Ist es möglich, die Administration seines IT-Systems auszulagern?

Ist es möglich, die Administration seines IT-Systems auszulagern?

Wie bereits in einigen meiner Artikel im Blog von Systancia ([01] oder [02]) oder in meinem LinkedIn-Konto erwähnt, ist die IT-Sicherheit alternativlos und muss eine strategische Achse für jede Organisation sein. Tatsächlich ist die IT-Sicherheit meiner Meinung nach wesentlich und fundamental, um unter anderem das informative Vermögen einer Organisation zu schützen.

Heute interessieren wir uns nur für die Auslagerung (auch Outsourcing genannt) der Administration eines Netzwerks oder Teils eines Netzwerkes. In der Tat kann der Vorstand einer Organisation, aus Mangel an personellen oder finanziellen Mitteln, entscheiden, die Administration einer IT-Infrastruktur oder bestimmter Applikationen einem externen Dienstleister zur Fernwartung anzuvertrauen.

Die Auslagerung ist ein schnelles Mittel, die Performance zu verbessern, die Kosten zu senken oder die Flexibilität zu erhöhen, aber sie darf nicht ohne ein Minimum an Sicherheit oder Garantien vorgenommen werden. Die Administration auszulagern entledigt die Organisation nicht ihrer Verantwortung.

Folgende Fragen sollte man sich stellen, wenn man die Administration auslagern möchte (ohne Anspruch auf Vollständigkeit):

  • Ist der Aktionsradius für meinen externen Dienstleister gut definiert?
  • Was hat einen hohen Wert für meine Organisation?
  • Welche Risiken gehe ich ein?
  • In welchem Maße beherrsche ich die Risiken?
  • Welche Bedrohung muss ich fürchten?
  • Welche “Sicherheitsmaßnahmen” wurden von meinem Dienstleister vorgenommen?
  • Ist mein Dienstleister in seinen Aktionen begrenzt (oder muss er es sein)?
  • In welchem Maße kann ich meinen Dienstleister kontrollieren, überwachen, beherrschen?
  • Wie kann ich die Login-Daten und Kennungen verwalten (und schützen)?
  • Wie verhindere ich, die Kontrolle über meine IT-Infrastruktur zu verlieren?
  • Ist mein Dienstleister auf Sicherheit im IT-Bereich sensibilisiert?
  •  

Im Risikomanagement muss die Schleife “sich kennen – sich schätzen – sich versichern – sich vergewissern” permanent im Mittelpunkt der Überlegungen und Aktionen stehen. Als Antwort auf einen Teil der vorherigen Fragen erwähnt der Artikel [03] den Security Assurance Plan als eine wichtige Etappe in der Beziehung zwischen IT-Dienstleister und Auftraggeber.

In den Artikeln [04] und [05] habe ich die Lösung Systancia Cleanroom vorgestellt, die eine Antwort auf die Problematik von Remote-Administration bietet und daher eine kontrollierte, überwachte und beherrschte Fernwartung.

Das Prinzip der Lösung Systancia Cleanroom ist es, einem Power User die virtuellen Umgebungen zur Verfügung zu stellen (die kontrolliert und beherrscht sind und bei jeder Verbindung initialisiert werden), um die Administration der Ressourcen auf sichere, protokollierte und überwachte Weise vorzunehmen.

Diese disruptive Lösung ermöglicht es also, die Arbeit der Power User zu schützen und überwachen, aber auch die Sicherheit des informativen Vermögens einer Organisation mit ausgelagerter Administration zu garantieren.

Die Administration der gesamten IT-Infrastruktur oder Teilen davon einem Drittanbieter anzuvertrauen, ist also aus technischer Sicht auf komplett sichere Weise möglich (mit einer Lösung wie Systancia Cleanroom), aber darf die auftraggebende Organisation nicht davon freistellen, sich von der Einhaltung der Sicherheitspraktiken sowie einer reibungslosen Zusammenarbeit mit dem externen Dienstleister zu überzeugen. Im Bereich der Cybersicherheit ist “Vertrauen” das Schlagwort und ist nicht antinomisch mit den ausgelagerten Administrationsaufgaben. Zuletzt muss die Wachsamkeit des Auftraggebers durch möglichst explizite und vollständige Vertragsklauseln ausgedrückt werden, deren Anwendung und strikte Einhaltung den Erfolg dieser Zusammenarbeit ausmachen.

Antoine COUTANT – Direktor Cybersicherheit

Referenzen

[01]       Sicherheit ist kein Hindernis, Antoine COUTANT, Oktober 2018.

https://www.systancia.com/la-securite-nest-pas-une-entrave/

[02]       Es war einmal in Cyberland, Antoine COUTANT, Oktober 2018.

https://www.systancia.com/il-etait-une-fois-en-cyberland-vpn-ssl/

[03]       PAM schließt einen SAP nicht aus, Antoine COUTANT, März 2019.

https://www.systancia.com/le-pam-nexclut-pas-le-pas/

[04]       Wie kann man den Administrator-PC sichern?, Antoine COUTANT, Januar 2018.

https://www.systancia.com/de/die-sicherheit-der-informationssysteme/

[05]       Das Konzept des Cleanroom für eine sichere Administration, Antoine COUTANT, Dezember 2018.

https://www.systancia.com/le-concept-de-cleanroom-pour-une-administration-securisee-et-securisante/