Compliance Management Für Einsteiger Uwe Kissmann
Schwierigkeitsgrad
Kein Thema bestimmt aktuell die IT Security Welt so stark wie Compliance Management. Von den Unternehmen wurde Compliance, das gesetzes- und vorgabengetreue Verhalten, längst als geschäftliche Basis erkannt. Zuerst erforderte das Management dieser Compliance zunächst die Entwicklung von Instrumenten und Verfahren sowie deren nachvollziehbare Kontrolle.
D
ieser Bereich ist derzeit aber für die Unternehmen einer der wesentlichsten Kostentreiber im IT Security Umfeld. Unklare Kompetenzverteilung und mangelhafte Kostenkontrolle sind häufig die Realität. Nachdem die generelle Entwicklungsphase von Verfahren für Compliance Management abgeschlossen ist, sehen sich viele Unternehmungen nun vor der Herausforderung, die damit verbundenen Kosten zu optimieren. Dies sowohl im allgemeinen Compliance Umfeld, als aber vor allem auch im IT Security relevanten Compliance Umfeld. Klares Ziel ist es, die Kosten zu reduzieren, ohne die Compliance selbst in Frage zu stellen. Dies stellt die Verantwortlichen vor grossen Herausforderungen. Obwohl sie auf der einen Seite während ihrer täglichen Arbeit vielfach die Bestätigung erhalten: Ja, natürlich halten wir die Security-Vorgaben ein, belegen Audit-Erfahrungen hingegen, dass solche Einschätzungen oftmals nicht der Realität entsprechen. Diese Diskrepanz bleibt vielfach nicht ohne Folgen. Vor allem in neuerer Zeit hat sie zu sehr unangenehmen Expositionen von Firmen aus verschiedenen Industriezweigen in der Öffentlichkeit geführt. Dies war mit weitreichenden Auswirkungen auf deren Reputation verbunden,
2
hakin9 Nr. 11/2007
vor allem wenn sie in Bereichen tätig sind, welche ein hohes Vertrauensverhältniss als Basis der Geschäftsbeziehung voraussetzen. Eine weitere Herausforderung ist mit der Schätzung verbunden, dass in einer IT Organisation mit einer Grösse von 100 Servern, durchschnittlich 200-1000 Change Requests pro Tag bewältigt werden müssen. Dies kann von kleinen Änderungen bis hin zu grösseren Eingriffen rei-
In diesem Artikel erfahren Sie... •
•
Was Compliance Management ist und vor welchen Herausforderungen sie den IT Security Officer stellen; Welche Tools zur Kostenreduzierung eingesetzt werden und wie durch automatisierte Kontrollen Kosten gespart werden können.
Was Sie vorher wissen/können sollten... •
Grundlegende Kenntnisse in Compliance Management.
www.hakin9.org/de
Compliance Mangement
chen. Derartige Änderungen haben nicht selten direkten Einfluss auf die Sicherheit dieser Systeme. Einerseits ist es angesichts solcher Rahmenbedingungen offensichtlich, dass ein Audit oder eine Sicherheitsüberprüfung, die nur alle paar Quartale durchgeführt wird, nicht mehr ausreicht, um eine ausreichende und möglichst permanente Übereinstimmung mit den Sicherheitsvorgaben zu gewährleisten. Andererseits stehen in der Regel aber auch die personellen Mittel nicht zur Verfügung, um die Übereinstimmung mit den Vorgaben permanent von Hand zu überprüfen. Zunächst liegt eine Teillösung dieser Krux in der automatisierten Überprüfung von Einstellungen, die von in- und externen Vorgaben bestimmt werden. Auf dem Markt gibt es mittlerweile unter den Labels wie Compliance Control oder Regulatory Compliance Solution diverse Tools, die dieses Thema adressieren. Allerdings kann durch den Einsatz solcher Tools bei weitem nicht umfassend gewährleistet werden, dass alle wesentlichsten Anforderungen abgedeckt werden. Denn Anforderungen an eine solche Lösung sind vielfältig und weitreichend. Nicht nur die automatisierte Überprüfung aller sicherheitsrelevanten Einstellungen und die lückenlose Einbindung sämtlicher, erforderlichen IT-Systeme sind für Unternehmen von zentraler Bedeutung, sondern auch im Nachgang die kontrollierte und vor allem nachvollziehbare Abarbeitung der Korrekturen. Darüber hinaus muss der jeweilige Ist-Zustand stufengerecht darstellbar sein und ein Reporting für alle Unternehmenslevels, vom IT-Spezialisten bis hin zum Executive Board Member, ermöglicht werden. Da die Security-Vorgaben nicht statisch sind, ist eine leichte Adaptierbarkeit an sich ändernde Security-Settings unerlässlich. Eine Priorisierung von Abweichungen nach Risikoklassen sollte ebenso möglich sein, wie eine leichte Harmonisierung mit internen Prozessabläufen. Das heisst auch die Schaffung gemeinsamer Messpunkte mit vorgegebenen Securityprozessen zur Sicherstellung
Wie misst man den Security Level – Das Prinzip Erster Augenschein
Richtlinien
Vergleich
Validierung
Abweichungen
Ergebnisse
Realer Wert
Menschliche Bewertung
Verbesserung
Risko
Abbildung 1. Wie misst man den Security Level – Das Prinzip eines ganzheitlichen Ansatzes und zur Kosten- und Qualitätskontrolle. Dies erfordert unter anderem eine saubere und klare Definition von technischen Security-Vorgaben, welche wiederum hohe Kenntnisse von Security-Erfordernissen der diversen Systemplattformen voraussetzt. Diese vielfältigen Anforderungen können erst durch eine Kombinationslösung diverser Applikationen abgedeckt und durch deren Ein-
Screen Architektur
bindung in Ticketing- und Inventory Management Systeme, sowie in die Prozesslandschaft einer Unternehmung realisiert werden. Ein solcher Ansatz erlaubt es auch, die Einhaltung interner und externer Security-Vorgaben permanent zu überprüfen, was einen wesentlichen Teil diverser Compliance-Vorgaben bildet, und mittlerweile von diversen Unternehmungen eingesetzt wird.
