Читать книгу Cloud Security: Praxisorientierte Methoden und Lösungen für sicheres Cloud Computing - Группа авторов - Страница 25

Das Gesamtbild entsteht auf Basis eines IT-Security Assessments, in dem wir gemeinsam mit dem Kunden herausarbeiten, wo die größten Schwachstellen liegen und wo der höchste Bedarf an Sicherheit ist. Auf Basis der CIS Controls werden 20 Bereiche unter die Lupe genommen und genau analysiert. Dazu zählen unter anderem die physikalische Sicherheit des Rechenzentrums, die Klassifizierung und der Zugriff auf die Daten, die Datensicherheit, das Management von Berechtigungen sowie der Schutz des E-Mail-Verkehrs vor Viren, Würmern und Trojanern.

Unsere umfassende Sicherheitsanalyse kurz zusammengefasst: alles zum gegenwärtigen Zustand erfahren, ihn bewerten, konkrete Handlungsfelder aufzeigen und geeignete Maßnahmen für mehr Sicherheit finden. Anhand einer Grafik wird deutlich sichtbar, wo Handlungsbedarf besteht – weil entweder die IT-Sicherheit gravierende Mängel aufzeigt oder die Compliance-Anforderungen der Branche nicht erfüllt werden. Aus den Hausaufgaben im Anforderungskatalog ergeben sich die Handlungsfelder und eine Roadmap, die wir mit den Kunden in seiner individuellen Cloud-Umgebung direkt angehen und umsetzen.

Die Maßnahmen reichen von der Entwicklung der Datenklassifizierung für Dokumente (public, internal, confidential oder nur personenbezogene Einsicht erlaubt) bis zur Vergabe für Zugriffe und Berechtigungen, Reporting, Auditing und Monitoring.

Wenn die Klassifizierung steht, geht es um das Handling in der Cloud: Wo werden Dokumente und Daten abgelegt und wie kann in diesem Zusammenhang die Klassifizierung auch verlässlich umgesetzt werden? Wie wird sichergestellt, dass Dokumente in der richtigen Kategorie abgelegt werden und eine Confidential-Klassifizierung nicht geteilt wird: in der Cloud ablegen ja, aber teilen nein.