In einem turbulenten geopolitischen Umfeld nutzen Unternehmen Initiativen zur digitalen Transformation, um ihre Produktivität zu beschleunigen und aufrechtzuerhalten. Unternehmen möchten, dass die IT Innovationen fördert und die Effizienz von Prozessen in ihrem gesamten Unternehmen verbessert. Gleichzeitig stehen IT-Führungskräfte unter wachsendem Druck, einen vollständigen Überblick über ihre Infrastruktur zu erhalten. Dieser Druck ergibt sich aus der Notwendigkeit, das Risiko von Unterbrechungen zu minimieren oder zu mindern, die sich direkt auf Kunden-, Aktionärs-und Mitarbeiterdaten auswirken könnten.
Ohne ein klares Verständnis dafür, wo sich Ihr Tech-Stack heute befindet, werden diese zukünftigen Ziele für immer Bestand haben außer Reichweite sein. Ob Sie ein brandneuer CIO sind, der zum ersten Mal IT-Verantwortung übernimmt, oder ein erfahrener CIO mit jahrelanger Erfahrung, es ist eine notwendige Fähigkeit, sich zu entwickeln, zwischen dem großen Ganzen und den nuancierten Details wechseln zu können.
Beginnen Sie am Anfang
Asset Management ist die Grundlage der Informationssicherheitspolitik jeder Organisation. Es klingt einfach – eine vollständige, genaue und zeitnahe Liste aller IT-Assets zu haben, die das Unternehmen in seiner Umgebung hat. Aber warum ist es in der Praxis schwierig? Und warum sollte sich ein CIO um diese Detailgenauigkeit kümmern?
Die Antwort auf diese Frage lautet, dass Sie – und Ihre Abteilung – ohne diese Details immer einen Schritt zurückfallen werden. Ein umfassendes, aktuelles und genaues Asset Management (AM)-Programm ist der Dreh-und Angelpunkt für den Erfolg Ihres Teams. Ohne sie wird es Ihrer Abteilung schwer fallen, die angestrebten geschäftlichen Auswirkungen voranzutreiben, und Sie werden gemessen. So sehr sie sich auch anstrengen, das IT-Team wird ohne AM Schwierigkeiten haben, effektiv zu funktionieren.
Ein genaues Verständnis des gesamten IT-Bestands Ihres Unternehmens ermöglicht es Sicherheits-und IT-Teams, die notwendigen Schritte zur Eindämmung von Sicherheitsbedrohungen zu unternehmen. Es ermöglicht eine schnellere Identifizierung von Fehlkonfigurationen, Schwachstellen und ausgedienter Hardware. Es ermöglicht auch die Priorisierung, was den Mitarbeitern letztendlich Zeit gibt, sich auf die dringendsten Probleme zu konzentrieren, die das Unternehmen betreffen könnten.
Blick nach innen …
Die Einrichtung eines umfassenden Asset-Inventars scheint eine offensichtliche Grundlage zu sein, über die inzwischen jede Organisation verfügen würde, aber Untersuchungen zeigen, dass 69 % der Unternehmen schon einmal einen Angriff erlebt haben, der auf”unbekannte, nicht verwaltete oder schlecht verwaltete, mit dem Internet verbundene Assets”abzielte. Wenn Sie nicht wissen, welche Assets Sie in Ihrem Unternehmensnetzwerk haben, können Sie sie nicht schützen.
Wenn Ihr Team Ihnen keinen Bericht darüber erstatten kann, können Sie nicht effektiv wissen, wie gut Diese Sicherheitsrisiken werden gehandhabt. Die Erstellung einer umfassenden Übersicht über die Vermögenswerte Ihres Unternehmens wird zweifellos einige verborgene Geheimnisse aufdecken – wie z. B. Schatten-IT-Implementierungen – die möglicherweise im Laufe der Jahre stattgefunden haben.
Das Hauptziel ist, dass die Bestandsaufnahme nicht als nachträglicher Einfall behandelt wird, sondern als erster Baustein. Es ist allzu leicht, dass dieser Job herabgestuft oder ignoriert wird, während das nächste große Projekt oder die nächste Malware-Bedrohung um Aufmerksamkeit konkurrieren. Stattdessen müssen Sie betonen, dass es eine bessere Konzentration auf andere wichtige Projekte und möglicherweise auftretende dringende Probleme ermöglicht, wenn Sie zuerst die richtigen Grundlagen schaffen.
Sobald Ihr Vermögenskatalog erstellt wurde, müssen Sie sich überlegen, wie Sie ihn behalten können das Programm auf dem neusten Stand. Die Kategorisierung dieser Assets nach ihrer Bedeutung für das Unternehmen stellt beispielsweise sicher, dass sie die richtige Aufmerksamkeit erhalten. Dies sollte es einfacher machen, zu entscheiden, wie Sie sie in Zukunft verwalten und schützen, und Ihnen bessere Daten darüber liefern, wie gut Ihr Team in Bezug auf Sicherheit abschneidet.