Admins
Sicherheitsrichtlinien
CSO Security Verantwortliche Management
SCREEN
Ticket
KPI ProblemManagement
Erstellung Problemticket
Reports
Reporting Engine
Inventory Data Problem Ticket Status Contract Information (Konfiguration)
SicherheitsDatenbank
Asset Management Inkl. Config Mgmt Data
Security Tool Konfigurationsrichtlinien
Security Berater manueller Gesundheitscheck
Wartung Kontrolle ErgebnissTCP/IP Scanning Ergebnisse Tool 1
Tool 2
Tool 3
Tool n
Abbildung 2. Screen Architektur
www.hakin9.org/de
hakin9 Nr. 11/2007
3
Für Einsteiger
Eine mögliche Lösung besteht darin, auf den zu überprüfenden Systemen Softwareagenten zu installieren, die die securityrelevanten Einstellungen regelmässig mit den spezifischen Vorgaben der Security-Policy vergleichen. Die daraus resultierenden Resultate werden in der Folge an ein zentrales Datenbanksystem weitergeleitet. Ergeben sich Abweichungen gegenüber den Vorgaben, werden diese automatisch an ein TicketingSystem weitergeleitet. Dieses System sendet dann automatisch eine Korrekturanforderung an den jeweiligen Systemverantwortlichen. Es kontrolliert und eskaliert auch, falls die Korrektur nicht innerhalb eines vorgegebenen Zeitraums erfolgt. Sämtliche Messungen und deren Resultate und Korrekturen werden darüber hinaus in einem zentralen, webbasierenden Reportingsystem erfasst. Aus diesem System heraus lassen sich in der Folge frei wählbare und stufengerechte Reports erstellen, welche detailliert über den aktuellen und den vergangenen ComplianceStatus Auskunft geben können. Durch die automatisierte, sehr detaillierte und stufengerechte Abarbeitung dieser Thematik lassen sich im operativen Bereich markante Reference Security Policy standard
Kosteneinsparungen im Bereich der IT Security relevantan Complianceaufwendungen realisieren. Diese Einsparungspotentiale liegen im Wesentlichen in der automatisierten Abdeckung der Mess-, Korrekturund Dokumentationserfordernisse. Eine wesentliche Voraussetzung für maximale Kosteneinsparungen ist die Beachtung der Tatsache, dass
• •
http://www.research.ibm.com/journal/sj/462/abrams.html – Ein Journalartikel vom IBM Forscherteam in Zürich; http://www.cert.org/ – Das Computer Emergency Response Team an der Carnegie Mellon University.
Compliance Management und die grosse Krux des IT Security Officers. Automatisierung und maximale Kostenreduktion bestimmen das Compliance Management Ganzheitliche und flexible Ansätze sind die Lösungen der Zukunft im IT Security Umfeld.
der optimale Nutzen nur erreicht werden kann, wenn nicht nur die technologische Lösung im Fokus steht, sondern auch parallel eine starke Harmonisierung mit den Securityprozessen erfolgt.
Ticketing Inventory Management
Centralized Database [aggregation, correlation and storage]
Automated, controlled and reproducable ticketing of control&correction activities
Specific, corporate Security Policy Health Checking Wintel
UNIX
zOS
A S/400 and others
TCP/IT Scanning
Logs
Check of Network environment
Logging of activities
Abbildung 3. Architektur- und Funktionsübersicht
4
hakin9 Nr. 11/2007
Uwe Kissmann ist seit mehr als 10 Jahren in verschiedenen, nationalen und internationalen Funktionen im IT Security Bereich tätig. Er verantwortet das IT Security Consulting Geschäft von IBM in der Schweiz, Österreich, Osteuropa und Mittlerem Osten.
Im Internet
Reports [For IT Management, -specialist, and non IT staff]
Connection with Inventory Systems to ensure complete measurement
Über den Autor
www.hakin9.org/de
Nach der Einführung solcher Lösungen ist ausserdem häufig der Effekt zu beobachten, dass sich die Aufwände für die Behebung von Securityabweichungen markant reduzieren. Hintergrund dafür ist die Tatsache, dass die betroffene Organisation nach einer gewissen Phase der Angewöhnung, die Abarbeitung solcher Abweichungen ins Daily business integriert, was zur effizienteren und routinemässigen Bearbeitung solcher Abweichungen führt.
Fazit
Zusammenfassend kann gesagt werden, dass die automatisierte Kontrolle und Abarbeitung von IT Security relevanten Complianceüberprüfung –nebst einem erhöhten Compliancegrad- ein wesentliches Kosteneinsparpotential bietet. Dies vor allem dann, wenn mehrere Lösungen miteinander kombiniert und in die Prozesslandschaft eines Unternehmens eingebunden werden. Dies ist der Grund, dass sich immer mehr Unternehmen zur Einführung solcher Lösungen entscheiden. l