Sicherheit und Compliance in der Cloud

Ähnliche Dokumente
Sicherheit und Compliance in Clouds: Herausforderungen und Lösungen

Informationssicherheit im Cloud Computing

Geschäftsprozesse in die Cloud - aber sicher! (... und compliant) Prof. Dr. Jan Jürjens

Modellbasiertes Sicherheits-Testen für Cloud-basierte Prozesse

Werkzeuggestützte Identifikation von IT-Sicherheitsrisiken in Geschäftsprozessmodellen

Sicherheit und Compliance für IT-gestützte Prozesse

Big Data mit Compliance: Konzepte für den Umgang mit Compliance beim Einsatz von Big Data in der Finanzbranche

IT-Grundschutz: Cloud-Bausteine

Cloud Computing aus Sicht von Datensicherheit und Datenschutz

Rudolf Schraml. Beratung und Vertrieb IT-Security und Datenschutz

Sicherheits-Tipps für Cloud-Worker

Cloud Computing mit IT-Grundschutz

IDV Assessment- und Migration Factory für Banken und Versicherungen

IT-Revision als Chance für das IT- Management

IT-Security Portfolio

IT-Security Portfolio

Sicherheitsanalyse von Private Clouds

ITSM-Lösungen als SaaS

Neue Ideen für die Fonds- und Asset Management Industrie

Informationsfluss-Mechanismen zur Zertifizierung Cloud-basierter Geschäftsprozesse

SERVICE SUCHE ZUR UNTERSTÜTZUNG

Vom Prüfer zum Risikomanager: Interne Revision als Teil des Risikomanagements

Risikomanagement in der Praxis Alles Compliance oder was?! 1. IT-Grundschutz-Tag

Die sichere Cloud? mit Trusted Cloud - der Weg aus dem Nebel. Caroline Neufert Nürnberg, 18. Oktober 2012

Zertifizierung für sichere Cyber-Physikalische Systeme

Fraud Prevention. Intelligente Bekämpfung von Betrug in Finanzinstituten

Den Nebel lichten: Von Compliance-Regularien zu testbaren Sicherheitsanforderungen Prof. Dr. Jan Jürjens

Die neuen Cloud-Zertifizierungen nach ISO und ISO DI Herfried Geyer Fachhochschule St. Pölten, CIS-Auditor

All for One Steeb. Das SAP Haus. ALL FOR ONE STEEB DAS SAP HAUS

OUTSOURCING ADVISOR. Analyse von SW-Anwendungen und IT-Dienstleistungen auf ihre Global Sourcing Eignung. Bewertung von Dienstleistern und Standorten

Anforderungen für sicheres Cloud Computing

Herausforderungen des Enterprise Endpoint Managements

Automatisierung eines ISMS nach ISO mit RSA Archer

Cloud Computing Security

VTC CRM Private Cloud. VTC CRM Sicherheit in der Cloud

Virtual Roundtable: Business Intelligence - Trends

München, Themenvorschläge für Abschlussarbeiten Zur Abstimmung mit Prof. Brecht

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Kompaktseminar Mobile IT-Infrastrukturen Anforderungen an IT-Sicherheit, Datenschutz und Compliance

Governance, Risk & Compliance für den Mittelstand

Pressekonferenz Cloud Monitor 2015

Integration mit. Wie AristaFlow Sie in Ihrem Unternehmen unterstützen kann, zeigen wir Ihnen am nachfolgenden Beispiel einer Support-Anfrage.

Prozessbewertung und -verbesserung nach ITIL im Kontext des betrieblichen Informationsmanagements. von Stephanie Wilke am

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Recht in der Cloud. Die rechtlichen Aspekte von Cloud Computing. Nicole Beranek Zanon Lic. iur., EMBA HSG. Alpiq Cloud Days 2014

Leistungsportfolio Security

Intelligente Wechselbrückensteuerung für die Logistik von Morgen

Rechtssicher in die Cloud so geht s!

InfoSEC AWARENESS RESSOURCEN BESTMÖGLICH NUTZEN. RISIKEN PRAKTIKABEL REDUZIEREN. InfoSEC Awareness Ein Workshop von ExpertCircle.

