Die Prognose für die Sicherheit ist bewölkt | Teil 2

Im ersten Teil dieser SerieIch habe den anhaltenden Trend der Cloud-Migration untersucht, den die meisten Unternehmen bereits haben oder bald durchführen werden. Und ich habe es aus der Perspektive betrachtet, wie Sie die Sicherheit Ihrer Cloud-Ressourcen gewährleisten können.

Im zweiten Teil gehe ich tiefer auf die Details rund um die Cloud-Sicherheit ein.

Glücklicherweise nehmen die führenden Cloud-Dienstleister die Sicherheit sehr ernst. Allerdings lässt sich in praktisch jeder Umfrage zur Cloud-Sicherheit erkennen, dass die größten Datenschutzverletzungen dadurch entstehen, wie Kunden die Cloud annehmen, konfigurieren und nutzen. Das müssen Sie im Auge behalten. Hier ist aus Sicherheits- und Compliance-Sicht besondere Vorsicht geboten.

Sie können über die beste Sicherheitstechnologie verfügen, aber wenn Sie einen Benutzer mit vollständigen Berechtigungen erstellen und ihm ein sehr leicht zu erratendes Passwort geben, ist das ein großes Sicherheitsproblem. Oder wenn Sie eine Erweiterung erstellen, die Ihre Daten offenlegt, ohne dass eine Authentifizierung erforderlich ist, ist das ein weiteres großes Problem. Bei der Cloud-Sicherheit geht es um so viel mehr, als nur sicherzustellen, dass die Technologie und der Anwendungs-Stack in jedem Cloud-Service-Modul über die neuesten Patches verfügen. Sie müssen weiterhin eine kontinuierliche Bewertung durchführen und über das richtige Maß an Transparenz verfügen, um Prioritäten für die Wartung dieses Technologie-Stacks zu setzen. Sie müssen sicherstellen, dass alle diese Einstellungen, alle Benutzer, alle Schnittstellen (und letztendlich alle IHREN Datensätze) sicher und konform sind.

Und wenn Ihr Unternehmen mit sensiblen Daten zu tun hat, heißt es in jeder Compliance-Anforderung, dass Sie Sicherheitskontrollen für die Daten, Prozesse und die Technologie anwenden müssen, die diese Geschäftsanwendungen nutzen werden. Mit anderen Worten: Sie müssen nachweisen, dass Sie zusätzlich zu den Aktivitäten Ihres Cloud-Anbieters über die richtigen Kontrollen verfügen.

Aufgrund der Komplexität all dieser Daten und Prozesse setzen Unternehmen in der Regel hybride Full-Mesh-Umgebungen ein. Diese ermöglichen eine vollständig integrierte Datenübertragung und sind in der Regel auf die verschiedenen Arten, die die Technologie zulässt, sehr individuell anpassbar. Sie müssen viele Änderungen und Anpassungen vornehmen, um diese Technologien an die von Ihnen ausgeführten Anwendungsfälle und Prozesse anpassen zu können. Daher müssen Sie sicherstellen, dass alle Änderungen, die Sie zur Anpassung von Geschäftsanwendungen an die Anforderungen Ihres Unternehmens benötigen, von Grund auf sicher und konform sind.

Das ist etwas, was Onapsis seit 10 Jahren tut. Wir begannen mit einem sehr starken Fokus auf die Sicherheit vor Ort. Da wir erwarteten, dass Unternehmen in die Cloud wechseln würden, haben wir unsere Cloud-Transformations- und Cloud-Einführungsfunktionen initiiert. Wir integrieren weiterhin alle neuen Cloud-Lösungen in unsere Plattform- und Serviceangebote, um sicherzustellen, dass unsere Kunden über die richtigen Sicherheits- und Compliance-Kontrollen verfügen. Wir möchten, dass Sie wissen, dass Sie sorgfältig prüfen können, wie Ihre Systeme und Prozesse im Hinblick auf Sicherheit und Compliance kontrolliert werden, indem Sie eine Governance-Ebene darüber legen.

Onapsis arbeitet auch eng mit der Cloud Security Alliance zusammen. Wir sind Mitbegründer der CSAs ERP-Arbeitsgruppe. Die Gruppe veröffentlicht kontinuierlich neue Materialien und neue Inhalte, um Organisationen zu helfen, zu verstehen, worauf sie achten sollten.

Die CSA sagt Ihnen unter anderem, dass Sie beim Abonnieren eines Cloud-Anbieters die gebotene Sorgfalt walten lassen müssen. Die CSA stellt eine Cloud-Kontrollmatrix und einen Cloud-Anbieter-Fragebogen zur Verfügung. Mithilfe dieser Ressourcen erfahren Sie, was Sie über die Geschäftsabläufe Ihres Cloud-Anbieters wissen müssen, damit Sie Vertrauen in dessen Sicherheitslage haben.

Wie stellen Sie als Kunde sicher, dass Sie die richtigen Kontrollen über Ihre Daten und Prozesse haben, unabhängig davon, welchen Cloud-Anbieter Sie nutzen? Unternehmen gewöhnen sich immer besser an ihre Cloud-Anbieter, können jedoch bei der Einführung dieser Dienste immer noch Fehler machen, die zu rufschädigenden Datenschutzverletzungen führen können.

Hier sind einige Fragen, die Sie sich stellen sollten, wenn es um die Sicherung Ihrer Geschäftsprozesse geht:
• Wie übernehme ich die Technologie?
• Wie konfiguriere ich es?
• Wie richte ich die Benutzer, die Berechtigungen, die Zugriffskontrollen ein?
• Wie richte ich die Schnittstellen und verschiedenen Ebenen ein, die grundsätzlich zu Geschäftsrisiken führen?
• Wie kann ich verhindern, dass meine Geschäftsprozesse missbraucht werden und letztendlich nicht mehr konform sind?

Verfüge ich über die richtige Transparenz und kontinuierliche Überwachungsfunktionen für alle meine Cloud-ERP-Anwendungen?

Wenn Sie auf jede dieser Fragen fundierte Antworten haben, sind Sie auf dem besten Weg, ein sicheres und konformes Unternehmen zu betreiben, sowohl vor Ort als auch in der Cloud.

Onapsis-Ressourcen anzeigen