Die Rolle und Verantwortlichkeiten von Sicherheits- und Risikomanagement-Führungskräften hat sich grundlegend verändert. Michael Hanisch, Head of Technology DACH bei AWS, hat drei Merkmale ausgemacht, die Sicherheitsorganisationen erfolgreich machen. [...]
Warum sind einige Sicherheitsorganisationen erfolgreicher als andere und was macht eine erfolgreiche Sicherheitsorganisation aus?
Es gibt keine spezifische Formel, aber durch unsere Arbeit mit einigen der am stärksten auf Sicherheit bedachten Organisationen der Welt haben wir bei Amazon Web Services (AWS) festgestellt, dass es wiederkehrende Merkmale gibt, die einige Sicherheitsorganisationen besonders erfolgreich machen. Genauer gesagt haben erfolgreiche Sicherheitsorganisationen drei Dinge gemeinsam: Sie arbeiten eng – und proaktiv – mit Rechts- und Compliance-Experten, Audit-Partnern und Aufsichtsbehörden zusammen. Sie nutzen Automatisierung und halten bewusst mit der immer schnelleren Entwicklung von Software-Engineering-Praktiken Schritt. Und: Sie treffen schnelle, aber fundierte Risiko- und Sicherheitsentscheidungen, um sicherzustellen, dass das Geschäft reibungslos läuft.
Welche Rolle spielen Chief Information Security Officers (CISOs) dabei?
Die Rolle von Führungskräften im Security- und Risikomanagementbereich hat sich in den letzten Jahren grundlegend verändert. CISOs, CSOs und CTOs sind nicht nur dafür verantwortlich, vorbeugend und wachsam gegenüber Sicherheitsbedrohungen zu sein und Unternehmensnetzwerke zu schützen. Sie sind inzwischen auch Markenverantwortliche eines Unternehmens, indem sie durch ihre Arbeit den Ruf eines Unternehmens beeinflussen und gleichzeitig in der Lage sind, die Glaubwürdigkeit des Vorstands sowie das Vertrauen der Kunden zu stärken.
Inwiefern ist die Zusammenarbeit mit Audit- und Rechtsabteilungen relevant?
Die enge Zusammenarbeit mit Rechts- und Compliance-Experten, Audit-Partnern und Aufsichtsbehörden ist vielleicht die wichtigste der drei Eigenschaften. Genau wie Sicherheitsexperten haben diese Personen die Aufgabe, ihre Organisationen zu schützen, daher müssen sie frühzeitig und häufig einbezogen werden. Wir sehen oft, wie Unternehmen interne Kontrollsysteme einrichten und in Schwung kommen, nur um dann zu stolpern, weil sie sich auf dem Weg dorthin nicht mit den richtigen Teams abgestimmt haben. Es ist nicht immer einfach, die traditionelle Arbeitsweise zu überwinden, die für einige Unternehmen darin bestand, die Stakeholder erst in der Mitte oder am Ende eines bestimmten Prozesses einzubinden. Sicherheitsverantwortliche wollen aber nicht, dass die Sicherheit an ein Produkt „angeschraubt“ wird, nachdem es bereits gebaut wurde. Was wir bei AWS regelmäßig tun, ist die frühzeitige Einbindung unserer Kunden und ihrer internen Prüfer, damit sie ihren Stakeholdern beibringen können, wie man in der Cloud erfolgreich auditiert. Dafür stellen wir Anleitungen und Tools bereit und führen bei sogenannten „Game Days“ Audits zu Übungszwecken durch.
Kann die Automatisierung von Sicherheitsaufgaben dabei helfen, mit der immer schnelleren Entwicklung der Software-Engineering-Praktiken Schritt zu halten?
Die erfolgreichsten Sicherheitsverantwortlichen und -organisationen verstehen, dass Sicherheit nicht etwas ist, das man nachträglich einbaut, sondern dass sie tief in den Entwicklungsprozess selbst integriert werden sollte. Wenn das gut gemacht ist, beschleunigt es die Entwicklung und richtet die Sicherheitspraktiken an den Realitäten des Entwicklungslebenszyklus aus. Kunden, die sich für die Cloud entschieden haben, haben ihre Sicherheitsaufgaben als Code zusätzlich zu der Software, die sie entwickeln, automatisiert. Ein großartiges Beispiel dafür ist die Praxis des Push-Out von Firewall-Regeländerungen. Es geht nicht mehr darum, sich in ein Gerät einzuloggen, sondern Software als Code zu nutzen, um einem Continuous-Build-System zu ermöglichen, diese Änderungen zu testen und sie nahezu in Echtzeit auszurollen. Die Automatisierung von Sicherheitsaufgaben kann die Arbeitsweise eines gesamten Sicherheitsteams optimieren.
Viele unserer Kunden stellen Entwickler in SecOps ein, damit sie mehr automatisieren können und sich ihre Sicherheitsingenieure auf Aufgaben konzentrieren können, die ein hohes Maß an Urteilsvermögen erfordern. Erfolgreiche CISOs arbeiten mit ihren Entwicklungsteams zusammen, um Sicherheitsstandards als „Leitplanken“ für deren Arbeit zu definieren anstatt sie als „Gates“ in Projekten einzufügen, was den Entwicklungsteams und Geschäftsbereichen erlaubt, mehr Verantwortung für die Sicherheit zu übernehmen.
Wichtig ist: Es geht nicht darum, die Kontrolle aufzugeben, sondern darum, andere Teams zu ermutigen, Eigentümer zu sein, damit sie sich beteiligt und (mit-)verantwortlich fühlen. Ein Beispiel von AWS: Wenn bei uns ein Serviceteam eine Frage zur Sicherheit hat oder wenn etwas im Softwaretestprozess nicht richtig läuft, steht das Sicherheitsteam zur Verfügung, um Ratschläge zu geben und zu unterstützen. Die Verantwortung, das Problem zu lösen, liegt jedoch nach wie vor beim Service-Eigentümer.
