Schnelle, sichere und regelkonforme IT-Lösungen durch Automatisation

IT-Compliance: Entwicklungs- und Herstellungsprozesse optimieren, ohne bestehende Regeln zu brechen.

Autor: Cyrill Rüttimann

Der Abgasskandal rund um die Dieselfahrzeuge ist ein gutes Beispiel um Compliance zu erklären. Um Innovationen schneller als die Konkurrenz auf den Markt zu bringen, wird an der Effizienz des Entwicklungs- und Herstellungsprozesses optimiert. Gleichzeitig müssen die Autohersteller aber immer strengere Regeln erfüllen. Das verlangsamt und verteuert die Prozesse.

VW hat die Compliance ausgehebelt, indem die Regeln anders interpretiert und bewusst verletzt wurden. Die Herausforderung der Compliance ist für alle Branchen dieselbe. Nur der Grad des Wettbewerbs und die jeweiligen Regeln sind unterschiedlich. Beispiele für regulatorische Auflagen und Best Practices, welche die IT-Infrastruktur betreffen:

  • PCI im Finanzsektor
  • SOX im Finanzsektor
  • HiPPA im Medizinalbereich
  • CIS, Best Practices für Cyber-Security

Agile Software-Entwicklung beschleunigt die Entwicklung von Lösungen

Die agile Softwareentwicklung ist das anerkannte Instrument, um schnell auf Kundenbedürfnisse reagieren zu können. Dauerten früher Entwicklungszyklen Monate oder Jahre, sind es heute Tage oder Wochen. Die agile Softwareentwicklung hat jedoch keine Antwort auf die Integration von nicht funktionalen Anforderungen aus dem Betrieb oder der Sicherheit. Die agile Softwareentwicklung stellt lediglich eine Disziplin im gesamten Entwicklungsprozess dar.

Blog_IT-Compliance.png
Abbildung 1: Der Entwicklungsprozess um eine Idee in eine Lösung umzusetzen involviert mehrere Teams und Disziplinen. Der Betrieb oder die Security müssen ebenfalls zur Lösung beitragen. Umso später sie ihre Anforderungen durchsetzen, umso teurer wird die Lösung und umso später kann diese ausgeliefert werden.

Compliance ist ein Bremsklotz

Eine Lösung ist compliant, wenn sie den Regeln entspricht. Dazu wird die Lösung bzw. das Produkt einem Audit unterzogen. Dabei muss die Einhaltung des Regelwerks belegt werden können. Das sind aufwändige und manuelle Prozesse. Unter anderem auch, weil Regeln in schriftlicher Form unterschiedlich ausgelegt werden können. Und bei jeder Anpassung des Regelwerks oder der Lösung müssen diese Prozesse durchlaufen werden. Das wirkt den Errungenschaften der agilen Software-Entwicklung entgegen. Compliance wird als Bremsklotz und Verhinderer verstanden.

Compliance ernst nehmen

Der Abgasskandal hat gezeigt, dass das Aushebeln der Compliance schwerwiegende Folgen haben kann. Der Imageverlust und rekordhohe Bussen können eine Firma in kürzester Zeit in den Ruin treiben und den Börsenwert vernichten. Haben Sie sich auch schon hinterfragt, ob Ihre Produkte und Dienstleistungen wirklich compliant sind? Oder wurde die Compliance bewusst oder unbewusst ausgehebelt, um der Geschwindigkeit den Vorzug zu geben? Glauben Sie mir, das nächste Audit kommt bestimmt. Und jemand muss für entdeckte Verletzungen die Verantwortung übernehmen.

Integration von Compliance in den Entwicklungsprozess: Schnelle Entwicklung ohne Regelverstoss

Mit der Lösung Chef Compliance kann die Sicherstellung von Compliance der IT-Infrastruktur automatisiert im Entwicklungsprozess integriert werden. Mit dieser Lösung wird die Compliance-Prüfung und das Audit bei jeder Anpassung am Produkt automatisch durchgeführt. Ein Dashboard visualisiert die automatisiert geprüfte Compliance.

blog_it-compliance_dashboardChefCompliance-1.png
Abbildung 2: Das Dashboard von Chef Compliance visualisiert den Zustand der IT-Infrastruktur bezüglich der Compliance.

Die Implementation erfolgt in 4 Schritten:

  1. Analyse – Das Regelwerk analysieren und die für die Unternehmung zu erfüllenden Regeln ableiten. Die Regel beschreibt den gewünschten Zustand.
  2. Spezifizierung – Den gewünschten Zustand in einer formalen Sprache ausdrücken. Das Resultat sind formale Regeln.
  3. Testen – Die formalen Regeln werden als automatisierte Tests gegen das zu entwickelnde System ausgeführt. Die Tests zeigen auf, wo die Compliance nicht erfüllt wird. Es folgen mehrere Entwicklungszyklen, bis die Compliance erfüllt ist.
  4. Zertifizierung – Der Compliance Review wird anhand der Tests durchgeführt. Die Freigabe erfolgt manuell oder automatisch.

Dieses Vorgehen ermöglicht allen Beteiligten (Software-Entwickler, System Engineers, Security Engineers), Compliance nach klaren Regeln umzusetzen. Die Automatisierung erlaubt die Auswirkung von Anpassungen auf die Compliance jederzeit mit minimalem Aufwand zu testen. Der Compliance Officer wird in eine neue Rolle gehievt: Er ist nicht mehr der unbeliebte Polizist, der manuelle Stichproben macht und reaktiv auf Compliance-Verletzungen reagiert. Stattdessen spezifiziert er proaktiv Regeln, damit der Entwicklungsprozess langfristig und verlässlich die Compliance erfüllt.

Das Resultat

Entwicklungs- und Herstellungsprozesse werden optimiert, ohne bestehende Regeln zu brechen. Wir haben in den letzten Monaten anhand des VW-Skandals verfolgen können, welche Konsequenzen sich somit vermeiden lassen.