zurück zur Übersicht

Cloud-Security Strategie und IT-Security KPIs

Wie sind die Aussichten für Ihre Cloud-Security?Die erste Ignite Europe hat gehalten was sie versprochen hat. Gute Hands-on Workshops, kostenfreie Zertifizierungen, Roundtables zu den aktuellen Entwicklungen der IT-Security Branche und eine klare Botschaft an die Next-Generation Firewall Gemeinde: „Habt eine IT-Security-Strategie für die Cloud parat!“. Cloud-Security ist also momentan das heißeste Eisen in der Branche.

Cloud-Security erinnert mich an das Thema Mobile Devices in Unternehmen in den Jahren 2009/2010. Auch damals gab es bei den IT-Leitern und Unternehmensführungen diejenigen, die sich dagegen gewehrt habe. Sie haben auf Verbote  gesetzt oder das Thema einfach ignoriert und keine Strategie dafür entwickelt. Die Geschichte hat sie eingeholt, Smartphones haben sich ihren Platz im Unternehmen genommen, ob von der IT-Abteilung gewollt oder nicht. Dies sollte beim nächsten großen Thema, welches unaufhaltsam auf die Unternehmen zurollt bzw. Unternehmen bereits komplett durchdrungen hat, besser nicht passieren.

Dem Thema Cloud-Nutzung und dem daraus resultierenden Aspekt einer Absicherung der Cloud, sollte man zumindest ein adäquates Konzept bereitstellen. Alleine schon, wenn man sich die Auswirkung dieser Entwicklung für das Unternehmen vor Augen ruft. Aber bereits diese Aufgabe ist in Unternehmen meist nicht einfach umzusetzen. Es mangelt schlicht und einfach an der Sichtbarkeit und der Erfahrung der Unternehmens-IT, welche Cloud-Dienste man denn letztlich verwenden sollte.

Cloud-Security: Schwebt Ihr Unternehmen bereits auf Wolke 7?

Dies liegt in der Natur der Cloud, sie ist überall. Anders als im Datacenter, in welchem man Dienste immer irgendwie an physikalischen Netzwerkgeräten entdecken kann, oder diese nicht ohne das Wissen und die Freigabe der IT-Security funktionieren, kann der Mitarbeiter  Dienste in der Cloud nutzen und bereitstellen. Und dies ohne einer vorherigen Firewallfreischaltung im Rechenzentrum des Unternehmens.

Browsing mit SSL in das Internet ist ausreichend, um den Dienst dort zu konfigurieren, mit benötigten Daten zu füttern und dem Kunden Applikationen bzw. Dienste von Partnerunternehmen anzubieten. Dazu braucht der Mitarbeiter weder den Uplink des Unternehmens, AWS / Azure Zugangsdaten, einen API Key, noch DevOPs. Er kann sofort loslegen. Die Sichtbarkeit ist somit für die IT als auch die IT-Security verloren.

Wer sein IT-Security/-Betriebskonzept jetzt noch nicht um das Kapitel Cloud erweitert hat, sollte dies schleunigst tun. Oder – wenn bei internen Ressourcen keine Zeit vorhanden ist – dieses erarbeiten lassen. Es ist einfach zu wichtig. Das Upgrade der Firewall oder die Evaluation des nächsten EDR Systems kann/muss warten.

Ein weiteres Thema für die IT-Security Abteilung: KPIs (Key Performance Indicator)

Wenn bisher gemessen wurde, wie viele Incidents erkannt wurden, wie viele Viren unschädlich gemacht wurden und wie hoch die Lösungsrate von Incidents war, werden zukünftig andere Parameter wichtiger sein. Der zukünftige Fokus der It-Security-Abteilungen in Unternehmen muss auf einem anderen Aspekt liegen: Der Zeit. Wie lange braucht die Abteilung, um Lösungen für neu auftretende Probleme im Unternehmen zu finden?

Bisher dauert es vom Auftreten/Erkennen der Probleme, suchen/evaluieren einer Lösung, bis hin zur Implementierung und dem produktiven Einsatz Monate oder sogar Jahre. Dies mag für die alten Datacenter und die Office-LAN Welt vollkommen in Ordnung gewesen sein. Schon heute (und noch stärker in der Zukunft) können Unternehmen bereits nicht mehr akzeptieren, dass die IT-Security einige Stunden benötigt, um auf neue Sicherheitsprobleme zu reagieren.

Zusätzlich wird es aufgrund des Fachkräftemangels bei der schnellen Bereitstellung von LIT-Security- Funktionen auch für den Betrieb entscheidend sein, auf vorhandene Lösungen zurückgreifen zu können, ohne weitere Personen einstellen zu müssen. Die IT-Security muss automatisieren, um in wenigen Stunden mit derselben Mannschaft Lösungen bereitzustellen. Somit hält man Störungen von den unternehmenskritischen Prozessen weitestgehend fern.

Niemand würde bei der Nutzung eines Smartphones Tage auf eine neue APP zur Lösung eines akuten Problems warten.

Im gleichen Maß benötigen Unternehmen die IT-Security. Man erwartet dabei zurecht, dass Letztere für das Unternehmen und die Mitarbeiter so einfach und schnell wie möglich bereitgestellt wird.


Bild ©: GettyImages-941594632-gremlin

Schreibe einen Kommentar

Wir nehmen Datenschutz ernst! Deshalb informieren wir Sie, was mit Ihren Daten geschieht:

  • Daten aus Formularen und Webseiten-Tracking können von uns zur Analyse gespeichert werden
  • Die Daten können zur Optimierung der Webseite ausgewertet werden. Das ermöglicht es uns, besser zu verstehen, wo das Interesse unserer Besucher liegt. Wir benutzen primär Hubspot für dieses Tracking (mehr dazu finden Sie in der Erklärung auf unserer Datenschutzseite, siehe unten)
  • Wir geben Ihre Daten nicht an Dritte weiter. Im Rahmen von Veranstaltungen, an denen Sie teilnehmen möchten, kann es nötig sein, dass Ihre Daten an Vertragspartner übermittelt werden.
  • Sie haben jederzeit ein Recht auf die Herausgabe, Berichtigung oder Löschung persönlicher Daten.
  • Sie können Ihre Einwilligung, mit uns in Kontakt zu treten, jederzeit mit sofortiger Wirkung widerrufen.

Weitere Details dazu, was wir mit den Daten tun und nicht tun finden Sie auf unserer Datenschutzseite, oder schreiben Sie mich bei Fragen direkt an!

Felix Möckel
Data Protection Officer