Wie die „7 habits of highly effective people“ deine IT Sicherheit positiv beeinflussen – Teil 2

Im ersten Teil ging es noch um die Idee, die hinter der Verknüpfung der „7 habits“ mit der IT Sicherheit, steht. Nachzulesen ist dieser Beitrag übrigens hier:

Ohne große Umschweife und unnötiges Geplänkel möchte ich gleich zum Punkt kommen.

2. Begin with the End in Mind

Ich würde das 2. „habit“ gerne etwas umschreiben und eine Frage daraus formulieren: Was willst du erreichen?

Um das vernünftig beantworten zu können, muss vorher festgelegt werden, was das Endresultat sein soll. Erst wenn wir vernünftige Ziele haben können wir auf etwas zusteuern und unser Leben in die richtigen Bahnen lenken, um dieses Ziel zu erreichen. Ich nehme dazu gerne Beispiele, die mich selbst betreffen und bei denen ich mich selbst nicht an das hier gepredigte halte. Nehmen wir doch gleich mein kleines Projekt aus github (https://github.com/ihgalis/PastebinPython).

Es sollte eigentlich dazu dienen über die Scraping API von Pastebin die ganzen Inhalte zu sammeln und diese in einer MongoDB zu speichern. Soweit so gut hat das geklappt, aber das eigentliche Ende hatte ich nie wirklich definiert und irgendwie daraufhin gesteuert. Jetzt habe ich den Salat, denn die Software eignet sich eigentlich momentan eher weniger für eine Installation über das Python Paketierungssystem pip. Und doch habe ich es dort hochgeladen.

Eigentlich wollte ich, dass man im Anschluss einen Befehl abfeuert, der die Maschine mit Parametern arbeiten lässt. Dafür muss man aber genau einen sogenannten Entrypoint haben. Also nur eine Datei, die gestartet wird. Ich habe aber 3 Dateien, die man starten kann. Jetzt muss ein Redesign her. Und ich muss mir die Gedanken machen, die ich mir eigentlich am Anfang hätte machen sollen, nämlich: „Begin with the End in Mind!“

Man ist aber nicht allein auf weiter Flur. Es gibt ein paar Ankerpunkte, an denen man sich entlang hangeln kann, um zu lernen wie man dieses „habit“ richtig anwenden kann.

Plane deine Woche

Pläne sind meistens nur Pläne und müssen geändert werden, aber sie geben einem eine gewisse Sicherheit, denn dadurch kann man sich schön an seiner ToDo Liste entlanghangeln. Selbstverständlich kommen laufend andere Dinge, die wichtiger sind, aber Pläne zu haben hat eben auch den Vorteil, dass man nichts vergisst. Gerade bei der Wochenplanung sollte man sich vorher überlegen: „Was will ich am Ende erreichen?“ Meine folgende Wochenplanung habe ich mit folgendem Gedanken im Kopf angelegt:

  • Auffälligkeiten in der IT Sicherheitsinfrastruktur finden und dafür sorgen, dass keiner am Wochenende wegen der IT in’s Büro muss.

Also legt euch einen Plan zurecht. Im Umfeld der IT Sicherheit mag das eventuell ein Projekt zur Implementierung sein oder ihr plant eine regelmäßige Evaluation:

  • Montag: Montioring und Logs auf Auffälligkeiten prüfen
  • Dienstag: offene Supporttickets mit Dienstleister lösen
  • Mittwoch: Besprechung im Team und Darstellung der aktuellen Stände (Tickets, Systeme)
  • Donnerstag: Bilde-dich-weiter-Tag
  • Freitag: Wochenend-Check oder funktioniert alles über das Wochenende?

Das war jetzt nur ein Beispiel, aber so könnte es durchaus laufen. Natürlich habe ich viel Platz gelassen für jede Menge Kleinigkeiten, aber auch größere Anfragen.

Plane deinen Tag

Man kann tiefer ins Detail gehen und sollte dies auch tun, denn jeder Tag sollte mit etwas sinnvollem gefüllt werden. Hangeln wir uns am oberen Beispiel weiter entlang.