Führende Sicherheitsorganisationen machen die kontinuierliche Verbesserung zu einer Priorität, indem sie ständig Feedback sammeln und einen geschlossenen Kreislauf schaffen, um auf der Grundlage dieser Informationen Verbesserungen vorzunehmen. Dies gilt unabhängig davon, ob es sich um unmittelbares Feedback an einen Entwickler handelt, der Code schreibt, oder um Feedback an den Application Security Engineer über die Effektivität seines Einsatzes. Im Laufe der Zeit haben wir die Art und Weise, wie wir Feedbackschleifen (nicht nur) innerhalb der AWS-Sicherheit verwenden, weiterentwickelt und beobachtet, dass viele führende Organisationen ähnliche Best Practices anwenden: etwa, dass Sicherheits-Experten Verantwortung für die Einhaltung von Produkteinführungszeitplänen mittragen, oder die Einführung einer Sicherheitskultur, die über die reine Servicebereitstellung hinausgeht.
Und nun zum letzten der drei genannten Punkte: Warum sollten sicherheitsorientierte Unternehmen Entscheidungen agil treffen?
Früher bauten Unternehmen Prozesse rund um Technologieakquisitionen auf, die ein Kapitalbeschaffungsmodell und eine große Menge an Hardware, Software und Partnern voraussetzten. Aufgrund der Komplexität, die mit der Verwaltung und Integration all der Hardware-, Software- und Partnerlösungen verbunden war, dauerten Entscheidungen „on-premises“ einfach länger. Für die Sicherheit bedeutete dies, dass es mehr Zeit brauchte, eine Strategie für die Implementierung zu entwickeln. Aber in einer Welt der Cloud-Services können Strategien innerhalb von Minuten umgesetzt werden. Das bedeutet, dass Risiko- und Sicherheitsentscheidungen schnell getroffen werden müssen, da sonst eine Unterbrechung des Geschäftsbetriebs droht.
Sicherheit ist ein dynamischer Prozess und kein statischer Zustand. Die Botschaft der erfolgreichsten Sicherheitsorganisationen besteht aus zwei Worten: „Eskaliere frühzeitig.“ Jeder, der schon einmal einen Kompass benutzt hat, weiß, dass es viel einfacher ist, den Kurs früher zu korrigieren. Es ist besser, sich mit den richtigen Daten und Entscheidungsträgern zusammenzusetzen, als sich von der Analyse lähmen zu lassen. Uns ist aufgefallen, dass die kritische Menge an notwendigen Informationen für eine gute Entscheidungsfindung bei etwa 80 Prozent liegt. Wenn Sie versuchen zu warten, bis Sie alle Daten haben, wird es bereits zu spät sein. Diese Art des Zögerns ist besonders ungeeignet für die rasante Welt der Sicherheit. Entscheidend ist auch, dass wichtige Informationen rund um eine Eskalation ungefiltert weitergegeben werden. Wenn man sich auf Fachwissen statt auf Autorität und Hierarchie verlässt, erhält jeder die Daten, die er braucht, um schnellere – und dennoch gut informierte – Entscheidungen zu treffen. Sicherheit funktioniert gut, wenn sie nicht isoliert oder als Kostenstelle betrachtet wird.
Ist Security also Chefsache?
In der Tat ist die Investition und Beteiligung der oberen Führungsebene eine Schlüsseleigenschaft in sehr erfolgreichen Sicherheitsorganisationen. Bei AWS haben unsere Sicherheitsingenieure tägliche Standups, was in der DevOps- und agilen Entwicklungswelt Standard ist. Unser CEO ist beispielsweise eng mit dem Sicherheitsteam verbunden und trifft sich jede Woche mit unseren Führungskräften, um wichtige Sicherheitsmetriken zu überprüfen und zu diskutieren.
Lassen Sie mich ein Beispiel nennen: Bei AWS betrachten wir Entscheidungen als „Türen“. Durch manche Türen kann man nur in eine Richtung gehen— – eine Entscheidung, die zu etwas führt, das schwierig oder unmöglich zu ändern oder rückgängig zu machen ist, wenn wir sie einmal getroffen haben. Und wenn uns nicht gefällt, was wir auf der anderen Seite der Tür sehen, ist es sehr schwer und oft teuer, wieder zurück zu gehen. Im Gegensatz dazu können wir bei Zwei-Wege-Türen hindurchgehen und sehen, was wir vorfinden. Wenn es uns nicht gefällt, können wir durch die Tür zurückgehen und so die Entscheidung rückgängig machen. Erfolgreiche Sicherheitsorganisationen tun alles in ihrer Macht stehende, um „Einwegtüren“ zu vermeiden und „Zweiwegtüren“ zu suchen. Es geht darum, kleinere, aber dafür häufigere Änderungen an der Sicherheit vorzunehmen, um auf dem Weg schnell iterieren zu können. Iteration ist der Schlüssel zum Erfolg und nicht Perfektion. Der Versuch, von Anfang an perfekt zu sein, verhindert, dass wir jemals aus der Tür herauskommen. Einer unserer Führungsgrundsätze bei AWS lautet: „Bias for action“. Er besagt, dass es im Geschäft (und in diesem Fall bei der Sicherheit als Grundlage des Geschäfts) auf Schnelligkeit ankommt, daher sollten Entscheidungen und Aktionen reversibel sein und keine umfangreichen Studien erfordern. Wir finden, dass Risikobereitschaft im Sicherheitsbereich gesund sein kann, wenn sie kalkuliert ist.
Be the first to comment