Cloud Computing: Risiken und Fragen an den Anbieter
Während einerseits aus ökonomischer Sicht die Datenspeicherung in der Cloud sehr attraktiv erscheint, gibt es andererseits eine Reihe von Datensicherheitsaspekten dabei zu bedenken. Ein Gastbeitrag von Adam Bosnian, Vice President of Products, Strategy and Sales bei Cyber-Ark.
Um diesen Risiken zu begegnen, ist es notwendig, eine sorgfältig erarbeitete Risiko-Analyse der IT-Systeme und -Ressourcen zu durchlaufen, bevor eine Entscheidung für oder gegen eine Cloud-Technologie oder einen -Service getroffen wird. Dies sind die vier wichtigsten Stufen der Analyse:
- ID-Management und Access Control – wer ist autorisiert, wann was zu tun.
- Regulatorische Anforderungen – Basel II, SOX, PCI, SAS70
- Prozesse im Umgang mit Daten – wo sind die Unternehmensdaten gespeichert? Und wie ist das organisiert?
- Personalmanagement – was passiert, wenn jemand das Unternehmen verlässt, neu an Bord kommt oder sich eine Position verändert?
Während Cloud Computing den Umgang mit Daten signifikant verändert – vorausgesetzt, die eingesetzte IT-Sicherheits-Technologie ist damit kompatibel – ist die Kluft zwischen den Sicherheits-Analysen für Netzwerke und die Cloud weniger groß, als viele Experten behaupten.
Dennoch ist es wichtig, die Notwendigkeit für eine Sicherheitsüberprüfung des Cloud-Anbieters zu sehen, bevor weitere Schritte wie die Erarbeitung von Service-Level-Agreements und anderen Vertragsbestandteilen begonnen werden. Notwendig ist eine Bewertung der Erwartungen, die an das Outsourcing gestellt werden – aber auch, welche Performance- und Sicherheits-Kriterien der Anbieter erfüllen muss.