EA und Security - best friends forever?

Aktualisiert: Juni 24

Ohne (IT-)Security geht heute nichts mehr. Die Kosten für mangelnde Security sind schlicht zu hoch, die Manager haben Angst. Somit wird in Security investiert, Strukturen geschaffen, die CSO- und CISO-Organisationen gewinnen an Einfluss.

In diesen Blog argumentiere ich, dass sich Chancen im Zusammenspiel mit der Enterprise Architektur ergeben.


Diese These ist auf den ersten Blick nicht naheliegend. Denn Reibungsverluste zwischen "IT" und "Security" - bzw. zumindest in den Banken "Second Line of Defence" und "First Line of Defence" - sind an der Tagesordnung. Ich gestatte mir hier eine bewusst überspitzte Darstellung: Die einen sind die "Verhinderer", die der Umsetzung der Lösungsideen der "Kreativen" entgegenstehen. Oder sind die einen die "Realisten", die Gefahren klar verstehen - und die anderen "uneinsichtig" in die Gefahren? Wie auch immer, die Enterprise Architekten sind charakterlich und gefühlsmässig des Öfteren eher der "kreativen" Seite zugeneigt, wollen gestalten - und sehen daher die immer komplexer werdenden Anforderungen der Security eher als Hindernis. Jedenfalls sind die Architekten bei den entscheidenden Diskussionen zu Security zu oft abwesend.


Das ist eine verpasste Chance! Denn einerseits kann die EA im Thema helfen und echten Nutzen stiften - zum anderen kann EA von Massnahmen zur Verbesserung der Sicherheit profitieren.


Hier drei Punkte, um das Argument zu belegen:


1) Security hilft als Argumentation, um den Wert systematischer EAM-Ansätze (Enterprise Architektur Management) klar aufzuzeigen. Als Beispiel sind die Pflege eines Applikations- und Daten-Verzeichnisses (Inventory). So ein "offizielles" Verzeichnis ist oft ein guter Start für einen Einstieg in eine effektive EA-Modellierung. Aber Enterprise Architekten fehlt heute manchmal das Budget um entsprechende Aufwände zu rechtfertigen - und vor allem die Autorität, um die Verbindlichkeit eines einmal erstellten Verzeichnisses durchzusetzen. Nun ist aber gerade die Verbindlichkeit - also die Aussage "Wir haben genau EINE Liste unserer Applikationen - diese hier!" - entscheidend, wenn man wirklich ernsthaft EAM betreiben will.

Genau hier hilft nun ein "Bündnis" mit der Security. Für Themen wie Compliance oder Datenschutz ist das o.g. Verzeichnis / Modell ein sehr nützliches Tool - das es als verbindliche Datenbasis, als Referenz dient. Die EA kann hier liefern - und Security liefert die besten Argumente für die Verbindlichkeit. Pointiert ausgedrückt: "Die Drohung mit Security" hilft, ein sauberes EAM zu etablieren.


2) EA ist in der Lage, die Sichten bzw. die logischen Schichten des Business und der Informationssysteme zusammenzubringen. Dies ist ein Ansatz für ein sinnvolles Clustering von Applikationen basierend auf Basis einer Risikoeinschätzung bzw. von Sicherheitsanforderungen. Genau das macht z.B. die Methode der ITMC "Living Security": https://www.itmc.ch/livingstrategycases/Living-Security

Der Nutzen ist hier vor allem ein besserer Fokus und mehr Effizienz bei der Realisierung von Massnahmen zum Mitigieren von Sicherheitsrisiken. Stichwort: "Das richtige Mass an Security"


3) EA ist in der Lage, die logischen Schichten der Informationssysteme und der Technologie zu Zusammenhang zu setzen. Es wird so z.B. möglich auszusagen, welche Technologien / Produkte genau bei welchen Applikationen im Einsatz sind - idealerweise noch differenziert nach "Ist" und "Plan". Das ist primär ein Tool der EA. um Migrationsplanung und Application-Lifecycle-Management zu unterstützen. Aber es ist auch sehr gut geeignet, um Vulnerabilities (eben z.B. durch veraltete Technologien) direkt messbar - und Gegenmassmahmen verbindlich nachweisbar zu machen. Mit anderen Worten: Ein Tool für die Vereinfachung der Herstellung zum zum Nachweis von Compliance. Und das ist hier erst der Anfang.


4) Die Fähigkeiten ergänzen sich. Die Security hat in aller Regel einen (quasi per Rolle definierten) Zugang zum Top-Management, der der EA heute (leider) all zu oft fehlt. Auf die Security wird gehört (muss gehört werden!) - das Business versteht die Denkkategorie der "Risiken". Auf der anderen Seite werden die Zusammenhänge zwischen Business Risk, Prozessen, Technologie / Vulnerabilities etc. so komplex, dass das Management und das Reporting zu einer Herausforderung wird. Hier kommt nun die EA ins Spiel, welche die klare Abbildung von Begrifflichkeiten und deren Abhängigkeiten seit langem zum Thema hat. Die Fähigkeit zur Abstraktion und zum Denken in Modellen kann helfen, den gordischen Knoten der Komplexität wenigstens ein wenig aufzulösen (nur wenige Architekten werden wie Alexander auftreten).

All dies sollte ausreichend sein für den Start einer wunderbaren Freundschaft zwischen EA und Security.


Also der Appell an Enterprise Architekten: Lernt über Security, lernt die Sprache der CISO, der Risk Manager, macht Zertifizierungen, werdet aktiv. Es ist eine Chance, die Steuerung der IT in Unternehmen wieder aktiver und fokussierter mit zu gestalten.



ITMC AG

Bahnhofstrasse 10

CH-8001 Zürich 

T +41 44 726 04 61 

strategy@itmc.ch

www.itmc.ch

© ITMC AG 2020

Folgen Sie uns auf:

linkedIn Logo weiss-transparent.png