Überprüfung von Rollen und Zuständigkeiten für die Einführung

Die Einführung eines Zero Trust Sicherheitsmodells ist eine strategische Transformation, die sich auf die gesamte Organisation auswirkt und eine klare Eigenverantwortung und Koordination für Geschäfts-, Sicherheits- und Technologieteams erfordert. Es ist keine einzelne Technologiebereitstellung oder ein einmaliges Projekt. Die erfolgreiche Einführung und der Betrieb hängen von einer nachhaltigen Führung und der Ausrichtung der Rollen ab, die Zero Trust im großen Maßstab planen, implementieren und operationalisieren.

In diesem Artikel werden die wichtigsten Organisationsrollen beschrieben, die an Zero Trust Einführung beteiligt sind, und erläutert, wie diese Rollen zusammenarbeiten, um Zero Trust zu planen, zu implementieren und zu operationalisieren.

Warum Rollen bei der Einführung wichtig sind

Zero Trust verschiebt die Sicherheit von einem Umkreismodell zu einem Modell, das benutzer, Geräte, Anwendungen, Daten und vieles mehr kontinuierlich überprüft. Diese Umstellung wirkt sich auf Geschäftsprozesse, Benutzeroberflächen, IT-Vorgänge und Risikomanagement aus.

Ohne klare Rollen und Zuständigkeiten:

  • Sicherheitsinitiativen geraten ins Stocken oder zersplittern.
  • Technologieteams optimieren lokal, anstatt sich an Geschäftliche und Sicherheitsprioritäten auszurichten.
  • Führungskräfte haben keinen Einblick in den Fortschritt und die Ergebnisse der Sicherheitsmodernisierung.

Das Definieren des Rollenbesitzes hilft bei der Übersetzung Zero Trust Strategie in koordinierte Maßnahmen und messbare Sicherheitsverbesserungen in der gesamten Organisation.

Sicherheit ist die Aufgabe aller

Sicherheit ist grundsätzlich eine menschliche Disziplin, die Risiken von menschlichen Bedrohungsakteuren verwaltet. Während Automatisierung und KI wichtige Rollen spielen, bleiben die Menschen für sicherheitsrelevante Ergebnisse von zentraler Bedeutung.

  • Sicherheit ist ein systeminterner Bestandteil jedes Geschäftsbereichs. Es hat treuhänderische und Risikoauswirkungen, wirkt sich auf Geschäftsfunktionen und -ausführung sowie alle Technologien aus.
  • Sicherheit ist die Aufgabe aller. Vom Verwaltungsrat bis hin zu Technologieteams, nichttechnischen Teams wie Finanz- und Rechtsabteilungen und Information/Frontline-Mitarbeitern.
  • Für ein effektives Sicherheitsrisikomanagement muss jede Person die Sicherheit im Kontext ihrer Rolle verstehen und Sicherheitsziele aktiv unterstützen.
  • Da jede Person in der Organisation Sicherheitsrisiken erstellen oder verstärken kann, müssen alle Sicherheitsprinzipien in ihren täglichen Aktionen und Entscheidungen anwenden.

Dieses Diagramm aus den Sicherheitsrollen und Glossaren der Open Group veranschaulicht, wie Sicherheitsverantwortlichkeit und Verantwortung in einer Organisation delegiert werden:

Abbildung, wie Rechenschaftspflicht und Verantwortung für die Sicherheit innerhalb einer Organisation delegiert werden

Sicherheit ist ein Teamsport

Die effektive Verwaltung von Sicherheitsrisiken erfordert Verantwortlichkeit und Zusammenarbeit:

  • Die Zusammenarbeit zwischen rechenschaftspflichtigen und verantwortlichen Beteiligten ist von entscheidender Bedeutung.
  • Gute Sicherheitsentscheidungen erfordern eine gesunde und Beziehung. Verantwortliche Entscheidungsträger und Sicherheitsexperten müssen in der Lage sein, Ideen sicher auszutauschen und Annahmen herauszufordern.

