfung.
Die eingangs im Artikel angesprochene Analogie zum DatenSCHUTZ in der DatenFLUT (reissender Wasserstrom) zeigt die schwierige Herausforderung auf bei solchen Tests und verlangt immer mehr nach hochspezialisierten Managed Security Services Dienstleistern welche mit z.B. nur Evaluationen von Baselines und dem fortwährenden Monitoring dieser Baselines dann Auffälligkeiten (zu grosser oder zu kleiner Fisch im Fluss…) / Angriffsmuster erkennen, eskalieren und verhindern können – im Gegensatz zum einmaligen Penetration Scan ohne Trends oder brauchbare Vergleiche zu Baselines.
Nebst dem reinen systemtechnischen Ansatz werden auch zunehmend immer mehr z.B. Prozess-, Informationsmanagement- und ICT-Forensik-Spezialisten involviert um möglichst ein breitgefächertes Sensorium aufzubauen.

Ansatz von Szenarientechnik und Herausforderungen von dynamischen Bedrohungslagen
Weitere Erfahrungswerte aus erlebten und gesehenen Krisen und Super-GAUs zeigten auf, dass das Spannungsfeld von Theorie und Praxis sich immer mehr akzentuierten in Richtung von angewandten Szenarien-Techniken im Bereich von Planung, Ueberwachung und Controlling.
Vermeintlich einfache Fragen wie zum Beispiel: (bewusst einige einfache Beispiele für die Verdeutlichung)
“Was passiert ab wann bei einem Internet-Zugangs-Ausfall”
“Was passiert und wird eingeleitet bei einem Stromausfall welcher länger dauert als 1 Stunde ?”
“Welche Systeme und ICT-basierte Prozesse können wie weitergeführt werden bei einem Komplett- oder Teil-Ausfall der ICT-Systemumgebung”
“Zu welchem Zeitpunkt muss der Uebergangs-Betrieb mit welchen “analogen” Prozessen oder auf dem “Papierweg” weitergeführt werden und welche Kunden oder Organisationen (z.B. Zoll, Spedi, Transport, Behörden, Geschäftsleitung, Verwaltungsrat, Presse) müssen wie informiert werden”
“Wie lange kann die Prozess-Landschaft ohne ICT-Business Unterstützung (wenn überhaupt und wie?) funktionieren”
“Wieviele voll- oder halb-automatische System-Redundanz wird benötigt im Gesamt-System oder klassifizierten Teil-Systemen”
“Was für Zusatz-Massnahmen sind nötig für die aktuelle, dynamische Bedrohungslage gegenüber des neu bekannten Sicherheits-Problems xy”
“Können die eingesetzten Sicherheits-Infrastrukturen wie z.B. Internet-Firewall, Mail-Filterung, Content-Ueberwachung, Viren-Malware-Filterung etc. entsprechende brauchbare proaktive Alarmierungen oder Trends reporten und auswerten. Oder braucht es übergeordnete Monitoring-Systeme?”
“Was ist das verlangte Service Level Agreement von externen Dienstleistern hinsichtlich Reaktions- (MTTR, Mean time to react) oder Reparatur-Zeiten (MTTR, Mean time to repair)”
“Was passiert wie schnell bei einem schweren Mitarbeiter-Datensicherheits- oder EDV-Nutzungs-Verstoss gemäss ICT Security Policy”
“Sind die Mitarbeiter genügend sensibilisiert, aufgeklärt und geschult zu Basis-ICT-Sicherheits-Prozessen”
“Was passiert wenn es mehrere Fehler gibt bei den Backup-Prozessen oder Backup-Wiederherstellungs-Prozessen”
“Was passiert ab wann bei einem externen oder internen gezielten Hacker- / Trojaner-Angriff” “Gibt es ein Change Management für kontrollierte Systemaenderungen”
“Sind die eingesetzten EDV-Mittel genügend dokumentiert und die entsprechenden Versicherungen / Versicherungssummen darauf korrekt ausgerichtet”
“Ist der KnowHow-Transfer bzw. Wissenstraeger-Abhaengigkeit genuegend geregelt und sichergestellt”
“Ist die physische Server-Raum-Sicherheit genuegend sicher fuer einfache Einbrueche oder Sabotagen”
“Ist die externe sichere Backup-Aufbewahrung sichergestellt”

