Der Lebenszyklus der Informationssicherheit
In allen IT-Bereichen werden Projekte häufig über ein Lebenszyklusmodell verwaltet, bei dem ein Produkt einen Zyklus der Verbesserung und Wartung durchläuft, ohne dass es einen Endpunkt gibt. Dies gilt für die Informationssicherheit genauso wie für jeden anderen IT-Bereich.
Der Lebenszyklus der Informationssicherheit dient Sicherheitsexpert:Innen als Leitfaden für den täglichen Betrieb. Durch das Verständnis des Lebenszyklusmodells für die Planung der Informationssicherheit bekommen Fachleute einen Leitfaden an die Hand, der einen kontinuierlichen, evolutionären Fortschritt bei der Informationssicherheit eines Unternehmens gewährleistet.
In diesem Leitfaden beantworten wir eine grundlegende Frage: Was sind die Schritte des Lebenszyklus des Informationssicherheitsprogramms?
Grundlagen: Sicherheitsrichtlinie und -standards
Bevor wir uns mit den Schritten des Informationslebenszyklus befassen, müssen wir zunächst erläutern, welche Kernelemente benötigt werden.
Der Lebenszyklus eines Programms zur Informationssicherheit hängt von einer soliden Grundlage ab. Diese Grundlage wird aus der Reihe an Unternehmensrichtlinien und -verfahren gebildet, auf denen sich der Lebenszyklusprozess des Sicherheitsteams stützt.
Eindeutige und genaue Richtlinien und Standards sind wesentliche Bestandteile der Informationssicherheit. Sich die Zeit nehmen, eindeutige Standards einzuführen:
- Setzt klare Erwartungen: Richtlinien und Verfahren schaffen einen klaren Rahmen, auf den sich Sicherheitsteams bei der Analyse und Bewertung bestehender und neuer Systeme stützen können. Anstatt Systeme und Prozesse mit einem nebulösen Ziel zu vergleichen, verfügen sie über einen festen Satz von Richtlinien und Standards zum Vergleich.
- Schafft Kohäsion: Viele Projekte zur Informationssicherheit können sich auf einzelne Problembereiche beziehen. Klare Richtlinien und Verfahren schaffen eine Basis für die Arbeit aller Teams, wodurch kollidierende Lösungen und Aktualisierungen minimiert werden.
- Optimiert Verbesserungen: Detaillierte Richtlinien und Standards schaffen eine Grundlage, auf die sich die Teams bei der Entwicklung und Bewertung von Systemen und Lösungen beziehen können, sodass diese nicht ständig zwischen den Teams hin- und hergeschickt werden müssen. Das bedeutet, dass Sicherheitsteams während des gesamten Lebenszyklus der Informationssicherheit effizienter arbeiten können.
Je nach den Richtlinien und Verfahren, die Ihr Unternehmen festgelegt hat, kann Ihr Informationslebenszyklus eine völlig andere Grundlage haben als ein anderes Unternehmen. Trotz dieser unterschiedlichen Grundlagen folgen die Lebenszyklen der Informationssicherheit eines Unternehmens jedoch in der Regel einem ähnlichen Schritt-für-Schritt-Prozess. Dieser Prozess wird in den folgenden Abschnitten detailliert beschrieben.
Schritt 1: Identifizieren
Der erste Schritt im Lebenszyklus des Informationssicherheitsprogramms besteht darin, zu ermitteln, welche Elemente geschützt werden müssen. In einem Datensicherheitsprotokoll kann man nur die Elemente schützen, von denen man weiß. Aus diesem Grund ist die Identifizierung ein erster wichtiger Schritt, um sicherzustellen, dass der Zyklus alle Aspekte eines Netzwerks abdeck.
