Cisco nutzt eine Open-Source-Lösung, um eine Vielzahl von Sicherheitsstandards und regulatorischen Anforderungen zuverlässig zu erfüllen. Compliant zu bleiben, ist in Zeiten zunehmender regulatorischer Anforderungen kein Kinderspiel – insbesondere für Unternehmen, die weltweit tätig sind. Cisco nutzt ein Open-Source-Tool, um dieses Problem zu lösen. Foto: 3rdtimeluckystudio – shutterstock.comWenn es ganz allgemein darum geht, übergreifende Standards zu entwickeln, beginnen die Probleme. Dieser XKCD-Comic bringt die Situation auf den Punkt:Laut Brad Arkin, Chief Security and Trust Officer beim Netzwerkriesen Cisco, kommt diese Darstellung der Realität unangenehm nahe: “Jeder versucht, seine eigenen Sicherheitskontrollen zu entwickeln und hofft darauf, dass SaaS-Anwendungen darauf zurückgreifen.” Dieser Enthusiasmus den definierenden Standard für SaaS-Sicherheit zu etablieren, hat zu einem höchst verwirrenden Dschungel konkurrierender Standards geführt: ISO 27001, SOC, CS in Deutschland, IRAP in Australien und ISMAP in Japan – um nur einige zu nennen.“Die Europäische Datenschutzgrundverordnung hat die Vorlage geliefert – und eine Vielzahl von Ländern ist dieser gefolgt”, resümiert Doug Ross, Practice VP of Insights and Data beim Capgemini-Unternehmen Sogeti. “Wir können uns gut vorstellen, dass die Zahl der Regulierungen in den nächsten 18 bis 24 Monaten weiter stark ansteigen wird. Das regulatorische Umfeld wird von Tag zu Tag komplizierter”. Dabei stelle sich das Problem nicht nur, wenn es darum gehe, Services bereitzustellen, sondern auch in Sachen Disaster Recovery und Business Continuity. Solche Komplikationen stellen Unternehmen wie Cisco, die in mehr als 100 Ländern tätig sind, vor Probleme. Schließlich müssen sie für jeden neuen Zertifizierungsstandard noch einmal durch den “Compliance-Reifen” springen. Schlimmer noch: Teams, die immer wieder die gleichen Walkthrough-, Interview- und Audit-Prozesse durchlaufen müssen, werden im Laufe der Zeit möglicherweise “Compliance-müde”.Ciscos Geo-ZertifizierungslösungCisco hat als Antwort auf die Compliance-Herausforderungen das Cloud Controls Framework (CCF) eingeführt – ein komplettes Anforderungs-Set, das darauf ausgelegt ist, diverse Zertifizierungsstandards zu erfüllen. Das CCF legt diverse Kontrollmaßnahmen für den globalen Marktzugang von Ciscos SaaS-Geschäftseinheiten fest – inklusive Handlungsanweisungen in Sachen Implementierung. Das Projekt wurde kürzlich in den USA mit dem CSO50-Award ausgezeichnet. Interessant dabei: Beim Cloud Controls Framework handelt es sich um ein quelloffenes Tool – andere können es also nach Bedarf nutzen. We are proud to announce the general availability of the Cisco Cloud Controls Framework (CCF) for public use! For more information on how to access it, view our latest #security blog. ?? https://t.co/T5d0t1oePi— Cisco Secure (@CiscoSecure) May 5, 2022 Bei der Erforschung des CCF unter dem Gesichtspunkt der Ressourcenoptimierung stellte das Team fest, dass die Zertifizierungen in der Regel in zwei Bereiche unterteilt sind: Behörden und Unternehmen. “Darüber hinaus verwenden die kommerziellen Standards CS, IRAP und ISMAP größtenteils denselben Regelsatz in manchmal unterschiedlicher Sprache und mit unterschiedlichem Detailgrad”, merkt Arkin an. Dieser Umstand spielte der Abstraktion in die Hände und ermöglichte es, eine Reihe von Kontrollmaßnahmen in ein Framework zu integrieren, um einen einfachen Zugriff über verschiedene Business Units hinweg zu ermöglichen. “Dabei war die Erweiterbarkeit ein wichtiges Merkmal, weil die Zahl der Zertifizierungsanforderungen ständig zunimmt”, resümiert Arkin. “Wir mussten sicherstellen, dass das CCF sich im Laufe der Zeit entsprechend an die Änderungen anpasst. Wäre es in Stein gemeißelt, wäre es nicht lange nützlich.”Eine andere Herausforderung bestand darin, einen Konsens zwischen verschiedenen Geschäftsbereichen mit konkurrierenden