Die Gesamt-Sicherheit braucht auch eine Gesamt-Rahmen-Sicht
Die Gesamt-Sicherheit ist einem gesamten Rahmen zu sehen – beginnen tut diese aber sicherlich in der internen, selbstkritischen Betrachtung von eigenen Prozessen und Infrastrukturen und erst danach bzw. wenn das bereinigt, geklärt, definiert und kontrolliert ist sollte man den Fokus erweitern in Richtung der externen Abhängigkeiten, Hackern, Cloud etc.
Die ICT-Gesamtsicherheit bzw. letztlich die ICT-Strategie ist ein umfassender Gesamt-Prozess und Verantwortlichkeit auf der Führungsebene und nicht nur eine Ansammlung von Technologien / Produkten / Tools.
Der Faktor Mensch ist unter diesem Aspekt wichtiger und heikler als der Faktor Maschine.
Dabei ist auch der übrigbleibende Aspekt des Risk-Managements sehr wichtig.
Eine 100% Sicherheit bei Mensch und Maschine gibt es nicht und wird es nie geben und hier ist es die Aufgabe der Führungsebene oder Kontroll-Gremien (Audit, IKS, Controlling) genau diese Rest-Risiken zu identifizieren, zu werten, zu testen und mit gangbaren präventiven Massnahmen und Prozessen zu reduzieren und sporadisch zu prüfen (so gut es geht eben …)
Aus diesen Aspekten heraus empfehle ich: Bevor irgendwelcher externer, technischer Schutzwall aufgebaut wird, sollte man als Basis die internen Prozesse / Sicherheit / Risk-Management optimieren und möglichst „zukunftsgewappnet“ transformieren.

Eine „sichere“ Informations-Zukunft und nachhaltiges System-Wachstum braucht ein „sicheres“ interdisziplinär abgestütztes Rückgrat
Letztlich ist es so, dass „sichere“ ICT-Services / ICT-Prozesse das Rückgrat sind von „modern Business“ und der voranschreitenden digitalen Transformations-Prozessen und dem ansteigenden Wandlungsdruck.
Auch die Globalisierung / New Economy ist mitunter mitverantwortlich für einen schon lange andauernden, grenzüberschreitenden Informations-Austausch. Und hier sprechen wir von unterschiedlichsten Grenzen (z.B. Geografie, Systeme, Private-Business, Politik, Behörden, Gesellschaft, Bildung, Health, Wissenschaft, Wirtschaft, Märkte) welche zunehmend nur in einer interdisziplinären Zusammenarbeit möglichst gut „abgesichert“ werden können mit allen Akteuren und dem gemeinsamen Ziel eines nachhaltigen, sicheren Global-System-Wachstums.

ICT-Audit und Controlling: Innovationen durch Risk-Management

audit

Kontrollen über Kontrollen = Bestandteil der unabhängigen Qualitätssicherung, aber auch echte Sicherheit ?
Seit Jahren entstanden immer mehr ICT-Kontroll-Methoden oder Vorgaben seitens der ICT-Industrie, Regulatorien oder auch seitens einzelnen Branchen-Verbänden.
Bei vielen Firmen in der Schweiz wurden meist seitens der Treuhänder, Revisions-Stellen, Auditoren oder des eigenen Verwaltungsrates an gewisse Standards angelehnte interne Kontrollsysteme (IKS) aufgebaut und eingeführt.
Viele dieser Kontrollsysteme bedienen sich an generischen und aber zum Glück auch an spezialisierteren Fragestellungen rund um ICT-Prozesse und ICT-Risk Management. Firmenvitale Prüfpunkte rund um z.B. ICT-Gesamt-Sicherheit, Datensicherheit, Datensicherungs-Prozesse, Social Engineering, Mensch als Sicherheits-Faktor 1, KnowHow-Transfer, Mitarbeiter-Eintritt / Mitarbeiter-Austritt, ICT Security Polices, Internet-Nutzungs-Richtlinien, Datenklassifizierungen etc. wurden mehr oder minder darin abgedeckt und dann aber vielfach dann „einfach abgehakt“
>> siehe auch anderer Artikel Sicherheits-Anforderung versus eigener Sicherheits-Sensibilität

