Wie können Unternehmen ihre IT-Security selbst optimieren?
IT-Sicherheit muss fest in der Organisationsstruktur des Unternehmens verankert sein. Es bedarf einer Sicherheitsorganisation mit klaren Verantwortlichkeiten und Eskalationswegen. Die Mitarbeiter brauchen Kontaktpersonen vor Ort, an die sie sich bei Fragen und Unsicherheiten direkt wenden können und die bei der Sensibilisierung und Schulung der Mitarbeiter aktiv mitwirken. Der Betriebsrat spielt hierbei ebenfalls eine wichtige Rolle als Multiplikator. Zum anderen braucht es klare Handlungsrichtlinien, etwa für den Umgang mit vertraulichen Daten, die Passwort-Politik oder die private Nutzung der Firmen-IT, auf die sich die Mitarbeiter verpflichten müssen. Das schafft einen verlässlichen Rahmen und gibt den Mitarbeitern Sicherheit in der Frage, was erlaubt ist und was nicht. Die Richtlinien sollten zunächst eher restriktiv gehalten werden. Es ist in der Praxis einfacher, bei Bedarf Ausnahmen zuzulassen, als ursprünglich laxe Regeln nachträglich zu verschärfen.
Was leisten Prozess-Standards im Bereich Cloud-Sicherheit?
IT-Dienstleister, die nach der internationalen Norm ISO 20000 zertifiziert sind, erbringen IT-Services wie etwa Cloud Computing standardisiert nach industriellen Maßstäben. Das gewährleistet eine gleichbleibend hohe Qualität der Services und bedeutet für den Kunden ein hohes Maß an Verlässlichkeit und Planbarkeit. Die weitere Standardisierung von IT-Services ist deshalb eine der zentralen Herausforderungen für den Mittelstand, wie eine Studie des Marktforschungsunternehmens Lünendonk unter Sourcing-Beratern zeigt. Insbesondere für die IT-Sicherheit sind standardisierte Prozesse unabdingbar. Sie bringen Verlässlichkeit und Produktionsqualität.
Die Abweichung von Standards bedeutet hingegen Sicherheitsrisiken und kann zu Schäden oder Sanktionen führen. Das gilt zum einen für physikalische Sicherheitsstandards wie zum Beispiel die Löschanlage im Rechenzentrum. Das gilt aber natürlich auch für organisatorische und prozessuale Sicherheitsstandards wie etwa Berechtigungskonzepte oder die Zugangskontrolle. Neben der ISO 20000 bietet vor allem die ISO 27001 als anerkannter Sicherheitsstandard für Rechenzentren einen guten Orientierungsrahmen für die Sicherheit von Cloud-Dienstleistungen.
Woran erkennt ein Mittelständler einen geeigneten Cloud-Dienstleister?
Die vier zentralen Ziele der IT-Sicherheit (Vertraulichkeit, Integrität und Verfügbarkeit der Informationen und Systeme sowie Einhaltung gesetzlicher Bestimmungen) weisen hier den Weg. Laut dem diesjährigen Bitkom Cloud Monitor erwarten 83 Prozent der Kunden von ihrem Cloud-Anbieter, dass er seine Rechenzentren ausschließlich in Deutschland betreibt. Denn dadurch ist gewährleistet, dass der Dienstleister den strengen deutschen Datenschutzrichtlinien unterliegt.