  • Montag
    • Kaffee, denn der Tag sollte nie mit etwas negativem beginnen oder mit einer Last und E-Mails sind meistens lästig.
    • E-Mails: Korrespondenz mit Kollegen, Vorgesetzten und/oder Dienstleistern
    • Monitoring Systeme prüfen: Laufen alle noch oder gab es Alarme über das Wochenende, dass etwas ausgefallen ist? Wenn ja Task erstellen und je nach Dringlichkeit einplanen
    • Logs lesen: Sind Auffälligkeiten vorhanden? Wenn ja, dann wiederrum einen Task erstellen und je nach Dringlichkeit einplanen
    • Eventuelle Termine von vorherigen Wochen/Tagen wahrnehmen

Ich denke, die Details für die nächsten Tage bekommt ihr selbstständig hin. Eure Termine sind mir nicht bekannt, ich kann nur an Hand meiner eigenen Aufgaben einen Plan aufstellen, passend zu meinem Ziel.

Ziele können aber auch wochen- oder monatsbasiert sein. Ihr müsst kein generisches Ziel haben wie: „Ich will produktiv am Ende der Woche gewesen sein.“ Es ist besser Ziele so zu legen, dass sie erreicht werden können. Letztlich wollen wir alle die Schuss Dopamin spüren, wenn wir eine Aufgabe auf unserer ToDo Liste streichen können.

Setze ein Ziel beim starten eines neuen Projektes

Erinnert ihr euch an mein kleines Beispiel von oben mit dem PastebinScraper? Genau das ist es, was ich hier näher erläutern möchte. Jedes mal, wenn ein neues Projekt startet, ist es wichtig zu wissen: „Wohin geht die Reise?“ Was will man am Ende haben und wie soll es funktionieren. Die Details im System später sind zuerst unbedeutend, viel wichtiger ist: Was soll das ganze leisten?

Angepasst auf die IT Sicherheit könnte man als Beispiel ein Projekt nehmen, bei dem es darum geht die Sicherheit des Netzwerkes zu erhöhen. Dieses Ziel ist aber viel zu diffus und nicht messbar. Letztlich müssen die daraus resultierenden Projekte ihre Ziele haben:

  • Installation eines Logsystems: Jedes Logsystem leistet gute Arbeit, aber was ist das Ziel des Systems und was will man erreichen und vor allem: Woher weiß man, dass sich die Investition rentiert hat?

Das obige Beispiel braucht definitiv vernünftige Ziele. Beispiele hierfür wären:

  • Wir wollen wissen, was im Netzwerk geschieht und die Dinge aufspüren, von denen wir gedacht haben, sie seien nicht im Netzwerk (z. B. Dropbox Datenverkehr)
  • Wir wollen Angriffe über die Logs automatisiert erkennen (Das resultiert in ein komplexes Regelwerk, oder eventuell in eine KI gestützte Lösung)

Und so geht es weiter mit jedem Projekt. Nehmen wir noch ein Beispiel. Ich hoffe jedem Leser sagt die Abkürzung NAC etwas. NAC steht für Network Access Control. Was das ist löse ich gleich auf, denn es deckt sich mit den möglichen Zielen, die ein Unternehmen haben kann:

  • Wir wollen, dass nur unsere Geräte eine IP Adresse über DHCP bekommen: Tatsächlich ist es so, dass in den meisten Firmen, jedes TCP/IP fähige Gerät eine IP Adresse bekommt. Ein NAC System könnte hier eine Sperre durchführen.
  • Wir wollen, dass Geräte, die lange nicht mehr da waren, in Quarantäne geschoben werden: Lange Auslandsreisen nach China und eine mögliche Verseuchung durch Viren am Flughafen sind nichts seltenes. NAC Systeme schicken diese Geräte in ein abgetrenntes Netzwerk, welches nur ins Internet kann und zuerst Updates und Security Checks durchführt

Mit solchen Aussagen erreicht man sein Ziel auch. Die ganze Problematik andersherum anzugehen ist zwar auch möglich, aber es ist immer etwas nebelig und unangenehm, wenn der Kunde sagt: Ich will NAC, aber was das kann, das sehen wir dann und ob wir das überhaupt brauchen!

