Buchrezension: Visible Ops Security: Achieving Common Security And IT Operations Objectives in 4 Practical Steps von Paul Love, Gene Kim und George Spafford

Das Buch  Visible Ops Security: Achieving Common Security And IT Operations Objectives in 4 Practical Steps* von Paul Love, Gene Kim und George Spafford ist eine Anleitung für das Einführen einer systematischen IT Security in einem Unternehmen und baut auf The Visible Ops Handbook* auf.

In dem Buch werden vier aufeinander aufbauende Phasen für die Einführung vorgestellt.

Die erste Phase umfasst die Erhebung eines Lagebildes, die Zusammenarbeit mit dem Change Management, die Einführung von Zugriffsbeschränkungen und die Beschreibung des Umgangs mit Sicherheitsproblemen und einer “Erstreaktion”.

In der zweiten Phase werden die geschäftskritischen IT-Risiken ermittelt und besonders sensible Systeme sicherer gemacht.

Die dritte Phase dient der Entwicklung und Implementierung von Kontrollmechanismen für die Einführung neuer Software. Hierzu wird die enge Zusammenarbeit mit den Bereichen Interne Revision, Projektmanagement und Release-Management gesucht. Ziel ist, die IT-Security in den Development Life Cycle zu integrieren.

In der vierten und letzten Phase geht es schließlich um die Festigung und kontinuierliche Verbesserung dessen, was in den ersten drei Phasen erreicht wurde, unter anderem auch durch die Einführung von aussagekräftigen Kennzahlen.

Das kurze Buch hat ein ähnliches “Strickmuster” wie das Visible Ops Handbook und ist leicht verständlich. Amüsant fand ich die “Muster-Telefongespräche”, um informell Kontakt zu relevanten Personen aufzunehmen, die stets mit “Sie sind es doch bestimmt auch Leid, dass …” beginnen.
Ich denke, dieses Buch kann eine Starthilfe beim Aufbau einer IT-Security sein, ersetzt aber keinesfalls weitergehende Dokumentation.