Die Identifikation umfasst in erster Linie die Abbildung des Netzwerks, an dem Sie arbeiten. Diese sollte auf einer hohen Ebene beginnen und zu den genaueren Details vorarbeiten. Diese Informationen helfen Ihrem Informationssicherheitsteam dabei, die Assets innerhalb eines Systems und deren Zusammenhänge sowie die Ressourcen zu verstehen, die derzeit für Informationsprotokolle verfügbar sind. Zu den wichtigsten Punkte, auf die sich die Identifizierungsphase bezieht, gehören:
- Die Anzahl der verfügbaren Server, Router und anderer Assets
- Die Standorte der physischen Assets
- Die Arten von Betriebssystemen, die im Netzwerk ausgeführt werden
- Anzahl und Art der Anwendungen und Software, die auf den Systemen ausgeführt werden
- Reichweite und Bedeutung von Anwendungen und Software für jede Abteilung
- Der Status der einzelnen Computer und Mobilgeräte im Netzwerk
- Welche Assets für Ihr Unternehmen oberste Priorität haben
- Die derzeitige Infrastruktur der Sicherheitssysteme
Um diese Informationen zu sammeln, müssen die Systeme des Unternehmens geprüft werden. Audits beginnen in der Regel mit einem allgemeinen Überblick und einer Bewertung der aktuellen Tools und Plattformen. Diese Prüfung sollte jedoch auch Interviews und interne Diskussionen umfassen. Gespräche mit Sicherheitsexpert:Innen, IT-Mitarbeiter:Innen und Einzelpersonen aus anderen Abteilungen tragen dazu bei, ein besseres Verständnis der aktuellen Systeme, ihrer Wechselbeziehungen, ihres Zwecks innerhalb des Unternehmens und ihrer Bedeutung innerhalb verschiedener Abteilungen zu entwickeln. Darüber hinaus werden bei Audits häufig externe Ressourcen eingesetzt, um einen unvoreingenommenen Blick auf die Situation Ihres Unternehmens zu ermöglichen und die im Audit erfassten Informationen um eine weitere Ebene zu erweitern.
Nach Abschluss des Audits verfügt das Informationssicherheitsteam über ein umfassendes Bild der bestehenden Informationssicherheitslage des Unternehmens. Diese Daten werden in der Regel in einem Dokument festgehalten und für die spätere Verwendung und Referenz im Lebenszyklus der Informationssicherheit gespeichert.
Schritt 2: Bewerten
Sobald das Team für Informationssicherheit die vorhandene Technologie des Unternehmens im Identifizierungsprozess gründlich analysiert hat, ist es an der Zeit für die Bewertungsphase. Im Bewertungsschritt führen die Sicherheitsexpert:Innen auf Grundlage der im Identifizierungsprozess gesammelten Informationen eine Sicherheitsbewertung aller Assets durch. Dieser Beurteilungsprozess ist einer der umfassendsten Schritte im Lebenszyklus der Informationssicherheit und deckt mehrere Bereiche ab, darunter Prozess- und Systemüberprüfungen, Serverüberprüfungen und Schwachstellenbewertungen.
1. Prozess- und Systemüberprüfungen
Der erste Teil des Bewertungsschritts besteht in der Überprüfung der aktuellen Geschäftsstruktur. Bei dieser Überprüfung untersuchen Sicherheitsexpert:Innen die während des Identifizierungsprozesses skizzierten Strukturen und sammeln weitere Informationen, um Schwachstellen zu identifizieren. Dies kann insbesondere für große Unternehmen eine monumentale Aufgabe sein. Daher wird im Allgemeinen empfohlen, in dieser Phase des Bewertungsprozesses eine oder mehrere der folgenden Methoden anzuwenden:
- Zunächst auf die wichtigsten Ressourcen konzentrieren: Eine Möglichkeit, den Bewertungsprozess durchzuführen, besteht darin, Assets auf der Grundlage ihrer Bedeutung zu priorisieren. Beginnen Sie den Bewertungsprozess, indem Sie sich auf die Ressourcen konzentrieren, die am anfälligsten und für die Funktionalität Ihres Unternehmens am wichtigsten sind. Dadurch können die wichtigsten Verbesserungen frühzeitig identifiziert werden, damit das Sicherheitsteam diese Verbesserungen schneller implementieren kann.
- Von oben nach unten prüfen: Eine weitere Möglichkeit, den Bewertungsprozess durchzuführen, besteht darin, von den übergeordneten Systemen auszugehen und sich von dort aus nach unten in die einzelnen Bereiche vorzuarbeiten. Durch die Analyse der Systeme von den allgemeinsten bis hin zu den detailliertesten können Sicherheitsexperten größere, systematischere Probleme zuerst erkennen.
