bakhtiarzein - Fotolia

Mehr Sicherheit durch Serviceorientierung: IT-Security durch ITIL erhöhen

ITIL sorgt für eine hohe Serviceorientierung und Standardisierung der IT. Davon profitiert letztlich auch die IT-Security eines Unternehmens.

Die Auseinandersetzung mit ITIL (Information Technology Infrastructure Library) führt in kleinen, aber auch in großen IT-Organisationen zu einer Vergegenwärtigung dreier primärer Grundsätze: Prozessorientierung, Serviceorientierung und die Ausrichtung der IT auf Kundenwünsche, sowohl intern als auch extern.

Wenn sich jedoch die IT mehr an Services und Kunden orientiert, könnte der eher technisch geprägte Administrator auf die Idee kommen, dass die Sicherheit unter dieser Änderung leiden könnte. In einem Satz: Das Gegenteil ist der Fall!

Wie kann ITIL die IT-Security erhöhen?

IT-Abteilungen, die sich mit dem De-facto-Standard des IT Service Managements ITIL auseinandersetzen, nutzen die Handlungsempfehlungen zur Umsetzung – allesamt bewährte Praktiken in der Gestaltung von Prozessen. Über die Jahrzehnte hat es ITIL geschafft, in den wichtigen Management-Disziplinen eine Reife zu erlangen, dass die Anforderung der unterschiedlichen Standards nunmehr eine formale Regelung erhält.

Sowohl das IT-Management als auch die Prozessverantwortlichen der Organisation kennen die Standards, wissen diese entsprechend zu bewerten und gehen bei der Umsetzung von Veränderungen gezielter vor.

Schnell taucht ein wichtiger Begriff unser Zeit auf: Compliance. Hierunter ist die Fähigkeit der Organisation zu verstehen, die formalen Anforderungen wie Gesetze, interne Richtlinien oder allgemein anerkannte Standards in der Praxis zu erfüllen. Der Umsetzungserfolg hängt in erster Linie von den richtigen Zielen und den aufgebauten Rahmenbedingungen ab, die das Management festlegt.

IT-Sicherheit besteht nicht nur aus technischen Raffinessen wie IPS-Tools (Intrusion Prevention/Protection Systemen), Honeypots oder Sandbox-basierter Verhaltensprüfung von noch unbekanntem Programmcode. Zunächst einmal fallen IT-Profis zum Thema Security eher solche Technologien ein. Ohne jede Frage ist die zeitnahe und fehlerfreie Beseitigung von Risiken, die sich beispielsweise aus einer Sicherheitslücke in einer Software ergeben, durch den Administrator wichtig – sogar sehr wichtig.

Ebenso wichtig ist es jedoch, einen verbindlichen Rahmen zu schaffen, in dem definiert ist, wer und vor allem wann sich jemand um diese Aufgabe bemüht, die Risiken bewertet und sicherstellt, dass alle erforderlichen Maschinen diese Aktualisierung erhalten.

Sie befinden sich im dritten Teil unserer vierteiligen ITIL-Serie:

Teil 1: Einführung in ITIL

Teil 2: ITIL vs. ITMS

Teil 4: ITIL-konformer Service-Desk

Die immer wiederkehrende Prüfung des ITIL-Servicelebenszyklus als Continual Service Improvement sorgt für eine kontinuierliche Verbesserung im Ablauf.

Technische Fehler bei der Durchführung, übersehene Abhängigkeiten oder zeitliche Kollisionen von Maßnahmen sind nur einige Beispiele, die immer wieder bei der Behebung von technischen Problemen zu Nachfolgeeffekten führen. Eine auf Service fokussierte IT-Abteilung identifiziert diese Herausforderungen bereits im Vorfeld und sorgt für eine messbar bessere Leistung bei der Bekämpfung von Sicherheitsrisiken.

Security Management nach ITIL

ITIL selbst befasst sich nicht direkt mit dem Thema IT-Security. Eine verbindliche Regelung für Service-, Security- und Beziehungs-Management in der IT findet sich im Standard ISO 20000. Mit dieser Norm verfügen IT-Organisationen über ein ordentliches Werkzeug, auch wenn sie selbst gar keine Zertifizierung anstreben.

Die ISO 20000 definiert die Mindestanforderung an ITIL-konformen Prozessen und liefert darüber hinaus weitergehende Prozessempfehlungen.

Typischerweise verbinden IT-Profis Verfahren wie Vulnerabilitätsscanner mit der Einführung eines ISMS und nicht unbedingt mit ITIL.
Abbildung 1: Typischerweise verbinden IT-Profis Verfahren wie Vulnerabilitätsscanner mit der Einführung eines ISMS und nicht unbedingt mit ITIL.

Die Studie ITIL und Standards für IT Prozesse der Koordinierungs- und Beratungsstelle der Bundesregierung für Informationstechnik in der Bundesverwaltung (KBSt) bezeichnet diese ISO-Norm gar als die verbindliche Antwort auf die Frage, was ITIL-Konformität in der praktischen Umsetzung überhaupt heißt. Vor dieser Norm gab es diesbezüglich eher freizügige Interpretationen. Nun steht eine standardisierte Messlatte zur Verfügung, mit der die ITIL-Umsetzung in Bezug auf die IT-Security verbindlich prüfbar ist. Dies trägt auch zu erhöhter Effizienz und einer besseren Wirksamkeit von Umsetzungsprojekten bei.

Benötigt meine Firma ein Security Management?

Diese Frage lässt sich mit einem beherzten Ja beantworten. Glücklicherweise spielt die gewählte Methodik selbst dabei eine beinahe untergeordnete Rolle. Prozessmodelle wie ITIL, der Grundschutz nach BSI oder andere Normen und Standards geben nur eine Hilfestellung bei der Implementierung eines ISMS (Informationssicherheits-Management-System). Sie helfen dem IT-Management zwar, die eigene Arbeit zu strukturieren, es kommt jedoch kein IT-Verantwortlicher um die Aufgabe herum, eine individuelle Lösung für die eigene Organisation zu entwickeln.

Security Management klingt nach einer großen und sperrigen Konstruktion. Dabei können sich auch einige Mitarbeiter zu wiederkehrenden Terminen zusammenfinden, um gemeinsam das Sicherheits-Management auf den Weg zu bringen. Die Definition einer Sicherheitspolitik und die Festlegung, dass die Unternehmensleitung diese initiieren muss und in der praktischen Arbeit auch berücksichtigt, ist der erste Schritt.

Im zweiten Schritt folgt die Ausbildung der Anforderungen, die sich aus der Festlegung der Sicherheitspolitik ergeben. Hierbei sind die ISMS-Standards ISO/IEC 27001 oder BSI-100-1 hilfreich. Es folgen die durchlaufenden Phasen zur erfolgreichen Einführung eines ISMS. Bei der praktischen Umsetzung der Prozesse unterstützen ITIL oder BSI 100-2 oder 100-3 die IT-Mannschaft. Und wie beinahe alle Verfahren münden auch diese Schritte in einen Kreislauf, in dem über die Evaluation immer wieder eine Wirkungsprüfung stattfindet. Evaluationen stellen ein wichtiges Instrument zur Optimierung von Normen, Regeln und Prozessen dar.

Folgen Sie SearchDataCenter.de auch auf Twitter, Google+, Xing und Facebook!

Artikel wurde zuletzt im Juni 2017 aktualisiert

Erfahren Sie mehr über ITIL, ITSM, COBIT

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchSecurity.de

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

Close