CyberSecurity: Sicherheit in hybrid clouds / verteilten Systemen

Traditionelle Technologien und Strategien lassen sich kombinieren mit neuen Tools aus der Cloud.

Bei dem Lösungsansatz „best out of all clouds“ mittels Kombination von gut orchestrierten Lösungen aus allen Clouds lassen sich gar auch stufenweise Altlasten / Legacy Umgebungen und generell Shadow-IT abbauen und modernisieren.

Zudem kann konzeptionell – je nach Klassifikation von Schutzobjekten und Schutzniveaus – eine bessere Risiko-Verteilung und optimierte Resilienz des Gesamtsystems entstehen im Rahmen des Risiko-Managements.

Mittels entsprechenden Monitoring-Systemen (OnPrem / Hybrid / Public Cloud) und rollenbasiert ausgerichtete Dashboards entsteht eine neue Dimension von proaktivem Controlling und Prozessen im immer wichtig werdenden Incident Response Plan / Business Recovery System.

Solche dokumentierten Systeme mit auch Reporting- und Alerting-Funktionalitäten stellen dann erweitert ebenfalls eine gute Hilfe und Basis dar für ICT-Assessments und ICT-Audits.

Advertisements

Hybrid- und Multi-Cloud-Trends

Hybrid- und Multi-Cloud-Trends:

-Strategische «security minded» ICT-Planung und «security minded» ICT-Architecture, angelehnt an die Firmen- bzw. vorallem zugunsten der Digitalisierungs-Strategie zur «Business Model Maturity für growing expectations» und letztlich «data monetization» / «services brokerage»

Siehe auch: https://www.digitaldialog.swiss/de/dialog/security-minded-open-minded-innovation-and-digitalization

+++

– ICT-Gesamtarchitektur «best out of all clouds» / «services brokerage» / «everything as a service» bzw. intelligenter Orchestrierung von auch «hybrid-/multi-clouds» mit z.b. «microservices», «analytics», «containerization», «IoT», «bots», «machine learning», «artificial intelligence», «serverless computing», «cloud coding» / «software defined everything» / DevOps

Siehe auch: https://fridelonroad.files.wordpress.com/2016/06/holzbau-schweiz-ict-servicesmanagement-hybridcloud-04_hbch_201604_it.pdf

Und Referat an HSLU: (time is running… 2 Jahre her aber immer noch irgendwie passend 😉)

http://netclose.ch/web/wp-content/uploads/ct_Referat_HSLU-Solution_Brokerage-consumption_based_computing-best_out_of_all_clouds-SHORT-300915.pdf

+++

– «maximized» Automation und ICT-Transformation mit Ziel zu «minimized human interaction but maximized customer self service» und «optimization» / «cost management optimization» / «cloud intelligence»

Siehe auch : in Artikeln

+++

– Vom klassischen System- zum flexiblen, «scalable» Services-Management / Managed Services > Sourcing-Strategie

Siehe auch:
https://fridelonroad.wordpress.com/2015/06/07/evolving-from-system-management-to-services-management-with-best-out-of-all-clouds/

http://netclose.ch/web/wp-content/uploads/ct_Referat_HSLU-Solution_Brokerage-consumption_based_computing-best_out_of_all_clouds-SHORT-300915.pdf

+++

– Regulation, Compliance, Risk-Management und Assessment / Audit à Auseinandersetzung und «classification» / «regtech» ergibt Chancen gegen «ShadowIT» / «blind spots» und zugunsten «take back control» / «data lifecycle

Siehe auch:
https://fridelonroad.wordpress.com/2017/06/24/privacy-security-ch-dsg-ch-e-id-eu-dsgvo-eu-gdpr-all-for-the-best-privacy-by-design/

und: https://fridelonroad.wordpress.com/2014/05/18/ict-audit-und-controlling-innovationen-durch-risk-management-lizenzierungs-Audits/

– «multilayered» Cybersecurity-Strategie / Cloud Security und Massnahmen zur Vision «security by design», «privacy by design», «privacy by default», «regtech», und «full identity and rights management as a managed security service»» (derzeit auch speziell zu CH-DSG und EU-DSGVO / GDPR) mit dynamischen Audit-Zyklen / «incident response management» gegen die dynamischen Bedrohungslagen

Siehe auch:
https://www.mit-group.ch/onprem/ict-security-gesamt-sicherheit-braucht-eine-gesamt-sicht/Und auch mein ISACA.ch-Artikel https://fridelonroad.files.wordpress.com/2014/09/itm2014_09_isaca_03.pdf

ICT-Support – better together

05

Jahrzehntelang mussten mangels echter Alternativen die Business-Prozess-/Anforderungen abgebildet werden mit lokalen ICT-Support-Prozessen und auch bis dato funktionierenden und stets als robustes “Rückgrat” fungierenden “best practices” basierten System-Management-Umgebungen.

