In Funktionen denken, nicht in Systemen!

10 Gründe, warum Funktionen Security machbarer machen

Wenn Sie 2020 nur eine einzige Änderung an Ihrem Umgang mit Security vornehmen wollen, nehmen Sie diese: Hören Sie auf, in einzelnen Systemen, in “Klötzchen” zu denken. Denken Sie in Funktionen.

Und zwar konsequent. Konsequent heißt nicht, einmal am Anfang der Risikoanalyse die kritischsten Funktionen aufzuschreiben —die dann irgendwo auf dem geduldigen Papier verstauben.

Konsequent heißt, im Alltag in jeder Security-relevanten Entscheidung in Funktionen zu denken. Ihre wichtigsten Funktionen so präsent zu haben, dass Sie sie herunterrattern und aufzeichnen könnten, wenn Sie nachts um Drei geweckt würden.
Konsequent heißt, weniger über Server X und Steuerung Z zu reden, sondern über die Funktion die die beiden (wahrscheinlich zusammen mit ein paar weiteren Systemen) erfüllen. Konsequent heißt, nicht Systeme zu schützen, sondern Funktionen.

Wie geht das und was bringt mir das? Unten steht meine beste Argumentsammlung pro Funktionen weiß auf blau auf einen Blick.

Hier gibt’s die Langfassung.

Um die Sache abzurunden:

Damit Sie nicht auf die Idee kommen, mit Ihrem neuen Funktionsdenken wären Sie ein einsamer Pionier, zum Schluss drei Beispiele für Security-Methoden, die Funktionen als zentrales Element verwenden:

• INL’s Consequence-based, cyber-informed Engineering (CCE) nennt die Identifikation der “critical functions” als ersten Schritt.
• In der Standardreihe IEC 62443 für Industrial automation and control systems (IACS) security kennt “essential functions” als ein Kernkonzept.
• Systems Engineering (ISO/IEC 15288:2015) arbeitet grundsätzlich mit Funktionen:

A system can be viewed […] as a collection of functions capable of interacting with its surrounding environment.

— ISO/IEC 15288:2015