Damit ist der Erfolg nicht mehr messbar, weder beim Kunden noch beim Dienstleister. Also lasst eure Dienstleister nicht so hängen und euch auch nicht, schließlich habt ihr auch Ansprüche an euer Netzwerk!

Setze ein Ziel für jedes Meeting

Wie oft saß ich bereits in Meetings, die kein definiertes Ziel hatten. Meetings sind eigentlich ein eigenes großes Konstrukt, über das man schreiben kann, aber ich möchte mich da nicht zu weit aus dem Fenster lehnen, schließlich geht es hier um IT Sicherheit. Trotz allem würde ich gern ein paar Stichpunkte aufzählen, die tatsächlich dafür sorgen, dass ein Meeting (auch im IT Sicherheitskontext) ein Erfolg wird:

  • Zeitlimit setzen
  • Agenda festlegen
  • Meetingergebnis im Vorfeld bestimmen

Ja ich weiß. Der letzte Punkt hört sich so an, als bräuchte man gar kein Meeting. Letztlich meine ich damit aber den Umstand, dass eine Frage am Schluss klar beantwortet werden sollte. Manchmal sind es auch mehrere Fragen.

Zeitlimit

Was passiert ohne Zeitlimit? Das was immer passiert. Es gibt Menschen, die sofort in die Tiefe gehen und in den Details des genannten
wühlen. Selbst dann, wenn das Thema nur rudimentär besprochen werden soll (NAC z.B.) geht es gleich darum, dass noch gar kein Quarantäne Netzwerk da wäre und man muss sofort ausdiskutieren, welchen IP Adressbereich man braucht, und wer das macht usw. Dabei ist das gar nicht der Fokus der Diskussion. Ein guter Moderator ist hier gefragt!

Agenda festlegen

Die Agenda ist die Struktur des Meetings. Sie soll zeigen, welche Themen behandelt werden. Und sie sollte vorher festgelegt werden. Punkte wie: „Was gibt es sonst noch?“ können massiv ausarten und auch das Zeitlimit sprengen. Hat man ein paar offene Fragen, so lassen sich diese einfach als Agenda nehmen:

  • Mehrwerte aus NAC
  • Kosten für das NAC
  • Zeitaufwände für die Einrichtung
  • Zusatzkosten

Und auch hier gilt: Haltet euch an die Agenda und stellt sie vorher fest. Schreibt allen Teilnehmern rechtzeitig, dass sie sich bitte vorbereiten sollen und bis Tag X und Uhrzeit Y ihre Agendapunkte liefern.

Meetingergebnis im Vorfeld bestimmen

Das wichtigste überhaupt und das, was eigentlich ganz am Anfang festgelegt werden soll. Denn erst durch das zu erwartende Ergebnis können Agendas und dann Zeitlimits definiert werden. Gerade beim NAC gibt es Möglichkeiten wie zum Beispiel:

  • Entscheidungsfindung: Soll ein NAC angeschafft werden und liefert es dann auch den Mehrwert den wir uns wünschen?
  • Entscheidungsfindung: Passt ein NAC momentan überhaupt in unsere Infrastruktur, oder müssen wir dafür viel umbauen, und wenn ja wieviel?

Ohne konkrete Ziele artet das Meeting aus in Themen, die während des Gesprächs aufkommen. Jeder Teilnehmer sollte auch vorher wissen, dass Themen, die zusätzlich aufkommen auch beim nächsten Gespräch ausdiskutiert werden können. Es gibt bei jedem Projekt zahlreiche Meetings und Agendas. Man muss nicht alles beim ersten Mal festlegen :-)

Fazit

Das spare ich mir dieses mal. Ich meine durch die vielen Beispiele ist klar geworden, in welche Richtung die Reise gehen soll :-)