Einige Firmen reagieren darauf und lassen sich durch externe Fachexperten eine Zweitmeinung bilden im Sinne eines Mehraugenprinzips bei dem zunehmend organisationskritischen ICT-Prozess-Bereich.

Gut orchestrierte Theorie- und Praxis-Anwendung schafft echter Mehrnutzen
Aus eigener jahrelanger Beobachtung und eigener Anwendung und Beratung in solchen ICT-Audits oder Zweitmeinungs-Abgaben erhärtete sich der Eindruck und Fakt, dass viele dieser Kontrollsystemen teilweise in gewissen kritischen Bereichen zu wenig tief oder zu wenig weit in der Tragweite gehen.
Die besten Expertisen und Audits sind immer solche, die Theorie (Methoden, Standards, Prozesse) und Praxis (Systemtechnik, Systemengineering, Automatisierung) auf der Basis von z.B. „Best Practices“ oder selber angewandten Prozessen abdecken.
Ein echter Mehrnutzen – und nicht nur eben das „Abhaken“ von theoretisch basierten Kontroll-Listen – kann entstehen wenn der ICT-Auditor gemeinsam mit den Systemverantwortlichen echte Schwachpunkte und Verbesserungs-Potentiale analysiert, testet und dann effektiv auch einführt. Hierzu gilt es, sämtliche Hands-On-Praxis und besten Erfahrungen von anderen Kunden, der eigenen Infrastruktur-Umgebung und von allen taktisch gut ausgewählten KnowHow-Trägern zu nutzen und massgeschneidert passend in die ICT-Organisation einzuführen. Daraus muss letztlich ein echter Mehrnutzen (und zwar nicht nur aus Sicht des ICT-Auditoren…) entstehen für z.B. die ICT-Organisation, ICT-Automatisierung, Führungs-Ebene und den Revisions-Stellen / Treuhändern und letztlich dem Risk-Management.

Performance- und Penetration-Tests
Es gibt viele Möglichkeiten, vorgegebene Sicherheits-Standards und Compliance-Vorgaben intern oder extern überprüfen zu lassen. Je nach Sicherheits-Anforderungen oder Vorgaben des IKS kann es nötig sein, erweiterte Test-Szenarien zu definieren und prüfen zu lassen durch die externe ICT-Serviceorganisation oder externe, darauf spezialisierte Dienstleister.
Auf dem Markt gibt es viele Anbieter und ab und an entpuppen sich preisgünstige Angebote als reine, simple Security Scans mit gängigen technischen Tools aber ohne weitergehende Ueberprüfung dahinter – mit auch Lerneffekten und best practices technischen Massnahmen als Gegenwert der Ueberprüfung.

