ISACA Empfehlungen für sicheres Cloud Computing. ISACA Germany Chapter FG Cloud Computing Dr. Karl-Friedrich Thier, 3. IT Grundschutztag, 12.9.

Transkript

1 ISACA Empfehlungen für sicheres Cloud Computing ISACA Germany Chapter FG Cloud Computing Dr. Karl-Friedrich Thier, 3. IT Grundschutztag,

2 Agenda Über ISACA ISACA Veröffentlichungen und Empfehlungen zum Thema Cloud Computing - Anwendungspotentiale & Nutzen für Cloud Service Provider Differenzierungsbedarf bei Cloud Computing-Standards - Position der FG Cloud Computing Fazit 2013 ISACA Germany Chapter e.v. 2

3 ISACA International Internationaler Verband von IT Governance Professionals - Seit 1969, ca Mitglieder in über 180 Ländern Zertifikate & Zertifizierungen - CISA Certified Information Systems Auditor - CISM Certified Information Security Manager - CGEIT Certified in the Governance of Enterprise IT - CRISC Certified in Risk and Information Systems Control IT Governance & Assurance Frameworks - COBIT Control Objectives for Information and Related Technology - ITAF IT Assurance Framework Zeitschriften - Information Systems Control Journal - Global Communique Ausrichtung & Sponsoring von Konferenzen 2013 ISACA Germany Chapter e.v. 3

4 ISACA Germany Chapter Deutscher Berufsverband von IT-Revisoren & IT-Sicherheitsmanagern - Seit über Mitglieder - Durchführung von Veranstaltungen und Seminaren - Prüfungsvorbereitungskurse und Prüfungen zu ISACA Zertifikaten in Deutschland - Herausgabe der Zeitschrift IT-Governance - Kooperationen & Partnerschaften (OWASP, Allianz für Cyber-Sicherheit, BITKOM, ) Fach- und Gremienarbeit in 10 Fachgruppen - Akademische Weiterbildung - Informationssicherheit - Cloud-Computing - IT Governance - COBIT - Rechnungslegung - IT Revision - Datenschutz & Datenanalyse - IT Risiko-Management - GxP kritische computergestütze Systeme - SAP 2013 ISACA Germany Chapter e.v. 4

5 Fachgruppe Cloud Computing Know-How- und Kompetenzaufbau - Analyse von Veröffentlichungen - Verfolgung des technischen Standes, z.b. bei Einsatz von Verschlüsselung bei Cloud Computing. Mitarbeit bei Standardisierungsaktivitäten - Zusammenarbeit mit dem ISO Liason Subcomitee - Kommentierung neuer Standard-Entwürfe (ISO 27017) Bewertungs- und Entscheidungshilfen für den Einsatz von Cloud Computing - Zielgruppe: Entscheidungsträger, Revisoren, Auditoren 2013 ISACA Germany Chapter e.v. 5

6 Agenda Über ISACA ISACA Veröffentlichungen und Empfehlungen zum Thema Cloud Computing - Anwendungspotentiale & Nutzen für Cloud Service Provider Differenzierungsbedarf bei Cloud Computing-Standards - Position der FG Cloud Computing Fazit 2013 ISACA Germany Chapter e.v. 6

7 ISACA Knowledge Center IT Professional Networking and Knowledge Center von ISACA über 700 Dokumente zum Stichwort Cloud 2013 ISACA Germany Chapter e.v. 7

8 Abdeckung PDCA Zyklus Security Considerations for Cloud Computing (2012) IT Control Objectives for Cloud Computing (2011) Download Dokumente: Cloud Computing Management / Audit & Assurance Program (2010) 2013 ISACA Germany Chapter e.v. 8

9 Security Considerations for Cloud Computing P lan Entscheidungsunterstützung für die Nutzung von Cloud Computing - Auflistung von Risikofaktoren und Bedrohungen - Unterscheidung Risk Increasing und Risk Decreasing - Spezifisch für Cloud Service & Deployment-Modelle Workflows & Entscheidungsbäume - Entscheidung für oder gegen die Nutzung eines Cloud- Dienstes - Auswahl geeigneter Service- und Deployment-Modelle COBIT5 Mapping von Bedrohungen und Maßnahmen Nutzen für Cloud Provider: - Kundenorientiertes und zielgruppengerechtes Design und Anbieten von Cloud-Diensten 2013 ISACA Germany Chapter e.v. 9

10 IT Control Objectives for Cloud Computing D o Allgemeiner Überblick zu Cloud Computing - Business Potential, Technologieaspekte, Risiken - Übersicht über Controls und Control Frameworks - Zusammenhang mit COBIT (RiskIT und ValIT) Vollständige COBIT 4.1 Cross-Referenz (Anhang) - Priorisierung nach Deployment und Service-Modell Nutzen für Cloud Provider: - Identifizierung & Priorisierung von Anforderungen z.b. Kontrollziel DS5 Ensure Systems Security - Optimierung von Konzeption und -Dokumentation 2013 ISACA Germany Chapter e.v. 10

11 Cloud Computing Management / Audit & Assurance Program C heck Ziele - Bewertung der Wirksamkeit der internen Kontrollen und der Sicherheit des Cloud-Providers - Identifizierung von Defiziten des eigenen Unternehmens und der Schnittstellen zum Service-Provider - Bew. der Qualität und Verlässlichkeit von Providerzusagen Scope - Cloud Computing Governance - Einhaltung vertraglicher Verpflichtungen - Cloud-spezifische Management- und Kontrollaspekte Kreuzverweise zu COBIT (4.1) und COSO Kontrollzielen Nutzen für Cloud Provider: - Interne Prüfung von bestehend und neuen Lösungen - Verbesserte Transparenz und Audit-Support 2013 ISACA Germany Chapter e.v. 11