Unter Berücksichtigung dieser Grundsätze sollte das Sicherheitsrisiko auf ähnliche Weise wie finanzielles und rechtliches Risiko verwaltet werden. Jede Rolle verfügt über Richtlinien und Schulungen, die ihre täglichen Entscheidungen leiten, anstatt Verantwortung zuzuweisen und sogar nur Sicherheitsteams verantwortlich zu machen.

Darstellung, wie rechenschaftspflichtige und verantwortliche Parteien zusammenarbeiten sollten

Ergebnisse der Rollendefinition

Wenn Rollen klar definiert, ausgerichtet und verbunden sind:

  • Führung legt Prioritäten und Rechenschaftspflicht fest.
  • Geschäfts- und Risikofunktionen richten die Sicherheit auf Ergebnisse aus.
  • Architektur und technische Leitung entwickeln skalierbare Lösungen.
  • Engineering und Operations implementieren und erhalten Sicherheitskontrollen.
  • Sicherheitsvorgänge überprüfen die Effektivität.
  • Jeder nimmt am Schutz der Organisation teil.

Klare Eigenverantwortung und gemeinsame Verantwortung verwandeln Zero Trust von einem Streben in eine dauerhafte, messbare Sicherheitsstrategie.

Rollen und Terminologie

Rollenterminologie und Definitionen basieren auf den Open Group Security Roles und Glossary Standard. Diese Grafik veranschaulicht die Liste der Rollen.

Illustration der Sicherheitsrollen im Microsoft Security Adoption Framework

Rollenverantwortung

Organisatorische Führung und Governance

Zweck: Einrichten von Organisationsrichtung, Prioritäten und Governance, einschließlich Entscheidungsrechten und Verantwortlichkeiten. Führungskräfte stellen Zero Trust als Organisationspriorität fest und schaffen die Voraussetzungen für den langfristigen Erfolg.

Zu den Accountabilities gehören:

  • Sponsoring Zero Trust als Geschäfts- und Risikomanagementstrategie.
  • Ausrichtung von Sicherheitszielen an Geschäftsziele, behördliche Verpflichtungen und Risikotoleranz.
  • Bereitstellung einer nachhaltigen Finanzierung, angemessenen Personalausstattung und organisatorischen Unterstützung.
  • Einrichten von Governancemodellen und Verantwortlichkeitsstrukturen.
  • Führungskräfte für messbare Sicherheitsergebnisse zur Verantwortung ziehen.

Wenn Führung Zero Trust als Geschäftsaktiver und nicht als technisches Projekt behandelt, gewinnt die Akzeptanz Dynamik und Haltbarkeit.

Unternehmensführung und -betrieb

Purpose: Betten Sie Zero Trust in die tägliche Geschäftsausführung ein. Führungskräfte und Betriebsleiter stellen sicher, dass Zero Trust Produktivität, Kundenvertrauen und operative Resilienz unterstützt.

Zu den Accountabilities gehören:

  • Integrieren Zero Trust Anforderungen in Geschäftsprozesse und Workflows.
  • Ausgleich von Sicherheitskontrollen mit Benutzerfreundlichkeit und Betrieblicher Effizienz.
  • Identifizieren kritischer Geschäftsressourcen, Prozesse und Daten zur Priorisierung des Schutzes.
  • Unterstützung der Änderungsakzeptanz in Teams und Funktionen. Messen der geschäftlichen Auswirkungen von Sicherheitsentscheidungen.

Zero Trust erfolgreich, wenn sicherheit Geschäftsvorgänge ermöglicht, anstatt als Hindernis wahrgenommen zu werden.

Sicherheitsnahe Führung

Zweck: Sicherheitsbezogene Führungsrollen wie Chief Of Staff, Chief Product Officer, Chief Compliance/Audit Officer richten die Sicherheitsstrategie mit Unternehmensrisiken, Compliance- und Datenschutzzielen aus.