Ansatz von Szenarientechnik und Herausforderungen von dynamischen Bedrohungslagen
Weitere Erfahrungswerte aus erlebten und gesehenen Krisen und Super-GAUs zeigten auf, dass das Spannungsfeld von Theorie und Praxis sich immer mehr akzentuierten in Richtung von angewandten Szenarien-Techniken im Bereich von Planung, Ueberwachung und Controlling.
Vermeintlich einfache Fragen wie zum Beispiel: (bewusst einige Beispiele für die Verdeutlichung)
„Was passiert ab wann bei einem Internet-Zugangs-Ausfall“
„Was passiert und wird eingeleitet bei einem Stromausfall welcher länger dauert als 1 Stunde ?“
„Welche Systeme und ICT-basierte Prozesse können wie weitergeführt werden bei einem Komplett- oder Teil-Ausfall der ICT-Systemumgebung“
„Zu welchem Zeitpunkt muss der Uebergangs-Betrieb mit welchen „analogen“ Prozessen oder auf dem „Papierweg“ weitergeführt werden und welche Kunden oder Organisationen (z.B. Zoll, Spedi, Transport, Behörden, Geschäftsleitung, Verwaltungsrat, Presse) müssen wie informiert werden“
„Wie lange kann die Prozess-Landschaft ohne ICT-Business Unterstützung (wenn überhaupt und wie?) funktionieren“
„Wieviele voll- oder halb-automatische System-Redundanz wird benötigt im Gesamt-System oder klassifizierten Teil-Systemen“
„Was für Zusatz-Massnahmen sind nötig für die aktuelle, dynamische Bedrohungslage gegenüber des neu bekannten Sicherheits-Problems xy“
„Können die eingesetzten Sicherheits-Infrastrukturen wie z.B. Internet-Firewall, Mail-Filterung, Content-Ueberwachung, Viren-Malware-Filterung etc. entsprechende brauchbare proaktive Alarmierungen oder Trends reporten und auswerten. Oder braucht es uebergeordnete Monitoring-Systeme?“
„Was ist das verlangte Service Level Agreement von externen Dienstleistern hinsichtlich Reaktions- (MTTR, Mean time to react) oder Reparatur-Zeiten (MTTR, Mean time to repair)“
„Was passiert wie schnell bei einem schweren Mitarbeiter-Datensicherheits- oder EDV-Nutzungs-Verstoss gemäss ICT Security Policy“
„Sind die Mitarbeiter genügend sensibilisiert, aufgeklärt und geschult zu Basis-ICT-Sicherheits-Prozessen“
„Was passiert wenn es mehrere Fehler gibt bei den Backup-Prozessen oder Backup-Wiederherstellungs-Prozessen“
„Was passiert ab wann bei einem externen oder internen gezielten Hacker- / Trojaner-Angriff“ „Gibt es ein Change Management fuer kontrollierte Systemaenderungen“
„Sind die eingesetzten EDV-Mittel genuegend dokumentiert und die entsprechenden Versicherungen / Versicherungssummen darauf korrekt ausgerichtet“
„Ist der KnowHow-Transfer bzw. Wissenstraeger-Abhaengigkeit genuegend geregelt und sichergestellt“
„Ist die physische Server-Raum-Sicherheit genuegend sicher fuer einfache Einbrueche oder Sabotagen“
„Ist die externe sichere Backup-Aufbewahrung sichergestellt“

Vielfach vergessen: Controlling des ICT-Vertragswesens und SLA / OLA
Ein sehr wichtiger und aber leider vielfach zu wenig dokumentierter Teilbereich identifiziere ich bei vielen auditierten Organisationen im Bereich des ICT-Vertrags- und Versicherungs-Wesens.
Um die Gesamt-Sicherheit und letztlich die System-Verfügbarkeit allumfassend beurteilen zu können, müssen auch die entsprechend klassifizierten Vertragsnehmer hinsichtlich deren Service Level Agreements (SLA) / Reaktionszeiten / Gewährleistungen geprüft werden.
Vielfach wird dann auch unterlassen, dass nebst den klassichen SLA-Betrachtungen teilweise auch übergeordnete sogenannte OLA (Operation Level Agreements) nach noch schärferen Kriterien und Reaktionszeiten abgeschlossen werden müssen damit die SLAs (interne oder externe) überhaupt abdeckbar sind. Etwelche Verträge oder Gewährleistungen sind mitunter aufgrund nicht passenden internen oder externen SLA / OLA eigentlich gar einhaltbar und würden weiteren Negativ-Punkte in einem detaillierten ICT-Audit oder IKS abgeben.

