IT-Security sollte sich in den Prozess einpassen

Stefan AllemannDurch die wachsende Komplexität, die rasante Weiterentwicklung und die fortschreitende Vernetzung von IT-Systemen nehmen Störungen und Gefahren durch Angriffe von innen sowie von außen immer weiter zu. Mit Stefan Allemann, IT-Sicherheitbeauftragter der CSS Versicherung, haben wir über die Ausrichtung eines modernen IT-Sicherheitsmanagements gesprochen.

Typ:
Blogartikel
Rubrik:
Analytik & IT
Themen:
Cloud IT-Sicherheit
IT-Security sollte sich in den Prozess einpassen

Muss sich das IT-Sicherheitsmanagement an agile Arbeitsweisen anpassen?

 

In einer idealen Welt nicht . Wenn die Security-Architektur stabil ist und die Kultur des Unternehmens das Information Security Management System mitträgt, braucht es wenig Anpassungen. In der Praxis ist das natürlich selten der Fall. Security sollte aber im agilen Entwicklungsprozess kein zusätzlicher Schritt sein, sondern sollte sich im Rahmen von „Security-by-design“ in den Prozess einpassen. Ich finde es wichtig, dass es immer einen Security-Spezialisten gibt, der für die Entwickler ansprechbar ist und agil mit einbezogen werden kann. Änderungen gibt es sicher auch im Bereich Dev-Ops. Je mehr automatisiert wird, desto mehr muss auch das Security-Testing automatisiert werden.

 

Wie kann Sicherheit bei immer komplexeren, hochgradig vernetzten Systemen gewährleistet werden?

 

Eine Hauptherausforderung sehe ich bei verteilten Systemen, wie z.B. in der Cloud. Häufig hat der Nutzer bei SaaS weniger Einflussmöglichkeiten als klassisch On-Premis. Die Anbieter geben vielfach vor was sie in welcher Art anbieten. Somit verzetteln sich auch Sicherheitslösungen immer mehr. Helfen können aus meiner Sicht klar definierte Schnittstellen. Diese müssen auch geprüft werden. Ausserdem bleiben häufig auch „nur“ klassische Security-Review, um die Einhaltung der Vorgaben zu prüfen. Weil die Systeme uneinheitlicher werden, finde ich ein durchgehendes Identity- und Accessmanagement umso wichtiger. Der User mit seinen Rechten wird so quasi zum neuen Perimeter.

 

Wie entwickelt sich das Verhältnis zwischen Security-Reviews und Security-by-Design?

 

Es braucht auf jeden Fall beides. Ich sehe Security-by-Design eher auf einer formellen und vorgabengetriebenen Seite. Auch eine Security-Kultur gehört dazu. Trotzdem werden in der Entwicklung natürlich Fehler passieren. Da setzen automatisierte oder manuelle Security-Reviews ein.

 

Das Interview erschien zuerst im Themendossier zum Thema IT-Sicherheit.

Themen Tags