The Doppler Quarterly (DEUTSCHE) Sommer 2016 - Page 67

Wir haben die CSA Cloud Controls Matrix den wiederholbaren Architekturen auf AWS, Azure und Google zugeordnet. Die Bewertung auf Lücken bei Sicher- heit und Governance bedeutet, dass Sie Ihre Kontrollziele anhand eines bekannten Standards wie der CSA-Matrix prüfen und die Lücken bei Ihren Kontrollmechanismen und Technologien anhand anerkannter Best Practices dokumentieren. Daraus resultiert letztendlich eine MVC mit einer präskriptiven Sicherheits- und Governance-Plattform, die den Richtlinien der CSA entspricht. Daraus ergeben sich wiederum enorme Zeiteinsparungen. Anstatt Ihre sicherheits- spezifische Referenzarchitektur von Grund auf neu aufzubauen, können Sie eine Baseline heranziehen und kleinere Änderungen vornehmen, um Ihre spe- zifischen Anforderungen zu erfüllen. Neue Kontrolloptionen und Tools Die meisten Unternehmen sehen ihr Cloud-Programm anfangs als Rechenzen- trum. Sie erkennen jedoch sehr schnell, dass sie nicht wissen, wie sie ihre bestehenden Kontrollziele auf das neue Cloud-Modell abbilden sollen. Die Übernahme vorhandener Tools in die Cloud funktioniert nicht. Rechenzent- rumsorientierte Tools sind nicht für Public Cloud-Plattformen konzipiert. Aus unserer Erfahrung heraus müssen neue Tools und Verfahren zur Lösung dieser Probleme herangezogen werden. Darüber hinaus gibt es einen zweiten großen Vorteil durch die Nutzung neuer Tools – sie sind viel billiger als Ihre Rechenzentrumstools! Punkt 8: Achten Sie auf kontinuierliche Compliance. Unternehmen verfügen über zahlreiche Kontrollmechanismen, über die die IT-Umgebung gesteuert wird. Da die meisten Ressourcen hardwarebasiert sind, erfolgt die Kontrolle in Form von Änderungsmanagement- und operativen Services. Allerdings ist das neue Cloud-Modell softwarebasiert und wird daher von Natur aus nicht kontrolliert. Stellen Sie sich vor, Sie stellen von einem auf Genehmigungen basierenden Einkaufsprozess (Unterschreibung einer Bestel- lung für neue Hardware) auf ein offenes Kreditkartenkonto um, über das Sie neue Services ohne Genehmigungen bestellen können. Das neue nutzungsbasierte Modell erfordert eine neue Governance-Ebene. Der standardmäßige Änderungsmanagement- und Kontrollansatz funktio- niert hier nicht. Herkömmliche Änderungskontrollen verlangsamen den Pro- zess. Sie werden sich also schnell wieder in der gleichen Situation wiederfin- den, der Sie versucht haben zu entkommen. Hier hilft nur eine kontinuierliche Compliance (Continuous Compliance) wei- ter. In diesem Zusammenhang ist Continuous Compli