Zum Beispiel beginnen Schwachstellen, die von Angreifern ausgenutzt werden, fast immer mit Endpunkten innerhalb der Umgebung einer Organisation. Wenn auf diesen Geräten alte oder veraltete Software installiert ist, stellen sie für Angreifer „tief hängende Früchte“ dar. Ohne vollständige Sichtbarkeit auf Knopfdruck ist es fast unmöglich, mit den wachsenden Bedrohungen Schritt zu halten – Unternehmen können sie nur eindämmen, wenn sie ein klares Bild der sich ständig ändernden Infrastruktur haben.
Erlangen Sie die Kontrolle über End-of-Service-Komponenten
Da Software und Hardware im Laufe der Zeit altern, bleiben alte Versionen auf der Strecke. Sobald Sie sich ein genaues Bild von Ihrem IT-Bestand gemacht haben, können Sie dies entlang des Lebenszyklus jedes Elements abbilden, um sicherzustellen, dass Hardware und Software weiterhin vom Originalhersteller unterstützt und in Bezug auf Schwachstellen und Patches proaktiv verwaltet werden. End-of-Service-Komponenten können erhebliche Sicherheitsrisiken mit sich bringen, und es sollte ein proaktives Management angestrebt werden, um sie zu aktualisieren oder zu ersetzen, um die Angriffsfläche zu verringern.
Leider gibt es jedoch keinen Industriestandard für die Produkt-oder Servicelebensdauer Zyklen, oder wie Hersteller diese melden können. Aber es gibt Tools, die bekannte Lebenszyklusinformationen über beliebte Assets aus Ihrem Inventar abbilden können, um Informationen zu zentralisieren.
Als CIO ist es im Laufe der Zeit notwendig, veraltete Software zu ersetzen, aber es muss auch ausgewogen sein gegen Kosten und welche neuen Dienste geliefert werden können. Bei einigen Projekten kann es möglich sein, diese Risiken zu mindern und Software länger zu verwenden. Bei anderen kommt irgendwann der Zeitpunkt, an dem ein Austausch durchgeführt werden muss. Die Alternative besteht darin, diese Software laufen zu lassen, was zu einer zukünftigen Ausbeutung führen kann.
Normalisieren, kategorisieren und priorisieren
In jeder Unternehmensorganisation gibt es wahrscheinlich um Zehntausende von Assets zu identifizieren und zu verwalten. Hier können Sicherheitstools Ihrem Team bei der Skalierung helfen und Prozesse automatisieren, um manuelle Eingriffe für sich wiederholende Aufgaben einzusparen. Durch die Kombination Ihres Asset-Inventars mit End-of-Life-und End-of-Service-Informationen können Sie alle relevanten Informationen in einem einzigen Verwaltungsfenster anzeigen, anstatt dass das Team manuell nach den Informationen suchen muss.
Die frühere Kategorisierung von Assets ist nützlich, wenn Sie vereinbarte Regelsätze für bestimmte Assets mit geringem Risiko erstellen, um die Arbeitsbelastung Ihres Teams durch Automatisierung zu verringern. Dadurch können sie sich auf höherwertige Aufgaben konzentrieren.
Verschaffen Sie sich einen ganzheitlichen Überblick
Asset-Management kann komplex sein und sich auf Details konzentrieren. Wenn Sie die Infrastruktur skalieren und mehr Plattformen verwenden, um Ihre Geschäftsanforderungen zu erfüllen, ist es schwierig, mit potenziellen Risiken Schritt zu halten.
Stellen Sie sich die Frage: „Wie sieht mein Unternehmen aus der Sicht eines Hackers aus?”verschafft Ihnen einen ganzheitlichen Überblick über Ihren gesamten IT-Bestand. Diese Praxis des Scannens nach Geräten mit Internetzugriff hilft zu verstehen, was ein Angreifer sehen würde, und vor allem, wie er eventuelle Lücken ausnutzen könnte. Attack Surface Management ist abhängig von einem starken Asset-Management-Ansatz und geht noch einen Schritt weiter, indem es die Sicherheitsstufen aller dieser identifizierten Assets bewertet. Wie beim Asset Management sollte dies ein kontinuierlicher Prozess sein, bei dem ermittelt, klassifiziert und bewertet wird.
Für den CIO können Ansätze wie Attack Surface Management dabei helfen, sich ein Bild von Risiken für das Unternehmen zu machen. Dies kann dann in Begriffe übersetzt werden, die das Führungsteam verstehen kann. Über Risiken zu sprechen ist viel hilfreicher – und es ist wahrscheinlicher, dass man ihnen zuhört – und kann daher verwendet werden, um die Arbeit zu rechtfertigen, die Ihr Team leistet.
Ein solides Verständnis für jedes IT-Asset bekommen Ihre Steuerung scheint zu detailliert zu sein. Dies sollte jedoch für jeden CIO oberste Priorität haben, denn ohne dies gibt es ein ungleiches Terrain, auf dem für die Zukunft aufgebaut werden kann. Die Investition in Lösungen, die es Ihrem Unternehmen ermöglichen, Vermögenswerte besser zu verstehen, zu verfolgen und zu sichern, ist entscheidend für Ihren Erfolg.
Bildnachweis: deepadesigns/Shutterstock
Isphreet Singh ist Chief Information Officer bei Qualys, wo er die globale Verantwortung für die IT-Infrastruktur und den Betrieb des Unternehmens, Unternehmensanwendungen und-architektur, Datenintegration und IT-Sicherheit trägt.