Fragen Sie den CTO: Eine solide Sicherheit für Geschäftsanwendungen beginnt mit der richtigen Grundlage für Cybersicherheit
JP Perez-Etchegoyen, Chief Technology Officer bei Onapsis, leitet die Innovations- und Forschungsteams, die Onapsis an der Spitze des Marktes für die Sicherheit geschäftskritischer Anwendungen halten. Dabei widmen sie sich einigen der komplexesten Probleme, mit denen Unternehmen derzeit bei der Verwaltung und Absicherung ihrer ERP-Landschaften konfrontiert sind. Er erläutert, warum eine Sicherheitsstrategie für Unternehmen zum Schutz geschäftskritischer Anwendungen zunächst auf die Ausrichtung an einem soliden Sicherheitsrahmenwerk ausgerichtet sein sollte.
Jetzt ansehen:Schaffung einer sicherheitskonformen Grundlage für SAP
Was sind Cybersicherheits-Rahmenwerke und warum sind sie wichtig?
Zunächst möchte ich darauf hinweisen, dass es weltweit eine Reihe verschiedener Cybersicherheits-Frameworks gibt, die von Unternehmen genutzt werden. Jedes dieser Frameworks stellt eine grundlegende Sammlung von Best Practices, Standards und Richtlinien dar, deren Befolgung dazu dient, Risiken im Umfeld eines Unternehmens besser zu bewältigen. Diese Frameworks sind wichtig, da sie Unternehmen dabei helfen, ihre Fähigkeit zur Prävention, Erkennung und Reaktion auf Cyberangriffe assess zu verbessern. Der Aufbau eines umfassenden Cybersicherheitsprogramms – insbesondere in einer großen, komplexen multinationalen Organisation – kann eine Herausforderung darstellen, daher bieten diese Ansätze Unternehmen eine gute Vorlage, an der sie sich orientieren können. Sicherheitsverantwortliche in Unternehmen können sie nutzen, bevor sie ein Cybersicherheitsprojekt in Angriff nehmen, um Best Practices bei der Umsetzung eines schrittweisen Ansatzes zur Absicherung verschiedener Komponenten in ihrer Umgebung zu verstehen. Sie können auch als Benchmark für aktuelle Sicherheitsansätze dienen, um zu erkennen, ob in bestimmten Bereichen der Infrastruktur weitere Maßnahmen zur Risikominderung erforderlich sind.
Welches Cybersicherheits-Framework eignet sich am besten für die Entwicklung einer Unternehmenssicherheitsstrategie für geschäftskritische Anwendungen und warum?
Ich würde sagen, es ist schwer, von einem „besten“ Rahmenwerk zu sprechen. Das National Institute of Standards and Technology (NIST) hat jedoch das NIST-Cybersicherheits-Rahmenwerk entwickelt, das zu den bislang umfassendsten und anpassungsfähigsten Cybersicherheits-Rahmenwerken zählt. Ziel des Rahmenwerks ist es, Cybersicherheitsmaßnahmen anhand geschäftlicher Treiber zu steuern sowie Cybersicherheitsrisiken als Teil des gesamten Risikomanagementprozesses der Organisation zu berücksichtigen und einzubeziehen. Idealerweise sollte es von Sicherheitsverantwortlichen genutzt werden, um Modelle zu identifizieren und zu entwickeln, die für ihre eigenen Organisationen geeignet sind. Ein Schlüsselelement des NIST-Frameworks ist die Identifizierung einer Reihe von Funktionen und Aktivitäten zur Erreichung spezifischer Cybersicherheitsziele, einschließlich der Fähigkeit, Bedrohungen zu erkennen, abzuwehren, zu erkennen und darauf zu reagieren. Interessanterweise hat SAP es schließlich angepasst, um die SAP Secure Operations Map zu erstellen, eine Best-Practice-Methodik für die Sicherheit der SAP-Umgebung einer Organisation.
Ein zentraler Bestandteil dieses Ansatzes ist die Konzentration auf die Anwendungssicherheitsebene, die zunehmend zum Ziel von Angreifern geworden ist – insbesondere geschäftskritische Anwendungen oder die „Kronjuwelen“ eines Unternehmens. Die Absicherung dieser Anwendungen (zum Beispiel geschäftskritischer SAP-Anwendungen) ist ein wesentlicher Bestandteil der Umsetzung dieser übergeordneten Strategie zur Abwehr von Bedrohungen und zur besseren Risikosteuerung im gesamten Unternehmen. Diese Anwendungen sind das Herzstück eines Unternehmens und unterstützen wichtige Prozesse wie Finanzen, Fertigung, Personalwesen sowie viele andere Schlüsselprozesse, die für den Geschäftsbetrieb unerlässlich sind. Ein direkter Angriff auf eine dieser Anwendungen (z. B. HRM, Lieferkette, CRM, ERP) kann erhebliche Auswirkungen auf das gesamte Unternehmen haben.
Inwiefern entspricht Onapsis diesen Cybersicherheits-Rahmenwerken?
Onapsis konzentriert sich in erster Linie auf die Anwendungsschicht dieser Cybersicherheits-Frameworks, doch möchte ich hinzufügen, dass die threat intelligence Onapsis Research Labs bereitgestellt werden, jedoch eine breitere Anwendung innerhalb des Frameworks finden – z. B. bei Schwachstellen, die über das Netzwerk ausgenutzt werden können. Onapsis identifiziert Risiken, schützt und sichert diese Anwendungen und ermöglicht die Umsetzung geeigneter Maßnahmen zur Reaktion. Häufig können geschäftskritische Anwendungen wie SAP einen blinden Fleck innerhalb von Unternehmen darstellen. Diese Anwendungen werden in der Regel von IT-Teams verwaltet, deren Fokus eher auf Leistung und Verfügbarkeit als auf Sicherheit liegt. Sicherheitsteams fehlen die Transparenz, das Wissen und der Kontext, die sie benötigen, um Schwachstellen innerhalb dieser Ökosysteme zu identifizieren und das damit verbundene Risiko für das Unternehmen zu mindern. Die Platform geht diese Herausforderungen direkt an, indem sie vier Säulen der Sicherheit für Geschäftsanwendungen bereitstellt, die sich auf Schwachstellenmanagement, Erkennung und Reaktion auf Bedrohungen, Tests der Anwendungssicherheit sowie die kontinuierliche Compliance für geschäftskritische Anwendungen konzentrieren. Mit Onapsis und einem soliden Cybersicherheits-Framework können verschiedene Unternehmensteams (z. B. Infrastruktur, Netzwerk, Sicherheit und SAP BASIS) sich besser auf eine Strategie zur Sicherung ihrer geschäftskritischen Anwendungen abstimmen und sich auf die richtigen Taktiken und Technologien konzentrieren, um Risiken in ihrer Umgebung zu mindern – mit klaren Meilensteinen und Zielen, die für jede Phase festgelegt sind.
Über den Autor
