Aus meiner Erfahrung – und sicherlich auch aus der Erfahrung vieler IT’ler – ist der Aufbau einer sicheren Infrastruktur nicht nur eine Frage der eingesetzten Werkzeuge, sondern im besonderen Maße der Umgang mit diesen Tools.
Der Erfolg wird sich einstellen, wenn die konsequente Anwendung passender Werkzeuge mit stringenter Anwendung von organisatorischen und technischen Methoden einhergeht.
Wie man es nicht macht!
Wie oft habe ich in der Vergangenheit gesehen, das technische Methoden wahllos eingesetzt wurden, weil es „gerade irgendwie nicht anderes ging“ oder weil „es so verlangt wurde“. Gründe und Zwänge gibt es immer für Chaos.
Beispiel: in einem meiner letzten Projekte wurden während des Audits folgende Datenbanken auf Servern und Arbeitsplatz-Rechnern gefunden. Das Unternehmen hat einen SQL- „Experten“.
- MS-SQL Server Express
- MS-SQL Server 2016
- MS-SQL Server 1019
- Oracle 11
- MySQL in Verschiedenen Versionen
- IBM DB2
- PostgreSQL
- IBM Informix
- ……
Diese Datenbanken liefen auf einem Zoo von verschiedenen Windows Versionen und Linux Derivaten.
Das kann niemand administrieren, es ist zu teuer, zu aufwändig, fehlerbehaftet und angreifbar. Auch wenn es schwerfällt, aber dieser Anzahl von verschiedenen Produkten zu einem Thema muss unbedingt entgegengewirkt werden. Damit ist keine sichere IT-Infrastruktur zu vertretbaren Kosten möglich.
Es ist nicht einfach hier zu vereinheitlichen, erst recht nicht, wenn es bereits zu solchen Auswüchsen gekommen ist. Was man aber grundsätzlich machen kann, um dem Ziel nahe zu kommen, habe ich im nächsten Kapitel beschrieben.
Wie macht man es richtig?
Nun, es gibt sicherlich verschiedene Wege zum Ziel einer „sicheren IT-Infrastruktur“. Ich stelle hier einen Weg vor, der für mich und meine Kunden in der Vergangenheit der Erfolgreichste war.
Die Aussage der „sicheren IT-Infrastruktur“ beschränkt sich nicht auf die Angriffs-sicherheit. Ziele einer „sicheren IT-Infrastruktur“ sind auch die Betriebssicherheit und Stabilität der Anwendungen sowie der notwendige Komfort für die Benutzer. Denn ein System, das dem Benutzer Arbeit abnimmt hat eine wesentlich höhere Akzeptanz als Systeme, die umständlich zu bedienen sind.
Damit ich es nicht vergesse: Automation ist ein elementares Ziel moderner IT-Organisation. Das muss hier Niederschlag finden.
Die Aufgabe, eine IT-Organisation (neu) zu strukturieren kann nicht von einer oder wenigen Personen in der IT getragen werden, Vielmehr ist die Akzeptanz und Unterstützung aller Kernbereichre eines Unternehmens, allen voran der Geschäftsführung, notwendig. Bei entsprechender Vorbereitung des Themas wird das aber gelingen.
Sobald die Unterstützung steht, muss den Mitgliedern der IT-Organisation ein Leitfaden an die Hand gegeben werden, der beschreibt, wie die IT gut funktionieren kann. Sobald der Leitfaden etabliert ist, muss der auch in den wichtigsten Aussagen in die Gesamtorganisation kommuniziert werden.
Den Leitfaden habe ich in Form von Prämissen formuliert.
Gleichzeitig ist der Status Quo (sofern noch nicht geschehen) der IT-Organisation zu erheben. Damit ergeben sich eine Management – Landkarte und das BigPicture der gesamten IT-Infrastruktur in der momentanen Situation. (CMO=Current Mode of Operation). Da die Ausgangslagen der Unternehmen immer individuell sind, kann ich an dieser Stelle nicht im Detail darauf eingehen.
Im nächsten Schritt sind die Ziele für Management und IT-Infrastruktur zu definieren. Um diesen Schritt zu verdeutlichen, werde ich die Minimalziele für die Zukunft der IT-Organisation (FMO=Future Mode Of Operation) ausführen.
Aus dem Audit (Status Qou) und den Zielen ergibt sich eine Fit&Gap-Liste. Daraus sind die Handlungsstränge und die Aktionen zu entwickeln.
Die Themen
- Prämissen
- Management- Landkarte (FMO)
- BigPicture (FMO)
- Fit&Gap Liste, Handlungsstränge und Aktionen
werde ich in den nächsten Tagen veröffentlichen. Viel Spaß beim Lesen und Kommentieren.