Cloud Security. Compliance in der Cloud sicherstellen. Managed Hosting Cloud Hosting Managed Services

Transkript

1 Cloud Security Compliance in der Cloud sicherstellen Managed Hosting Cloud Hosting Managed Services

2 Cloud Security Andreas Bachmann Chief Information Officer Adacor Group

3 Adacor Group Enterprise Hosting und Cloud Lösungen für Konzerne und Mittelstand vserver, dedizierte Server und Private Cloud für Mittelstand und Agenturen Consulting und Managed Services für AWS, Azure und Google Cloud

4 Thema Compliance in der Cloud... und wie man sie erreicht.

5 Wo starten? Welche Regularien gelten für mich? Welche Maßnahmen muss ich treffen? Wie ist die Abgrenzung zwischen meinem Unternehmen und dem Cloud Provider?

6 Regularien Datenschutz (EU-DSGVO) Informationssicherheit (KonTraG) Informationssicherheits-Management Internes Kontrollsystem Risikomanagement

7 Regularien MaRisk, BAIT für Finanzinstitute VDA ISA für Automobilbranche Kritis für wichtige Infrastrukturen Sozialgeheimnis Gesundheitswesen

8 Regularien Regularien: Definieren Anforderungen an Unternehmen Auflagen und Strafen bei Nichteinhaltung Lassen Spielraum wie die Compliance sichergestellt werden kann

9 Frameworks Frameworks: Z.B. ISO, BSI, Internes Kontrollsystem, ITIL Unterstützen bei der Compliance Bieten Best Practices Ermöglichen Auditierung und Zertifizierung

10 Compliance Frameworks und Regulatorien zusammenführen: Datenschutz à ISO / TOMs Informationssicherheit à ISO IT Prüfung à ITIL / IDW PS 330 / IDW PS 951

11 Kontrollziele und Kontrollen Kontrollziele à Vorgaben des Frameworks Kontrollen à Maßnahmen zur Erreichung der Kontrollziele

12 Kontrollziele und Kontrollen Kontrollziel: Änderungen an IT-Systemen werden dokumentiert. Kontrolle: Eine CMDB ist implementiert und es existieren Richtlinien für Administratoren zur Dokumentation von Änderungen.

13 Vorgehen Und jetzt kommt noch die Cloud dazu.

14 Vorgehen Schritt 1: Regularien sind bekannt und Kontrollziele und Kontrollen dokumentiert!

15 Vorgehen Schritt 2: Definieren Sie die Schnittstellen und Abgrenzungen zu Ihren Cloud Providern.

16 Vorgehen Schritt 3: Prüfen Sie Testate, Maßnahmen und Zertifizierungen bezogen auf die Schnittstellen.

17 Vorgehen im Detail Schnittstellen und Abgrenzung: Provider Compliance Carve-Out! Verantwortlichkeiten definieren Kontrollen abgleichen

18 Vorgehen im Detail Provider Compliance Cloud Modell Provider- und Serverstandort Zertifizierungen und Testate Vertragliche Regelungen

19 Vorgehen im Detail Carve-Out Ihr Unternehmen Cloud Provider Internes Auditprogramm

20 Vorgehen im Detail Verantwortlichkeiten definieren Private Cloud, Public Cloud, Hybrid Cloud IaaS, PaaS, XaaS à Managed oder Unmanaged OS à Plattform à Application à User Management Sicherheitsmanagement

21 Sicherheitsmanagement Organisation Betrieb VDA ISA Stufe 3 IDW PS 951 Typ 2 ISMS Security Team Datenschutz- Management Patch Management Plattform ISAE 3402 Systemhärtung Monitoring Type 2 Jährliche Verpflichtungen Incident Response Vulnerability Scanning Jährliche Schulungen 24/7 Bereitschaft Web Application Firewall Interne Revision Fachpersonal Compliance Management Persönlicher Project Lead Hardware Netzwerk ISO Audit in h Hardware Tests VPN Individuelle Server Netz- Segmentierung Sichere Entsorgung DDOS Protection Firewalls Intrusion Detection 2 Faktor Auth. Rechenzentrum ISO Zutrittskontrollen Brandschutz Tier 3/4 USV Notstrom Standort Frankfurt 24/7 Leitstelle

22 Vorgehen im Detail Kontrollen abgleichen Datenschutz ISMS IT Prüfung IT-Sicherheit à Provider TOMs à ISO Zertifikat à IDW PS 951 Typ 2 Testat à z.b. BSI C5 oder SOC2

23 Vorgehen im Detail Kontrollen auditieren Lieferanten in Risikomanagement einbeziehen Internes Auditprogramm etablieren Lieferantenprüfungen durchführen Optional: Vor-Ort Audits

24 Vorgehen im Detail Risikomanagement

25 Vorgehen im Detail Provider must haves! Datenschutzkonzept Sicherheitskonzept Externe Überprüfung (ISO 27001, PS 951, etc.)

26 Fazit Compliance in der Cloud ist machbar. Ein guter Provider ist dabei hilfreich.

27 Fragen?

28 Kontakt Andreas Bachmann Geschäftsführer / CIO Vielen Dank! Telefon +49 (0) Telefax +49 (0) andreas.bachmann@adacor.com Sales sales@adacor.com ADACOR Hosting GmbH Emmastr. 70a Essen