IT & Business Excellence

Neuer CIO Guide

So entwickeln CIOs das passende IT-Security-Konzept

Dr. Andreas Schaffry ist freiberuflicher IT-Fachjournalist und von 2006 bis 2015 für die CIO.de-Redaktion tätig. Die inhaltlichen Schwerpunkte seiner Berichterstattung liegen in den Bereichen ERP, Business Intelligence, CRM und SCM mit Schwerpunkt auf SAP und in der Darstellung aktueller IT-Trends wie SaaS, Cloud Computing oder Enterprise Mobility. Er schreibt insbesondere über die vielfältigen Wechselwirkungen zwischen IT und Business und die damit verbundenen Transformationsprozesse in Unternehmen.
SAP gibt in einem neuen CIO Guide Empfehlungen zur Absicherung von Informationen, Interaktionen und Identitäten in hybriden und mobilen IT-Umgebungen sowie in der Cloud.
Die drei Kernelemente bei der Umsetzung einer IT-Security-Strategie sind: Information, Interaktion und Identität
Die drei Kernelemente bei der Umsetzung einer IT-Security-Strategie sind: Information, Interaktion und Identität
Foto: SAP

In der stark vernetzten Geschäftswelt heute müssen Unternehmen effizient agieren. Eine wichtige Voraussetzung dafür bildet eine IT-Infrastruktur, die Anwendern überall und jederzeit den Zugriff auf Geschäftsanwendungen und -daten ermöglicht. CIOs wiederum treibt dies den Schweiß auf die Stirn, denn sie müssen IT-Sicherheitskonzepte entwickeln, um Applikationen, sensible Geschäftsdaten und Mobilgeräte vor fremdem Zugriff zu schützen.

Hierbei sind vielfältige Fragestellungen zu beachten. Wie lassen sich zum Beispiel geschäftliche und personenbezogene Daten, die in einer Cloud-Umgebung lagern, bestmöglich schützen? Wie können sensible Informationen, die Anwender aus den Back-End-Systemen auf ihr Mobilgerät holen und sie dort speichern, abgesichert werden? Welche Sicherheitsrisiken entstehen in hybriden und mobilen IT-Umgebungen oder in der Cloud? Wie können diese bereits im Vorfeld erkannt und minimiert werden? Auf diese und viele weitere Fragen müssen CIOs die passenden Antworten finden und im Rahmen von Security-Konzepten die IT-Prozesse, die Ausbildung der Mitarbeiter und die IT-Architekturen an der jeweiligen Situation ausrichten.

Die drei Elemente bei IT-Security

SAP stellt in dem neuen CIO Guide "IT Security in Cloud and Mobile Environments" herstellerneutral konkrete Empfehlungen und Referenzkonzepte vor, die CIOs als Entscheidungshilfe bei der Umsetzung ihrer IT-Sicherheitsanforderungen und -konzepte nutzen können. Die einzelnen Aspekte rund um das Thema IT-Sicherheit in der Cloud sowie in hybriden und mobilen Umgebungen werden anhand eines IT-Security-Modells veranschaulicht, dessen drei Kernelemente "Information", "Interaktion" und "Identität" bilden.

1. Die Absicherung von Informationen adressiert die Themen Datensicherheit in der Cloud und den Schutz geschäftlicher Informationen.

2. Die Absicherung von Interaktionen verfolgt das Ziel, eine sichere On-Premise-Landschaft zu garantieren, wenn diese mit Cloud- und Mobility-Technologien kombiniert wird.

3. Bei der Absicherung von Identitäten werden die Themen Identity Management" und Single-Sign-On (SSO) innerhalb hybrider IT-Infrastrukturen adressiert.

Welche Relevanz die drei Elemente für das eigene Business und die IT-Sicherheit haben, hängt von verschiedenen Faktoren ab, die von Unternehmen zu Unternehmen variieren. Zum einen wäre das die bestehende IT-Infrastruktur, ob Cloud-, Hybrid- oder Mobil-Umgebung, dann die Priorität der einzelnen Elemente für die IT-Sicherheit und nicht zuletzt die Qualität der jeweils verfügbaren IT-Security-Lösungen. Anhand dieser Kriterien stellt der CIO Guide für jedes Element konkrete Referenzkonzepte für die IT-Sicherheit vor und beschreibt deren Nutzen.

Datensicherheit in der Cloud

Bei der Informationssicherheit etwa müssen die Anforderungen an die Datensicherheit in einer Cloud-Umgebung an den aktuellen gesetzlichen Regelungen ausgerichtet werden. Agiert eine Firma international, sind auch noch die Vorschriften der jeweiligen Länder zu beachten. Des Weiteren ist zu berücksichtigen, ob der beauftragte Cloud Service Provider (CSP) geschäftliche Informationen an mehreren Standorten speichert. Schließlich ist zu evaluieren, ob die Rechenzentren des CSP den gewünschten Sicherheitsanforderungen genügen. Ein wichtiges Gütesiegel bilden hier Zertifizierungen, etwa nach DIN ISO 27001.

Inhalt dieses Artikels