SecOps
Eine der Zielsetzungen des SecOps-Ansatz ist, dass Security- und Betriebsteams bei den Prozessen, Werkzeugen, Informationen sowie Verantwortlichkeiten gemeinsam agieren. So soll sichergestellt werden, dass eine konsequente Umsetzung der Sicherheit nicht zu Lasten der Leistung oder Zuverlässigkeit gehen. Wenn beide Teams in den notwendigen Prozessen eingebunden sind, liefert dies eine größere Transparenz darüber, welche Änderungen erforderlich sind und welche Auswirkungen diese Änderungen auf andere Teile des Unternehmens haben könnten.
Der Ablauf der Zusammenführung von Security und Operations umfasst mehrere Schritte. Zunächst gilt es die Prioritäten und die Entscheidungsprozesse zu konsolidieren. Als nächstes müssen Kommunikationskanäle, Softwarewerkzeuge und Informationsberechtigungen gemeinsam genutzt werden. Damit kann sichergestellt werden, dass jedem Teammitglied eine ganzheitliche Sicht der Entwicklung vermittelt werden kann. Schließlich müssen alle Entwicklungsprozesse aktualisiert werden, um die Sicherheit in jeder Phase einzubeziehen.
Ein wichtiger Unterschied zwischen SecOps und alternativen Managementmethoden besteht darin, dass die Sicherheit in der Verantwortung aller Teammitglieder liegt und in jeden Aspekt der Organisation einbezogen ist. Beispiele gefällig? So könnte ein Kundendienstmitarbeiter beispielsweise eine verdächtige E-Mail-Benachrichtigung bemerken oder ein Techniker den Versuch eines SQL-Injection-Angriffs entdecken.
Da die Security-Teams in Unternehmen eine immer wichtigere Rolle spielen, ist SecOps ein wichtiger Ansatz, um sicherzustellen, dass Distanz zwischen den anderen Mitgliedern der IT-Abteilung und der Security nicht zu unternehmensweiten Problemen führen. Die Zusammenarbeit von Sicherheitsteams mit Betriebsteams hilft Organisationen, ineffiziente Abläufe zu reduzieren und insgesamt sicherer zu werden. Dies resultiert auch daraus, dass die Verantwortung gemeinsam getragen wird.
Die Ziele von SecOps
Mit dem SecOps-Ansatz soll Sicherheitsaspekten zu einem möglichst frühen Zeitpunkt beispielsweise in Entwicklungs- oder Bereitstellungszyklen Einzug halten. Dabei verpflichtet sich die Unternehmensführung zu einer Verbesserung der Sicherheit, damit ein ganzheitlicher Fahrplan umgesetzt werden kann.
Die Einführung eines SecOps-Modells kann durchaus für einige Organisationen einen kulturellen Wandel darstellen. Möglicherweise müssen erst einige grundlegende Themen geklärt werden, bevor man die Erreichung der Ziele angehen kann. Dabei kann eine allgemeine Neudefinition von Zielen durchaus sinnvoll sein. So hilft es die Aufgaben und Prioritäten neu festzulegen, die die Darstellung von Geschäftsrisiken im Zusammenhang mit Sicherheitsvorfällen und die Festlegung auf Kerngeschäftsfunktionen umfassen.
Vorteile von SecOps
Die Umsetzung eines SecOps-Ansatzes kann folgende Vorteile mit sich bringen:
- eine höhere Kapitalrendite (ROI)
- eine verbesserte Produktivität
- effizienterer Einsatz gemeinsam genutzter Ressourcen
- weniger Anwendungs- und Betriebsunterbrechungen
- effektivere Sicherheitsüberprüfungen
- mehr Transparenz im Hinblick auf Sicherheitslücken in der ganzen Organisation
- einfachere Einführung von Technologien, die zusätzliche Sicherheitsmaßnahmen erfordern, wie beispielsweise Cloud-Dienste
- bessere und wirksamere Reaktion auf Vorfälle
- effektiveres Patch-Management
- geringere Compliance-Probleme
DevSecOps
Mit dem Konzept SecOps verwandt und häufig genannt wird das Konzept DevSecOps. Dieser Ansatz sorgt für die Einbeziehung von Sicherheitspraktiken zwischen Entwicklung und Betrieb. Obwohl der Begriff DevSecOps auch noch relativ neu ist, existiert die Idee, Sicherheit in jeder Phase des Softwarelebenszyklus zu berücksichtigen schon seit Jahren. DevSecOps konzentriert sich häufig auf einen agilen Entwicklungsansatz, der auf Geschwindigkeit und Effizienz ausgerichtet ist. Die Teams arbeiten zunehmend zusammen, um sicherzustellen, dass die Sicherheit mit der Entwicklung und dem Betrieb Schritt hält.