Cloud Security & Risk Framework hat höchste Bedeutung bei der Auswahl von Cloud-Diensten


Erstellt von Orkan Yoksulabakan, Senior Information & Cyber Security Consultant

Cloud-Dienstleistungen eröffnen Unternehmen neue Möglichkeiten für innovative Geschäftsmodelle und effizientere Prozesse. In verschiedenen Branchen ist die gezielte Migration der Infrastruktur von On-Premise-Systemen in eine Cloud-Umgebung dringend geboten: Sie verbessert die Wettbewerbsfähigkeit nachhaltig.

Für Unternehmen gibt es viele Beweggründe, die IT zu optimieren. Im Zuge dessen kann auch die strategische Anpassung von IT-Dienstleistungen unter global einheitlichem Trend sehr sinnvoll sein. Jedoch nehmen manche Fachabteilungen den Versuch zur Einführung und Umsetzung einer Cloud Strategie extrem kritisch und eventuell überzogen wahr. Gerade Datenschutzbeauftragte, Rechtsvertreter, Compliance Manager und ebenso manche IT-Verantwortliche sind bei diesem Thema stark sensibilisiert. Das Empfinden, man stehe vor einer «Französischen Revolution in der IT», schafft gerade anfangs signifikante Hürden. 

Klarheit nach innen und aussen

In der Praxis können die Experten von ISPIN beruhigen: Die im Unternehmen zu erwartenden Wandlungen sind nicht ansatzweise so schmerzhaft, wie der Vergleich mit der Geschichte nahelegen könnte. Allerdings benötigt jede Strategie in ihrer Umsetzung naturgemäss ein Kontrollsystem. Dieses kann mithilfe eines Rahmenwerks entsprechende Signale im Bereich Security, Risk & Compliance verarbeiten und notwendige Weichen für die Entscheidungsfindung stellen. 
Bereits eine grundsätzlich einfache Anfrage kann Fallstricke bergen, wenn das Unternehmen sich über wesentliche interne Kriterien nicht im Klaren ist. Dies trifft etwa bei einer Bedarfsmeldung zu einer Lösung zu, die sich als eine SaaS Applikation entpuppt. Das Unternehmen muss definieren, welche Daten schlussendlich über diesen Cloud-Dienst verarbeitet werden, wo die Daten in welcher Weise liegen werden, und wie der Cloud Service Provider angenommen wird. Ist er generell ausreichend kooperativ, wie vertrauenswürdig wird er sein, wenn es um die Anpassung und Integration in eigene IT-Betriebsprozesse geht?

Aufwand und Ertrag im Einklang

Plötzlich ist es notwendig, Anforderungen festzulegen. Problematisch dabei ist, wenn diese in einem Schnellschuss in unstrukturierter Form aus unterschiedlichsten Unternehmensbereichen kommen. Zum Teil werden sie intensiv und durchdacht eingereicht, zum Teil aber auch in gröberer Form. Weiterhin versucht man unter Umständen, interne Kontrollen auf die neue Situation anzuwenden, wobei es unbefriedigende Ergebnisse gibt. Im Abstimmungsprozess treten unterschiedliche Sichtweisen auf. Der Datenschutzbeauftragte möchte Art und Speicherort der Daten wissen, während der Compliance Manager Fragen über den US Cloud Act oder den Patriot Act in den Raum stellt. Weiterhin mögen Rechtsvertreter dazu neigen, AGBs, Nutzungsbedingungen, sonstige vertraglichen Ausgestaltungen und rechtlichen Bedingungen im Zuge der Überlegungen genauer unter die Lupe nehmen zu wollen. Solche Überlegungen greifen eventuell, bevor ein extern angebotenes Produkt, z. B. eine SaaS Lösung, an den Betriebsstart gehen darf. Jedoch ergibt sich bei einer Lösung, die vielleicht nicht mehr als 50 Franken im Monat kostet, ein ungünstiges Verhältnis von Aufwand und Kosten.

IT Security Manager hingegen haben wiederum einen anderen Blickwinkel: Sie suchen nach bereits auf dem Markt etablierten Sicherheitsstandards wie das CSA CAIQ oder das BSI C5, die zum Anforderungsbündel hinzukommen. Angesichts heterogener Wünsche und Vorgaben sollte also generell vermieden werden, mit Kanonen auf Spatzen zu schiessen.

Spezialisten vereinen die Anforderungen 

Zweifellos sind alle Fachabteilungen und Gremien gefordert, wenn sie die Risiken abwägen und die betrieblichen, regulatorischen, gesetzlichen und internen Anforderungen auf die neue Strategie anwenden. Zu diesen unterschiedlichen Einflussfaktoren tritt das Verlangen nach Prüfungseffizienz und der Effektivität zur Risikominderung. Dies alles kann das Unternehmen in der Regel selbst nicht wie erwünscht zusammenführen. Eine für alle befriedigende Symbiose der Anforderungen ist dennoch möglich: Das Unternehmen sollte sich sein Cloud Security & Risk Framework von den ISPIN-Spezialisten auf die spezifischen Unternehmensbedürfnisse hin entwickeln lassen. Dabei baut ISPIN auf langjährige Erfahrung und setzt international anerkannte Methoden, Verfahren und Werkzeuge sinnvoll ein. Somit lassen sich alle wesentlichen Aspekte der Risikobe¬urteilung für das Unternehmen abdecken. Aufgrund der eingesetzten Expertise wird die wichtige Unterscheidung von Cloud Service- und Deployment Modellen berücksichtigt. Gerade dies ist mitentscheidend für den Aufwand und die Risiken, die das Unternehmen berücksichtigen und tragen muss. 

Zusammen. Sicher.

Zusammenfassend entstehen wesentliche Vorteile, wenn das Unternehmen und ISPIN ihre jeweilige Expertise im wechselseitigen Austausch gekonnt bündeln. Hier das Unternehmen, das seine Anforderungen, Prozesse und Interna kennt, dort die Erfahrungen eines langjährigen Spezialisten für Cloud Security & Risk Framework, der dies einarbeiten und umsetzen kann: Daraus ergeben sich in relativ kurzer Zeit spezifische, individuelle Lösungen für das Unternehmen. Damit sollte ihm nichts mehr im Wege stehen, Vorsprünge am Markt zu entwickeln.

Die Spezialisten der ISPIN stehen Ihnen gerne mit Rat und ausgefeilten Cyber Security Services zur Verfügung. Kontaktieren Sie uns für ein persönliches Gespräch! 

ContactKontaktNewsletterGo to top