Immer wichtigerer Teil-Aspekt legale Software-Nutzung und Software-Lizenzierung
Der Kunde ist verantwortlich für die lückenlose Lizenzierung sämtlich eingesetzter Software, Tools auf seinen genutzten Umgebungen vor Ort oder auf den Cloud-Plattformen des Cloud-Services-Dienstleister. Der Kunde bewahrt die entsprechenden Lizenz-Keys, Lizenz-Papiere, Volumen-Lizenzen-Informationen / Zugänge oder anderweitige Belege auf und übermittelt diese zu Beginn der Zusammenarbeit als z.B. Scan oder Mail an den ICT-Support- oder Cloud-Services-Dienstleister für den Lizenz-Nachweis und Dokumentation.
Lokale Lizenzenänderungen sind ebenfalls entsprechend laufend zu melden.
Als speziell genannte Beispiele für die kundenseitige Verantwortlichkeit gehören hierzu z.B. Microsoft Office, Microsoft Windows, Microsoft Server Palette, Datenbanksoftware, Apps, Virenschutz, Grafikbearbeitung, CAx, Entwicklungsumgebungen, Microsoft Volumen-Lizenzen und allfällig zusätzlich benötigte Client-Zugriffs-Lizenzen.
Der Kunde informiert sich bei Unklarheiten zur lokalen Lizenzierung in dessen Umgebung / Netzwerk / Domaine / Arbeitsgruppe (z.B. Upgrade- / Down-Grade-Rechte, Versionen, Anzahl benötigter Lizenzen etc.) proaktiv und direkt bei dessen Softwarelieferanten. Der ICT-Support- oder Cloud-Services-Dienstleister kann ihn hierbei (meist kostenpflichtig) unterstützen.
Aufwändungen für allfällige Lizenzen-Audits / Dokumentationen / Abklärungen / Besprechungen seitens der Software-Lieferanten wie z.B. Microsoft sind in jedem Fall kostenpflichtig und nicht abgedeckt seitens der ICT-Support- oder Cloud-Services-Dienstleister.
Der Kunde nimmt explizit zur Kenntnis, dass bei allfälligen Lizenzierungs- / Rechts-Verstössen der Kunde rechtlich direkt belangt würde seitens der Software-Lieferanten wie z.B. Microsoft und der ICT-Support- oder Cloud-Services-Dienstleister hierauf keinen Einfluss hat.
Spezielle Cloud-Services-Lizenzen welche der Kunde je nach Vertrag durch seine Services mietet und separat bezahlt via a) dem Microsoft SPLA-Agreement oder b) Microsoft Online Services (z.B. Office 365, MS Azure, Windows Intune) oder c) Volumen-Lizenz-Verträgen werden vielfach seitens der ICT-Support- oder Cloud-Services-Dienstleister verwaltet und monatlich reported. Allfällige Änderungen bei diesen gemäss separater Vertrags- und Verrechnungs-Positionen gemieteten Software, Benutzerzahlen, Versionen sind unverzüglich an den ICT-Support- oder Cloud-Services-Dienstleister zu melden für die lückenlose und genaue Lizenzen-Reporting-Anforderung.
Auch hier ist es vielfach so, dass Ueber- / Unter-Lizenzierung zu grossen negativen oder positiven Potentialen führen kann in den Bereichen wie Kosten, rechtlichen Angriffsflächen oder letztlich Compliance-Themen.
Es gibt einige auf SAM (Software Asset Management) spezialisierte Firmen, Dienstleistungen und Tools die (lieber vor…) während einem Audit eingesetzt werden können.
Vielfach entstehen vorallem in der heutigen Bandbreite der Lizenierungsoptionen nennenswerte Innovationen im Lizenzierungsbereich z.B. reine Miete, Miete-Kauf, günstigere Kauf-Optionen und auch Lizenzierung mit weitergehenden Zusatzservices und Zusatzrechten (wie Office365 für den Bereich der Office-Lizenzierung oder Windows Intune für den Bereich der Windows- und Endpoint-Protection-Lizenzierung)

Innovationen durch Audits und Risk-Management
Die Erfahrung zeigt, dass durch das proaktive Anwenden und Akzeptieren von gemeinsam definierten Prozessen oder IKS – mit eben auch Blick nach vorne oder auf neue adaptierbare Technologien und Methoden – durchaus auch Innovationen entstehen in einer solchen fortwährenden Transformation in eine Art „Business Excellence in der ICT“.
Dies auch unter dem Aspekt, dass sich mehrere Sichten, Bedürfnisse, Expertisen und Erfahrungswerte vereinen und das „möglichst Beste aus der Praxis und Theorie“ einbringen in dann ein echtes und vorallem dann angewandtes IKS / Audit-System.

