Joint Security Management: wie Anwenderunternehmen und Anbieter im Cloudzeitalter adäquat zusammenwirken

Transkript

1 Joint : wie Anwenderunternehmen und Anbieter im Cloudzeitalter adäquat zusammenwirken Prof. Dr. Eberhard von Faber Forum

2 Die Kette ist nur so stark, wie ihr schwächstes Glied. 1. Arbeitsteilung in der IT-Industrie unterschiedliche Hersteller (Quellen) 2. Flexibilität: Katalog- Bausteine Austausch und Neukombination zweiseitige Beanspruchung 3. organisationsübergreifend: Anwender u. Dienstleister 4. Geschäftsablauf und Markt Joint (JSM) 18. Januar

3 1. Arbeitsteilung in der IT-Industrie. Services und Komponenten. consulting 1st level support Primary management Service management (active) Additional Broker, Systems reseller integration Computing Anwenderorganisation Service monitoring Application management Workplace Authentication Computing components Application Operating Virtualization software systems (computing) Workplace components Network components Workplace Mobile computer devices Gateways General components Middleware directories Databases, Server hardware Service continuity Network Archiving and content management Router, switches etc. Encryption software etc. Storage systems Firewalls, IDS/IPS etc. 2nd level support Diagnostics and repair Vulnerability DC and DC infrastructure Proxy, load balancer etc. Identity management 3rd level support Incident response Threat intelligence, incident response systems Network Key management Joint (JSM) 18. Januar

4 1. Arbeitsteilung, Architektur: Dokumentation gliedern, Sicherheit in Kerngeschäft integrieren. schrittweise Verfeinerung Aufteilung gemäß Organisation der IT-Produktion Unternehmensgrundsätze L1 Kunde Risk and Certification Sicherheitsdienste Certification and 3rd Party Assurance IT-Service-Mngt. Risk Unternehmensrichtlinien Richtlinien IT-Sicherheit L2 L3 Evidence and Customer Relation Lieferant Customer Communication and Vulnerability Assessment, Mitigation Plan Logging, Monitoring & Reporting Incident Handling and Forensics Customer and users Service Release Mngt. and Acceptance Testing AB CDE System Development Life-Cycle Systems Acquisition and Contracting Change and Problem Data center Asset and Configuration Hardening, Provisioning & Maintenance Patch Business Continuity Orchestrierung IT-Sicherheit L4 www Logon User Identity Mobile Workplace Office Workplace Remote User Access Networks Gateway and Central Services Logon Application and AM Computer Systems Provider Identity VM and S/W Image Mngt. Database and Storage Implementierung IT-Sicherheit L5 User LAN Periphery Wide Area Network Corporate Provider Access Networks Operations Support Administration Network Arbeitsplatz, LAN IT im Rechenzentrum Joint (JSM) 18. Januar

5 2. Flexibilität: Katalog-Bausteine (links) und Sicherheitsstandards (rechts). Servicekatalog Services Bronze Silver Gold Kunde Risk and Certification Sicherheitsdienste Certification and 3rd Party Assurance IT-Service-Mngt. Risk Connection Services DNL IPSEC MPLS Platform Services SaaS PaaS mos IaaS Storage, Backup and Restore x TB BIS H/L SIS H/L DC locations NYC FRA SG Evidence and Customer Relation Lieferant www Logon Vulnerability Assessment, Mitigation Plan Logging, Monitoring & Reporting Incident Handling and Forensics Customer and users User Identity Mobile Workplace Office Workplace Customer Communication and Remote User Access User LAN Periphery Arbeitsplatz, LAN Service Networks Wide Area Network Release Mngt. and Acceptance Testing AB CDE System Development Life-Cycle Systems Acquisition and Contracting Change and Problem Gateway and Central Services Corporate Provider Access Logon Data center Application and AM Computer Systems Networks Asset and Configuration Hardening, Provisioning & Maintenance Patch Business Continuity Provider Identity VM and S/W Image Mngt. Database and Storage Operations Support Administration Network IT im Rechenzentrum Joint (JSM) 18. Januar

6 AB CDE 2. Flexibilität: Katalog-Bausteine (links) und Sicherheitsstandards (rechts). Servicekatalog Services Bronze Silver Gold Connection Services DNL IPSEC MPLS Platform Services SaaS PaaS mos IaaS Storage, Backup and Restore x TB BIS H/L SIS H/L DC locations NYC FRA SG NW: Netzdienstleistung (Verbindung zum Rechenzentrum) ITSM: Managed Service Gateway and Central Services Corporate Provider Access Wide Area Network Risk and Certification Evidence and Customer Relation Customer Communication and Vulnerability Assessment, Mitigation Plan Logging, Monitoring & Reporting Incident Handling and Forensics DC: Rechenzentrum Certification and 3rd Party Assurance Service Release Mngt. and Acceptance Testing Risk System Development Life-Cycle Systems Acquisition and Contracting Change and Problem Asset and Configuration Hardening, Provisioning & Maintenance Patch Business Continuity IaaS: IT-Infrastruktur einschl. Kunden-Selbst-Service-Portal VM (Kunde) Computer Systems Networks Provider Identity VM and S/W Image Mngt. Operations Support Administration Network STR: Storage Database and Storage Joint (JSM) 18. Januar