Compliance-Visionen zu finden. Ein funktionsübergreifendes Change Advisory Board mit Vertretern aus jeder Abteilung half dabei, die Probleme zu lösen.Vor der Einführung des CCF im Januar 2021 folgten die Teams ihren eigenen Compliance-Protokollen und mussten das Rad dabei oft neu erfinden. Nun habe sich das Cloud Controls Framework laut Arkin als zentrale Anlaufstelle in Sachen Compliance etabliert – unabhängig davon, um welchen Standard es sich handelt. Besonders wichtig: Das CCF adressiert nicht nur Compliance- sondern auch Sicherheitsaspekte. Ein Bereich an dem derzeit noch gearbeitet wird, ist die Integration von Compliance-Checks in Security-Tools. Brad Arkin, Chief Security and Trust Officer bei Cisco. Foto: CiscoDas CCF hat es den Cisco-Teams darüber hinaus ermöglicht, einfacher zu skalieren, indem Überschneidungen zwischen verschiedenen Zertifizierungsanforderungen genutzt wurden. Die Straffung dieses Prozesses habe zu weniger “Audit-Fatigue” und entsprechend geringeren Gebühren geführt, meint der Cisco-Manager und fügt hinzu: “Wir können auf Kundenanforderungen reagieren, ohne dass das eine große Belastung darstellt.”“Im Kern ist das Problem der Geozertifizierung eine geschäftliche Herausforderung mit einer technischen Lösung”, meint Datenexperte Ross. Das hat Cisco erkannt und bewertet jede neu aufkommende Zertifizierung, unter dem Gesichtspunkt der (zeitlichen) Rentabilität: Macht es geschäftlich Sinn, das zu verfolgen? Wenn ja, wird die neue Zertifizierungsanforderung gründlich geprüft, um zu verstehen, welche Teile bereits im CCF-Framework enthalten sind. Was noch nicht enthalten ist, wird übernommen und durch generische Kontrollen ergänzt, die den neuen Standard erfassen.Im weiteren Verlauf des Prozesses rechnet Cisco mit weniger Iterationen, da die meisten Bedingungen bereits durch das CCF-Framework erfüllt werden. “Wir wollen unsere Engineers entlasten, damit die sich darauf konzentrieren können, Kundenprobleme zu lösen”, sagt Arkin. Compliance-Tipps für Unternehmen“Stellen Sie sicher, dass jeder die relative Priorität dieser Aufgaben versteht – nicht nur die Technik, die Personalabteilung oder die Compliance. Sie müssen alle zusammenarbeiten. Beauftragen Sie außerdem nur eine Wirtschaftsprüfungsgesellschaft. Anderenfalls haben Sie am Ende drei verschiedene Formulare, die den Ingenieuren immer wieder die gleichen Fragen stellen”, rät Cisco-Manager Arkins CSOs.Ross stimmt zu: “Sie brauchen den Datenschutzbeauftragten und den Leiter der Rechtsabteilung, um das Fahrzeug in die richtige Richtung zu lenken. Zudem sollten Sie sicherstellen, dass Ihre Prüfpfade robust und zuverlässig sind und nicht manipuliert werden können. So können Sie nachweisen, dass Sie im Einklang mit den Vorschriften gehandelt haben, falls es tatsächlich zu einem Zwischenfall kommt.”Für die Zukunft hofft Arkin, das Compliance-Tempo bei Cisco weiter zu beschleunigen: “Wenn wir erst einmal den Rahmen abgesteckt haben, ist das die große Chance, unsere Arbeit wesentlich zu beschleunigen.” Die dem CCF zugrunde liegende Prämisse lässt sich ohne Weiteres auf so ziemlich jedes Geschäftsproblem übertragen, das unnötige, repetitive Aufgaben mit sich bringt, wie Arkin abschließend verdeutlicht: “Das Schlüsselwort hier ist Konvergenz – wenn wir 70 Teams haben, die 70 verschiedene Wege gehen, um das gleiche Problem zu lösen, strebe ich danach, ein einziges Tool zu haben, das dieses Problem einmal richtig löst.” (fm) Sie wollen weitere interessante Beiträge rund um das Thema IT-Sicherheit lesen? Unser kostenloser Newsletter liefert Ihnen alles, was Sicherheitsentscheider und -experten wissen sollten, direkt in Ihre Inbox.Jetzt CSO-Newsletter sichernDieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online. SUBSCRIBE TO OUR NEWSLETTER From our editors straight to your inbox Get started by entering your email address below. Bitte geben Sie eine gültige E-Mail-Adresse ein. Abonnieren