Fallbeispiel: Intelligente Steuerung von Geschäftsprozessen auf Basis von Big Data

Inhaltsverzeichnis. Hermann J. Schmelzer, Wolfgang Sesselmann. Geschäftsprozessmanagement in der Praxis

Verpasst der Mittelstand den Zug?

Datenschutz und IT-Sicherheit in. Smart Meter Systemen. Unser Angebot für Smart Meter Gateway Administrator und Smart Meter CA

Integriertes Risikomanagement mit GAMP 5 Risiken effizient managen!

Sicherheitsprofile Software as a Service. Sichere Nutzung von Cloud-Diensten

Das Konzept für eine automatisierte und effizientere Kommissionierung umzusetzen

Datenschutz in der Cloud Datenschutzrechtliche Besonderheiten bei Services aus der Cloud und der Vertragsgestaltung

DER BEITRAG DER IT ANWENDER ZUM KOMPETENZNETZWERK TRUSTED CLOUD. Jahreskongress Berlin 2. und 3. Juni Paul Schwefer

IT-Sicherheit. ein Thema für das Management? Herzlich Willkommen. IT-Security für das Management. Vortrag vom netformat GmbH

G DATA GOES AZURE. NEXT LEVEL MANAGED ENDPOINT SECURITY DRAGOMIR VATKOV Technical Product Manager B2B

Leistungsstarke Enterprise Apps. Für Menschen erdacht. Für Veränderungen entwickelt.

Aktion zur ländlichen Entwicklung. Was ist das?

«Zertifizierter» Datenschutz

Titel BOAKdurch Klicken hinzufügen

Neues aus dem IT-Grundschutz Ausblick und Diskussion

Wolfgang Straßer. Unternehmenssicherheit in der Praxis. GmbH, Schloß Eicherhof, D Leichlingen +49 (02175)

Persönliche Einladung. Zur IT Managers Lounge am 4. November 2009 in Köln, Hotel im Wasserturm.

Der Weg zum sicheren Webauftritt

Musterpräsentation TOsecurity Audit

Dieter Brunner ISO in der betrieblichen Praxis

Muster-Angebotsinformation

Value-added KYC Regulation meets business (Know your Customer) Scalaris GRC Day

Informationssicherheit - Last oder Nutzen für Industrie 4.0

Personal- und Kundendaten Datenschutz in Werbeagenturen

3 Gründe, warum sie müssen!

Pragmatisches Risikomanagement in der pharmazeutischen Herstellung

SDD System Design Document

Freie Universität Berlin

Datenschutz und Informationssicherheit

Test zur Bereitschaft für die Cloud

Technische Aspekte der ISO-27001

Cloud Computing bei schweizerischen Unternehmen Offene Fragen und Antworten

Auswertung der Umfrage des Cloud EcoCluster Integrierte Services. TU Berlin - Fachgebiet für Informations- und Kommunikationsmanagement

STUDIE ZU IT-RISIKOBEWERTUNGEN IN DER PRAXIS

Im Spannungsfeld zwischen Fachaufgaben und IT-Betrieb

GRUNDLAGEN UND ZIELE DER REVISION

Sonstiges Wahlfach Wirtschaftsinformatik

MOBILE APPS. GaVI. Barcode Applikationen

Informationssicherheit. Das Ganze ist mehr als die Summe von Einzelmaßnahmen.

Security by Design. Praktische, individuelle und wirtschaftliche Lösung für den Mittelstand

MHP Audit Process Optimization Ihre Lösung für Ihr Mobile Device- Management zur Performancesteigerung!

Cordula E. Niklaus, Fürsprecherin ll.m. Anwaltskanzlei Niklaus, Zürich - niclaw

TRAINING & LEARNING. So werden Sie von SELECTEAM unterstützt

Interne Revision Ressourcen optimieren. Aufdecken, was dem Erfolg Ihres Unternehmens entgegensteht!

