Nachdem man die erste große Hürde geschafft hat, stellt sich nun vermutlich auch die Frage, wie soll und kann man richtig priorisieren. Was hat die höchste Priorität?
Und da würde ich jetzt mal sagen, hierzu gibt es kein Rezept das für jeden passend ist. Meiner Meinung nach sollte man aber versuchen, Schüsse aus der Hüfte zu vermeiden und den Blick auf das große Ganze werfen.
Stellt euch vor, ihr habt einen Bug im System, der es ermöglicht die Berechtigungen einfach zu erweitern und so Zugriff auf sensible Daten gewährt. Welchen Sinn hat es, diesen Bug umgehend zu beheben wenn alle User bereits mit SAP_ALL arbeiten?
Ein vielleicht sehr extremes Beispiel, doch wenn man bewusst versucht, mal einen Schritt zurück zu gehen und sich den gesamten Prozess oder das Szenario ansieht, gibt es vielleicht schlimmere Schwachstellen. Auch wenn das anfangs nicht leicht ist, sollte man es in jedem Fall versuchen.
Oder anders gesagt. Es macht keinen Sinn ein € 5.000,- Fahrrad am Vorderreifen abzusperren.
Verschiedene Stakeholder und ihre
Interessen
So kommt es auch immer darauf an mit wem man spricht. Je nach Verantwortung und Managementebene gibt es die verschiedensten Erwartungshaltungen. Je höher im Management, umso weniger Details sind meist notwendig. Hingegen wird ein System Administrator die Details für seine Arbeit benötigen.
Und für alle muss man die richtige Sprache wählen. Der eine Stakeholder erwartet sich jede Menge Details und einen anderen Stakeholder hat man damit bereits im ersten Satz verloren. Beides kann die Prioritäten massiv beeinflussen. Denn warum soll man etwas unterstützen was man nicht versteht?
Die höchste Priorität
Wie im letzten Beitrag Die SAP Security Baseline angesprochen, würde ich zuerst mit etwas Papierkram anfangen. Anfangs ist es nicht wichtig, dass alles in absoluter Perfektion erfasst und ausformuliert ist. Um aber für später gerüstet zu sein sollte sich etwas Struktur und Form über alles durch ziehen. Um das Thema Dokumentenlenkung kommt man Früher-oder-Später nämlich nicht drumherum.
Ungeachtet von offenen Schwachstellen, Security Incidents, aktuellen Projekten und allem was gerade wichtig und dringend ist, würde ich als eines der ersten Themen die Klarstellung von Begriffen empfehlen.
Auch wenn das für einige etwas eigenartig klingen mag oder überbewertet erscheint. So kann ich aus Erfahrung sagen, dass wir gerne über das Gleiche reden aber nicht das Selbe meinen. Das hat sogar die Sendung mit der Maus schon mal als Beitrag gehabt. Seht selbst.
Ok, ich gebe zu, man kann es manchmal auch etwas übertreiben. Doch es gibt genug Begriffe die viel Konfliktpotential zulassen, da sie gerne falsch verwendet oder im falschen Kontext gesehen werden. Ein gutes Beispiel hierfür ist der Security Incident. So hat dieser Begriff unter ISO 27K eine ganz andere Bedeutung als bei ITIL. Und auch hier zeigt sich, dass die richtige Sprache sehr wichtig ist. Ein Glossar kann hierbei Unterstützung liefern um Missverständnisse rechtzeitig abzufangen.
Bevor ich jetzt aber zu weit abschweife, gehe ich wieder zurück zu den Prioritäten.
Die Kombination macht es aus
Eine Priorität ergibt sich immer aus der Kombination von Wichtigkeit und Dringlichkeit. Und genau diese zwei Dinge sind für jedes Unternehmen oder jeden Stakeholder völlig unterschiedlich. So ist es wichtig den Bug zu beheben um Zugriff auf sensible Daten zu vermeiden. Doch ist in diesem Fall die Dringlichkeit wegen den SAP_ALL Berechtigungen nicht so hoch. Hier würde ich eine Bereinigung der Berechtigungen den Vorzug geben.
Im besten Fall wird im Zuge des nächsten Security Notes Zyklus einfach der Bug mitgenommen und ist zwei Monate später behoben.
Ein wichtiger Schritt, in Richtung zum großen Ganzen
Wie oben schon erwähnt ist das natürlich ein extremes und hoffentlich unrealistisches Beispiel. Doch wenn man am Ende alle Sicherheitsmaßnahmen in Relation bringt und die Abhängigkeiten kennt, dann bekommt man langsam ein Bild vom großen Ganzen.
Wow, klingt das nicht einfach?
Doch bevor wir soweit sind, sollten wir jetzt mal mit dem Erstellen der ersten Security Baseline Version loslegen. Das mag nicht immer die höchste Priorität oder Dringlichkeit haben aber es hat mit Sicherheit eine hohe Wichtigkeit. Denn genau diese Baseline kann uns viel Arbeit abnehmen.
So kann die Security Baseline für den Systemadministrator als wichtiges Nachschlagwerk verwendet werden. Zur Bewertung der Gesamtsituation dient sie als Referenz und bei Audits kann sie einfach als Dokumentation vorgelegt werden.
Kleine Helferlein
Der Prozessreifegrad
Zur Priorisierung nehme ich mir auch gerne ein Reifegradmodell zur Hand um ein Ungleichgewicht zu vermeiden und so ein durchgängiges Level zu erlangen. Hierzu kann man sich zum Beispiel das Capability Maturity Model Integration (CMMI) schnappen und einfach mal versuchen einen Prozess einzuordnen. Ganz einfach erklärt kann man den Prozessreifegrad in 5 Stufen einteilen. Dadurch bekommt man schnell ein Gefühl was noch alles fehlt.
- Level 1: Prozess ist nicht definiert
- Level 2: Prozess kann erfolgreich wiederholt werden
- Level 3: Prozess wird kontinuierlich verbessert
- Level 4: Prozess wird überwacht
- Level 5: Prozess wird mit Prozesskontrollen stetig optimiert
Das Paretoprinzip
Mit Hilfe des Paretoprinzip’s oder auch die 80-zu-20-Regel genannt kann man rasch weiterkommen. Man sagt, 80 Prozent vom Ergebnis werden mit 20 Prozent des Gesamtaufwandes erreicht. In den letzten 20 Prozent liegt die meiste Arbeit. Alles mit Maß und Ziel.
Der Demingkreis
Abgerundet wird das Ganze anhand dem Demingkreis. Hierbei wird iterativ ein vierphasiger Prozess immer wieder wiederholt und damit eine stetige Optimierung erlangt.
- Plan: Plane die Zielerreichung
- Do: Setze die Ziele um
- Check: Überprüfe das Ergebnis
- Act: Bewerte das Ergebnis und leite neue Ziele davon ab
Langsam aber stetig kann man so Standards etablieren und die Qualität stets verbessern. Ich könnte zwar jetzt noch weiter auf Assets, Datenklassifizierung oder auf die Schutzziele eingehen, jedoch ist das für den Anfang vorerst mal genug. Wie bereits erwähnt müssen wir zu Beginn nicht alles gleich in Perfektion ausüben und es ist schon ein großer Schritt, einfach mal mit der Baseline anzufangen.
Egal welche Prioritäten schlussendlich gesetzt werden, fertig wird man nie sein. Es werden immer neue Bedrohungen oder Anforderungen auftauchen und Prioritäten werden sich stetig ändern. Langweilig wird es jedenfalls nie werden.
Viel Spaß und Erfolg beim ersten Priorisieren.
Andreas