ITSM kombiniert mit Risikomanagement
Regularien wie SOX, Euro-Sox oder Basel II setzen Unternehmen unter Zugzwang, IT-Abläufe und -Gefahrenabwehrmaßnahmen zentral zu steuern und zu dokumentieren. Zeitgleich geht der Trend in IT-Organisationen zu strukturierten ITSM-Abläufen (IT-Service-Management) à la ITILv3 mit dem Ziel einer kontinuierlichen Verbesserung erbrachter IT-Services, gestützt von einem ebenfalls möglichst wohlgeordneten IT-Security-Management. Beide Tendenzen bedingen eigentlich ein enges Ineinandergreifen von IT-Betrieb und IT-Sicherheit - während im richtigen Leben beide Bereiche in vielen Unternehmen organisatorisch klar getrennt sind und in der Zuständigkeit unterschiedlicher Teams liegen.
Um hier den Brückenschlag zu erleichtern, ist der ITSM-Spezialist IET Solutions Ende 2007 eine
Partnerschaft mit dem französischen Security-Managementanbieter Criston eingegangen. Das Ergebnis
dieser Kooperation: Die Risk-Managmentlösungen von Criston sind nun in die ITSM-Suite von IET
integriert. Dies erlaubt die gemeinsame Arbeit von IT-Operations- und IT-Sicherheitsteam mit einer
Lösung.
Die Criston-Tools scannen dabei die IT-Landschaft kontinuierlich nach Schwachstellen. Entdeckte
Schwachstellen werden evaluiert – und zwar nicht nur nach der Schwere im reinen Security-Sinne
(mittels Common Vulnerability Scoring System, CVSS), sondern auch im Hinblick auf die
Geschäftsprozesse eines Unternehmens: Die Lösung prüft unter Rückgriff auf IETs CMDB (Configuration
Management Database), welche CIs (Configuration Items) und damit welche Geschäftsprozesse betroffen
sind.
Über einen Abgleich mit den SLAs (Service-Level Agreements) lässt sich so der potenzielle
Einfluss einer Störung auf den IT-Betrieb und auf das Geschäft ermitteln. Die in dieser
Business-Impact-Analyse ermittelten erforderlichen Maßnahmen werden dann an das IT-Security- oder
Change-Managementteam weitergereicht. Somit ist das IT-Security-Management bei
sicherheitsrelevanten Vorfällen in das Change-Management eingebunden. Dazu hat IET die CMDB um
Parameter für die Risiko- und Schwachstellenbewertung erweitert.
Der Gesamtstatus der IT-Landschaft ist laut IET und Criston stets per so genanntem "Compliance
Dashboard" ersichtlich. Aus diesem Dashboard heraus erfolgt bei Bedarf der Drill-down zur Konsole
der Criston-Lösungen. Das Dashboard bietet somit einen aggregierten Überblick über Vorfälle,
bislang jedoch noch nicht den automatischen Abgleich mit den genannten Compliance-relevanten
Vorschriftswerken im Sinne eines automatisierten Compliance-Managements.
Die gemeinsame Lösung ist laut den Herstellern ab sofort und auch mit deutschem Interface
verfügbar. Zur Preisgestaltung nannte IET als Beispiel ein Unternehmen mit 1000 Knoten: Hier würde
die ITSM-Lösung von IET mit zirka 100.000 Euro zu Buche schlagen, die Criston-Extension zur
IET-Suite und Cristons Vulnerability-Scanning-Lösung zusammen nochmals mit rund 35.000 Euro. Zudem
ist auch eine Criston-Lösung für die automatische Wiederherstellung des Sollzustands (Mitigation
Control) integrierbar, was dann weitere 35.000 Euro kostet.
LANline/Dr. Wilhelm Greiner