- Nach Warnsignalen suchen: Schließlich hat das Informationssicherheitsteam während des Identifizierungsprozesses möglicherweise Warnsignale und Bedenken identifiziert. Dazu gehören veraltete Softwareversionen, veraltete Hardware und Feedback von Mitarbeiter:Innen. Teams können diese Probleme bei der Durchführung des Beurteilungsprozesses berücksichtigen, da diese Warnsignale helfen können, kleinere Schwachstellen frühzeitig im Beurteilungsprozess zu identifiziere.
Bei der Durchführung dieser Bewertungen sammeln die Informationssicherheitsteams weiterhin Informationen über die analysierten Ressourcen. Einige der Informationen, die das Team gesammelt hat, umfassen möglicherweise Details über Anwendungen, deren Konfiguration, die Verortung der Komponenten und die Verwendung der Anwendung im Unternehmen. All diese Daten helfen bei der Entwicklung von gründlichen Schwachstellenbewertungen.
2. Serverüberprüfungen
Während des Bewertungsprozesses führen die Teams auch interne Prüfungen jedes Servers durch, einschließlich Konfigurationen und Einstellungen. Das Team wird die Servereinstellungen mit Richtlinien und Standards vergleichen, um die Einhaltung der Vorschriften zu gewährleisten, insbesondere in den folgenden Bereichen:
- Kennwort- und Benutzerkontorichtlinien
- Benutzer:Innen-IDs, Administratorkonten und Gruppen
- Webserverkonfigurationen
- Protokolle und Zugriffe erfassen
- Beziehungen zu anderen Servern
Wie bei den Prozess- und Systemüberprüfungen sammeln die Teams detaillierte Informationen zu jedem Server, einschließlich Problemen und Konfigurationseinstellungen. All diese Informationen werden benötigt, um Schwachstellen zu bewerten und Server und Prozesse auf möglicherweise erforderliche Updates zu prüfen.
3. Schwachstellenbewertungen
Sobald das Sicherheitsteam mit der Abfrage und dem Sammeln von Informationen fertig ist, führt es Schwachstellenbewertungen auf jedem System durch. Schwachstellenbewertungen nutzen Risikomanagementpraktiken, um eine gründliche Analyse der aktuellen und zukünftigen Risiken jedes Systems zu erstellen.
Während der Schwachstellenbewertung konzentrieren sich Sicherheitsteams im Allgemeinen am meisten auf wichtige Assets und Bereiche, in denen sie potenzielle Risikofaktoren festgestellt haben. Während der Schwachstellenbewertung identifiziert das Team alle Bedenken und stellt wichtigeFragen zum Risikomanagement, darunter:
- Welches Risiko ist für jedes System tolerierbar?
- Wie gut sind die einzelnen Systeme auf den Umgang mit bestehenden Bedrohungen vorbereitet?
- Wie vielseitig ist das System für den Umgang mit neuen Bedrohungen?
- Sind die Daten im Falle einer Naturkatastrophe geschützt?
- Welche Gegenmaßnahmen können für jedes Gerät und jeden Service ergriffen werden?
- Welche Auswirkungen hat der Ausfall des Systems auf das Unternehmen?
- Entspricht die aktuelle Sicherheitsstruktur den branchenspezifischen, lokalen und bundesstaatlichen Vorschriften?
Sobald alle Schwachstellenbewertungen abgeschlossen sind, dokumentiert das Team die Ergebnisse, um sie später im Lebenszyklus der Informationssicherheit zu berücksichtigen.
Schritt 3: Ausarbeitung
Nachdem das Sicherheitsteam alle Systeme bewertet hat, ist es an der Zeit, die gesammelten Informationen zu nutzen, um Lösungen und Gegenmaßnahmen zu entwickeln. Basierend auf den spezifischen Schwachstellen und Problemen, die im Bewertungsschritt identifiziert wurden, erarbeitet das Informationssicherheitsteam ein Brainstorming zur Lösung bestimmter Probleme, darunter Cybersicherheitsbedrohungen, Sicherheitsprodukte sowie Informationssicherheitskultur und -prozesse. Zu den spezifischen Faktoren, die Teams während der Ausarbeitungsphase berücksichtigen, gehören:
- Sicherheitsschichten: Die Konstruktionsteams betrachten Sicherheitsschichten als wesentlichen Bestandteil der Ausarbeitung. In diesem Entwurfsprotokoll wird jedes System durch mehrere Verteidigungsschichten geschützt, angefangen bei allgemeinen Schutzmaßnahmen wie Firewalls bis hin zu detaillierten Sicherheitsmaßnahmen wie Multi-Faktor-Authentifizierungsverfahren. Sicherheitsentwickler:Innen sollten sicherstellen, dass jedes System durch mehrere Sicherheitsschichten geschützt ist, was insbesondere für kritische Systeme gilt.