Mobility: Hoher Nutzen

SiMiS-Kurzcheck zur Informationssicherheit nach ISO/IEC bzw. Datenschutz nach Bundesdatenschutzgesetz (BDSG)

Vertrags- und Lizenzfragen im Rahmen des Cloud Computing LES Arbeitsgruppenmeeting 13. Mai 2011

d.3 virtual user Das Tool zur Lastanalyse von d.3ecm Archiven

Transkript:

Sicherheit und Compliance in der Cloud Prof. Dr. Jan Jürjens TU Dortmund Das Forschungsprojekt ClouDAT (Förderkennzeichen 300267102) wird/wurde durch das Land NRW und Europäischen Fonds für regionale Entwicklung Investition in unsere Zukunft unterstützt. http://jan.jurjens.de

Herausforderung: Sicherheit und Compliance in der Cloud Umfrage: Größte Herausforderungen beim Einsatz von Clouds? 2 Jan Jürjens: Sicherheit und Compliance in der Cloud: Herausforderungen

Sicherheit vs. Compliance: Regularien und Standards Abstrakte Gesetze und Regelungen Konkrete Sicherheits- Bestimmungen Basel II SOX AktG KWG VAG MARisk ISO 2700x Solvency II BSI-Grundschutzhandbuch 3 Jan Jürjens: Sicherheit und Compliance in der Cloud: Herausforderungen

Spezifische Sicherheitsprobleme bei Cloud Computing Fehler / Angriffe von Mitarbeitern des Providers Angriffe von anderen Kunden Angriffe auf Verfügbarkeit (DOS) Fehler bei Zuteilung und Management von Cloud-Ressourcen Z.B. Unzureichende Mandantentrennung Missbrauch der Verwaltungsplattform Angriffe unter Nutzung von Web-Services Probleme bei Vertragsgestaltung (Quelle: BSI, IT-Grundschutz und Cloud Computing, 2009 und Eckpunktepapier Sicherheitsempfehlungen für Cloud Computing Anbieter, 2011) 4 Jan Jürjens: Sicherheit und Compliance in der Cloud: Herausforderungen

Compliance-Szenarien in der Cloud Kunde -> Cloud: Sicherheits-Compliance: Sicherheitsprozesse der Cloud auf Compliance mit SLA Legale Compliance: Compliance vs. Auslagerung der Geschäftsprozesse Cloud -> Cloud: Vertrags-Compliance: Überprüfung der Interaktion zweier Geschäftspartner in der Cloud Cloud -> Kunde: Sicherheits-Compliance: Überprüfung der Kundenprozesse auf Verstoß gegen Verhaltensbestimmungen 5 Jan Jürjens: Sicherheit und Compliance in der Cloud: Herausforderungen

Herausforderung Compliance Hoher Aufwand => teuer Trotzdem immer wieder Lücken (Societe Generale 2008: 5 Mrd. Euro Verlust). Herausforderung: Manuellen Aufwand reduzieren Dadurch mehr Zeit für Konzentration auf wichtige GRC-Probleme Automatische Prüfung erhöht außerdem Verlässlichkeit. Compliance-Checks können die Geschäftsprozesse des Cloud-Anwenders auch auf allgemeine Compliance (z.b. SOX, EURO-SOX, BASEL II, SOLVENCY II) Kann Compliance von Geschäftsprozessen auf zwei Arten erreichen: Compliance by design Compliance Validierung 6 Jan Jürjens: Sicherheit und Compliance in der Cloud: Herausforderungen und Lösungen

Compliance: Herausforderungen bewältigen GRC-Aufgaben automatisieren Reduktion des manuellen Aufwandes Experten konzentrieren sich auf Spezialfälle Wissensbasis über GRC aufbauen Datenquellen: Interviews, Texte, Prozesse, Process mining Evaluierung des Risikomanagements Idealerweise (teil-)automatisiert durch Werkzeugunterstützung Überwachung von GRC unterstützten Einsatz von Überwachungs-Werkzeugen, z.b. in Web-Portalen Ideal: Wiederverwendung der Informationen zur Prozessoptimierung 7

Projekt ClouDAT Werkzeuggestützte Methode zur Umsetzung von Geschäftsprozessen auf IT-Infrastrukturen unter Beachtung von Compliance-Anforderungen (z.b. Basel II, Solvency II,...). Analyse wird auf Basis von Textdokumenten, Modellen und anderen Datenquellen durchgeführt Governance, Risk, Compliance (GRC) und Maßnahmen für Cloud Computing 8