Wie bei der fortschreitenden Digitalisierung und in Zukunftsthemen wie «Künstliche Intelligenz», IoT und Robotics wird auch die interdisziplinäre, vernetzte Zusammenarbeit im klassischen ICT Support immer relevanter und letztlich business-kritischer.

Durch teilweise disruptive Adaptionsmöglichkeiten von externen Services aus der Cloud oder externen Dienstleistern lassen sich einfache und auch komplexe Supportprozesse sogenannt orchestrieren.

Durch diesen schon länger etablierten Ansatz von «best out of all»-Lösungen zur Unterstützung oder Entlastung von bestehenden Supportorganisationen ändert sich auch der Fokus vom ursprünglichen System-Management zum kombinierten Services-Management mit vereinten internen / externen oder nur noch externen Kräften.

Die dadurch entstehende Flexibilität, Service Level Optimierung und Business-Support-Fokussierung der ICT (bei gleichzeitiger Risiko-Optimierung) unterstützt letztlich auch die transformatorische Strategie in Richtung der Digitalisierung.

Da wir bekanntlicherweise nur jeweils einen Bruchteil der effizienzsteigernden ICT-Funktionalitäten nutzen – geschweige denn die enthaltenen, mit-lizenzierten Features – ist es sehr lohnenswert, mittels entsprechenden Nutzungs-Optimierungen und darauf aufbauenden “best practices”-Trainings diese Zusatznutzen-Aspekte zugänglich zu machen in enger Zusammenarbeit mit solchen Services- / Support-Organisationen.

“Erst wenn “Licht” in die jahrelang dynamisch / meist heterogene gewachsene „Schatten-Informatik“ (Shadow IT) gelangt kann die künftig nötige, befreiende Transparenz / automatisierte Standardisierung neu entstehen als Basis für neue Geschäftsmodelle und Freiheitsgrade.

ICT Transformation + Innovation = (Hybrid)Cloud2

 

hybrid-cloud
Im Spannungsfeld der Möglichkeiten und Bedürfnissen von EDV- / Cloud-Services und Anwendern ist eine gemeinsame Bereitschaft zur Transformation nötig

EDV-Lösungen / Cloud-Services und EDV-Organisationen mit deren derzeit gegebenen Services werden zunehmend gefordert von z.B. auch den EDV-Anwendern selber. Hierbei spielen Fach-Themen wie z.B. ByoD (Bring your own Device), PcIT (People centric IT), Consumerization oder nicht immer mit den Firmen-Regeln vereinbare Anwender-Anspruch an z.B. Webmail, Daten-Synchronisation (z.B. Dropbox, iCloud, OneDrive), Social Media (z.B. Facebook, Twitter, Skype, Xing, Blog) oder offener Firmen-Internet-Zugang gewichtige Rollen.

Die zunehmend gewünschte Verschmelzung von den unterschiedlich genutzten Geräte- / Form-Faktoren wie Firmen-PC, HomeOffice-PC, Ultrabook, Tablet, Smartphone sind weitere Treiber dieser Entwicklung und den mittlerweilen entsprechend grossen Angeboten von Cloud-Services, Apps und Geräten. Neuere und intuitivere Bedienungskonzepte, Software-/App-Generationen mit verschmelzenden Bedienungsoberflächen und künftig immer weniger Betriebssystem-Versionen (z.B. noch 1 Betriebssystem auf allen genutzten Geräten …) eröffnen ein riesiges weiteres Innovations-Potential.

Der entsprechende „Wandlungsdruck der Informatik“ – nennen wir es mal „Transformation“ – in ein neues Informatik-Zeitalter mit jeweilig an die Firmenstrategie orientierte ICT-Strategie hält schon länger an. Auch hier ist die Führungsebene in der unveränderten Pflicht, den Informatik-Bereich in dieser Transformation zu unterstützen oder deren Entscheide zu prägen / steuern oder auch kritisch zu hinterfragen. ICT wird vielfach leider immer noch als reine Kostenstelle und leider nicht als strategischer, innovations-treibender Vorteil gegenüber Mitbewerber betrachtet.