- Compliance: Ein weiterer Aspekt bei der Ausarbeitung ist die Einhaltung verbindlicher Verpflichtungen auf Branchen-, Kommunal- und Bundesebene. Sicherheitsstrukturen, die während des Ausarbeitungsprozesses entwickelt wurden, sollten den für das Unternehmen geltenden Standards und Rechtsvorschriften entsprechen..
- Kontinuität: Betriebskontinuität ist die Fähigkeit eines Unternehmens, den Service nach einer Unterbrechung oder einem Notfall aufrechtzuerhalten oder wiederherzustellen. Ihr Sicherheitsteam sollte Systeme und Prozesse mit integrierten Sicherungen und Redundanzen entwerfen, um sicherzustellen, dass das Unternehmen nach dem Vorfall schnell wieder den normalen Betrieb aufnehmen kann.
- Wirkungsbereich: Bei jeder potenziellen Änderung müssen die Konstruktionsteams überlegen, welche Systeme von der Änderung betroffen sind. Einige Änderungen haben möglicherweise nur begrenzte Auswirkungen, während andere weitreichender sein und mehrere Systeme betreffen können.
- Effektivität: Schließlich müssen Teams, die Systemdesigns bearbeiten, das optimale Gleichgewicht zwischen Sicherheit und Effektivität berücksichtigen. Bei einer Lösung mit maximaler Sicherheit können die Kosten für ihre Implementierung unerschwinglich sein – sowohl was die Ressourcen als auch die Produktivitätsverluste aufgrund der eingeführten Ineffizienzen betrifft.
Sobald das Team mögliche Wege zur Lösung bestimmter Probleme entwickelt hat, analysiert es jede Lösung im Detail und erstellt individuelle Pläne und Entwürfe für jede Änderung. Diese Entwürfe enthalten Änderungen der Systemkonfiguration, Prozessänderungen, Tools und andere Faktoren sowie die Lösung des Problems. Der Entwurf enthält auch eine Analyse der Auswirkungen dieser Änderungen, einschließlich Verfahrensänderungen, Auswirkungen auf benachbarte Systeme und Kosten für die Implementierung.
Wenn das Team seine Pläne fertiggestellt hat, werden die Lösungen dem Management und der Geschäftsleitung vorgelegt, die dann die endgültige Entscheidung über die weitere Vorgehensweise für jedes einzelne Problem treffen.
Schritt 4: Implementieren
Nachdem das Design einer Lösung genehmigt wurde, ist der nächste Schritt im Informationslebenszyklus die Implementierung. In diesem Schritt des Prozesses erstellt das Team einen Implementierungsplan für die Lösung und beginnt mit der Bereitstellung. Dieser Implementierungsplan umfasst in der Regel die folgenden Schritte:
- Änderungsplan entwickeln: Ausgehend von den in der Ausarbeitungsphase entwickelten Entwürfen erstellt das Sicherheitsteam einen Schritt-für-Schritt-Änderungsplan. Wenn möglich, konzentriert sich das Team zunächst auf die wichtigsten Bereiche und arbeitet sich dann zu den am wenigsten anfälligen Bereichen vor. Der Änderungsplan sollte auch alle Personalschulungen berücksichtigen, die zur Implementierung neuer Verfahren oder Richtlinien erforderlich sind.
- Teamrollen erstellen: Nach der Entwicklung eines Plans weist das Team den Personen, die an der Implementierung der Änderungen beteiligt sind, Rollen und Verantwortlichkeiten zu. Zu diesen Personen gehören häufig Projektmanager:Innen, IT-Führungskräfte, Schulungsteams und andere Spezialist:Innen, die mit den vorgenommenen Änderungen in Zusammenhang stehen.
