Kalifornien, Starnberg, 3. März 2014 – Spezialist Infoblox benennt aus seiner Sicht zielführende Vorgehensweisen für das automatisierte Compliance-Management…
Zum Hintergrund: Infrastruktur-Umgebungen werden durch die Virtualisierung und Auflösung von Technologieinseln zunehmend integriert. Das Zusammenspiel von Server- Storage- und Netzwerken spielt dabei auch Prozess-seitig einer immer wichtigere Rollen. Das bedeutet auch: die IT-Abteilung erhält in vielen Unternehmen eine größere Verantwortung als je zuvor. Aber gerade bevorstehende Audits und zusätzliche Arbeiten, um die Einhaltung von Compliance-Regeln nachzuweisen, sind für die Mitarbeiter belastend und für die Organisation selbst natürlich nicht produktiv. Um Compliance zu erreichen und nachzuweisen werden auch viele Ressourcen benötigt; da im Prozess selbst auf Grund geringerer Erfahrung bzw. hoher manueller Arbeiten der letzte Schritt oft vor dem ersten gemacht wird... es ist dann schwierig, alle anderen Schritte im Rückwärtsgang abzuhaken. Infoblox - US-Spezialist für Netzwerk-Automatisierung - hat nachfolgend sieben generische Schritte vorgeschlagen, mit denen sich ein effizientes Compliance-Management automatisiert erreichen lässt:
- Inventur - Unternehmen sollten zu jeder Zeit wissen, welche Geräte mit dem Netzwerk verbunden sind inklusive deren Komponenten, Interfaces, Betriebssysteme und Versionen. Excel-Tabellen sind nicht die richtige Lösung – zu groß ist Gefahr von veralteten Informationen und arbeitsintensiven Prozessen, aber auch von Fehlern, die gemacht werden können. Automatisierte Compliance-Lösungen helfen bei der übersichtlichen Darstellung der Netzwerk-Komponenten. So können IT-Teams komplexe Beziehungen zwischen Geräten visualisieren und einen Einblick in die Netzwerk-Topographie bekommen.
- Auditing - Change Management-Prozesse sind hilfreich – führen allerdings dazu, dass Änderungen, die außerhalb dieser Prozesse stattfinden, nicht dokumentiert werden. Basis-Tools und Skripte, mit denen historische Änderungen gespeichert werden, führen zudem zu Tausenden von Dateien, die geprüft werden müssen. Sinnvoller ist es, automatisch jede Änderung – geplant und ungeplant – zu erfassen, so dass jede Konfiguration automatisch archiviert und verglichen wird. Zudem helfen Nutzer-basierte Zugangsrechte bei der Sicherheit, während mehr IT-Mitarbeiter über Kontrollmöglichkeiten verfügen.
- Definitionen - Standards gibt es viele – typischerweise werden diese aber auf die genauen Bedürfnisse und Compliance-Erfordernisse eines Unternehmens zugeschnitten. Die Vielzahl der zu beachtenden Regeln ist dabei eine Herausforderung für die IT-Leute, die entscheiden müssen, welche Regeln auf welche Netzwerk-Komponenten zutreffen. In die Compliance-Lösung eingebettete Regeln und speziell auf ein Unternehmen zugeschnittene Templates sind hier hilfreich – denn so ist die Expertise in die Lösung implementiert.
- Segmentierung - Nicht jedes Endgerät fällt unter alle Regularien – deshalb sollten Unternehmen die Geräte logisch gruppieren und segmentieren, um unnötigen Aufwand zu vermeiden. Das kann auch automatisiert geschehen, indem interne und externe Regeln definiert und dann den einzelnen Geräte-Gruppen zugeordnet werden. Das reduziert die Zeit, die das IT-Team braucht, erhöht die Effizienz des gesamten Netzwerks und stellt sicher, dass Mandate auch dort (und nur dort) eingehalten werden, wo sie auch vorgeschrieben sind.
- Überwachung - Unternehmen wissen, dass sie ihr Netzwerk rund um die Uhr auf Compliance prüfen sollten – die wenigsten haben dafür aber die personellen Ressourcen, vor allem, wenn die Überprüfung manuell durchgeführt wird. Werden die Einstellungen allerdings permanent automatisch mit den benötigten Standards abgeglichen, werden auch Verstöße proaktiv vom System gemeldet und im besten Fall auch automatisch berichtigt, so dass die IT sich um dringendere Aufgaben kümmern kann.
- Nachbesserung - Compliance-Verstöße verursachen auch Probleme, bevor sie überhaupt entdeckt werden. Das liegt meistens daran, dass manuelle Prozesse für Entdecken und Trouble-Shooting zu aufwendig sind. Hier können eingebettete Regeln, Skripts und Templates helfen, die dann Probleme automatisiert finden und im selben Interface lösen. So kann der Verstoß gegen Compliance-Regeln schon behoben werden, bevor überhaupt Probleme entstehen und bevor es ein Unternehmen Strafen kostet.
- Reporting - Unternehmen zäumen laut Infoblox schon mal gerne "das Pferd von hinten auf" – und verfassen den eigentlichen Compliance-Report bevor die oben genannten sechs Schritte gemacht wurden. Das führt dazu, dass gelegentlich versucht wird, die eine oder andere Ungereimtheit unter den Tisch fallen zu lassen, um ihn dann nachträglich zu beheben. Andererseits bietet eine geplante Vorgehensweise die Voraussetzungen, um Compliance-Reports auch schnell und ohne signifikanten Mehraufwand zusammenzustellen.