Wie wählt man seinen
Sicherheitsberater auf IBM i?

Trotz aller Sicherheitsvorteile, die eine AS/400 bieten kann, zwingen die aktuellen Angriffe ihre Besitzer dazu, die besten Praktiken für ihre Organisation zu implementieren: Es geht um ihre Fähigkeit, eine kontinuierliche Produktion zu gewährleisten, aber auch um die verschiedenen rechtlichen Risiken, die mit einem möglichen Datenverlust verbunden sind.

Bob Losey erläutert die Sicht von Bruce Bading, dem Sicherheitsexperten von IBM i.

Übersetzung des Artikels von Bob Losay mit seiner freundlichen Genehmigung. Jan. 2023

Die Cybersicherheit von IBM i ist eine der höchsten Prioritäten der IBM-Anwender, mit denen ich mich austausche. Ich habe das Glück, mit Bruce Bading zusammengearbeitet zu haben, einem echten Experten für IBM i-Sicherheit. Mit ihrer Erlaubnis ist dies ein veränderter Nachdruck einer anderen Veröffentlichung, die ich gerne teilen möchte.

Es gibt viele Optionen für Berater für Cybersicherheit oder Anbieter von verwalteten Sicherheitsdiensten. Eine Möglichkeit, Ihre Auswahl zu bewerten, besteht darin, zu fragen, welche Best-Practice-Sicherheitsmaßnahmen der Berater (oder sein Unternehmen) empfiehlt, um Cyber-Abwehrmaßnahmen zu implementieren. Einige Best Practices werden durch massive organisatorische Teams oder durch die Ergebnisse des Unternehmens motiviert. Es gibt jedoch eine weitere Möglichkeit, Sicherheitsrichtlinien zu erstellen, indem man die CIS-Kontrollen und Benchmarks durch eine Mitgliedschaft in der CIS SecureSuite nutzt.

CIS Controls und CIS Benchmarks sind Best Practices für die Sicherheit, die den Weg zur Verbesserung der Verteidigung durch einen einzigartigen gemeinschaftlichen Konsensprozess ebnen. Durch die Zusammenarbeit mit zahlreichen Sicherheitsexperten aus der ganzen Welt entwickelt das CIS globale Sicherheitstipps (CIS-Checks) und technologiespezifische Verstärkungskonfigurationen (CIS-Benchmarks).

Sehen wir uns an, wie Bruce Bading, Präsident von BFB Consulting, seine Mitgliedschaft bei CIS SecureSuite nutzt, um die Cybersicherheit seiner Kunden zu erhöhen. BFB Consulting bietet Cyber-Abwehrdienste an, um Organisationen bei der Verbesserung ihrer Cyber-Politik, ihrer Compliance-Anforderungen und ihrer Verfahren zu unterstützen.

Umsetzung der grundlegenden Sicherheit

Mit über 40 Jahren Erfahrung in den Bereichen Cybersicherheit und Einhaltung gesetzlicher Vorschriften hat Herr Bading das Wachstum und die Entwicklung verschiedener Best Practices miterlebt. Von seiner Zeit als Finanzvorstand eines großen Industrieunternehmens bis hin zu seiner jahrelangen Erfahrung bei IBM als leitender Berater für Cybersicherheit hat er gelernt, die Ressourcen der CIS SecureSuite zu nutzen. Er vertraut auf CIS Controls, CIS RAM (Methode zur Risikobewertung) und CIS Benchmarks, um den Kunden bei der Operationalisierung der grundlegenden Sicherheit zu helfen. Herr Bading verwendet CIS-CAT Pro, ein Tool zur Bewertung von Konfigurationen, um seinen Kunden die Sicherheitslücken in ihren Konfigurationen aufzuzeigen: „.CIS-CAT Pro ist eine wirklich solide Grundlage, mit der Sie jeden Kunden ansprechen und ihm etwas zeigen können. Sehen Sie, hier ist, was das Center for Internet Security uns sagt, was Sie tun müssen, um Ihre Systeme zu sperren. Sie können lesen, was Tony Sager sagt – Hören Sie auf, allem Glitzernden nachzujagen, und besinnen Sie sich auf das Wesentliche„.

