Erweitern Sie die Risikogrenzen auf die Cloud

Cloud Computing ist ein nebulöses Konzept, das sich den Versuchen vieler widersetzt, es überhaupt zu definieren. Verwenden Sie es jedoch müssen wir. Der Geschäftswert wird dadurch gesteigert, und Wettbewerbsvorteile gehen häufig verloren, wenn sie ignoriert werden. Wir müssen also verstehen, wie wir diese aufkommende Technologie sicher in unsere Geschäftsprozesse integrieren können.

Cloud definieren

Aus Gründen der Übersichtlichkeit definiere ich Cloud Computing als jede Infrastruktur oder jeden Service, der von und von einem Drittanbieter bereitgestellt wird und Geschäftsprozesse unterstützt oder bereitstellt. Um den Geschäftswert zu maximieren, sollte es auch On-Demand-Skalierbarkeit und verbesserte Business-Continuity-Prozesse bieten. Beispiele beinhalten:

  • Der Anbieter hat Webdienste entwickelt und gehostet, die in intern entwickelte Systeme integriert sind, auf die jedoch über das Web zugegriffen werden kann
  • Vom Anbieter verwaltete Server, auf denen Anwendungen gehostet werden, die von internen Mitarbeitern entwickelt und verwaltet werden
  • Verschieben kompletter Systeme (z. B. Gehaltsabrechnung, Buchhaltung) auf eine vom Anbieter gehostete Site

Mit zunehmender Reife der Cloud ändern sich die bereitgestellten Dienste und wachsen. Die Grundvoraussetzung ist jedoch, dass es großen Unternehmen Flexibilität und KMU Möglichkeiten bietet, die andernfalls das Budget sprengen könnten.

Es geht nur um Risiko

Aus meiner Sicht als Sicherheitsexperte ist die Bewertung und Verwaltung von Risiken im Zusammenhang mit Cloud-Diensten lediglich eine Anpassung meiner bestehenden Risikomanagementprozesse. Okay, die Antwort ist einfach. Die eigentliche Implementierung erfordert ein wenig Arbeit.

Wenn Sie kein Risikomanagement-Framework haben, ist die Erstellung eines solchen Ihr erster Schritt. Beim Schutz der Daten Ihres Unternehmens geht es darum, das Risiko mit den Geschäftsanforderungen in Einklang zu bringen. Formale Prozesse zur Identifizierung, Minderung und Meldung von Risiken sind erforderlich, wenn Sie mit Geschäftsführern - und Wirtschaftsprüfern - zusammenarbeiten, um das richtige Gleichgewicht zu erreichen. Wenn Sie über ein dokumentiertes Framework verfügen, müssen Sie es nur erweitern.

Abbildung 1 ist ein einfaches Modell der Risikogrenze vieler Organisationen. Sicherheitsanalysten führen Risikobewertungen durch, wenn die IT interne Lösungen entwirft und implementiert. Die verwaltete Risikogrenze stoppt jedoch an der Perimeter-Firewall. Es gibt keine formalen Prozesse zur Modellierung von Bedrohungen, die durch die Verbindung mit Cloud-Dienstanbietern entstehen. Abbildung 1: Interne Risikogrenze Der Weg zur sicheren Cloud-Integration ist die Erweiterung der Risikogrenze (siehe Abbildung 2) . Das Ziel ist nicht, die Cloud als etwas „da draußen“ zu sehen. Es ist vielmehr nur eine weitere Mehrwertkomponente, die mit dem Unternehmen verbunden ist. Die Erweiterung der Risikomanagementgrenze auf alle Services führt zu einem Gesamtplan für die Ermöglichung des Geschäfts. Abbildung 2: Erweiterte Risikogrenze

Die Lücke

Bei der Erweiterung der Risikogrenze geht es nicht nur darum, dieselben Fragen zu stellen. Die Integration der Cloud erfordert zusätzliche Überlegungen, die nur für den Umgang mit Anbietern gelten. Im Folgenden finden Sie eine Liste der Herausforderungen, die ich bei der Bewertung eines Cloud-Dienstanbieters berücksichtige:

  • Hat eine externe Stelle den Anbieter als eine Organisation zertifiziert, die die Sicherheit effektiv verwaltet (SAS 70, ISO 27001 usw.)? Welche internen Kontrollen gibt es? Wie vergleichen sie sich mit meinen internen Kontrollen? Was sind die Lücken und sind die Lücken vernünftig?
  • Um welche Daten handelt es sich? Stellt meine Organisation mehr Daten bereit, als unbedingt erforderlich ist? Was sind die Mindestdatenelemente, die der Anbieter benötigt, und warum?
  • Versteht der Anbieter meine Sicherheitserwartungen? Sind diese Erwartungen im Vertrag enthalten? Welche Sanktionen werden festgestellt, wenn der Anbieter die im Vertrag enthaltenen Sicherheitsformulierungen nicht einhält? Erlaubt mir der Vertrag, meine eigene regelmäßige Prüfung durchzuführen, wie gut meine Daten geschützt sind?

Diese Liste stellt die grundlegenden Fragen. Ich gehe davon aus, dass Sie Ihre Daten bereits während des Transports schützen und über robuste und flexible Zugriffskontrollen verfügen. Wenn nicht, müssen Sie möglicherweise größere Probleme lösen, bevor Sie sich mit der Erweiterung auf die Cloud befassen.

Das letzte Wort

Lauf nicht aus der Cloud. Es ist nicht dein Feind, und du wirst assimiliert. Die Frage ist nicht, ob Sie Cloud-Dienste integrieren werden. Es geht vielmehr darum, wie gut Sie mit dem damit verbundenen Risiko umgehen. Ist jeder Anbieter ein guter Kandidat? Absolut nicht. Die Auswahl eines Cloud-Anbieters ähnelt jedoch der Auswahl eines Anbieters interner Software, Hardware oder Dienste. Verstehen Sie Ihre Bedürfnisse, kommunizieren Sie Ihre Erwartungen und bewerten Sie die Compliance des Anbieters. Melden Sie Ihre Ergebnisse dem Management und arbeiten Sie gegebenenfalls mit dem Anbieter zusammen, um die Kontrollen zu verbessern.

© Copyright 2021 | mobilegn.com