Blog

Die Schatten-IT ins Licht setzen

/ Kategorie: Cloud Security

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse. Mit einem Cloud Security Risk Assessment erhalten Sie Einblick in die verstecktesten Winkel Ihrer IT. Mit der gewonnenen, lückenlosen Transparenz legen Sie den Grundstein für mehr Sicherheit und Compliance.

Cloud Risk Assessment - die Schatten-IT ins Licht setzen

Die Cloud ist allgegenwärtig in den Schweizer Unternehmen: Grosse Unternehmen nutzen rund 1300, mittelgrosse rund 500 Cloud-Dienste und -Anwendungen. Der Grund: Die Cloud bringt zahlreiche Vorteile. Durch die vielen hilfreichen Apps aus der Cloud, die jederzeit zur Verfügung stehen, einfach bedienbar sind und kaum Verwaltungsaufwand verursachen, arbeiten Mitarbeitende produktiver und agiler. Für die IT aber sind sie in den meisten Fällen ein Problem. Denn nur 2 % der in Unternehmen eingesetzten Cloud-Services liegen in der Verantwortung der IT-Abteilung und werden von dieser kontrolliert. Die anderen 98 % sind Teil des riesigen Reichs der Schatten-IT, welches eine ganze Reihe von Gefahren mit sich bringt:

  • Fast die Hälfte (47 %) des Internetverkehrs in die Cloud verläuft unverschlüsselt – und das, obwohl 37 % der Daten, die in Cloud-Apps genutzt werden, vertrauliche Informationen (personenbezogene Daten, Passwörter, Credentials oder Kreditkarteninformationen) sind.
  • Pro Mitarbeitenden und Monat werden durchschnittlich 20 sensitive Dateien auf Public Cloud Storage Services geladen, wo sie oft unverschlüsselt liegen. Die zunehmende Zahl an Home-Office und Remote-Workern hat diese Entwicklung deutlich verschärft.
  • Viele Cloud-Services garantieren in ihren Nutzungsbedingungen nicht, dass die Daten ausschliesslich dem Kunden gehören.
  • Unsichere und nicht autorisierte Cloud-Services können Kanäle für Angreifer öffnen. Diese nutzen die Situation: 60 % der Malware wird über Cloud-Storage verteilt; 36 % aller Phishing-Kampagnen zielen auf Cloud-Identitäten ab; 90 % aller Attacken starten mit Phishing. Viele Phishing-Webseiten sind vermeintlich korrekte Cloud-Services.
  • Nur 22 % der Cloud-Services sind vertrauenswürdig, also für den Enterprise-Einsatz geeignet.
  • Viele der genutzten Anwendungen sind nicht rechts- bzw. DSGVO-konform (vgl. auch US Privacy Shield welches nicht DSGVO konform ist)

Zuerst volle Transparenz schaffen…

Sollen die Risiken, die mit der Cloud einhergehen, reduziert werden, muss zunächst Transparenz über sämtliche IT-Systeme geschaffen werden. Nur IT-Verantwortliche, die genau wissen, wie viele und welche Cloud-Anwendungen und -Dienste überhaupt in ihrem Unternehmen im Einsatz sind und ob diese den Security- und Compliance-Richtlinien entsprechen bzw. wohin sensible Daten fliessen und gespeichert sind, können die Kontrolle wieder vollständig übernehmen.

Das Flutlicht: Cloud Security Risk Assessment

Hier kommt das Cloud Security Risk Assessment ins Spiel. Damit setzen Sie auch noch den hintersten Winkel Ihrer Schatten-IT in volles Licht und erhalten:

  • Einen umfassenden Überblick über alle in Ihrem Unternehmen genutzten Cloud-Dienste.
  • Alle identifizierten Cloud-Dienste werden nach dem Cloud Confidence Level qualifiziert.
  • Der Datenverkehr in Richtung Cloud wird analysiert und aufgeschlüsselt nach Anwendungen.
  • Die Aufschlüsselung erfolgt nach den wichtigsten Risiken, z. B. Data Loss, Compliance und Cloud Threats mit zugehörigen Metriken.
  • Einen Überblick über die Nutzung und die Datenbewegungen in sanktionierten und erlaubten Apps.
  • Die Möglichkeit, DLP-Verstösse und Datenexpositionen ausfindig zu machen sowie mögliche weitere Sicherheitsrisiken und Datenschutzverletzungen zu erkennen.
  • Konkrete Handlungsempfehlungen für die Risikominimierung.

…dann Massnahmen setzen

Ist erst einmal die nötige Transparenz hergestellt, fällt es leichter, Sicherheitslücken zu erkennen und somit auch, passende Massnahmen zu setzen, um Verbesserungen bei Sicherheit und Compliance zu erreichen. Konkrete Vorschläge dafür erhalten Sie bereits im Assessment-Bericht. Auch die Definition von unternehmensspezifischen Richtlinien für die Cloud-Nutzung ist einfacher, genauso wie die auf diesen Regeln basierte Steuerung. Beispiele für Massnahmen sind etwa das Stoppen von Daten-Uploads in un-managed Applikationen, das Verhindern des Teilens von Passwörtern oder das Blockieren gefährlicher Downloads.

Die passende Security-Lösung finden

In der Regel lassen sich derlei Massnahmen nicht mit den herkömmlichen Perimeter-zentrierten Sicherheitsmodellen realisieren. Diese Legacy-Lösungen bieten nur eine binäre Richtlinienauswahl: blockieren oder erlauben. Blockieren ist weder für die IT noch für die User eine wählbare Option. Denn die Anwender möchten uneingeschränkten und schnellen Zugriff auf die Apps und erwarten, dass dies möglich ist, ohne dabei die Sicherheit der Organisation zu beeinträchtigen. Notwendig sind also andere Sicherheitslösungen. Hier gilt es, die für das eigene Unternehmen optimale Lösung zu finden. Doch welche Lösung auch immer gewählt wird – alle setzen eines voraus: Die Schaffung von Transparenz.

Zusammen. Sicher.

Vermeiden Sie Security- und Compliance-Risiken und Datenverluste. Setzen Sie das dunkle Reich der Schatten-IT ins Licht und schaffen Sie die Voraussetzung für eine höhere Sicherheit und Compliance in Ihrem Unternehmen. Fragen Sie uns nach dem Cloud Security Risk Assessment – wir beraten und unterstützen Sie gerne. Kontaktieren Sie uns via marketing[at]ispin.ch oder +41 44 838 3111.

 

Verwandte Nachrichten

Kategorien:
Cybersecurity (21)
CISO (21)
Governance, Risk & Compliance (5)
Security Awareness (13)
Cloud Security (21)
Detect & Response (24)
Endpoint & Networks (8)
IoT / OT / kritische Infrastrukturen (4)
Identity & Access (1)
ISPIN Viewpoint (10)
Threat Intelligence (18)