100% Sicherheit gibt es nicht – der Rest ist reines Risk-Management und nicht Technologie
Diverse Ansätze / Methoden / Compliance Anforderungen wie z.B. Business Recovery System (BRS), Disaster Recovery Tests, Contingency Plan, IKS oder Prozesse nach CobIT, ITIL, ISACA, ISO, IEC27001, IEC17799, SOX, IT GSHB können schon sehr viel an generischen Risiken und entsprechenden Gegenmassnahmen abdecken. Jedoch sind diese eben „nur generisch“ und müssen massgeschneidert an die effektive Firmen-ICT-Prozesslandschaft angewandt und an die ICT-Teilziele der Firmen-Gesamt-Strategie angelehnt werden.
Es bleiben immer Rest-Risiken übrig welche im Risk-Management abgebildet werden müssen.
Innerhalb des Risk-Management-System geht um einen laufenden Loop von „Erkennung“, „Bewertung und Klassifizierung“, „Managen“ und „Ueberwachung und Kommunikation“
Ich neige bei vielen Controlling-Systemen und Audits zu sagen: „Das ist vieles abdeckbar mit Prozessen, ICT-Technologien und vorallem Tests. Die anderen Rest-Risiken gehören ins Risk-Management und haben nicht mehr ausschliesslich was mit ICT-Technologie zu tun. Sicherheit ist keine reine Technologie-Frage sondern eine Kombination von wiederkehrenden Prozessen in einem Gesamt-ICT-Audit-System“

ICT Transformation + Innovation = (Hybrid)Cloud2

 

hybrid-cloud
Im Spannungsfeld der Möglichkeiten und Bedürfnissen von EDV- / Cloud-Services und Anwendern ist eine gemeinsame Bereitschaft zur Transformation nötig

EDV-Lösungen / Cloud-Services und EDV-Organisationen mit deren derzeit gegebenen Services werden zunehmend gefordert von z.B. auch den EDV-Anwendern selber. Hierbei spielen Fach-Themen wie z.B. ByoD (Bring your own Device), PcIT (People centric IT), Consumerization oder nicht immer mit den Firmen-Regeln vereinbare Anwender-Anspruch an z.B. Webmail, Daten-Synchronisation (z.B. Dropbox, iCloud, OneDrive), Social Media (z.B. Facebook, Twitter, Skype, Xing, Blog) oder offener Firmen-Internet-Zugang gewichtige Rollen.

Die zunehmend gewünschte Verschmelzung von den unterschiedlich genutzten Geräte- / Form-Faktoren wie Firmen-PC, HomeOffice-PC, Ultrabook, Tablet, Smartphone sind weitere Treiber dieser Entwicklung und den mittlerweilen entsprechend grossen Angeboten von Cloud-Services, Apps und Geräten. Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (z.B. noch 1 Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Innovations-Potential.

Der entsprechende „Wandlungsdruck der Informatik“ – nennen wir es mal „Transformation“ – in ein neues Informatik-Zeitalter mit jeweilig an die Firmenstrategie orientierte ICT-Strategie hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich in dieser Transformation zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT wird vielfach leider immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

Viele EDV-Organisation aber auch deren EDV-Anwender sind entsprechend noch längst nicht auf (oder in) irgendeiner „Wolke 7“ bzw. nutzen die bereits jetzt vorhandenen bestehenden Möglichkeiten der jetzigen EDV-Prozessen mit „angezogener Handbremse“ zulasten der Arbeits-Effizienz und Flexibilität / verlangten Mobilität.