Viele EDV-Organisation aber auch deren EDV-Anwender sind entsprechend noch längst nicht auf (oder in) irgendeiner „Wolke 7“ bzw. nutzen die bereits jetzt vorhandenen bestehenden Möglichkeiten der jetzigen EDV-Prozessen mit „angezogener Handbremse“ zulasten der Arbeits-Effizienz und Flexibilität / verlangten Mobilität.

Das strukturierte, meist langfristig statische ICT-Management, Prozesse, Standardisierung und auch Mitarbeiter-Schulungs-Stand steht vielfach im Widerspruch zu der gängigen Ansicht der Anwender, dass viele neue Funktionen oder Cloud-Services „einfach“, „schnell“ per „plug and play“ etabliert werden können.

Das gemeinsame zu vereinbarende Ziel dieser unterschiedlichen Ansichten, gegebenen Möglichkeiten, Lieferanten – und im Mittelpunkt stehenden Anwendern – sollte in Richtung einer passenden ICT-Transformation mit auch einem sinnvollen Mass an ICT-Innovation gehen. Ein entsprechend nachhaltiger – mitunter auch „mutiger“ innovativer – Mehrwert muss realistisch erreichbar sein mit allen beteiligten Anwendern, Prozessen und bestehenden zu optimierenden oder neuen Systemen. Die entsprechende Schulung von Anwendern, speziell auch der Sensibilisierung zur aktiven Mitarbeit im Thema Sicherheit und Know-How-Transfer zwischen internen und externen Services-Lieferanten ist dabei ein entscheidender Teil-Faktor um nicht in eine firmen-kritische Abhängigkeit von Personen oder Services zu geraten.

Eine zu transformierende ICT-Umgebung muss in aller „begeisternden Euphorie“ beherrschbar bleiben für die Service-/Support-Organisation. Dabei gilt es firmen-vitale Fach-Aspekte sauber zu definieren, zu dokumentieren und kontrollierbar zu halten wie z.B. Sicherheit / Datenschutz, Security Policies für Mitarbeiter, Prozesse, Risk Management / IKS, Audit / Compliance, Business Support, Disaster Recovery / BRS.

Letztlich sollte auch ein neues internes oder externes Service Level Agreement (SLA, OLA) massgeschneidert vereinbart werden. Rechtliche Unklarheiten oder Unsicherheiten mit z.B. externen (Cloud)Services sind bei Bedarf speziell abzuklären und in die Vertrags- / SLA-Definitionen zu integrieren. Je nach vorhandener oder künftiger angestrebter Qualitäts-Sicherung (QM,TQM) können hier auch erweiterte Service-Management-Aspekte von z.B. ITIL oder CMDB (serviceorientierte Configuration Management Datenbank) eingeführt werden.

Infolge der zunehmenden Granularität und Verteilung der (Hybrid)Cloud-Services ist es ratsam, spezielle Massahmen in in den Bereichen Technologie und Prozessen zu etablieren. Hierzu gehören auch spezielle Massnahmen in der Mitarbeiter-Sensibilisierung durch Informationen und Schulungen gegen die sehr dynamischen Bedrohungslagen/ Cyber-Security in Nutzungs-Themen wie z.B. Internet, Email, Webmail, Social Media, Datenschutz, Datenaustausch, Smartphone-Einsatz, HomeOffice-Nutzung, Spam-Problematik und letztlich Social Engineering (einfach gesagt gezielte Attacken / Sicherheitsprobleme via/durch Mitarbeiter).

Migrationen und Transformationen bieten auch Chancen für weitere Standardisierungen, Homogenisierung, Innovationen und Weiterentwicklungen in Prozessen. Neuere, laufend weiterentwickelte (Hybrid)Cloud-Services wie nur schon neue, bisher ungenutzte Produkte-Funktionen, prozess-orientierte Dokumentenmanagementsysteme (DMS), Business Intelligence (BI, Big Data / Data Mining) oder Enterprise Social Media können hierbei weitere wertvolle und effizienz-steigernde Mehrwerte generieren in der Prozesslandschaft.

