CS setzt auf eigene Sicherheits- architektur

Dieser wurde wiederum im grossen Kreis besprochen und danach die eigentliche Projekt-Roadmap definiert. Die vollständige Sicherheitsarchitektur wurde der IT-Leitung präsentiert und durch den Steuerungsausschuss verabschiedet. Der ganze Prozess hat zirka neun Monate gedauert, wobei die Definition des Modells wesentlich mehr Zeit in Anspruch nahm als ursprünglich veranschlagt, was jedoch unbedingt notwendig war.

Seit der ersten Version wird die IT-Sicherheitsarchitektur mindestens einmal jährlich überarbeitet und durch den Ausschuss IT-Architektur neu verabschiedet. Bei der Überarbeitung sind seither sowohl leichte Änderungen im Modell und vor allem eine Aktualisierung der Roadmap eingeflossen. Einige Vorhaben konnten in dieser Zeit abgeschlossen werden, neue Vorhaben aufgrund neuer Technologien und Möglichkeiten frisch aufgenommen. Die Roadmap fliesst jeweils in den Budgetierungsprozess ein und wird auf einer gemeinsamen Liste für IT-Security-Investitionen aufgenommen. Die Durchsetzung der Architekturstandards in einzelnen Projekten erfolgt über das Project Review Board, wo unter anderem die Architekturkonformität überprüft wird.

In den fünf Jahren seit dem ersten Release der CS-Sicherheitsarchitektur hat sich vor allem der Einsatz als Kommunikations- und Diskussionsplattform bewährt, da IT-Security in der gesamten IT seine Spuren hinterlässt. Auch langfristige Vorhaben und Umbauten der Security-Landschaft hätten wohl ohne ein solches Instrument kaum erfolgen können. Für eine Portfoliosteuerung ist die Roadmap ein wichtiges Instrument. Die Pflege wurde anfangs allerdings zu sehr vernachlässigt, was zwei bis drei Jahre später zu negativen Auswirkungen führte. Dies muss von Anfang an kontinuierlich eingeplant werden.

Die Durchsetzung des skizzierten Soll-Zustandes kann einige Jahre beanspruchen und verlangt viel Zeit und Geduld. Eines der grössten Umbauvorhaben wurde nach drei Jahren pilotiert und geht nun phasenweise in Produktion. Zu beachten ist, dass eine grosse IT-Organisation nur ein gewisses Mass an Evolution zur gleichen Zeit verkraften kann. Dies sorgt für gewisse Wellenbewegungen zwischen der Weiterentwicklung der Architektur und deren Umsetzung. Um für diese langfristige Perspektive gewappnet zu sein, ist die Verankerung der IT-Sicherheitsarchitektur in der IT-Leitung durch eine offizielle Verabschiedung nötig. Sie kann nicht alleine von den Fachleuten der IT-Security getragen werden.

Der Erfolg einer eigenen Sicherheitsarchitektur hängt an vielen Faktoren, einige davon wurden hier vorgestellt. Gemäss den Erfahrungen der CS jedoch steht und fällt sie gleich von Beginn weg mit der Definition des richtigen Grundmodells. Ein auf die eigenen Bedürfnisse abgestimmtes und breit verankertes Modell ist der Schlüssel zum Erfolg.

Der Autor:
Beat Perjés ist Chief IT-Security Architect bei der Crédit Suisse.

Informationssicherheit
Am 21. und 22. September 2005 findet in der Eventhalle 550 in Zürich-Oerlikon die Security-Zone statt. Als «Platin Partner» begleitet Computerworld die Fachausstellung und den Kongress mit regelmässigen Beiträgen aus der Praxis der Informationssicherheit.