Wie können die hohen Anforderungen einer SOC2-Zertifizierung erfüllt werden? Vor allem, wenn präventive Maßnahmen wie Systemhärtung ein Muss sind. Das hat ESRB mit unserem Härtungstool gemeistert.
Über das ESRB
Das Entertainment Software Rating Board (ESRB) ist die gemeinnützige Selbstregulierungsbehörde der Videospielbranche, die Videospielen und Apps Alters- und Inhaltsbewertungen zuweist. Damit können Verbraucher – insbesondere Eltern -, fundierte Entscheidungen darüber treffen, welche Apps und Games für sie angemessen sind.
Die Ausgangslage
Um kritische Systeme und Infrastrukturen zu sichern, ist es unbedingt notwendig, das Sicherheitsniveau zu erhöhen. Deshalb führte ESRB ein Informationssicherheitsmanagementsystem (ISMS) ein, welches zertifiziert werden musste. Diese Zertifizierung sollte über den SOC2-Standard erfolgen.
Um die Informationssicherheit zu erhöhen und die entsprechenden Anforderungen im technischen Umfeld zu erfüllen, entschied sich ESRB unter anderem für die Professionalisierung der eigenen Systemhärtung (“System Hardening”).
Ziel des Projektes war es, die Windows-Server- und Windows-Workstation-Infrastruktur umfassend mit einer industrieerprobten, zentral verwaltbaren Systemhärtung auszustatten. Zusätzlich sollte es möglich sein, die sicheren Konfigurationen fortwährend zu überwachen, um Anomalien auf Konfigurationsebene zu erkennen.
Eine weitere Anforderung war das Timing: Aufgrund des SOC2-Zertifizierungsprozesses fiel der Zeitplan sehr knapp aus.
Was umfasst eine SOC2-Zertifizierung?
SOC2 (System and Organization Controls) ist ein Compliance-Standard für Dienstleistungsunternehmen, der vom American Institute of Certified Public Accountants (AICPA) entwickelt wurde. Dieser legt fest, wie Unternehmen ihre vertraulichen und sensiblen Daten verwalten sollen.
Der Standard basiert auf den folgenden TSC (“Trust Services Criteria”):
-
-
-
- Sicherheit
- Verfügbarkeit
- Integrität der Verarbeitung
- Vertraulichkeit
- Datenschutz
-
-
Ein SOC2-Bericht wird auf die individuellen Bedürfnisse zugeschnitten. Das heißt, jeder kann Controls entwickeln, die einem oder mehreren Vertrauensprinzipien folgen.
Die internen Berichte liefern den Aufsichtsbehörden, Geschäftspartnern und Lieferanten wichtige Informationen darüber, wie ein Unternehmen oder eine Organisation seine Daten verwaltet.
Die Lösung
ESRB beschloss, ein modernes Härtungstool zu verwenden und die manuelle Konfiguration von hunderten Einstellungen zu vermeiden. Der Enforce Administrator bietet genau das, was die Organisation benötigt.
Dank der #NoCodeHardening-Technologie ist ESRB in der Lage, die Systemhärtung auf bequeme Art und Weise durchzuführen. Die Härtung erfolgt auf Basis verschiedener, etablierter Standards, zum Beispiel nach den Empfehlungen von CIS und den Microsoft Hardening Baselines.
Das alles ist möglich, ohne die Nachteile einer GPO-basierten Konfiguration in Kauf nehmen zu müssen oder eine Zeile Skript-Code zu schreiben. Denn die Hardening-Konfiguration wird zentral über die intuitive Web-Oberfläche des Enforce Administrators konfiguriert – hier können auch verschiedenen Hardening-Konfigurationen in eine verschmolzen werden. Die Verteilung und das Rollout übernimmt dann das Security Configuration Management Tool.
Darüber hinaus sorgt der Enforce Administrator als Hardening-Tool für “selbstheilende Systeme”: Abweichungen werden automatisch erkannt, korrigiert und über ein Reporting-System transparent gemacht.
Die Implementierung
Das Team der FB Pro unterstützte ESRB (USA) bei einer phasenorientierten Implementierung des Enforce Administrator in die bestehende Infrastrukturlandschaft. Im ersten Schritt haben wir Testsysteme mit einer Basis-Hardening-Konfiguration versehen, anschließend testeten wir geschäftsrelevante Anwendungen und Dienste.
Nach der Freigabe wurde ein Pilot-Rollout durchgeführt, gefolgt vom Flächen-Rollout. In allen Phasen arbeiteten die Experten der FB Pro eng mit den IT-Profis von ESRB zusammen.
Das Ergebnis
Die IT-Systeme von ESRB sind nun dauerhaft so konfiguriert, wie es externe Empfehlungen und unternehmensinterne Vorgaben erfordern. Dadurch wird nachhaltig und nachweislich das Niveau der Informationssicherheit bei ESRB erhöht.
Darüber haben die IT-Verantwortlichen beim ESRB jetzt die Möglichkeit, schnell und einfach die regulatorischen Nachweise für die Umsetzung der technischen Maßnahmen “Systemhärtung” zu erstellen.
Dazu Andrew S. Baker, ein von ERSB beauftragter externer Informationssicherheitsberater:
“Systemhärtung hilft uns, die IT-Systeme effektiv zu schützen – und das nachweislich nach gängigen und bewährten Standards. Gerade in Anbetracht der steigenden Anforderungen an die Informationssicherheit und der bevorstehenden SOC2-Zertifizierung hat uns der Enforce Administrator sehr geholfen, die geschäftsrelevanten Compliance-Ziele zu erreichen.”
Über uns
Die FB Pro GmbH sorgt bei seinen Kunden für Informationssicherheit, Datenschutz und Compliance auf dem höchsten Niveau. Hierfür setzt unser Team unter anderem auf Lösungen wie die Enforce Suite, welche wir bei unseren Kunden implementieren.
Zudem übernehmen wir bei unseren Kunden auch gerne die Betreuung im Rahmen unseres “Managed Service”. Haben Sie Interesse an solchen Lösungen? Melden Sie sich ganz unverbindlich bei uns!
Image by Freepik & ESRB