Das strukturierte, meist langfristig statische ICT-Management, Prozesse, Standardisierung und auch Mitarbeiter-Schulungs-Stand steht vielfach im Widerspruch zu der gängigen Ansicht der Anwender, dass viele neue Funktionen oder Cloud-Services „einfach“, „schnell“ per „plug and play“ etabliert werden können.

Das gemeinsame zu vereinbarende Ziel dieser unterschiedlichen Ansichten, gegebenen Möglichkeiten, Lieferanten – und im Mittelpunkt stehenden Anwendern – sollte in Richtung einer passenden ICT-Transformation mit auch einem sinnvollen Mass an ICT-Innovation gehen. Ein entsprechend nachhaltiger – mitunter auch „mutiger“ innovativer – Mehrwert muss realistisch erreichbar sein mit allen beteiligten Anwendern, Prozessen und bestehenden zu optimierenden oder neuen Systemen. Die entsprechende Schulung von Anwendern, speziell auch der Sensibilisierung zur aktiven Mitarbeit im Thema Sicherheit und Know-How-Transfer zwischen internen und externen Services-Lieferanten ist dabei ein entscheidender Teil-Faktor um nicht in eine firmen-kritische Abhängigkeit von Personen oder Services zu geraten.

Eine zu transformierende ICT-Umgebung muss in aller „begeisternden Euphorie“ beherrschbar bleiben für die Service-/Support-Organisation. Dabei gilt es firmen-vitale Fach-Aspekte sauber zu definieren, zu dokumentieren und kontrollierbar zu halten wie z.B. Sicherheit / Datenschutz, Security Policies für Mitarbeiter, Prozesse, Risk Management / IKS, Audit / Compliance, Business Support, Disaster Recovery / BRS.

Letztlich sollte auch ein neues internes oder externes Service Level Agreement (SLA, OLA) massgeschneidert vereinbart werden. Rechtliche Unklarheiten oder Unsicherheiten mit z.B. externen (Cloud)Services sind bei Bedarf speziell abzuklären und in die Vertrags- / SLA-Definitionen zu integrieren. Je nach vorhandener oder künftiger angestrebter Qualitäts-Sicherung (QM,TQM) können hier auch erweiterte Service-Management-Aspekte von z.B. ITIL oder CMDB (serviceorientierte Configuration Management Datenbank) eingeführt werden.

Infolge der zunehmenden Granularität und Verteilung der (Hybrid)Cloud-Services ist es ratsam, spezielle Massahmen in in den Bereichen Technologie und Prozessen zu etablieren. Hierzu gehören auch spezielle Massnahmen in der Mitarbeiter-Sensibilisierung durch Informationen und Schulungen gegen die sehr dynamischen Bedrohungslagen/ Cyber-Security in Nutzungs-Themen wie z.B. Internet, Email, Webmail, Social Media, Datenschutz, Datenaustausch, Smartphone-Einsatz, HomeOffice-Nutzung, Spam-Problematik und letztlich Social Engineering (einfach gesagt gezielte Attacken / Sicherheitsprobleme via/durch Mitarbeiter).

Migrationen und Transformationen bieten auch Chancen für weitere Standardisierungen, Homogenisierung, Innovationen und Weiterentwicklungen in Prozessen. Neuere, laufend weiterentwickelte (Hybrid)Cloud-Services wie nur schon neue, bisher ungenutzte Produkte-Funktionen, prozess-orientierte Dokumentenmanagementsysteme (DMS), Business Intelligence (BI, Big Data / Data Mining) oder Enterprise Social Media können hierbei weitere wertvolle und effizienz-steigernde Mehrwerte generieren in der Prozesslandschaft.

Viele ICT-Serviceorganisationen erkennen darin letztlich auch Chancen als eine Art „Überlebensfaktor“ im Vergleich zu anderen internen oder externen Mitbewerben oder Cloud-Lösungen. Hierbei werden zunehmend auch externe ICT-Coaches, „Cloud Solution Experts“ oder „Solution Brokers“ konsultiert für „Das Beste aus den Clouds“ bzw. „Hybrid Cloud Lösungen“.