Diese Rollen verbinden Zero Trust mit umfassenderen Unternehmensrisikomanagement- und Zuverlässigkeitsfunktionen.

Zu den Accountabilities gehören:

  • Übersetzen Zero Trust Prinzipien in Risiko-, Compliance- und Datenschutzanforderungen.
  • Gewährleistung der Übereinstimmung mit gesetzlichen, rechtlichen, datenschutzrechtlichen und anderen Branchenverpflichtungen.
  • Überprüfen von Steuerelementen durch Überwachungs-, Bewertungs- und Zuverlässigkeitsaktivitäten.
  • Beratung der Führungsebene zu Risikoabwägungen und Restrisiken.
  • Koordination zwischen Sicherheits-, Compliance- und Governancedomänen.

Ihre Beteiligung stellt sicher, dass Zero Trust vertretbar, auditierbar und an den organisatorischen Vorgaben ausgerichtet ist.

Weitere funktionsübergreifende Disziplinen

Purpose: Nicht-technische Disziplinen wie Recht, Finanzen, PR und Kommunikation richten Zero Trust Einführung über nicht technische Geschäftssupportfunktionen hinweg aus. Zero Trust wirkt sich auf Verträge, Budgets, Kommunikation und externes Vertrauen aus.

Zu den Accountabilities gehören:

  • Legal: Unterstützung von Datenschutz-, Vertrags-, Behördlichen Auslegungs- und Vorfallverwaltungsprozessen.
  • Finanzen: Finanzierungsmodelle, Kostengovernance, Investitionspriorisierung und Quantifizierung von Sicherheitsrisiken.
  • Kommunikation und PR: Internes und externes Messaging während Vorfällen oder Änderungen.
  • Personal- und Personenteams: Richtlinienerzwingung, Schulungsausrichtung und Mitarbeiterbindung.

Diese Rollen tragen dazu bei, dass Zero Trust Einführung nachhaltig, konform und gut kommuniziert wird.

Technische Führung

Zweck: Übersetzen Sie die Strategie in ausführbare technische Richtung. Technische Führungskräfte überbrücken Geschäftsabsicht und Engineering-Ausführung.

Zu den Accountabilities gehören:

  • Definition strategischer Anforderungen im Einklang mit den Zero-Trust-Ergebnissen sowie die Genehmigung strategischer Roadmaps und der Strategie.
  • Sicherstellung der Koordination von Zero-Trust-Ansätzen über Bereiche und Engineering-Teams hinweg.
  • Beratung von Geschäftsbeteiligten bei Kompromissentscheidungen zwischen Sicherheit, Leistung und Nutzbarkeit.
  • Sicherstellen der Konsistenz zwischen Identitäts-, Endpunkt-, Anwendungs-, Daten- und Infrastrukturdomänen.
  • Unterstützung der Modernisierung von Legacysystemen.

Eine starke technische Führung verhindert Siloimplementierungen und fragmentierte Sicherheitshaltungen.

Architecture

Purpose: Entwerfen Sie skalierbare, kohärente Lösungen, die auf Zero Trust Prinzipien ausgerichtet sind. Sicherheits- und Unternehmensarchitekten definieren unternehmensweite Architektur und Lösungen gemeinsam.

Zu den Zuständigkeiten und Verantwortlichkeiten gehören:

  • Definition von Zero-Trust-Architekturen für den Zielzustand.
  • Ausrichten von Plattformen, Diensten und Workloads an Zero Trust Prinzipien und Konzepte.
  • Identifizieren von Architekturlücken, Abhängigkeiten und Integrationspunkten.
  • Bereitstellen von Entwurfsanleitungen und Referenzmustern.
  • Sicherstellen der Skalierung von Lösungen mit Unternehmens- und Technologiewandel.

Architektur wandelt Prinzipien in Systeme um, die sich im Laufe der Zeit entwickeln können.