- Ressourcen anfordern: Als Nächstes erwirbt Ihr Team die Werkzeuge, die für die Implementierung der vorgeschlagenen Änderungen erforderlich sind. Dazu gehören unter anderem Sicherheitsprogramme, Netzwerkhardware und Software, die für die Implementierung und Wartung der vorgeschlagenen Änderungen benötigt werden.
- Änderungen testen: Sobald das Team die erforderlichen Ressourcen erworben hat, werden Tests durchgeführt, um sicherzustellen, dass die neuen Ressourcen wie erwartet funktionieren. Wenn unerwartete Probleme auftreten, wird der Änderungsplan nach Bedarf angepasst.
- Änderungen implementieren: Nachdem die Tests die gewünschten Ergebnisse validiert und alle Änderungen am Änderungsplan abgeschlossen wurden, führt das Sicherheitsteam die neuen Änderungen gemäß dem Plan aus. Außerdem werden während der Implementierungsphase regelmäßige Bewertungen und Überprüfungen durchgeführt und bei Verzögerungen werden Anpassungen vorgenommen.
Natürlich sollte die Implementierungsphase auch alle internen Prozesse umfassen, die das Unternehmen für größere Änderungen benötigt. Dazu gehören u. a. Kontrollen des Änderungsmanagements und Prüfungen der Qualitätssicherung.
Schritt 5: Schützen
Dieser Schritt steht in engem Zusammenhang mit den Schritten zur Ausarbeitung und Implementierung, deckt jedoch einen etwas anderen Umfang ab. Das Ziel des Schutzschritts, auch als Schadensbegrenzungsphase bezeichnet, besteht darin, Ihre Sicherheitsmaßnahmen zu validieren, um sicherzustellen, dass die Systeme Ihren festgelegten Sicherheitsrichtlinien und - Standards entsprechen.
In dieser Phase überprüfen die Planungsteams für die Informationssicherheit das System als Ganzes, kombiniert mit allen neuen Änderungen, die während der vorherigen Schritte hinzugefügt wurden. Dies umfasst:
- Richtlinien und Standards: Das Sicherheitsteam stellt sicher, dass neue und vorhandene Systeme etablierte Sicherheitsrichtlinien und -Standards erfüllen oder übertreffen.
- Sicherheitsstufen: Das Team prüft, ob die einzelnen Systeme über ein Sicherheitsniveau verfügen, das ihrer Bedeutung angemessen ist. Kernsysteme verfügen beispielsweise über eine höhere Sicherheit als weniger kritische Systeme.
- Überprüfung der Implementierung: Das Team und die Interessengruppen überprüfen, ob alle neuen Maßnahmen richtig umgesetzt wurden. Dabei wird jede Änderung im Vergleich zu den in der Ausarbeitungs- und Implementierungsphase festgelegten Zielen bewertet.
Sobald die Systeme und Änderungen bewertet wurden, kann die Schutzphase eine Wiederholung der Ausarbeitungs- und Implementierungsphase beinhalten, um Fehler oder Zielbereiche zu korrigieren, die in der ursprünglichen Bewertungsphase nicht berücksichtigt wurden.
Schritt 6: Überwachen
Der letzte Schritt des Lebenszyklus der Informationssicherheit ist die Überwachungsphase. In dieser Phase überwacht das Informationssicherheitsteam das System und alle vorgenommenen Änderungen. Die heute umgesetzten Sicherheitsmaßnahmen mögen zwar vor Schwachstellen schützen – allerdings gibt es keine Garantie dafür, dass sie auch in Zukunft sicher bleiben. Die Überwachungsphase verfolgt zwei Ziele: Es soll sichergestellt werden, dass die Sicherheit verbessert wird, und es sollen neue Schwachstellen identifiziert werden, sobald sie auftreten.
