security outsourcing – managed it security services · · 2009-09-14it security management ist...
TRANSCRIPT
1
Security Outsourcing –
Managed IT Security Services
IT Security Management ist Vertrauenssache: Firmen vertrauen ihrem Chief IT Security Officer (CISO) die Sicherheit ihrer IT und damit einen Teil der
Sicherheit ihrer Business Prozesse an. Häufig sind jedoch die sich aus dem Risk Management der Firma ergebenden Anforderungen in Kontrast zum
vorhandenen Budget und Know-how der Firma.
Michael Kaufmann Mitglied der Geschäftsleitung
von at rete ag
Stefan Gallati Senior Consultant und Partner von at rete ag
Es zeigt sich, dass in Umfragen
Kostendruck, der Bedarf nach
7x24 Services und fehlendes
Know-how in den Firmen als
grösste Herausforderungen im
Security-Umfeld genannt wer-
den. Managed Security Services
können gemäss einer Umfrage
der Aberdeen Group in folgen-
den Dimensionen helfen:
Heute sind Managed Security
Services verfügbar, deren
zugrunde liegende Technologie
erprobt („mature“) ist und de-
ren Betrieb Zeit- sowie Kosten-
intensiv ist. Zudem ist immer
wie mehr Spezialisten Know-
how erforderlich. In diese Kate-
gorien fallen zum Beispiel die
Services Managed Firewall,
Intrusion Detection, Vulnerabili-
ty & Patch Management, Anti-
Virus / Anti-Spam und Content
Filtering. Durch dieser Aus-
gangslage kommt das Thema
Security Outsourcing, d.h. die
Evaluation eines Managed Secu-
rity Services Provider (MSSP)
auf die Agenda des CISO’s.
Beim Outsourcing von definier-
ten Security Services an einen
vertrauenswürdigen Partner
stellt sich jedoch die Frage, wie
die Qualität der Security Servi-
ces gemessen, bewertet und
weiterentwickelt wird. Eine
Grundvoraussetzung dazu ist,
dass der Vertrag mit dem zu-
künftigen MSSP den ganzen
Managed Security Service Life-
cycle abdecken muss.
Security SLA und KPI
Service Level Agreements für
Security Services erlauben es,
die definierten Sicherheitslevels
2
zu messen und die Erreichung
von Zielen durch Reports trans-
parent zu machen. SLAs im Se-
curity Outsourcing basieren auf
internen (Security Policy der
Firma) oder externen Standards
(ISO 27001/2), beinhalten das
Recht auf Auditierung und re-
geln die Aufteilung der Verant-
wortung. Insbesondere der letz-
te Punkt hat bei Security Servi-
ces ein besonderes Gewicht, da
die Verantwortung über die Ein-
haltung des geforderten Sicher-
heitslevels nicht aus der Firma
delegiert werden kann und be-
reits ein zukünftiger Wechsel
des MSSP oder ein Insourcing in
die aktuelle Betrachtung ein-
fliessen muss.
Das Security SLA beschreibt
deshalb die Governance und
funktioniert gemäss dem “sha-
red accountability model”. Das
bedeutet, dass bei Prozessen,
welche eine Veränderungen der
Security Infrastruktur (z.B. Fi-
rewall Rule-Changes) zur Folge
haben, immer interne Stellen
zusammen mit dem MSSP be-
teiligt sind. Dadurch wird die
interne Verantwortung wahrge-
nommen und nur die Durchfüh-
rung an den MSSP delegiert. Die
Governance Beschreibung bein-
haltet auch transparente
Zugriffsverfahren (Access für
interne Stellen, wichtig im Fall
eines Wechsels des MSSPs), die
Möglichkeit von Service Reviews
sowie interne und externe Au-
dits.
Key Performance Indicators
(KPIs) für Security Services sind
an den Information Security
Management-Zielen zu orientie-
ren. Sie zielen darauf ab, die
Sicherheitsrisiken so klein wie
möglich zu halten. Bspw. könnte
bei einem Managed Intrusion
Detection Service als Manage-
ment Ziel das Erkennen und
Behandeln von Attacken, und
somit die Steigerung der Ver-
fügbarkeit des betroffenen IT
Service, definiert sein. Als dazu
passende KPIs bieten sich die
Zeitdauer für die Updates der
Signatur-Files, der Prozentsatz
False Negatives (unerkannte
Attacken) und der Prozentsatz
False Positives an.
Aktives Security Service
Level Management vs.
Passive SLA Kontrolle
Service Level Management ist
eine interne Disziplin, welche
nicht eingekauft werden kann.
Die internen Verantwortlichkei-
ten müssen vor einer Evaluation
von Managed Security Services
festgelegt werden und die Ver-
antwortlichen sind früh in die
Gestaltung von Security SLAs
einzubeziehen.
Der (interne) Service Manager
definiert die Service Levels nach
seinen Bedürfnissen, setzt das
Einhalten der Service Levels
durch und passt die Service
Levels den Geschäftsanforde-
rungen an. Dazu sind flexible
SLAs zu erstellen, die es erlau-
ben kritische SLA Parameter
nach vorher festgelegtem Pro-
zedere zu ändern. Im Fall von
SLA Verletzungen gibt es somit
keine starren Kompensations-
zahlungen, sondern ein Teil der
monatlichen Servicegebühren
wird als Risikobetrag definiert,
der als Kompensationszahlung
fällig wird, wenn die kritischen
Service Levels nicht eingehalten
werden. Zudem kann der Kunde
während der Vertragsdauer Ein-
fluss darauf nehmen, welche
Service Levels als kritisch ein-
gestuft werden. Zu diesem
Zweck sind im Vertrag die kriti-
schen KPIs zu definieren. Diese
KPIs müssen mit angemessenen
Gewichten versehen werden,
damit die gewünschten Anreize
gesetzt werden können. Das
SLA wird durch den verhandel-
ten Risikobetrag und den zuge-
hörigen, gewichteten KPIs ein
kundenspezifischer, integraler
Bestandteil des Vertrages mit
dem MSSP. Im Vertrag wird
zudem festgehalten, wie der
Kunde die kritischen KPIs än-
dern, entfernen oder neue hin-
zufügen kann. Somit kann der
Kunde reagieren, sollten nicht
kritische SLAs verletzt werden.
Flexible SLAs
Aktives Service Level Manage-
ment führt dazu, dass die SLAs
flexibel den Kundenanforderun-
gen angepasst werden können.
Diese flexiblen SLAs bieten eine
grosse Hebelwirkung und damit
einen grossen Anreiz zur Einhal-
tung der kritischen Service Le-
vels. Jedoch verlangen flexible
SLAs auf der Kundenseite Fach-
kenntnisse für die Ausarbeitung
eines ‚eigenen‘ SLAs, für das
aktive ‚Bewirtschaften‘ der Ser-
vice Levels, für die exakte Defi-
nition der KPIs (inkl. Art der
Messung), für ein regelmässiges
Controlling der ‚SLA Reports‘
und ebenso Kenntnisse der Ge-
schäftsanforderungen. Es emp-
fiehlt sich daher für die meisten
Firmen bei einem Security Out-
sourcing Projekt einen erfahre-
nen externen Partner beizuzie-
hen.