Jede Firma hat ihr Risk Managmement und viele haben ihre Kontinuitätspläne (BCM). In jedem dieser Assessments wird ein lokaler Pandemie-Fall in der einen oder anderen Form abgehandelt. Wie viele Firmen jedoch eine globale Pandemie in ihren Plänen mit einbezogen haben würde mich wundernehmen. Die Supply Chain zeigt nun «plötzlich» Abhängigkeiten die bis anhin verborgen waren, Ressourcen, auf welchen der Kontinuitätsplan aufbaut werden knapp oder sind zeitweise gar nicht mehr erhältlich und auch die geografisch getrennten Notfall- oder Reserve-Standorte stehen allenfalls unter Quarantäne.
Was bedeutet dies für die IT eines Unternehmens?
Wie kann in einer solchen Situation die erwartete Dienstleistung an das Unternehmen weiter gewährleistet werden? Die aktuelle Situation zeigt es. Viele Firmen sind für Homeoffice und Remote Working eingerichtet. Nur sehr wenige sind jedoch in der Lage, ohne grösseren Aufwand diese Lösungen auf die komplette «Büro-Belegschaft» zu skalieren. Es werden Lösungen in aller Eile hergerichtet, die Stimme des CISO verliert an Gewicht, das oberste Ziel ist es, schnellstmöglich zur Produktivität zurückzukehren, im besten Fall mit einer «good enough security» anstelle der jahrelang gepredigten Sicherheitsrichtlinien.
Wie wird die neue Realität?
Was wird geschehen, wenn die IT-Abteilungen ihre jetzt angefallenen Überstunden abgefeiert haben und grösstenteils wieder die Normalität eingekehrt sein wird? Werden die temporär aufgebauten Lösungen zurückgebaut? Oder werden sie gemäss den wieder geltenden Sicherheitsrichtlinien gestärkt? Die sehr interessante Frage lautet: Wird eine solche weltweite Situation wie sie sich aktuell darstellt in den Risikobetrachtungen der Firmen eine neue Priorität erhalten? Wird dieses Risiko weiterhin als «einmal in 30 Jahren» in Kauf genommen oder stellen wir uns mit dem Bewusstsein neu auf, dass dieser Fall in der Firmengeschichte nicht einzigartig bleiben könnte? Wollen und müssen wir zusätzliche finanzielle Mittel zur Verfügung stellen um solche Ausnahmesituationen abzufedern?
Haben Sie eine Fehlerkultur?
Konsequenterweise müssen wir unsere bestehenden Lösungen und unsere zukünftigen Lösungen auf neue Kriterien prüfen. Haben unsere Lösungen auch in dieser Ausnahmesituation funktioniert? Wo musste Zeit und Kraft investiert werden, um die Lösung anzupassen, haben wir die Systeme oder gar deren Kritikalität falsch eingeschätzt? Eine einfache Lösung scheint naheliegend.
Die einfache Lösung…
Die Lösung ist doch einfach: Wir verschieben alles in die Cloud, hochskalierbar, flexibel und ohne Kosten, solange die Ressourcen nicht genutzt werden müssen. Cloud ist sowieso ein Hype, alle wollen sie und viele nutzen sie bereits extensiv. Niemand kann mir einen Vorwurf machen, wenn ich diesen Lösungsansatz wähle. Gartner, Forrester und die Fortune-100 können nicht falsch liegen.
… birgt auch Risiken…
Zweifellos werden wir vermehrt Services und Dienste «in der Cloud» bauen oder beziehen, mit und ohne Neubewertung dieses Präzedenzfalles. Doch auch solche Umgebungen bergen Risiken, haben ihre eigenen «Gesetze» und ich muss mich auch in der Cloud um die Sicherheit meiner Daten, Systeme und User kümmern. Mit entsprechenden Architekturen und neuen Lösungen kann den spezifischen Risiken der Cloud-Nutzung entgegengewirkt werden. Bestehende «legacy» Konzepte und Lösungen in der Cloud zu implementieren reicht nicht aus.
… und ist vielleicht nicht die optimale Lösung
Wenn wir von «der Cloud» sprechen, sind oft die «Big three» (Microsoft, Amazon, Google) gemeint. Auch bei diesen Riesen können (und sind auch schon) Probleme mit Verfügbarkeit und Skalierbarkeit entstanden. Ich mache mich abhängig von einem (?) Provider für alle kritischen Ressourcen. Wenn ich hingegen auf mehrere Anbieter setze und so einen Mulitcloud-Ansatz fahre, kann ich solche Risiken wiederum reduzieren, verliere jedoch unter Umständen Funktionen, die nicht Cloud übergreifend zur Verfügung gestellt werden können. Das eigene Datacenter muss nicht ausgedient haben. So kann ich die Anbindung, Stromversorgung und Leistungsreserven selbst bestimmen, sinnvollerweise wohl in einem hybriden Design, zusammen mit ausgewählten Cloud-Diensten.
Welchen Weg wir als Firma auch einschlagen werden um besser gewappnet zu sein, an einem vernünftig geschützten «Personal Computer» komme ich nicht vorbei. Niemand kann über Wochen seine Mails und Geschäftskorrespondenz nur am iPhone bearbeiten. Wie unsere Mitarbeiter auf die Dienste zugreifen wird einer der Schlüssel zur Lösung sein müssen. Zu ZTNA, SASE und CARTA gibt es hier im Blog eine eigene Beitragsreihe, die ich allen wärmstens empfehlen kann (Links siehe unten).
Welchen Weg wird Deine Unternehmung wählen? Nutze die Kommentarfunktion, ich würde mich freuen, zu hören wie Ihr darüber denkt.
Links
Wie man eine Cloud Security Strategie entwickelt: www.tec-bite.ch/cloud-native-oder-3rd-party-platform-teil-1-cloud-security-strategie-entwickeln/
3 Blog-Artikel zu ZTNA, SASA und CARTA:
www.tec-bite.ch/wohin-die-it-security-reise-geht-teil1-carta/
www.tec-bite.ch/wohin-die-it-security-reise-geht-teil2-ztna/
www.tec-bite.ch/wohin-die-it-security-reise-geht-teil3-sase/
Der Beitrag Das Risk schert sich nicht um das Risk Management erschien zuerst auf Tec-Bite.