In der Überwachungsphase muss das Sicherheitsteam Überwachungsprozesse nach Bedarf aktualisieren und implementieren, um den Status neuer und bestehender Systeme im gesamten Netzwerk zu messen. Die Festlegung dieses Prozesses umfasst die Analyse einiger Schlüsselbereiche:
- Überwachungsmethoden: Die Überwachung und Überprüfung von Netzsystemen ist von wesentlicher Bedeutung. Die Frage ist aber, wie diese Systeme überwacht werden können. Eindringlinge in das Netzwerk können durch Ereignisprotokollierung und andere Sicherheitssysteme überwacht werden. Ebenso muss aber sichergestellt werden, dass die Netzwerksysteme weiterhin richtig konfiguriert sind. Schwachstellen können entstehen, wenn neue Anwendungen oder Patches installiert werden. Daher ist eine regelmäßige Überprüfung der Konfigurationen wichtig, um sicherzustellen, dass Server, Router und Anwendungen mit den Sicherheitsrichtlinien und -standards eines Unternehmens konform sind. Das Sicherheitsteam kann diese Konfigurationen manuell oder mithilfe von Tools zur Compliance-Überwachung kontrollieren.
- Überwachungshäufigkeit: Eine weitere wichtige Frage ist, wie oft ein System überwacht werden sollte. Ihr Team kann die Häufigkeit anhand des Werts jeder einzelnen Ressource bestimmen. Während jedes System regelmäßig auf Schwachstellen überprüft werden muss, sollten die Kernsysteme häufiger überprüft werden als weniger wichtige Systeme. Diese wertebasierte Überwachung stellt sicher, dass jeder Ressource die richtige Aufmerksamkeit geschenkt wird.
- Überwachungsmessungen: Die Überwachung muss auch Messungen umfassen, die Daten in einem quantifizierbaren Format übermitteln. Mithilfe von quantifizierbaren Daten kann das Team die Kennzahlen unternehmensweit von Tag zu Tag vergleichen. Dies erleichtert die Visualisierung der Sicherheit sowie die Erkennung von Mängeln.
Sicherheit und Compliance von Box
Die Nutzung des Lebenszyklus der Informationssicherheit in Ihrem Unternehmen ist eine hervorragende Möglichkeit, die Sicherheit zu maximieren und Ihre Systeme und Teams zu optimieren. Der Lebenszyklus des Informationssicherheitsprogramms hilft Ihnen dabei, Ihre IT- Systeme zu priorisieren und Ihre Anforderungen schrittweise zu analysieren. So kann Ihr Unternehmen durch Bewertungs- und Überwachungsprotokolle die Vorteile einer kontinuierlichen Verbesserung nutzen. Mit einem gut entwickelten Lebenszyklus der Informationssicherheit kann Ihr Sicherheitsteam Ihr Unternehmen effizient und effektiv vor der wachsenden Bedrohung durch Cyberangriffe schützen. Wenn Sie nach einem Tool suchen, das in Ihren Sicherheitslebenszyklus passt, ist Box für Sie da.
Die Content Cloud ist eine benutzerfreundliche, sichere Plattform, die für den gesamten Lebenszyklus von Inhalten entwickelt wurde. Von der Dateierstellung und -bearbeitung bis hin zur Klassifizierung und Aufbewahrung – Box hilft Ihnen dabei, jeden Schritt zu verwalten. Schließlich wissen wir, dass Inhalte das Herzstück Ihres Unternehmens sind. Unsere Plattform schützt Ihre wertvollen Dateien mit reibungsloser Sicherheit und Compliance – einschließlich integrierter Zugriffssteuerung, AES-256-Bit-Verschlüsselung und vollständiger Transparenz. Box Shield, unser fortschrittliches Sicherheitsangebot, nutzt außerdem die Möglichkeiten des maschinellen Lernens, um sich vor Bedrohungen zu schützen.
Erfahren Sie, warum über 100.000 Unternehmen und 67 % der Fortune 500 der Content Cloud vertrauen. Kontaktieren Sie Box noch heute, um Box für Ihr Unternehmen zu nutzen.
** Wir halten unser unerschütterliches Engagement für das Angebot von Produkten und Dienstleistungen mit branchenführenden Datenschutz-, Sicherheits- und Compliance-Informationen aufrecht. Die in diesem Blogbeitrag bereitgestellten Informationen sind nicht als Rechtsberatung gedacht. Wir empfehlen potenziellen und bestehenden Kund:Innen ausdrücklich, bei der Beurteilung der Einhaltung der geltenden Gesetze ihre eigene Sorgfaltspflicht zu erfüllen.