Das zunehmende Tempo der Digitalisierung führt zu einem enormen Fachkräftemangel, insbesondere im Bereich Cloud und Cybersicherheit. Für Unternehmen, die Anwendungen, Daten, Geschäftsabläufe sowie eine Vielzahl von virtuellen Infrastrukturen in die Cloud verlagern müssen, bedeutet das nichts Gutes. Wie können Unternehmen, die bereits bei wichtigen Cyber-Projekten hinterherhinken, die Migration in die Cloud beschleunigen?
Venu Lambu, Global Head of Markets for Infrastructure Services bei Cognizant, sieht folgende Lösungsansätze als Möglichkeit, um diesen Engpass zu bewältigen: Zum einen muss die Anzahl interner Sicherheitsexperten stark erhöht werden, zum anderen müssen Berater, Systemintegratoren und Dienstleister in den täglichen Cyberbetrieb eingebunden werden. Ein Perspektivwechsel sowie die Geschäftsstrategie durch die Cloud-Linse zu betrachten, wobei das Cloud-Modell die betrieblichen Sicherheitsanforderungen zu berücksichtigen hat, sind entscheidende Punkte.
Cloud-Service-Modelle aus der Security-Perspektive bewerten
Das bekannte Cloud-Modell mit Infrastruktur (IaaS), Plattform (PaaS) oder Software as a Service (SaaS) zeigt, dass die operative Verantwortung entweder beim Cloud-Anbieter oder beim Cloud-Kunden liegt. Das Modell sollte jedoch nicht dahingehend missverstanden werden, dass die Sicherheitsverantwortung ausschließlich beim operativen Inhaber eines jeden Layers liegt. Ist bei IaaS beispielsweise der Provider für Virtualisierung, Server, Storage und Networking verantwortlich, liegt die Verantwortung für das Management der Richtlinien auf den virtuellen Systemen sowie für die Zugriffskontrolle und das Eventmanagement in diesen Layern weiterhin beim Kunden.
Um besser zu verstehen, wo die Sicherheitsverantwortung liegt, sollten Cloud-Modelle nicht aus der operativen Perspektive, sondern aus Sicht der Sicherheitskontrollen betrachtet werden.
Durch das Verständnis, wo innerhalb eines jeden Kontroll-Layers die alleinige oder gemeinsame Verantwortung für die Sicherheit angesiedelt ist, kann ein Unternehmen feststellen, ob genügend Kompetenz und Ausstattung vorhanden sind, um die Unternehmenssteuerung auf die Cloud auszudehnen. Wenn die Sicherheitsreife nicht immer vom Unternehmen an die Cloud abgegeben wird, dann erfordert höchste Sicherheit in einem bestimmten Cyberbereich oftmals, dass das Unternehmen hierfür über genügend Cyberpersonen, -prozesse und -technologien verfügen muss, um seine Cloud-Ambitionen abzusichern. Kurz gesagt, vorhandenes Cyberwissen, entsprechende Rahmenbedingungen und Unternehmenssteuerung sowie eine damit verbundene Cyberdisziplin können die Grundlage für eine Cloud-Einführung bilden.
Beseitigung der Qualifikationslücke durch Identifizierung des Geschäftsnutzens
Selbst Unternehmen mit eingeschränkter Cyberkompetenz können komplexe Cloud-Umgebungen unabhängig vom Stand ihrer Cyberreife oder Mitarbeiterqualifikation erfolgreich absichern, da die Einführung der Cloud durchaus schrittweise erfolgen kann. Der Geschäftsnutzen, die Kosten und die IT-Treiber hinter den einzelnen Projekten können getrennt von herkömmlichen Sicherheitsüberlegungen analysiert werden, bei denen sicherheitsrelevante Entscheidungen oftmals Auswirkungen auf andere Unternehmensbereiche haben.
- Der erste Schritt, um die für den Cloud-Einsatz günstigen IT-Treiber zu identifizieren, ist eine Bewertung der Cloud-Readiness. Zu den zu beantwortenden Fragen gehören nicht nur die Kompetenz eines Unternehmens, eine Cloud aufzusetzen und zu verwalten, sondern auch die strategischen Gründe, warum IT-Funktionen in die Cloud verlagert werden sollen wie Kostensenkung oder die Verkürzung von Produkteinführungszeiten. Der Schlüssel liegt darin, diese strategischen Faktoren mit Metriken zu bestimmen, die auf jedes neue IT-Projekt angewendet werden können.
- Sobald diese Antriebskräfte identifiziert sind, ist der nächste Schritt ein Cloud-First-Ansatz. Bei jedem neuen IT-Projekt sollte die Frage gestellt werden, ob diesen »IT-Treibern« besser in der Cloud Rechnung getragen werden kann. Falls ja, ist der Aufwand, der erforderlich ist, um dieses Modell zu ermöglichen, in der Regel zweitrangig gegenüber dem strategischen Geschäftsnutzen.
- Eine vorhandene Kompetenzlücke für die Implementierung einer Sicherheitsstrategie oder die Absicherung des Betriebs der Cloud-Umgebung kann bei Bedarf mit Systemintegratoren, Service Providern und externen Beratungsexperten geschlossen werden. Managed Security Services (MMS) können auch eine Brückenfunktion zwischen dem aktuellen und dem gewünschten Stand der inneren Sicherheit übernehmen.
Kennt man die IT-Treiber, versteht die Verantwortlichkeiten für die Cloud-Sicherheit innerhalb jedes Kontroll-Layers, verlagert die Perspektive auf das Geschäftsergebnis und bittet Partner um Hilfe, ist die Cyberkompetenzlücke kein Thema mehr. Anstatt den Wechsel in die Cloud zu behindern, werden Sicherheitsaspekte zum zentralen Faktor, der die digitale Transformationsmaschine in Gang hält.
Die 5 häufigsten Bedenken hinsichtlich der Public-Cloud-Sicherheit
Europas Unternehmen haben Nachholbedarf in Sachen Cloudsicherheit
Analytics aus der Cloud – Datensicherheit und technologische Reife sind ausschlaggebend
Bei der Cloud bleibt die Sicherheit auf der Strecke – Unternehmen setzen sich Risiken aus