Wie Sie mit Ihrem Security Team über SharePoint reden sollten

security

Wie Sie mit Ihrem Security Team über SharePoint reden sollten

By Jai Dargan & Andrew Huynh | December 02, 2016

Manchmal sieht es so aus, als würden SharePoint Administratoren und Security Teams nicht auf dasselbe Ziel hinarbeiten. Die Personen, die SharePoint verwalten, sind dafür zuständig, eine Kollaborationsumgebung aufzubauen, die die ganzheitliche Produktivität verbessern soll. Das Security Team hingegen muss Risiken minimieren und Sicherheitsverstöße möglichst verhindern.

Da Unternehmen i.d.R. große Mengen sensibler Daten in SharePoint speichern sind beide Aspekte gleichermaßen wichtig für das Unternehmen. Beide Gruppen - das SharePoint-Management sowie die Informationssicherheit - sich enger zusammenschließen, um Konflikte zu vermeiden. Diese Anleitung für eine erfolgreiche Kommunikation soll dabei unterstützen, SharePoint- und die Security Teams in dasslebe Lager zu bewegen. Sobald Sie aufeinander abgestimmt sind, kann Ihr Unternehmen auch SharePoint-Sicherheitslösungen optimaler in Angriff nehmen und festlegen, welche davon zur Erreichung Ihrer Ziele geeignet sind.

Schritt 1: Stellen Sie sicher, dass jeder versteht, was auf dem Spiel steht

Das Security Team ist sich möglicherweise den Gefahren und Compliance-Anforderungen deutlich bewusst, welchen das Unternehmen gegenübersteht. Allerdings sind sie sich vielleicht nicht im Klaren darüber, wie viele sensible Inhalte sich in SharePoint befinden oder wie Nutzer auf diese Daten zugreifen und teilen. Überwachen Sie Ihre Inhalte und teilen Sie die Einzelheiten mit dem Security Team, um das Ausmaß des Risikos zu veranschaulichen, mit dem Sie es zu tun haben.

Schritt 2: Legen Sie einen SharePoint Informations-Steuerungsplan fest

Ihr Security Team verfügt möglicherweise über eine reguläre Schrittfrequenz für interne Sicherheitsprüfungen des IT-Systems. Stellen Sie sicher, dass SharePoint in diesen Prüfungen enthalten ist, damit Sie sich auf externe Prüfungen vorbereiten können. Ebenso wichtig: Legen Sie eine Informations-Steuerungsstrategie fest, welche die Anforderungen des Endnutzers, die Prozesse des Anwendungsmanagements und den Lebenszyklus sensibler Inhalte, die in SharePoint gespeichert sind, miteinander abgleicht.

Die Jahresendplanung ist ein guter Zeitpunkt, um die Informationssicherheitsstrategie neu zu überdenken, so dass Sie 2017 frisch starten können. Gemeinsam mit dem Security Team müssen Sie festlegen, welche Arten von Inhalten Sie schützen möchten. Legen Sie Rollen und Verantwortlichkeiten für die Prüfung, Bewertung der Ergebnisse und den Aufbau einer langfristigen Strategie fest.

Schritt 3: Überprüfen Sie Ihre aktuellen Sicherheitslösungen

Stellen Sie Ihrem Team alle Techniken vor, mit denen Sie momentan SharePoint-Inhalte schützen. Falls Ihre SharePoint-Umsetzung es Ihnen schwermacht, Berechtigungen beizubehalten, Richtlinien durchzusetzen oder mehrere Sites zu verwalten, stellen Sie sicher, dass Ihr Security Team diese Herausforderungen versteht, so dass beide Gruppen eine optimale Lösung finden können.

Auf der anderen Seite könnte Ihr Security Team vorschlagen, dass eine vorhandene Data Loss Prevention (DLP)-Lösung, welche bereits im Unternehmen verwendet wird, auch für die SharePoint-Sicherheit verwendet werden kann. Prüfen Sie die DLP-Lösung des Unternehmens auf Genauigkeit und schätzen Sie auch die Auswirkungen eines DLP-Scannings von SharePoint-Farmen auf den Endnutzer ein. Prüfen Sie nach, ob Ihr Netzwerk langsamer wird, wenn Sie DLP zusätzlich zu SharePoint laufen lassen, oder ob dies zu Timeouts beim Hochladen bzw. Teilen von Dokumenten führt, so dass Nutzer nach anderen Möglichkeiten zur Zusammenarbeit suchen.

