| | Comments Off on Layer 8 – (Zero Trust) Security als Prozess! #sepagoadapt

Layer 8 – (Zero Trust) Security als Prozess! #sepagoadapt

Tilmann Sies ist Lead Consultant Technology & Organisation bei der sepago. Er berät Unternehmen im Bereich Technology & Organization mit den Fokusthemen IT-Prozessberatung und Change-Management.

„IT-Projekte in Unternehmen starten weitaus vor der technologischen Implementierung. Es geht um das Mindset, das Zusammenspiel, die Zusammenarbeit und die Prozesse. Prozesse, die nur leben, wenn sie durchdacht und handhabbar erstellt werden.“
– Tilmann Sies

Im Rahmen von Zero Trust fokussieren wir uns neben technologischen Themen auch auf die organisatorische Ebene. Unsere Erfahrung zeigt, dass die Einführung von Sicherheitslösungen oft mit der Veränderung von Prozessen verbunden ist. Alte Lösungen werden durch neue ersetzt, alte Schnittstellen werden geändert und teamübergreifende Zusammenarbeit ist notwendiger geworden. Deshalb erfordern neue Sicherheitslösungen auch neue Prozesse. Aus diesem Grunde begleiten wir die Betriebsphase kontinuierlich und prozentual strukturiert. Wir bringen unsere Erfahrungen aus Security Projekten und aus unseren eigenen SOC-Dienstleistungen bei unseren KundInnen ein. Eine ganzheitliche Betrachtung, auch über Hierarchieebenen und Abteilungsebenen hinweg, erhöht die Akzeptanz bei der Einführung der Software.

It Prozessberatung

Quelle: www.microsoft.com

Der Zeitpunkt sich mit prozeduralen Themen auseinanderzusetzen ist elementar für den Erfolg des Projekts. Es steigert die Annahme und Effizienz des Projekts. Schlussendlich steigt das Securitylevel unserer KundInnen dadurch.

It Prozessberatung Tradiotional Approach Vs. Ideal Approach

Die Vorteile einer prozedural orientierten Betrachtung lassen sich wie folgt zusammenfassen:

  • Übersicht im Betrieb und Strukturierung der Arbeitsabläufe
  • Gleichzeitig wird intern das Know-How aufgebaut
  • Engpässe lassen sich absehen und können durch klare Schnittstellenzuordnung zu anderen Teams oder externen Partnern besser definiert werden

Die ständige Weiterentwicklung durch Automatisierungsmöglichkeiten ist durch diese standardisierte Vorgehensweise der erste Schritt in diese Richtung.

It Prozessberatung Vorteile

Ein weiterer Fokus ist die Notwendigkeit einer sauberen Prozessdokumentation im Rahmen eines Audits. Die Dokumentation und Messung eines Incident Handling Process kann Teil einer Maßnahme im Rahmen der BSI 201 oder ISO 27001 sein. Für ein erfolgreiches Audit sind dies oft notwendige Voraussetzungen.

„Begin with the end in mind“ – Ziel ist die nachhaltige Implementierung und Nutzung des erstellten Prozesses in dem ITSM unserer KundInnen. Es geht um Visualisierung, Abbildung von Workflows und die Dokumentation und Messbarkeit des Prozesses an sich.

It Prozessberatung Itsm1

Quelle: www.servicenow.com

Schauen wir nun auf das Konzept und auf Referenzbeispiele aus vergangenen Projekten.
Wir starten mit der gemeinsamen Basis zur Prozessarchitektur. Um einen Prozess zu dokumentieren und diesen lebbar zu machen, bietet es sich an, diesen in drei Ebenen zu dokumentieren.

It Prozessberatung Prozessarchitektur

Layer 1 beschreibt die „High Level“-Übersicht und definiert Phasen und Kernaufgaben in dem Prozess.
Layer 2, die nächste detailliertere Flughöhe, ordnet die einzelnen Aufgaben zu einer RACI-Matrix hinzu. Diese Darstellung beschreibt die Aufgabenschritte genauer.
Layer 3 sind Zusatzdokumente, um den Prozess effizient abzuwickeln. Dies können beispielsweise Playbox oder Onboarding Dokumentationen sein.

Hier sehen Sie einen exemplarischen Incident Handling Security Process:

It Prozessberatung Handling Security Prozess

Auf der linken Seite sind die verschiedenen Rollen der Beteiligten aufgelistet. Auf der oberen Seite sehen Sie die verschiedenen Phasen innerhalb des Prozesses. Ziel ist es hiermit darzustellen, welche Aufgabengebiete an welcher Stelle von wem übernommen werden. Auf dieser Visio ist zu erkennen, dass wir es in diesem Fall in drei verschiedene Skill-Levels unterteilt haben. Dies ist aber im Kontext der Gesamtorganisation zu sehen und auch der Größe des SOCs. Besonders an diesem Prozess ist, dass hier die Durchführung von kontinuierlichen Playbook Einträgen von Level 2 und Level 3 eingebettet ist.

Der nächste Schritt ist die Rollenklärung. Hier werden die ersten Kernverantwortungen mit Namenszuordnungen festgelegt. Anhand dieser Namenszuordnung lässt sich später im Prozess detailliert beschreiben, wer an welcher Stelle welche Aufgaben zu erledigen hat.

