F

Wie können IT-Profis mit einem begrenzten Security-Budget umgehen?

Bei einem begrenzten Security-Budget können unter anderem Open-Source-Tools helfen, die Sicherheit zu verbessern. Budget-Tipps für kleine Geldbeutel.

Ein kürzlich veröffentlichte Umfrage hat gezeigt, dass Unternehmen ihre Security-Budgets aufstocken. Damit wollen sie zum Beispiel das Monitoring interner Netzwerkaktivitäten verbessern. Ich würde das in meiner Firma auch gerne umsetzen, habe allerdings kein zusätzliches Budget. Gibt es kosteneffiziente Methoden, das Budget für die Security und das Monitoring des lokalen Netzwerks zu optimieren? Gibt es Tools hierfür oder lassen sich bestehende Ressourcen neu verteilen?

Es gibt drei Ansätze, wenn Sie sich mit einem eingeschränkten Budget für die Security begnügen müssen. Setzen Sie auf einen oder gar alle drei, kann das zu einer Entlastung führen:

1. Compliance-Anforderungen

Historisch wird Informations-Security als notwendiges Übel betrachtet und das Budget ist gerade üppig genug, um das minimale Niveau an Schutz und Compliance aufrecht zu erhalten. Mit Compliance-Standards wie HIPAA und PCI DSS sind Firmen dazu gezwungen, weitere Kontrollmechanismen einzusetzen.

Compliance ist ein echter Antreiber für zusätzliche Ressourcen, Kosten und Tools. Doch nur weil eine Firma gesetzeskonform handelt, ist sie noch lange nicht auf der sicheren Seite. Unternehmen müssen dennoch auf jeden Fall die Compliance einhalten. Daher könnten Sie das für ihre Argumentation nutzen, um ein höheres Budget zu erhalten.

2. Open-Source-Tools

Security mit Open Source ist eine der wichtigsten Optionen bei einem kleinen Budget, da es mittlerweile hervorragende Sicherheits-Tools gibt. Ein Beispiel ist  OSSEC, ein Datei-Integritäts-Manager und Host-Intrusion-Detection-System. Es ist als zuverlässiges Tool und erfüllt PCI DSS 12.10.5. 

Dieses beinhaltet ein Monitoring der IT-Systeme, Intrusion Detection, Intrusion Prevention, Firewalls und Monitoring der Dateiintegrität. Open Source stand allerdings als zuverlässige Option für das Absichern von Umgebungen immer wieder in der Kritik. Das Problem liegt aber nicht in Open Source an sich begründet, sondern wie Security-Architekten die entsprechenden Tools implementieren. Sie müssen Implementierungen mit Open Source überprüfen und starke Prozeduren für Änderungskontrolle einsetzen. Zudem muss man seinem Management den Mehrwert von Open Source erläutern.

3. Neue Architektur

Risiken lassen sich schließlich abschwächen, indem Sie wichtige Systeme segmentieren. Ein flaches Netzwerk ist ziemlich stark auf Kontrollen durch Zugriffskontrolllisten (ACL) angewiesen. Gleichzeitig fehlt es häufig an Granularität. Somit lässt es sich immer intern von unautorisierten Anwendern oder von externen Hackern angreifen. 

Gestalten Sie das interne Netzwerk um, indem Sie produktive Umgebungen, Entwicklung, interne Unternehmensserver, veraltete Systeme für das Back-Office und Webinfrastrukturen segmentieren. Verwenden Sie eine Kombination aus separaten Domänen, Subnetzen, VLANs, Proxies, HIDS/HIPS und internen Firewalls. Härten Sie die Grundstruktur ab, um die internen Geräte der Infrastruktur und die Server zu schützen. Verwenden Sie Open-Source-Tools, um diese Umgebungen zu überwachen.

Egal wie hilflos Sie sich aufgrund fehlender Tools für Monitoring und Schutz in Ihrer Firma fühlen, geben Sie auf keinen Fall auf. Zeigen Sie dem Management, dass Sie nichts unversucht lassen, die Umgebung mit diesen drei Ansätzen so gut wie möglich zu schützen. Erklären Sie Sicherheitsrisiken deutlich und machen Sie dem Management klar, welche Schwachpunkte es gibt.

Erwecken Sie allerdings nicht den Eindruck, dass der Kampf für mehr Security verloren ist. Zeigen Sie stattdessen, dass Sie kreativ und geschickt genug sind, den Job zu erledigen. Eine vernünftige Geschäftsleitung wird die Leistungen anerkennen und Ihnen zusätzliche finanzielle Mittel zur Verfügung stellen, so dass sich ihr Security-Budget erhöht.

Folgen Sie SearchSecurity.de auch auf Twitter, Google+ und Facebook!

Artikel wurde zuletzt im Juni 2015 aktualisiert

Pro+

Premium-Inhalte

Weitere Pro+ Premium-Inhalte und andere Mitglieder-Angebote, finden Sie hier.

Erfahren Sie mehr über Enterprise-Compliance

Diskussion starten

Schicken Sie mir eine Nachricht bei Kommentaren anderer Mitglieder.

Mit dem Absenden dieser Daten erklären Sie sich bereit, E-Mails von TechTarget und seinen Partnern zu erhalten. Wenn Ihr Wohnsitz außerhalb der Vereinigten Staaten ist, geben Sie uns hiermit Ihre Erlaubnis, Ihre persönlichen Daten zu übertragen und in den Vereinigten Staaten zu verarbeiten. Datenschutz

Bitte erstellen Sie einen Usernamen, um einen Kommentar abzugeben.

- GOOGLE-ANZEIGEN

SearchStorage.de

SearchNetworking.de

SearchEnterpriseSoftware.de

SearchDataCenter.de

Close