CLOUD COMPUTING. Risikomanagementstrategien bei der Nutzung von Cloud Computing

Transkript

1 CLOUD COMPUTING Risikomanagementstrategien bei der Nutzung von Cloud Computing

2 Michael Rautert Staatlich geprüfter Informatiker Geprüfter IT-Sicherheitsbeauftragter (SGS TÜV) Ausbildung zum geprüften Datenschutzbeauftragten nach dem Ulmer Modell Lehrbeauftragter an der Akademie für öffentliche Verwaltung des Freistaates Sachsen (AVS) Mitautor BSI IT-Grundschutzhandbuch beziehungsweise BSI IT-Grundschutzkataloge Foundation Certificate in IT-Servicemanagement (ITIL) 2

3 PERSICON Gruppe PERSICON ist eine Gruppe spezialisierter Beratungs- und Prüfungsgesellschaften in den Bereichen Informationssicherheit, Ordnungsmäßigkeit und Datenschutz. Kompetenzbündelung am Spannungsfeld zwischen Wirtschaftsprüfung, IT-Rechts- und IT-Managementberatung Hauptsitz in Berlin, weitere Büros in Frankfurt am Main und München 3

4 Leistungsschwerpunkte Zu unseren Schwerpunkten zählen unter anderem folgende Leistungen: Beratung, Prüfung und Zertifizierung von Informationssicherheit und Datenschutz, Stellung des betrieblichen oder behördlichen Datenschutzbeauftragten, Erstellung von Sicherheitskonzepten und Durchführung von Risikoanalysen, Design, Dokumentation und Prüfung Interner Kontrollsysteme (IKS), Beratung hinsichtlich Ordnungsmäßigkeit ausgelagerter Prozesse Beratung zum Kontinuitäts- und Notfallmanagement sowie Ausbildung von beispielsweise Informationssicherheits- und Datenschutzbeauftragten. 4

5 Referenzen (Auszug) Nicht-öffentlicher Sektor Deutsche Post Deutsche Telekom Pfizer E.ON, RWE Media-Saturn Bertelsmann HOCHTIEF MAN Nutzfahrzeuge Talanx Versicherungsgruppe/HDI Gerling VHV Versicherungen Rolls Royce Microsoft Öffentlicher Sektor Bundesministerium der Finanzen Bundesministerium des Inneren/Bundesakademie für öffentliche Verwaltung Bundesministerium für wirtschaftliche Zusammenarbeit und Entwicklung Bundesamt für Sicherheit in der Informationstechnik (BSI) Diverse Landesministerien und Landesämter aus Bayern, Sachsen, Brandenburg, Thüringen, Sachsen-Anhalt und Rheinland-Pfalz 5

6 Referenzprojekte für das Bundesamt für Sicherheit in der Informationstechnik (BSI) PERSICON unterstützt das BSI seit Jahren konstant bei der Weiterentwicklung von Sicherheitsstandards und Softwarelösungen. Unter anderem zählen hierzu folgende Projekte: Strategiekonzept für die Weiterentwicklung der IT- Sicherheitsprodukte des BSI, Erstellung des Bausteins Windows Server 2003 für die BSI IT- Grundschutz-Kataloge, Neuentwicklung BSI GSTOOL in den Versionen 4.9 und 5.0 und Erstellung des Bausteins Client unter Windows 7 für die BSI IT-Grundschutz-Kataloge. 6

7 Überblick Risikomanagementstrategien bei der Nutzung von Cloud Computing 7

8 Risikomanagementstrategie Risiko Strategie Management Risikomanagementstrategie 8

9 Wichtige Grundlagen für Risikomanagementstrategien Strategie der Organisation Organisationziele, Aufgaben/Märkte Risikobereitschaft Schutzbedarf der Informationen Vertraulichkeit Verfügbarkeit Integrität Rechtliche Rahmenbedingungen Potenzielle Cloud Servicetypen IaaS - Infrastructure as a Service (virtualisierte Hardware) PaaS - Platform as a Service (Umgebungen) SaaS - Software as a Service (Anwendungen) Betroffene Organisationsprozesse/Informationssicherheitsmanagementsysteme 9

10 Erfolgsfaktoren Kenntnis der erforderlichen eigenen Grundlagen zur Auslagerung Frühzeitige Einbindung der Verantwortlichen für Informationssicherheit oder externen Spezialisten Berücksichtigung des Kontrollverlusts Definition der eigenen Anforderungen in SLA/ADV-Verträgen Betroffene oder notwendige Organisationsprozesse/ISMS in Planung aufnehmen, insbesondere zu Änderungen, Berechtigungen und Sicherheitsvorfällen. Dokumentierte Risikomanagementstrategie => Marktanalyse und Prüfung der Anbieter gegebenenfalls durch Audits 10

11 Vielen Dank für Ihre Aufmerksamkeit Friedrichstraße Berlin 11