Die Verlagerung der IT eines Unternehmens in die Cloud wird für viele Unternehmen als vernünftig angesehen, da sie viele Vorteile bietet, darunter Kosten, Platzeinsparungen, reduzierte Mitarbeiterzahl und Leistungsboni. Bewährte Sicherheitsparadigmen werden jetzt als nicht vollständig geeignet angesehen, wenn Cloud-basierte Operationen involviert sind. Aber ist dies der Fall? Gibt es Trends, die ein verbessertes Sicherheitsmanagement und damit eine Verbesserung der Sicherheitslage bieten könnten?
Obwohl sowohl für die physische als auch für die virtuelle IT-Welt eine gute Auswahl an Überwachungs- und Verwaltungstools verfügbar ist, werden die meisten dieser Tools in den Zuständigkeitsbereich des Cloud-Betreibers oder seiner Auftragnehmer fallen, nicht des Endkunden.
Welche Aspekte der IT-Sicherheit kann ein Kunde vernünftigerweise kontrollieren und wie könnte diese Kontrolle ausgeübt werden?
Der Ausgangspunkt für die Sicherheitsgruppe ist, die Schlüsselbereiche der Unternehmens-IT zu identifizieren, wo sie sich befindet und zu welchem Zweck (AAA, E-Mail, Firewall usw.), welche Technologie verwendet wird und zu identifizieren, wer was besitzt und verwaltet.
Nach dieser IT-Mapping-Übung sollte die Entwicklung eines umfassenden und vollständigen Datenbestandsregisters erfolgen, aus dem hervorgeht, wo sich alle Daten befinden, wem die Daten gehören, welchen Wert die Daten haben, wer (oder was) auf die Daten zugreifen kann und zu welchem Zweck.
Diese beiden Aufgaben würden dann in eine umfassende Risikoanalyse und eine Karte einfließen, aus der hervorgeht, wer welche Kontrolle über die verschiedenen Teile hat. Wir identifizieren, wo ein Unternehmen direkte Kontrolle hat, wo es indirekte Kontrolle hat und wo es keine Kontrolle hat.
Direkte Kontrolle
Hier besitzt (oder mietet) ein Unternehmen ein Gerät und trägt die direkte operative Verantwortung für dessen Wartung und Verwaltung. Hier benötigt das Unternehmen umfassende und aktuelle Richtlinien und Verfahren sowie entsprechend geschultes Personal.
Indirekte Kontrolle
Dies ist der Fall, wenn das Unternehmen ein Gerät oder einen Dienst verwendet, das einem Dritten gehört und von ihm betrieben wird, wie es im Allgemeinen bei Cloud-basierter IT der Fall wäre. Hier benötigt das Unternehmen den Servicevertrag, um die Sicherheitsanforderungen des Unternehmens umfassend abzudecken, was wahrscheinlich am besten mit einem Anhang erreicht werden kann, der aktualisiert werden kann, ohne dass eine Neuverhandlung des Hauptvertrags erforderlich ist. Eine solche Sicherheitsanforderung sollte Mechanismen und Verfahren zur Meldung von Vorfällen beinhalten.
Es sollte beachtet werden, dass ein Cloud-Service-Anbieter im Allgemeinen eine Reihe von Funktionen und Diensten hat, die er von anderen Dritten mietet oder mietet, und der Vertrag muss angeben, wie diese Dienste oder Einrichtungen von dem lauten Anbieter verwaltet werden. Auch die sehr großen Cloud-Unternehmen werden eine Reihe von Betriebszentren in verschiedenen Teilen der Welt haben und ein „Follow the Sun“-Managementschema verwenden. Die Personalüberprüfung entspricht möglicherweise nicht in jedem Land dem gleichen Standard, und häufig könnten Auftragnehmer eingesetzt werden, und auch hier müssen die Überprüfungsverfahren im Hauptvertrag (oder Vertragsanhang) geregelt werden.
Keine Kontrolle
Hier muss das Unternehmen Maßnahmen ergreifen, um die Sicherheit dort zu gewährleisten, wo es keine Kontrolle hat. Ein gutes Beispiel ist die Verwendung von Ende-zu-Ende-Verschlüsselung, wenn Daten über das Internet oder andere Netzwerke von Drittanbietern übertragen werden.
Abschließend, ohne den Wert der von Ihrem Unternehmen gespeicherten und/oder verarbeiteten Daten zu kennen, wo sich die Daten befinden und wer oder was auf die Daten zugreifen darf und zu welchem Zweck. Sie können realistischerweise keine effektive Risiko- und Bedrohungsanalyse Ihrer IT durchführen, und ohne diese Risiko- und Bedrohungsanalyse und ein umfassendes Verständnis Ihrer IT-Landkarte und ihrer Lieferketten können Sie das, was unter Ihrer direkten und indirekten Kontrolle steht (die IT-Landkarte), nicht effektiv durchführen sichern Sie Ihr Unternehmen und seine Daten.