Viele ICT-Serviceorganisationen erkennen darin letztlich auch Chancen als eine Art „Überlebensfaktor“ im Vergleich zu anderen internen oder externen Mitbewerben oder Cloud-Lösungen. Hierbei werden zunehmend auch externe ICT-Coaches, „Cloud Solution Experts“ oder „Solution Brokers“ konsultiert für „Das Beste aus den Clouds“ bzw. „Hybrid Cloud Lösungen“.

Die auch durch Cloud-Services verbundene zunehmende “Entgrenzung der Arbeit” (Stichwort: Arbeit nicht nur innerhalb der “Firmengrenzen” mehr sondern eben überall und wiederum “Hier und Jetzt”) verlangt natürlich auch entsprechende definierte ICT-Weisungen, ICT-Sicherheitsrichtlinien und ICT-Controlling-Mechanismen für z.B. Compliance / Datenschutz innerhalb von z.B. IKS (Internes Kontrollsystem) oder QM-Prozessen.

Nichts ohne ICT-Strategie!
Dass dabei diese neue Arbeitsform und letztlich “Business-Support durch ICT” definiert und gestützt werden muss innerhalb der anzupassenden oder zu etablierenden ICT-Strategie liegt auf der Hand. Die ICT-Strategie ist entsprechend aufgrund des zunehmend firmen-vitalen ICT-Prozesses abzuleiten von der jeweiligen Firmen-Strategie. Relevant ist auch, dass seitens der Führungs-Ebene diese ICT-Strategie und deren Auswirkungen pro-aktiv unterstützt und laufend traktandiert werden. Hierbei wird endlich und zurecht dem ICT-Prozess nicht nur ein reiner Kosten-Faktor hinterlegt in der Gesamtverantwortung sondern eben auch eine adäquate Firmen-Vitalitäts-Bemessung.

Gemeinsam mit allen Beteiligten und festgehalten in der ICT-Strategie könnte dann ein laufendes, übergeordnetes Ziel der ICT ins Auge gefasst werden in Richtung von selbsterklärenden Begrifflichkeiten wie „Reducing, Unlocking, Accelerating, Benefit“.

Moderne, attraktive Arbeitsplätze – mit verbessertem ICT-Business Support – sind zunehmend auch positiv wirkende Faktoren bei der Personal-Rekrutierung im ausgetrockneten Fachkräfte-Arbeitsmarkt und letztlich der Arbeitgeber- / Arbeitsplatz-Attraktivität.

Der Trend der künftigen Arbeitweise zeigt zunehmend auf eine dynamische Projektarbeit im Gegensatz zum bisherigen starren Aufgabenbereich. Für diese Dynamik werden auch entsprechende Werkzeuge und Technologien benötigt von modernen Cloud-Umgebungen.
Die Mitarbeiter-Kultur und Projekt-Strukturen werden sich entsprechend anpassen und die Mitarbeiter-Team-Zusammensetzungen in den Projekten werden gezielter mittels ausgewählten „Wissens-Projekt-Arbeiter“ gezielt zusammengesetzt.
Der laufende interne KnowHow-Transfer und proaktive Informations-Austausch – unterstützt mit Austausch-Begegnungsmöglichkeiten auf Enterprise Social Media Plattformen oder an Meetings / Events – wird dann eine der wichtigen Aufgaben für die Führungsebene werden für die Motiviations- und Retensions-Bemühungen vom Human-Kapital.
Diese wohl zu dosierende Form wird auch den Arbeitsort und Arbeitsplatz der Projekt-Mitarbeiter mittelfristig prägen und flexibler machen.

Wenn sich dann letztlich alle Betroffenen zu auch aktiven motivierten Beteiligten (Mensch und Maschine) transformieren lassen entsteht ein gemeinsamer Konsens und die Organisation ist dann sozusagen „ready to transform / to (hybrid)cloud2“ mit echtem Mehrnutzen und Nachhaltigkeit – bei maximierten “Business-Support durch ICT.

>> Siehe daraus publizierter Artikel im „Management Magazin“ von SIA Schweizerischer Ingenieur und Architekten Verein
Management-Magazine_3_2014_GER_FRA

>> Siehe daraus publizierter Artikel / Gast-Kolumne „Rigi-Anzeiger“
Artikel-Rigianzeiger-Hybrid-Cloud-Transformation-Kolumne-2014_05_02

http://rigianzeiger.ch/transformation-in-ein-neues-informatik-zeitalter/