Der Provider sollte zudem über eine etablierte Sicherheitsorganisation mit klaren Rollen, Verantwortlichkeiten und Eskalationswegen verfügen. So weiß der Kunde, dass der Anbieter das Sicherheitsthema ernst nimmt, proaktiv bearbeitet und im Krisenfall schnell und konsequent handeln kann. Die Qualität der Cloud-Dienstleistungen - und damit auch ihre Verfügbarkeit und Leistungsfähigkeit - hängt darüber hinaus vom Grad der Standardisierung von Prozessen und Leistungen ab. Diese wird durch die Zertifizierung nach ISO 20000 dokumentiert. (sh)
- Der richtige Cloud-Service für Ihre Anwendung
Ein neuer Bericht von Verizon mit dem Titel "Matching Applications to the Right Cloud" (Anwendungen der richtigen Cloud zuordnen) liefert einen leicht umsetzbaren Ansatz, nach dem Scorecard-Prinzip. Der Report hilft IT-Führungskräften, verschiedene Cloud-Lösungen mit den Anforderungen jedes beliebigen Workloads abzugleichen. Alexander Schlager, Area Vice President DACH bei Verizon, zeigt die Schritte auf, wie Unternehmen ihre Anwendungen bewerten und eine Cloud-Strategie für ihre Auslagerung entwickeln. - Geschäftseinheiten befragen und User-Anforderungen definieren
Zunächst gilt es, zu den verschiedenen Einheiten im Unternehmen in Kontakt zu treten, um kritische Anwendungsanforderungen exakt zu erfassen und die richtige Cloud-Lösung zu definieren. Die ersten Fragen in diesem Kontext lauten: Welches sind die Hindernisse, die einer erfolgreichen Anwendungsmigration entgegenstehen? ... - Verfügbarkeiten und Ausfallzeiten
Wie wichtig ist die Verfügbarkeit der Anwendung und wie teuer werden Ausfallzeiten? ... - Richtlinien, Regeln
Welche Richtlinien müssen die Anwendung und die von ihr verarbeiteten Daten erfüllen? ... - Update-Häufigkeit
Wie häufig muss die IT die Anwendung upgraden, damit der Wettbewerbsvorteil erhalten bleibt? - Anwendungen bewerten und Risikoprofil erstellen
Die sorgfältige Beurteilung der technischen Anforderungen seitens der Anwendungen kann über Erfolg oder Misserfolg der Cloud-Migration entscheiden. Deshalb gehört zum neuen Report von Verizon eine Checkliste, die den IT-Abteilungen hilft, Fallstricke zu vermeiden. Die Punkte dieser Liste: Ermitteln Sie die Belastung für das Netzwerk... - Zeitliche Planung
Rechnen Sie Zeit ein, um auch die Anwendung selbst vorzubereiten... - Kalkulation
Wägen Sie sorgfältig die Kosten des Wechsels in die Cloud ab. - Den Anforderungen das richtige Cloud-Servicemodell zuordnen
Das Auswählen des für die Unternehmens-IT besten Cloud-Modells erfordert ein tief reichendes Verständnis der technischen Spezifikationen und der Workload-Anforderungen. Durch Beantwortung der nachfolgenden Kernfragen können IT-Verantwortliche gemeinsam mit den Kollegen der Geschäftseinheit die Belange des Unternehmens definieren und das richtige Cloud-Modell auswählen: Lässt das Risikoprofil zu, dass die Anwendung auf gemeinsam genutzter Infrastruktur läuft? ... - Inhouse vs. Provider
In welchem Umfang befinden sich die Anwendung und die dazugehörigen Daten derzeit in firmeneigenen Einrichtungen, wie viel ist beim Provider? ... - Do it yourself
Wie viel Cloud-Management können Sie selbst übernehmen?<br /><br />Die Cloud verleiht der IT größere Bedeutung, wenn es darum geht, einen maßgeblichen Beitrag zu den Geschäftsergebnissen zu leisten. Parallel zur Kooperation mit den Geschäftseinheiten des Unternehmens sollte der CIO eng mit den Cloud-Serviceprovidern zusammenarbeiten, um auf diesem Weg ganzheitliche Multi-Cloud-Lösungen zu entwickeln und zu supporten, die interne Workload-Anforderungen erfüllen. Denn die richtige Cloud-Umgebung, ermöglicht operative Effizienz, gesteigerte Performance, stringente Sicherheitsmaßnahmen und robuste Netzwerk-Konnektivität.