It Prozessberatung Rollenklaerung

Im Layer 2 wird definiert, welche Action Items und Aufgaben in diesem Prozess durchgeführt werden müssen. Diese Action Items werden anschließend anhand einer RACI-Allokation so zugeordnet, wodurch deutlich wird, wer für eine Aufgabe verantwortlich ist, wer beratend hinzugezogen wird, wer informiert wird und wer die insgesamte Verantwortung für diesen Prozessteilschritt hat. Oft ist dies die Grundlage für die Implementierung in dem ITSM unserer KundInnen.

It Prozessberatung Raci Allokation

Auf der linken Seite sehen Sie nun auf Layer 3-Ebene zwei beispielhafte Playbook-Einträge, welche eine Schritt-für-Schritt-Lösungsanleitung für spezielle Alarmtypen vorgeben. Es empfiehlt sich hier, sich anhand der Micratak Matrix zu orientieren, um so im Standard zu bleiben. Der Vorteil ist hierbei, möglichst viele Workloads von höheren Kompetenzleveln in Richtung SOC Analysten Level 1 zu verschieben und diese zu dokumentieren. Diese Dokumentation wird oft von erfahrenen SOC MitarbeiterInnen durchgeführt.

It Prozessberatung Micratak Matrix

Ein weiteres Beispiel für ein zusätzliches Dokument auf Layer 3 Ebene ist eine Entscheidungsmatrix:

It Prozessberatung Entscheidungsmatrix

Um im Falle von Incidents die Tickets passend zu adressieren, empfehlen sich zwei Ansätze: Erstens ist es sinnvoll auf Basis von zwei Kriterien, nämlich Urgency und Kritikalität eine Zuordnung des Tickets vorzunehmen. Zweitens empfiehlt es sich im SOC-Betrieb selbst eine Zuordnung der Verantwortlichkeiten nach Alarmtypen vorzunehmen. Dies reduziert Abstimmungsschwierigkeiten und eröffnet den Raum für die MitarbeiterInnen zur Spezialisierung.

It Prozessberatung Ticket Responsibility

Zum Schluss möchten wir Ihnen noch einen Einblick in die Vorgehensweise für die Implementierung geben. Auf Basis einer Transformation Map sehen Sie verschiedene Meilensteine aufgeteilt in Phasen und einzelne Streams.

It Prozessberatung Transformation Map

Um Ihr SOC zu entwickeln und den Security Prozess aufzusetzen, sind in diesem Falle verschiedene Themengebiete auf der einen Seite in der prozeduralen Thematik in der technischen Vorbereitung aber auch in der Erstellung der Playbooks und Playbook Templates sowie den Themengebieten rund um Messbarkeit und SLA notwendig. Um einen gemeinsamen Blick im Projekt zu haben, empfiehlt es sich diese agile Methode zu nutzen, um auch auf Veränderungen reagieren zu können und sich nicht in einer konservativen Wasserfallmethode in Detailplanungen zu verlieren.

Was sind typische Module im Rahmen einer SOC-Prozesserstellung?

Es geht los mit der übergeordneten Prozessbeschreibung, um die Stakeholder-Schnittstellen zu definieren. Anschließend werden, falls notwendig, weitere Sub-Prozesse identifiziert, die es ebenfalls zu betrachten gilt. Im nächsten Zuge geht es darum, Rollen zu definieren, die verschiedenen Action Items in Form von Aufgaben, die anfallen und eine Zuordnung der RACI-Allokationen vorzunehmen. In der nächsten Phase wird die Schritt-für-Schritt-Dokumentationen durchgeführt, die Playbook Einträge etabliert und Ablageorte dafür festgelegt. Da ein Prozess nur so gut ist wie er auch gelebt wird, wird anschließend, nach vollendeter Prozesserstellung, ein großer Fokus auf das Onboarding geworfen. Die MitarbeiterInnen abholen, Raum für Integration geben und Feedback einholen, wie sie den Prozess sehen und wie passend dieser für sie designed ist. Als weiteres Themengebiet ist es von großer Relevanz für besondere Spezialfälle, wie beispielsweise einen Major Incident, entsprechende Vorbereitungen zu treffen. In Form einer Major Incident Guideline auf Basis einer Checkliste, lassen sich die Themen identifizieren, die man in vorbereitenden Maßnahmen vor einem Major Incident vorbereiten sollte.

Themen, die während des Major Incidents vorfallen und durchgeführt werden müssen inklusive Eskalationsmatrix und Wegen. Themen, die es im Nachhinein zu klären gilt, wie beispielsweise, wenn das gesamte Team das Wochenende durchgearbeitet hat, um auch wieder darauf zu schauen was auf menschlicher Seite notwendig ist.

Optional sind drei Punkte, die es je nach Gesamtkontext zu betrachten gibt. Die Implementierung im ITSM und die Ablage an passenden Orten sowie die Betrachtung des Monitorings, um den Start zu legen für einen kontinuierlichen Verbesserungsprozess.

Unsere User Story für Sie: wir begleiten die Betriebsphase kontinuierlich und prozedural strukturiert auf Basis unserer Erfahrungen und Blueprints, um die Arbeit Ihres SOCs effizient und sicher zu strukturieren.