Anwendungs- und Produktentwicklung

Zweck: Zero Trust bereits beim Entwurf in Anwendungen und Dienste integrieren. Entwicklungsteams spielen eine wichtige Rolle beim Erzwingen von Zero Trust auf der Anwendungsebene.

Zu den Accountabilities gehören:

  • Entwerfen von Anwendungen, die explizit überprüfen und die geringsten Berechtigungen erzwingen.
  • Integrieren von Identität, Zugriffssteuerung und Datenschutz in Anwendungen.
  • Unterstützung sicherer APIs, Dienst-zu-Dienst-Zugriff und Workloadidentitäten.
  • Zusammenarbeit mit Sicherheitsteams, um Risiken zu reduzieren, ohne die Geschwindigkeit zu beeinträchtigen.
  • Die Sicherheit frühzeitig im Entwicklungslebenszyklus zu behandeln.
  • Mit sicheren Arbeitsstationen und CI/CD-Systemen.

Zero Trust ist am stärksten, wenn Anwendungen keine implizite Vertrauensstellung annehmen.

Rollen und Zuständigkeiten der Sicherheitsstrategie

Zweck: Sicherheitsstrategierollen wie Sicherheitsschulung, Insiderrisiko, Haltung und Compliance-Management helfen dabei, langfristiges Sicherheitsverhalten und Reifegrad zu gestalten. Diese Rollen konzentrieren sich auf Personen, Richtlinien und nachhaltige Sicherheit.

Zu den Zuständigkeiten gehören:

  • Definieren von Sicherheitsstrategie, Standards und Roadmaps.
  • Verwalten von Insiderrisiken und benutzerbezogenen Bedrohungen.
  • Förderung des Sicherheitsbewusstseins, der Bildung und der Kultur.
  • Sicherheitsstatus überwachen und Verbesserungen vorantreiben.
  • Überwachung der Einhaltung von Sicherheitsvorgaben und der Durchsetzung von Richtlinien.
  • Messung von Reifegrad und Fortschritt anhand von Zero-Trust-Zielen.

Sie stellen sicher, dass Zero Trust in die Funktionsweise der Organisation eingebettet wird, nicht nur, wie sie Technologie bereitstellt.

Technische Technik und Betrieb

Zweck: Zero Trust-Kontrollen implementieren und betreiben. Engineering- und Betriebsteams verwandeln Entwürfe in funktionierende Systeme.

Zu den Zuständigkeiten gehören:

  • Bereitstellen von Sicherheitskontrollen über Identität, Geräte, Anwendungen, Daten und Infrastruktur hinweg.
  • Integration von Sicherheit in betriebliche Workflows und Plattformen.
  • Verwalten von Änderungen, Tests und Rollouts, um Unterbrechungen zu minimieren.
  • Aufrechterhaltung der Systemsicherheit, Verfügbarkeit und Leistung.
  • Kontinuierliche Verbesserung der Steuerelemente basierend auf Feedback und Telemetrie.

Diese Teams machen Zero Trust real und zuverlässig.

Sicherheitsvorgänge (SecOps / SOC)

Purpose: Wenden Sie einen ressourcenorientierten Zero Trust Ansatz für die Bedrohungserkennung und -reaktion an. Sicherheitsteams reagieren auf Angriffe, die präventive Kontrollen umgehen.

Zu den Zuständigkeiten gehören:

  • Überwachen von Telemetrie und Signalen über Benutzer, Geräte und Workloads hinweg.
  • Erkennen von Bedrohungen, Richtlinienverletzungen und aomalen Verhaltensweisen.
  • Reaktion auf Vorfälle und Koordination von Eindämmung und Wiederherstellung.
  • Betriebserkenntnisse in Richtlinien, Architektur und Automatisierung zurückführen.
  • Messen der Effektivität durch Erkennungs-, Reaktions- und Auswirkungsmetriken.

Zero Trust Annahmen werden durch tägliche Vorgänge getestet und verfeinert.

Nächste Schritte

  • Last updated on