Bading hat mit eigenen Augen gesehen, wie manche Kunden dem „Glitzer-Syndrom“ verfallen und technischen Großtaten hinterherlaufen, während sie die grundlegenden Best Practices ignorieren. „
Wir müssen uns wieder auf die grundlegende Sicherheit besinnen
„, betont er. Ein Teil dieser grundlegenden Sicherheit umfasst die Anwendung bewährter Verfahren wie die CIS-Benchmarks und die Bewertung der Einhaltung und Befolgung der Regeln. Die Kunden sollten fragen, ob die Berater Mitglieder von CIS SecureSuite sind. Wenn dies der Fall ist, können sie verlangen, ihre eigenen CIS-CAT-Pro-Ergebnisse einzusehen, um Sicherheitslücken in der Konfiguration zu erkennen. Das Fachwissen des Beraters kann dann helfen, diese Lücken zu schließen und alle verbleibenden Bedenken hinsichtlich der Cybersicherheit auszuräumen.

Sicherheit in hybriden Umgebungen

Badings Kunden operieren in hybriden Umgebungen, d. h. sowohl in On-Premise- als auch in Cloud-Infrastrukturen. Wichtig ist, so sagt uns Bading, die Kritikalität und Vertraulichkeit jedes Datenelements zu identifizieren. Er empfiehlt, dass private Informationen wie persönliche Identifikationsinformationen (PII) oder andere vertrauliche Daten in einer privaten Cloud gespeichert werden. Für öffentliche Daten ist eine öffentliche Cloud ausreichend. Zweitens ist es von entscheidender Bedeutung, dass Organisationen Cloud-Umgebungen härten, unabhängig davon, wo sie gehostet werden. CIS bietet bewährte Sicherheitspraktiken für die sichere Einrichtung von Cloud-Konten und -Diensten bei drei der größten Anbieter :

• CIS AWS Foundations Benchmark
• CIS Azure Foundations Benchmark
• CIS Google Cloud Platform Foundations Benchmark

Unabhängig davon, in welcher Umgebung Sie tätig sind – on premise oder in der Cloud, öffentlich oder privat – sind sichere Konfigurationen von entscheidender Bedeutung. „
Und das ist es, was wir den Menschen vermitteln müssen.
„, erklärt Herr Bading. „
Wir müssen diese Bilder härter machen
„.

Zusammenarbeiten und sich mit der Gemeinschaft verbinden

Bading nahm am Konsensprozess der CIS-Gemeinschaft teil, um bei der Entwicklung des ersten IBM i Benchmark CIS zu helfen. Er schätzt es, mit einer größeren Cybersicherheitsgemeinschaft verbunden zu sein und sagte:“Mein nächstes Ziel ist es, in einige der anderen Gemeinden einzutreten.„CIS-Communities bieten die Möglichkeit, sich mit anderen technischen Experten zu vernetzen, Sicherheitsprobleme zu lösen und einen Konsens über die besten Praktiken im Bereich der Cyberkriminalität zu finden. „An dieser Debatte beteiligten sich Fachleute„, erklärt Bading, „über eine Community haben sie sich mit dem Thema beschäftigt. Und hier ist, was sie kollektiv sagten. Es handelt sich nicht um eine einzelne Person oder ein einzelnes Unternehmen – es ist eine große Gruppe von Individuen, die alle die gleiche Botschaft vermitteln.“

Ernsthafte Sicherheit für ernsthafte Bedrohungen

„
Die Cyberkriminellen meinen es ernst
„, warnt Bading, „
und sie haben keine Angst davor, Dinge kaputt zu machen
„. Die Entschlossenheit der Cyberkriminellen zeigt, dass die Kunden es mit der Umsetzung von Best Practices und der Einhaltung von Vorschriften genauso ernst meinen müssen. Cybersicherheit ist ein Geschäftsthema, nicht nur ein IT-Thema. Für BFB Consulting und ihre Kunden bietet die CIS SecureSuite Membership die Ressourcen, die sie benötigen, um die besten Sicherheitspraktiken umzusetzen. „
Firewalls und Antivirenprogramme reichen im Zeitalter von bösartiger KI, dateifreier und metamorpher Malware nicht mehr aus.
„, erklärt Herr Bading. „
Wir müssen unser Spiel mit der Sicherheit und den internen Kontrollen ständig verbessern.
.“ Durch die Kombination der leistungsstarken CIS Benchmarks und CIS Controls hilft die CIS SecureSuite Membership Organisationen, konfigurierte Systeme sicher zu halten. Sie ist eine wichtige Ressource für die Entwicklung einer echten Grundsicherheit im gesamten Unternehmen.

Weitere Informationen :
www.Source-Data.com
.

Ursprünglicher Artikel auf Englisch: https: //www.linkedin.com/pulse/how-choose-ibm-i-iseriesas400-cybersecurity-consultant-bob-losey/