CASB Cloud-Dienste Bewertungen sind eine wichtige Erweiterung zu Cloud Security & Risk Frameworks

/Blog
Erstellt von Orkan Yoksulabakan, Senior Information & Cyber Security Consultant

Die Migration in die Cloud heisst Herausforderungen bewältigen. Risk Assessments sind für die Einführung von verschiedenen IT-Diensten notwendig. Insbesondere gilt dies für die Migration in die öffentliche Cloud, die eigene Herausforderungen mit sich bringt. Technische Fachleute, die für das Security & Risk Management verantwortlich sind, sollten ein Rahmenwerk nutzen, um ihre Risk Assessments für Public-Cloud Bereitstellung zu standardisieren.

Die Nutzung eines Cloud-Anbieters kann risikobehaftet sein, wenn es im Unternehmensteam an Erfahrung für Cloud-Dienste mangelt. Dies kann zu Fehlkonfigurationen führen, etwa zu versehentlichem Freilegen von Daten und Anwendungen für die Öffentlichkeit. Risiken bei der Einführung von Cloudsystemen werden vielfach im Beschaffungsprozess zu spät erkannt, oder sie werden erst nach Beginn des Übergangsprojekts aufgedeckt, beispielsweise bei der Betriebseinführung. Basis effizienter und effektiver Risikobewertung ist das Verständnis der Risiken, die für das Unternehmen relevant und wichtig sind. Dieses Verständnis setzt man unmittelbar ein, um die Unternehmensressourcen gezielt auf die Bewältigung der Risiken zu konzentrieren.

Bewertungen nehmen eine zentrale Schlüsselrolle bei der Verringerung der Risiken von Integrationsprojekten ein. Sie dürfen jedoch nicht zu Zeitreduktion oder sinnlosen Einhaltungsritualen führen. Eine optimale Risikobeurteilung nützt deswegen die Vorarbeit, welche im Rahmen einer Sicherheitsbewertung durch vertrauenswürdige Dritte bereits geleistet wurde. 

Risiken von Cloud-Services richtig einschätzen

CASB Systeme (Cloud Access Security Broker) erkennen die Nutzung von Cloud-Diensten mithilfe von Firewall- und Proxy-Protokollen, da sie detaillierte und aktuelle Register sehr vieler Cloud-Dienste führen. CASB-Lösungen renommierter Hersteller ermöglichen es Unternehmen zudem, das Risiko eines beliebigen Cloud-Service zu bewerten. Dafür stellen sie eine Risikoeinstufung bereit, die anhand von verschiedenen Attributen und mehreren Unterattributen berechnet wird. Ein Beispiel für zu vermeidende Risiken ist, wenn der Service das Recht des Eigentümers an hochgeladenen Daten überschreibt, und der Service Kundendaten ohne Genehmigung an Dritte weitergibt.

Diese Bewertungen werden in der Regel von Risk Managern und Fachleuten manuell per Fragebögen oder Audits ermittelt. Dies erfolgt, bevor sie Cloud-Dienste zulassen. Die Bewertungsvorgänge lassen sich durch die Verwendung einer Cloud-Registry mit aktueller Cloud Information drastisch beschleunigen.
 

Vorhandene Lösungen sinnvoll einbringen

Wichtig hierbei ist jedoch, die Risk Scoring Architektur und Attribute mit dem vorhandenen oder einem zu entwickelnden Cloud Security & Risk Framework in Einklang zu bringen. Die Grobbeurteilung und die darauffolgenden detaillierten Analysen sollten möglichst mit einem integralen Ansatz bewerkstelligt werden. Diese Vorgehensweise standardisiert die Entwicklung eines unternehmensweiten Frameworks, und bereits vorhandene technische Lösungen lassen sich zugleich effizient und sinnvoll einbringen. Inbegriffen sind ihre mitgelieferte Knowledge Bases, welche durch Cyber Security Experten erstellt und ständig weiterentwickelt werden.

Zusammen. Sicher.

Generell ist in diesen Prozessen der Rückgriff auf spezialisierte und erfahrene Berater zu empfehlen. Cloudservices bergen immer die Chance, Kosten zu sparen, im Unternehmen vorhandene Intelligenz zu verwerten und Mehrwerte zu generieren. Bei der Vorbereitung und Einführung hilft der Rat von den Spezialisten der ISPIN – er spart in der Regel Zeit und verringert die Aufwände.

Kontaktieren Sie uns für ein persönliches Gespräch.
 

ContactKontaktNewsletterGo to top