ClouDAT: Werkzeugunterstützung Werkzeugunterstützung für: Analyse der eigenen Geschäftsprozesse auf Eignung zur Auslagerung in eine Cloud (bzgl. Sicherheit und Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheits- und Compliance-Garantien Möglichkeiten: Business process mining Untersuchung von Log-Daten Business process analysis 9

Untersuchung von Log-Daten Vier-Augen-Prinzip Identifikation des Vier-Augen-Prinzips mit Hilfe der folgenden Informationen: Vorgangsnummern stimmen überein Nutzer sind verschieden Aktionen wurden zum selben Zeitpunkt abgeschlossen 10

Business Process Mining Analyse von Prozessen, die aus Log-Daten rekonstruiert wurden A X C B Process ID Activity ID Consultant Time Stampe Ereignis- Daten 1 A John 9-3-10:15.01 2 A Mike 9-3-10:15.12 3 B Mike 9-3-10:16.07 4 C Carol 9-3-10:18.25 ERP SCM WfMS... CRM 11

Business Process Analysis Automatisierte Compliance-Analyse Zwei Ansätze: 1. Text-basierte Analyse der Aktivitäts-bezeichner zur automatischen Identifikation von Risiken 2. Strukturelle Analyse des Prozessmodells auf Muster, die Compliance verletzen 12

Werkzeuggestützte Analyse und Umsetzung von Sicherheit und Compliance Abstrakte Gesetze und Regularien Konkrete Sicherheits- Bestimmungen Basel II SOX AktG KWG VAG MARisk ISO 2700x Solvency II BSI-Grundschutzhandbuch ClouDAT Werkzeuge Risk Finder Compliance pattern analyzer 13

Die ClouDAT- Werkzeugarchitektur 14

Werkzeug Dateneingabe: Prozesse, Daten 15

Werkzeug Dateneingabe: Sicherheitsklassifizierung 16

Werkzeug Dateneingabe: Systemarchitektur 17

Sicherheitsbewertungsanalyse (SBA) Bewertung von Sicherheitsanforderungen für Prozessschritte 18

Werkzeug: Sicherheitsmaßnahmen 19

Analyseergebnis Automatisch generierter Compliance-Bericht: Grundlage sind Sicherheitsstandards, z.b. BSI Sicherheitsempfehlungen oder MaRisk Beispiel: Compliant zu: MaRISK VA (ja / nein) Führt weitere zu untersuchende Anforderungen auf Schlägt Maßnahmen zur Verbesserung der Übereinstimmung mit Compliance- Anforderungen vor: Compliance: incomplete Automatische Korrektur Manuelle Korrektur Compliance-Bericht Problem: - MaRISK VA 7.2: Übereinstimmung mit BSI G3.1 ist zu prüfen Maßnahme: - BSI Maßnahmenkatalog M 2.62 20

Einige Referenz-Projekte Elektronische Gesundheitskarte Mobile Architekturen und Verfahren Digitale Dokumentenverwaltung Digitales Bezahlprotokoll CEPS Sicherheitsanalyse Intranet-System Return-on-Security Investment-Analyse Sicherheitsanalyse für digitales Unterschriften-System Untersuchung zu IT-Sicherheitsrisiko Update-Plattform für Smartcard-Software Zertifizierung für Cloud-Sicherheit Sicherheitsuntersuchung zur Cloud-Nutzung 21

Fazit Sicherheit und Compliance in Cloud-basierten Umgebungen: komplexe und vielfältige Probleme. So vielfältig wie Clouds selbst Gibt Lösungen (und Tools) zur Bewältigung der Herausforderungen. Analyse der eigenen Geschäftsprozesse auf Eignung zur Auslagerung in eine Cloud (bzgl. Sicherheit / Compliance) Analyse / Überwachung der vom Cloud-Anbieter zugesicherten Sicherheit / Compliance Kontakt: http://jan.jurjens.de 22 Jan Jürjens: Sicherheit und Compliance in der Cloud

2024 © DocPlayer.org Datenschutzbestimmungen | Nutzungsbedingungen | Feedback