Compliance im Datacenter in 5 Schritten

Schritt 2 - Implementierung

Zur Gewährleistung einer kontinuierlichen Compliance mit richtlinienbasierten Abläufen spielt die Automatisierung eine wichtige Rolle. Automatisierte Prozesse und Technologien merzen menschliche Fehler aus, erhöhen gleichzeitig die Effizienz und stellen die erforderlichen Kontrollmechanismen für die IT bereit. Die Implementierung erfolgt in drei Schritten: Wahl und Implementierung eines Rahmens für die Verwaltung, Identifizierung und Einführung von Kontrollmechanismen und Einsatz einer Plattform für eine durchgehende Compliance.

Frameworks für die Verwaltung implementieren: Eine Orientierungshilfe bietet der COBIT-Ansatz (Control-Objectives for Information and related Technology), an dem sich IT-Manager zu diesem Zwecke orientieren können. Der umfassende COBIT-Ansatz lässt sich für die Investition so einsetzen, dass zahlreiche Vorschriften und Standards wie der Sarbanes-Oxley Act und Basel II gleichzeitig erfüllt wird. Der COBIT-Ansatz lässt sich in bereits bestehende Frameworks, wie dem Capability-Maturity-Model-Integration (CMMI) des Software Engineering Institute, ISO 20000, der IT-Infrastructure-Library (ITIL) und ISO 17799 (dem Standard-Sicherheitsrahmen, der heute mit ISO 27000 bezeichnet wird) integrieren. Durch Befolgung des COBIT-Ansatzes werden die Kosten für Prüfungen und Selbstbewertung gesenkt. Der Ansatz stellt eine Anleitung für die integrierte Unterstützung von IT-Prüfungen bereit, so dass Manager Risiken und die Kontrolle in einer sich schnell wandelnden IT-Umgebung gegeneinander abwägen können. Zudem gewährleistet die Umsetzung der Empfehlungen von COBIT die Sicherheit von Kundenservices und -daten. Die Urteile von Prüfern werden durch COBIT-Prozesse untermauert und dienen außerdem als Nachweis bestehender Kontrollaktivitäten.

Kontrollmechanismen identifizieren und implementieren: Ein Ansatz in verschiedenen Phasen eignet sich am besten für die Implementierung von Kontrollmechanismen, weil eventuell mehrere Kontrollmaßnahmen eingeführt werden müssen. Anstatt alle Mechanismen auf einmal zu implementieren, führen IT-Entscheider zunächst diejenigen ein, die zur Erfüllung einer bestimmten Vorschrift oder eines bestimmten Standards in Schritt 1 als prioritär definiert wurden. Alternativ könnten auch erst die Kontrollmechanismen mit einem gemeinsamen Nenner kommen, also jene, die verschiedene Vorschriften auf einmal abdecken. Durch die Implementierung von Kontrollmechanismen, die beispielsweise mit Zugang, Änderungen, Release und Konfiguration in Verbindung stehen, könnte man etwa 50 Prozent der aktuellen Vorschriften erfüllen. Besonders das Thema „Zugriffskontrolle“ verdient besondere Aufmerksamkeit. Ein Finanzdienstleis-tungsunternehmen stand beispielsweise plötzlich vor einer großen Herausforderung bezüglich der Zugriffskontrolle, die die Änderungsprozesse im Unternehmen beeinträchtigte. Durch die Verwendung einer Benutzerkennung durch mehrere Mitarbeiter konnte die IT-Organisation nicht mehr nachvollziehen, wer für eine bestimmte Änderung verantwortlich war. Dies führt zu einem großen Problem, denn nur bestimmte Mitarbeiter sollten berechtigt sein, bestimmte Änderungen vorzunehmen. Diese Organisation hatte zunehmend Schwierigkeiten, wöchentlich Änderungen für nahezu 5.000 Server bereitzustellen, und der Einsatz manueller Prozesse überforderte die für die Serververwaltung zuständigen Mitarbeiter. Durch eine bessere Umsetzung der Zugriffskontrolle konnte das Unternehmen Änderungen erfolgreich implementieren und die Mitarbeiterproduktivität steigern. Der Finanzdienstleister stützte sich auf Best-Practice-Prozesse und automatisierte Tools für Zugang, Änderungen und Release. Durch die Einführung einer rollenbasierten Zugriffskontrolle konnte das Sicherheitsteam die Implementierung von bestimmten Änderungen ohne Sicherheitseinbußen an Gruppen delegieren, die diese Änderungen forderten. In den sechs Jahren nach Einführung der beschriebenen Prozesse und Tools sowie der Behebung der Probleme, die durch gemeinsame Benutzerkennungen verursacht wurden, stieg die Serveranzahl um das Fünffache und die der Anwendungen um das Dreifache. Dieser Anstieg führte dazu, dass mehr Administratoren pro Server verfügbar waren. Durch die Einführung effektiver Maßnahmen zur Einhaltung der Compliance-Anforderungen konnte die betreffende IT-Organisation ihre geschäftlichen Auswirkungen verbessern sowie gleichzeitig Kosten und Risiken mindern.

Einsatz einer Compliance-Plattform: Eine Compliance-Plattform bildet die Grundlage für die eingeführten Kontrollmechanismen. Die Plattform sollte über die folgenden drei wichtigen Funktionen verfügen:

• Prävention unerwünschter Ereignisse.
• Erkennung und Meldung von auftretenden Problemen, die die Compliance beeinträchtigen könnten.
• Automatische Behebung von identifizierten Problemen.

Durch diese Funktionen wird sichergestellt, dass die implementierten Kontrollmechanismen richtig funktionieren und, dass das erforderliche Maß an Compliance bereitgestellt wird.

Matchmaker+ Anbieter zum Thema

zu Matchmaker+

1. Compliance im Datacenter in 5 Schritten
2. Schritt 1 - Definition und Ziele
3. Schritt 2 - Implementierung
4. Schritt 3 - Messung
5. Schritt 4 - Umsetzung
6. Schritt 5 - Überwachung
7. Fazit

Lesen Sie mehr zum Thema

Weitere Artikel zu Server, Datacenter

Fokus auf Colocation-Services

Christian Zipp ist neuer CEO bei Nexspace

Schnell, skalierbar und nachhaltig

Siemens, Cadolto und Legrand zeigen modulares Edge-Rechenzentrum

Energieinfrastruktur für Rechenzentren

Siemens Energy und Eaton planen modulare Komplettlösungen

Schwarz Digits rüstet seine Cloud auf

StackIT soll der erste deutsche Hyperscaler werden

Security und Cloud aus einer Hand

Plusserver kauft MSSP Cosanta