Die auch durch Cloud-Services verbundene zunehmende “Entgrenzung der Arbeit” (Stichwort: Arbeit nicht nur innerhalb der “Firmengrenzen” mehr sondern eben überall und wiederum “Hier und Jetzt”) verlangt natürlich auch entsprechende definierte ICT-Weisungen, ICT-Sicherheitsrichtlinien und ICT-Controlling-Mechanismen für z.B. Compliance / Datenschutz innerhalb von z.B. IKS (Internes Kontrollsystem) oder QM-Prozessen.

Nichts ohne ICT-Strategie!
Dass dabei diese neue Arbeitsform und letztlich “Business-Support durch ICT” definiert und gestützt werden muss innerhalb der anzupassenden oder zu etablierenden ICT-Strategie liegt auf der Hand. Die ICT-Strategie ist entsprechend aufgrund des zunehmend firmen-vitalen ICT-Prozesses abzuleiten von der jeweiligen Firmen-Strategie. Relevant ist auch, dass seitens der Führungs-Ebene diese ICT-Strategie und deren Auswirkungen pro-aktiv unterstützt und laufend traktandiert werden. Hierbei wird endlich und zurecht dem ICT-Prozess nicht nur ein reiner Kosten-Faktor hinterlegt in der Gesamtverantwortung sondern eben auch eine adäquate Firmen-Vitalitäts-Bemessung.

Gemeinsam mit allen Beteiligten und festgehalten in der ICT-Strategie könnte dann ein laufendes, übergeordnetes Ziel der ICT ins Auge gefasst werden in Richtung von selbsterklärenden Begrifflichkeiten wie „Reducing, Unlocking, Accelerating, Benefit“.

Moderne, attraktive Arbeitsplätze – mit verbessertem ICT-Business Support – sind zunehmend auch positiv wirkende Faktoren bei der Personal-Rekrutierung im ausgetrockneten Fachkräfte-Arbeitsmarkt und letztlich der Arbeitgeber- / Arbeitsplatz-Attraktivität.

Der Trend der künftigen Arbeitweise zeigt zunehmend auf eine dynamische Projektarbeit im Gegensatz zum bisherigen starren Aufgabenbereich. Für diese Dynamik werden auch entsprechende Werkzeuge und Technologien benötigt von modernen Cloud-Umgebungen.
Die Mitarbeiter-Kultur und Projekt-Strukturen werden sich entsprechend anpassen und die Mitarbeiter-Team-Zusammensetzungen in den Projekten werden gezielter mittels ausgewählten „Wissens-Projekt-Arbeiter“ gezielt zusammengesetzt.
Der laufende interne KnowHow-Transfer und proaktive Informations-Austausch – unterstützt mit Austausch-Begegnungsmöglichkeiten auf Enterprise Social Media Plattformen oder an Meetings / Events – wird dann eine der wichtigen Aufgaben für die Führungsebene werden für die Motiviations- und Retensions-Bemühungen vom Human-Kapital.
Diese wohl zu dosierende Form wird auch den Arbeitsort und Arbeitsplatz der Projekt-Mitarbeiter mittelfristig prägen und flexibler machen.

Wenn sich dann letztlich alle Betroffenen zu auch aktiven motivierten Beteiligten (Mensch und Maschine) transformieren lassen entsteht ein gemeinsamer Konsens und die Organisation ist dann sozusagen „ready to transform / to (hybrid)cloud2“ mit echtem Mehrnutzen und Nachhaltigkeit – bei maximierten “Business-Support durch ICT.

>> Siehe daraus publizierter Artikel im „Management Magazin“ von SIA Schweizerischer Ingenieur und Architekten Verein
Management-Magazine_3_2014_GER_FRA

>> Siehe daraus publizierter Artikel / Gast-Kolumne „Rigi-Anzeiger“
Artikel-Rigianzeiger-Hybrid-Cloud-Transformation-Kolumne-2014_05_02

http://rigianzeiger.ch/transformation-in-ein-neues-informatik-zeitalter/