7 3. Organisationsübergreifend handeln: Das ESARIS-Steuerungsmodell. oder: Business Unit Kommunikation, Vertragsabschluss, Nachsteuerung Anwenderorganisation IT-Dienstleister oder: IT-Abteilung Information: Risikomanagement und Compliance Reduktion von Kosten und Komplexität Standardisierung, Industrialisierung Sicherheitsstandards: Schutz von IT/Daten Transparenz Schnittstellen und Interaktion Architektur Standardisierung Joint (JSM) 18. Januar

8 4. Ablauf der Geschäftsbeziehung und Lebenszyklus der IT-Services. Ablauf Vertragsabschluss Geschäftsanbahnung Bereitstellung Normalbetrieb IT-Service IT-Dienstleister Konzepte und Spezifikationen 1 Plattformen und Bausteine 2 3 IT-Service gemäß Vertrag Anpassungsprojekte Realisierung 4 Planung Umsetzung Integration Operations Zuliefernetzwerk Komponenten Dritter Komponenten Dritter Joint (JSM) 18. Januar

9 [sondieren] Bedarf definieren (Strategie, Anforderungen) Beschaffung vorbereiten (Marktsondierung, Planung Sicherheit in alle Kernprozesse integrieren Industrielle Arbeitsteilung berücksichtigen Sicherheitsmanagement auf IT-Services und Kunden ausrichten [anbieten] Service- und -Spezifikation für Kunden bereithalten Marketing, Vertrieb und Deal- ausrichten Joint (JSM) Beschaffen (verhandeln, Vertrag abschließen) [entscheiden] Verkaufen (verhandeln, Vertrag abschließen) Vertragsbeendigung vertraglich fixieren [migrieren] Migration durchführen (gemäß Plan und vertrag) wozu? Anforderungen und Richtlinien definieren Sicherheitsorganisation/ prozesse pflegen; Ressourcen anpassen IT-Dienste sicher integrieren und nutzen Sicherheitsberichte analysieren und nutzen Audits und Tests gemäß Vertrag durchführen Risiken bewerten und behandeln [schützen] [erkennen] Sicherheitsstandards nach Marktanforderungen Für Umsetzung sorgen und kontrollieren Sicherheitsorganisation/ prozesse pflegen; Ressourcen anpassen Transparenz schaffen bzgl. der IT-Sicherheit Sicherheitsberichte gemäß Vertrag liefern Audits und sonstige Tests gemäß Vertrag unterstützen Datenschutz Compliance Vertrauen (Wirtschaft) Widerstandsfähigkeit (Wirtschaft) Schnittstellen pflegen und den Betrieb unterstützen (falls nötig) Bei Sicherheitsvorfällen aktiv werden Die Erfüllung des Vertrages durchsetzen Anforderungen an den IT-Dienstleister prüfen und aktualisieren Die Arbeitsteilung überprüfen und optimieren Vertrag überprüfen und anpassen Verbesserungen und Innovationen initiieren Projekte aufsetzen und unterstützen Knowhow auf dem aktuellen Stand halten [nachsteuern] [verständigen] [verbessern] Schnittstellen im Service Delivery für Kunden anbieten und mit den notwendigen ITSM-Prozessen verbinden Mitwirkung des Kunden einfordern Sicherheit bei Zulieferern und Zulieferleistungen Kunden über Weiterentwicklungen informieren Verträge und Vereinbarungen verhandeln und ändern (falls nötig) Standardisieren; Kosten; Qualität Verbesserungen und Innovationen implementieren Den Kunden in solche Projekte ggf. einbeziehen Beispielunternehmen Umsatz: 10 Mrd. wo? Branchendurchschnitt IT-Kosten: 350 Mio. /Jahr IT-Sicherheit: 26 Mio. /J Joint (JSM) 18. Januar

10 [nachsteuern] Aufgaben und Rollen im Normalbetrieb. 1. Governance: Rollen, Ressourcen, Prozesse 2. Risikomanagement, Lagebild, Compliance 6. Vorfall- und Notfall- 7. sichere Integration 10. Service-Orchestrierung Vertragsmanagement Aufgaben und Schnittstellen im Normalbetrieb 3. Nutzung - Reports, Audits etc. 4. Maintenance, Change-Advisory 5. Help-Desk- und Vorfallmeldung 8. Anforderungsmanagement 9. Projekt- Anwenderorganisation IT-Dienstleister 11. -Officer 12. Customer Manager 13. Service-Delivery- 14. Help-Desk, Vorfallmngt. 15. Account-/Service- Delivery-Manager 16. Service-Delivery-, Projects Joint (JSM) 18. Januar

11 Joint (JSM). Arbeitsteilung und Industrialisierung der IT: Auswirkungen auf das Sicherheitsmanagement Flexibilität: Katalog-Bausteine und Sicherheitsstandards Steuerungsmodell: Sicherheit in Lieferketten und Lebenszyklen Ablauf: Geschäftsbeziehung und Lebenszyklus der IT-Services Joint : Aufgabenteilung für beide Partner und Zusammenarbeit Joint : organisationsübergreifend handeln Mehr Sicherheit im Zeitalter von Cloud-Computing, IT-Dienstleistungen und industrialisierter IT-Produktion ISBN Neuerscheinung April 2018; schreiben Sie an ESARIS@t-online.de Joint (JSM) 18. Januar