12 Häufig referenzierte COBIT Kontrollziele COBIT Domain # Ref. Plan and Organise (PO) domain - PO9.x Assess and manage IT risks 15 Deliver and Support (DS) domain - DS1.x Define and manage service levels - DS2.x Manage third-party services - DS4.x Ensure continuous service - DS5.x Ensure systems security - DS11.x Manage data Monitor and Evaluate (ME) domain - ME2.x Monitor and evaluate internal control - ME3.x Ensure compliance with external requirements Sicherheit der Systeme des Providers ist zentrales Thema! 2013 ISACA Germany Chapter e.v. 12

13 Agenda Über ISACA ISACA Veröffentlichungen und Empfehlungen zum Thema Cloud Computing - Anwendungspotentiale & Nutzen für Cloud Service Provider Differenzierungsbedarf bei Cloud Computing-Standards - Position der FG Cloud Computing Fazit 2013 ISACA Germany Chapter e.v. 13

14 Bewertung der Sicherheit von Cloud Computing Entscheidungsfindung beim Einsatz cloud-basierter Lösungen ist weiterhin komplex: - Anzahl und Umfang von Standards und Normen zur Sicherheit von Cloud-Lösungen nehmen mit hoher Dynamik zu. - Begriffe und Definitionen sind uneindeutig und teilweise interessengeleitet. Trotz umfangreicher Anforderungsdokumente ist die Anwendbarkeit von Empfehlungen & Standards nicht eindeutig klar - Starke Pauschalisierung des Begriffs Cloud Computing - Ansätze für differenzierte Betrachtungsweisen sind vorhanden, aber nicht genügend ausformuliert. - Auf konkrete Anwendungsfälle bezogene Anforderungsdokumente fehlen. Konsequenz: - Immer noch viel Interpretationsspielraum - Cloud Provider stehen in der Verantwortung, ausreichende Sicherheitsmaßnahmen auszuwählen und transparent zu machen - Cloud Nutzer benötigen weiterhin eigene Sicherheits-Expertise 2013 ISACA Germany Chapter e.v. 14

15 Einflußfaktoren auf Cloud-Sicherheit Unternehmens- & Branchenspezifka - Risikostrategie - Akt. erreichbare Sicherheit -Technologische Anforderungen - Anforderungen Recht und Compliance Cloud-Modell - Deployment Modelle: Private / Hybrid / Public / Community - Service-Modelle: IaaS / PaaS / SaaS Firma [ABC] möchte Anwendung [XYZ] als [ Cloud-Service ] beziehen. Anwendungskategorie - Kritikalität - Schutzbedarf der Daten: - Unternehmens & Wirtschaftsdaten - Personenbezogene Daten - Intellectual Property Cloud-Provider-Spezifika -Verfügbare SLAs und Vertragsvarianten - Eingesetzte Technologie - Governance & Sec.-Mgt Frameworks - Umgesetzte Standards - Zertifizierungen 2013 ISACA Germany Chapter e.v. 15

16 Vorgehen Anwendungskategorien - ERP-Systeme: FI, CO, Warenwirtschaft, - Service-Portale: Bestellanforderung, Beschaffung, Reisebuchung Identifikation und Analyse bestehender Risiken unter Berücksichtigung der verarbeiteten Daten - Personenbezogene Daten - Besonders sensible Daten - Intellectual Properties Bewertung hinsichtlich - Public Cloud - Community Cloud - Private Cloud Kategorie-basierte Übersicht von Risiken und Anforderungen zum anwendungsabhängigen Einsatz von Cloud Computing 2013 ISACA Germany Chapter e.v. 16

17 Agenda Über ISACA ISACA Veröffentlichungen und Empfehlungen zum Thema Cloud Computing - Anwendungspotentiale & Nutzen für Cloud Service Provider Differenzierungsbedarf bei Cloud Computing-Standards - Position der FG Cloud Computing Fazit 2013 ISACA Germany Chapter e.v. 17

18 Fazit ISACA Veröffentlichungen decken wichtige Aspekte des Anforderungsmanagement von Cloud Lösungen ab Durchgängige Differenzierung nach Service- und Deployment-Modell Nicht auf COBIT beschränkt Kombinierbar mit weiteren Standards (BSI Grundschutz, ISO 27001) Anforderungen und Empfehlungen sollten auch von Cloud Providern bei Design, Implementierung und Betrieb berücksichtigt werden Die Ausdifferenzierung von standardisierten Lösungen muss weitergehen Ziel: Einfache Realisierung kompletter Geschäftsprozess mit standardisierten Lösungen Anwedungsfallbezogene Standards sind hierzu ein wichtiger Schritt 2013 ISACA Germany Chapter e.v. 18

19 Vielen Dank! Dr. Karl-Friedrich Thier 2013 ISACA Germany Chapter e.v. 19

20 Referenzen und Bildnachweise ISACA Dokumente: Security Considerations for Cloud Computing Center/Research/ResearchDeliverables/Pages/Security-Considerations-for-Cloud- Computing.aspx IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud Computing-Controls-and-Assurance-in-the-Cloud-e-book.aspx Cloud Computing Management Audit/Assurance Program Computing-Management-Audit-Assurance-Program.aspx Bildquellen: S. 8 PDCA Zyklus: Wikimedia Commons (Autor: Karn G. Bulsuk), ISACA Germany Chapter e.v. 20