Security-Monitoring in der Praxis

Managed Security Audits verpacken Tools, Expertensysteme und das Know-how erfahrener Sicherheitsspezialisten in einen Service, der die IT-Sicherheit Ihres Unternehmens kontinuierlich testet.

Security-Audits sollten regelmässig durchgeführt werden.

» Von Von Simon Wepfler, 25.11.2011 07:05.

Der klassische Security Audit ist eine Momentaufnahme, die meist alle ein bis zwei Jahre den Sicherheitszustand der Infrastruktur untersucht.Doch die Halbwertszeit der Ergebnisse ist gering und bereits mit Abgabe des Berichts nicht mehr akkurat. Neue Schwachstellen können daher bis zum nächsten Audit unerkannt bleiben, was ein erhebliches Restrisiko birgt.

Overhead reduzieren

Die Security-Checks einfach in kürzeren Intervallen zu bestellen, ist jedoch keine geeignete Lösung, da mehr als ein Drittel der Kosten in die Koordination, Dokumentation und automatisierbare Scans fliessen. Ein kostspieliger Overhead, den man sich nur sporadisch leisten will. Eine gute Alternative sind dagegen Managed Security Audits, weil diese die IT-Sicherheit durchgehend prüfen, gleichzeitig aber den Projekt-Overhead reduzieren. Effizienzgewinne ergeben sich vor allem durch folgende Punkte:

Koordination: Der Ablauf wird vorgängig festgelegt, die Prozesse von Software gestützt.
Dokumentation: Risiken werden nun elektronisch in einem Expertensystem rapportiert, wo sie dem Kunden umgehend zur Verfügung stehen.
Automatismen: Alle automatisierbaren Tests laufen autonom ab und können auch vom Kunden selbst gestartet werden.
Ressourcen: Mann-Stunden werden nur noch für Aufgaben eingesetzt, bei denen das Know-how erfahrener Spezialisten unabdingbar ist (z.B. Penetration Tests).

«Managed Security Audits prüfen die IT-Sicherheit durchgehend und reduzieren den Projekt-Overhead»

Testing in Eigenregie

Ist der Dienst «self managed» werden sämtliche Tests in Eigenregie durchgeführt, eine Methode, die sich vor allem für Firmen mit internem Security-Know-how eignet. Für externe Meinungen können zusätzliche On-DemandTests online geordert werden, wenn beispielsweise ein neues Release ansteht und Ergebnisse durch externe Analysen ergänzt werden sollen.

Ist der Dienst «full managed», werden alle technischen Audits ausgelagert, nachdem Budget, Ziele, Informationswege sowie Report- und Testbedingungen vorab geklärt wurden. Der Anbieter übernimmt in diesem Fall die Initiative für eine effektive Durchführung und stellt sicher, dass die Zuständigen gemäss SLA informiert werden.

Für beide Varianten gilt: Der Kunde kann in Echtzeit sämtliche Aktivitäten und Schwachstellen im Managementinterface verfolgen und erhält – meist quartalsweise – ein Executive Summary mit Einschätzungen zur Entwicklung der Sicherheit geliefert.

Auf der nächsten Seite: Die 5 Phasen des Security Audits

KOMMENTARE

Keine Kommentare

KOMMENTAR SCHREIBEN

Vorname: *

Name: *

E-Mail: *

Code eingeben:

Kommentar: *

Alles Pflichfelder, E-Mail-Adresse wird nicht angezeigt.

Die Redaktion hält sich vor, unangebrachte, rassistische oder ehrverletzende Kommentare zu löschen.
Die Verfasser von Leserkommentaren gewähren der IDG Communications AG das unentgeltliche, zeitlich und räumlich unbegrenzte Recht, ihre Leserkommentare ganz oder teilweise auf dem Portal zu verwenden. Eingeschlossen ist zusätzlich das Recht, die Texte in andere Publikationsorgane, Medien oder Bücher zu übernehmen und zur Archivierung abzuspeichern.