Schritt 4: Wählen Sie die beste Sicherheitslösung für Ihre Belange

Wenn Sie sich dafür entscheiden, SharePoint Out-of-the-box-Sicherheitstools zu verwenden, erstellen Sie eine ergänzende Liste von Anforderungen mit Ihrem Sicherheitsteam. Stellen Sie sicher, dass Sie folgenden Fragen hinsichtlich sämtlicher Anbieter stellen, die Sie bewerten:

  • Unterstützt dieser die Compliance-Anforderungen Ihrer Branche, indem bestimmte Arten von Inhalten identifiziert und geschützt werden?
  • Wie hoch ist die Falsch-Positiv-Rate? Zu streng oder zu großzügig?
  • Belastet es das Netzwerk negativ oder hat Einfluss auf die SharePoint-Leistung?
  • Berücksichtigt es den Kontext der Art der Verwendung der Inhalte, wenn unsicheres Verhalten gemeldet wird - nicht nur Berechtigungen oder Inhaltstypen?
  • Wie komplex ist der Roll-Out?
  • Können Sie Anforderungen und Risikobewertungen bearbeiten, um sie an Ihre internen Sicherheitsrichtlinien anzupassen?
  • Wird es Nutzern leicht gemacht, konformes Inhaltsverhalten in Echtzeit einzuhalten?
  • Kann es Downstream Vorsichtsmaßnahmen automatisch ausführen?

Schritt 5: Testen, testen, testen

Kein Plan, keine Lösung und keine Umsetzung ist perfekt. Selbst die besten haben Fehler. Testen ist die einfachste und zielorientierteste Art und Weise, Fehler zu finden, bevor es beim Audit oder externen Teams auffällt. Sobald Ihre Pläne festgelegt sind, bauen Sie Möglichkeiten ein, um die Sicherheitslösungen zu testen, die Sie eingerichtet haben. Notieren Sie sich, wo die Probleme liegen und teilen Sie die Ergebnisse mit dem Security Team.

Unterm Strich

Den Workload des Security Teams zu reduzieren ist der optimale Weg, um abzusichern, dass auch man Teil der Sicherheitsdiskussion ist.
Stellen Sie dem Security Team die Informationen zur Verfügung, die es braucht, um fundierte Entscheidungen zu treffen und ein zuverlässiger Partner in der Entscheidungsfindung zu sein.

Möchten Sie mehr darüber erfahren, wie Sie Ihre SharePoint oder Office 365-Sicherheit verbessern können? In der Aufzeichnung meines Webinars „Designing an Effective Information Governance Strategy Against a Growing Risk Landscape“ vom 17.11.2016 zeige ich Ihnen, wie sie eine effiziente Informations-Steuerungsstrategie aufbauen können, die Ihrem Unternehmen ermöglicht, sicher und Compliant-bezogen zu agieren und dabei einen maximalen ROI bei der Kollaboration und ECM-Systemen zu erzielen.


Jai Dargan

Jai Dargan is a Senior Director of Product Management at Metalogix, where he directs the strategy Metalogix’s security and compliance solutions. In this capacity, Jai guides the direction of Metalogix products aimed at securing content collaboration, including ControlPoint, Sensitive Content Manager, and Insider Threat Index. Prior to Metalogix, Jai was a co-founder at Pim Labs, LLC, a startup company (acquired by Metalogix) that built solutions for securing social networks and sensitive content. He holds a Masters Degree from Georgetown University and an undergraduate degree from New York University.

Written By: Jai Dargan
Andrew Huynh

Andrew Huynh is a Managing Consultant and a Local Practice Lead (Dallas) at Catapult Systems specializing in SharePoint technologies with focuses on migration, governance, information architecture and user adoption. Andrew is also the community leader for the Metalogix Community of Practice (CoP) where consultants come together to learn, share and ask questions regarding Metalogix suite of solutions.

Written By: Andrew Huynh

Leave a Comment

Add new comment