Discover Performance

Da Sicherheitsverfahren in der Cloud noch ganz am Anfang stehen, sollten CIOs und CISOs Sicherheitsrisiken proaktiv bewerten und managen.

Die Chancen, die Cloud-Lösungen bieten, sind noch im Wachsen begriffen, ebenso wie die Anzahl der Unternehmen, die Cloud-Lösungen einführen. Unternehmen müssen die Kosten reduzieren und/oder Innovationen fördern. Gleichzeitig stellt die Sicherheit für viele Unternehmen weiterhin ein Problem dar. Die Positionierung von Cloud-Anbietern und Cloud-Kunden in puncto Sicherheit ist noch im Entwicklungsstadium, und Best Practices und Richtlinien stehen noch am Anfang.

Die Sicherheit wird von Führungskräften regelmäßig als eines der drei größten Probleme genannt, wenn sie gefragt werden, warum sie kritische Daten nicht in die Cloud übertragen möchten. Wie also kann Ihr Team bei der Bewertung von Cloud-Alternativen das Thema Sicherheit angehen, wenn die IT von den Vorteilen profitieren soll, die Cloud-Anwendungen und die Cloud-Infrastruktur bieten?

1. Messen Sie die Compliance des Anbieters mit Standards und Best Practices für Sicherheit.
Optimal wäre ein direktes Audit der IT-Anbieter, wobei jeder Aspekt der Compliance bei der Sicherheit in der Cloud mit einem Industriestandard verglichen wird. Aber direkte Audits werden fast nie zugelassen, und Industriestandards sind noch in der Entwicklung begriffen. Die zweitbeste Lösung wäre eine bestätigte Compliance – aber mit welchen Standards? Es gibt ISO 27001, die CSA (Cloud Security Alliance) und eine Reihe von Richtlinien auf Best-Practice-Ebene wie SAS 70 – aber das ist im Moment auch alles.

Wie sieht der beste Ansatz für Sie aus? Suchen Sie zunächst nach einem ISO-zertifizierten Anbieter – das ist das wichtigste Kriterium. Besprechen Sie mit dem Anbieter die CSA-Empfehlungen, SAS 70 und andere Richtlinien, die für Ihre speziellen Anwendungsfälle wichtig sind.

Der zentrale Punkt ist, dass Ihnen oder Ihrem Sicherheitsverantwortlichen klar sein muss, was für Ihr Unternehmen in Bezug auf Sicherheit am wichtigsten ist. Diskutieren Sie diese Punkte mit dem CISO des Anbieters.

2. Wägen Sie die Wichtigkeit Ihrer Daten gegenüber den potenziellen Sicherheitsrisiken ab.
Bestimmte Typen sensitiver Daten – HR-Dateien, Krankheits- und Gehaltsdaten, vertrauliche Produktpläne – sind hohen Risiken ausgesetzt, wenn sie über unsichere Lösungen genutzt werden. Sie können das Risiko minimieren, wenn Sie Ihre Daten in eine Skala von extrem kritisch bis hin zu öffentlich einordnen und anschließend festlegen, wo die Daten gespeichert werden sollen, wie lange sie geschützt werden müssen und welche Schutzmaßnahmen geeignet sind. Vergleichen Sie den geschäftlichen Nutzen mit den Risiken.

3. Erstellen Sie ein internes Team, das für die kontinuierliche Risikobewertung zuständig ist.
Viele Unternehmen haben festgestellt, dass die Schaffung eines internen Teams speziell für diese Aufgabe der beste Weg ist, um eine ad hoc Risikobewertung zu vermeiden. Unternehmen, die aufgrund gesetzlicher Bestimmungen bereits über externe und interne Auditfunktionen verfügen, können die Cloud-Risikobewertung in diese Prozesse integrieren.

Dies bedeutet nicht notwendigerweise mehr Bürokratie – es soll nur sichergestellt werden, dass jemand die Verantwortung trägt und auch über die Kenntnisse verfügt, um dieses Problem im Auge zu behalten. Diese interne IT-Sicherheitsebene kann proaktive Risikobewertung und Empfehlungen für das gesamte Unternehmen bereitstellen. Versuchen Sie, die manuellen Schritte und/oder sich wiederholende Tätigkeiten bei diesen Verfahren soweit wie möglich zu automatisieren, um die Effizienz zu erhöhen und Fehler zu vermeiden.

4. Erläutern Sie Ihren Mitarbeitern, wie die Cloud die Rolle der IT-Sicherheit verändert.
Sicherheit geht jeden an – und jeder ist für die Sicherheit verantwortlich. Dies war schon immer der Fall; die Cloud unterstreicht diese Tatsache nur. Unternehmen jeder Größe müssen die potenziellen Geschäftsrisiken verstehen, die mit unsicheren Anwendungen und Daten verbunden sind. Sie müssen unbedingt sicherstellen, dass jeder Mitarbeiter sich der Folgen bewusst ist, die das Speichern kritischer Geschäftsdaten in einem Cloud-Kontext mit zu geringer Sicherheit nach sich zieht. Die gesamte Denkweise muss sich von der „Kontrolle der Sicherheit“ hin zu der „Governance von Sicherheit und Risiken“ verschieben. Dies bedeutet proaktives statt reaktives Handeln – die Erstellung von Governance-Prozessen zur Vermeidung von Problemen, sodass diese gar nicht erst entstehen.

Wir alle wissen, dass die Beschaffung von cloudbasierten Services in Unternehmen heute sehr einfach und gängig ist. Die Mitarbeiter müssen jedoch gut überlegen, bevor sie Cloud-Services einkaufen und Daten in der Cloud speichern oder gemeinsam nutzen. Wenn Sie die Rolle des CISO/Sicherheitsteams in der Cloud-Umgebung eindeutig definieren und Best Practices zur Vermeidung von Risiken erstellen, ist Ihnen die Unterstützung der Mitarbeiter so gut wie sicher.

Die Rolle des CISO
Das Aufkommen von Cloud-Lösungen ist einer der Faktoren, die die Rolle von IT-Sicherheitsteams neu definieren. In der Vergangenheit wurde die Sicherheit häufig erst am Ende des Prozesses als zusätzlicher Schritt berücksichtigt. Heute tendiert man eher dazu, die Sicherheit von Anfang an zu integrieren. Bei den oben beschriebenen Schritten werden Führungskräfte aus dem Sicherheitsbereich in den frühen Stadien des Prozesses einbezogen – anfängliche Bewertung der Cloud-Optionen, interne Aufklärung und kontinuierliche Beurteilung des Risikomanagements und der Compliance-Anforderungen.

Diese Vorgehensweise unterstreicht einen positiven Nebeneffekt der Cloud: Sie zwingt Unternehmen zu einem breiteren, effektiveren Ansatz für die Risiko-Governance.

Weitere Informationen zu Sicherheitslösungen für die Cloud finden Sie unter hp.com/go/cloud. Beachten Sie auch die Informationen zu SaaS (Software-as-a-Service) unter hp.com/go/saas.