Читать книгу Cloud Security: Praxisorientierte Methoden und Lösungen für sicheres Cloud Computing - Группа авторов - Страница 13

Die Governance in der IT-Organisation war bisher eine wichtige Führungsdisziplin. Ohne eine klare Richtlinie im Unternehmen sowie einer Kontrolle zur Einhaltung konnte es in der Vergangenheit innerhalb eines Rechenzentrums auch zu Sicherheitsvorfällen kommen. Dabei konnten auch gesetzliche und regulatorische Vorschriften, welche Unternehmen im Rahmen der IT-Governance einhalten müssen, verletzt werden.

Durch die Nutzung der Cloud sowie die Verwendung von agilen Methoden hat sich einiges verändert. Der IT-Betrieb erfolgt beispielsweise auf mehreren dezentral verteilten Public-Cloud-Plattformen, intern betriebenen Private-Cloud-Plattformen und/oder bei Hosting-Anbietern. Hybride Ansätze können hierbei zum Einsatz kommen. Bestehende Governance-Strukturen oder Service-Management-Prozesse sind aufgrund der neuen verteilten Strukturen nicht mehr ausreichend und der Einsatz eines passenden Cloud Governance Frameworks wird erforderlich.

Folgende Fragestellungen erhalten durch die Nutzung der Cloud eine größere Bedeutung:

• Welche Cloud Provider befinden sich für das Unternehmen bereits im Einsatz?

• Ist ein aktueller Gesamtüberblick zur IT des Unternehmens (inkl. aller Cloud Provider und Rechenzentren) vorhanden?

• Für welche Workloads darf welcher Cloud Provider verwendet werden?

• Aus welchem Land wird welche SaaS-Lösung bereitgestellt?

• Wie wird mit privilegierten Benutzerkonten umgegangen bzw. diese gegen unbefugten Zugriff abgesichert?

• Welche zentralen Architektur- und Namenskonventionen sind vorhanden?

• In welchen Regionen dürfen welche Daten gespeichert und/oder verarbeitet werden?

• Wird die Einhaltung der Sicherheitsrichtlinie des Unternehmens durch automatisierte Einrichtung erzwungen und zusätzlich auch automatisiert überprüft?

• Wie werden einmal allokierte Ressourcen überwacht und deren Freigabe sichergestellt?

• Wer ist für das Lifecycle-Management von Cloud-Ressourcen verantwortlich, das heißt, wer überwacht, ob Ressourcen, die nicht mehr benötigt werden, auch de-allokiert werden?

• Wer hat eine Übersicht der aktuellen und geplanten Kosten?

• Wie können Audits unterstützt werden?

• Was sind die Mindeststandards für Verträge mit Cloud Providern?

Ohne klare Antworten auf die Fragestellungen kann ein Unternehmen die Kontrolle über die Nutzung von Cloud-Diensten verlieren sowie dabei auch die Einhaltung von Sicherheitsrichtlinien des Unternehmens, gesetzliche und regulatorische Vorschriften nicht mehr gewährleisten.

Einige Regelwerke und Frameworks sind vorhanden, um die Umsetzung und Einhaltung von IT-Governance-Vorgaben zu unterstützen. COBIT gilt als eines der wichtigsten Frameworks für die Umsetzung der IT-Governance, welches von der Information Systems Audit and Control Association (ISACA) erstellt wurde. Im Jahr 2019 wurde das COBIT Framework aktualisiert und mit aktuellen Themen wie DevOps, Agilität und Cloud erweitert.

Eine Cloud-Computing-Richtlinie regelt grundsätzlich die Verwendung von Cloud-Diensten im Unternehmen. Hierbei werden die oben beschriebenen Fragestellungen und andere Themen beantwortet und Voraussetzungen für die Nutzung von Cloud-Diensten festgelegt. Alle vorhandenen Risiken und mögliche Konsequenzen werden beschrieben.