Was ist eine Single Source of Truth?
„Eine Single Source of Truth (SSOT) oder ins Deutsche übersetzt eine einzige verlässliche Informationsquelle ist ein Konzept, das Organisationen in ihrer IT-Infrastruktur einsetzen können, um sicherzustellen, dass alle Mitarbeiter auf dieselben Daten zugreifen, wenn sie für das Unternehmen relevante Entscheidungen treffen sollen. Das Ziel ist dabei, den Angestellten eine konsolidierte Ansicht der Daten zu präsentieren, die in manchen Fällen auch eine Single Version of the Truth oder eine Golden Record genannt wird.“
(Quelle)
Typische Herausforderungen aufgrund derer Überlegungen zur Einführung einer vereinheitlichten Datenquelle angestellt werden sind:
- Redundante Records mit widersprüchlichen Updates
- Zeitverzögerungen bei der Distribution von Informationen
- Datensilos (Folge: Wissenssilos): Unmöglichkeit eines Austauschs/ Zugriffs für andere
- Fehler / Kosten aufgrund von Fehlern oder Komplexität
Wie hilft eine Single Source of Truth im Incident- und Krisenmanagement?
Besonders im Bereich der Unternehmenssicherheit leuchtet ein, dass fehlende, falsche oder zu späte Information sowie informationsinduzierte Fehler extrem teuer werden können. Auch die nicht-materiellen Folgen können fatal sein. Nicht zuletzt führen auch hier Komplexität und Silos zu erschwerten Abläufen und Prozessen.
PREVISEC reduziert diese Risiken indem allen Beteiligten im Kontext von sicherheitsrelevanten Ereignissen (ganzheitlich definiert) eine Single Source of Truth bereitgestellt wird. Hier stehen für di verschiedenen Stakeholder alle Informationen validiert und in Nahzeit auf Basis eines Need-to-Know-Konzepts zu Verfügung. Die gemeinsame Arbeit an Vorfällen in einer SSOT beschleunigt Lösungen, schafft Zuverlässigkeit und Sicherheit und senkt Risiken. Zudem bietet sie weitergehende Möglichkeiten auf der Datenbasis aufzubauen, wie zum Beispiel bei der Incident Automation.
Wie errichtet PREVISEC eine Single Source of Truth?
PREVISEC errichtet die zentrale Datenquelle durch einen Mix: Einerseits werden Daten aus bestehenden Informationsquellen und Prozessen extrahiert und auf der Plattform aggregiert. Im Wesentlichen spielt hier die Verfügbarmachung von Informationen die übergeordnete Rolle. (Beispiel: Ein fachfremder Manager aus der Kommunikation wird keine tiefgreifenden Kenntnisse über das SIEM eines Unternehmens haben. Dass SecOps hier Updates über einen Vorfall nachhält ist also nur teilweise hilfreich). Das Ziel ist hier möglichst alle Stakeholder einfach zu bedienen und die Informationen konsumierbar und „actionable“ zu machen.
Auf der anderen Seite stellt PREVISEC eigene Funktionen wie ein Incident Reporting bereit, um möglicherweise fehlende Daten selbst kollaborativ generieren zu können. Informationen zum Reporting bzw. der Incident Collection finden Sie unter dem Link unten.