Page 2
Charakteristika der Cloud
On-Demand Self Service
• Benötigte IT-Kapazität selbstständig ordern und einrichten
Broad Network Access
• Zugriff auf die Cloud über das Netzwerk mittels verschiedener Endgeräte
Resource Pooling
• Gebündelte Ressourcen (Multi Mandanten Modell)
Rapid Elasticity
• Schnelle und flexible Skalierbarkeit der Ressourcen
Measured Service
• Es wird nur für die Ressourcen gezahlt, die auch genutzt werden
5 November 2015 COBIT 5, Controls & Assurance in the Cloud
Page 3
Cloud Service Modelle
► SaaS – Software as a Service Software und Infrastruktur liegt bei einem externen Dienstleister und kann vom Nutzer als
Dienst verwendet werden
► PaaS – Platform as a Service Bereitstellung einer Laufzeit- oder Entwicklungsumgebung, zur Unterstützung des
Softwarelebenszyklus
► IaaS – Infrastructure as a Service Zugang zu virtueller Computerhardware (Rechner, Speicher, Netze, …)
Eigene Gestaltung eines virtuellen Computer Clusters -> Für die Funktionsweise ist man selbst verantwortlich
► XaaS – Anything as a Service Beispiel: Security as a Service (SECaaS)
5 November 2015
Quelle: https://mizitechinfo.wordpress.com/2013/10/12/cloud-computing-spi-model-saas-paas-iaas-part-17/ COBIT 5, Controls & Assurance in the Cloud
Page 4
Anforderungen an den Weg in die Cloud
5 November 2015
Assurance
Governance Security
Vorteile nutzen
COBIT 5, Controls & Assurance in the Cloud
Page 6
Unterstützung durch COBIT 5 - Übersicht
► Governance Risk Assessment
Nutzung von Entscheidungsmodellen
Vertragsgestaltung
► Security Übersicht potentieller Bedrohungen und Gegenmaßnahmen
► Assurance Vorschläge für angemessene Kontrollmechanismen
Assurance Frameworks
Speziell auf Cloud Computing ausgerichtetes Prüfprogramm
5 November 2015 COBIT 5, Controls & Assurance in the Cloud
Page 8
Risk Assessment
► Risiken beim Einsatz von Cloud Computing Vertraulichkeit und Integrität ist nicht zwingend gewährleistet
Daten könnten von Dritten gelöscht/eingesehen werden
Verletzung der Compliance
Nicht immer eine physikalische Trennung zwischen Mandanten gegeben
u.v.m.
► COBIT 5 unterstützt durch… beispielhafte Darstellung von Risikofaktoren beim Einsatz von Cloud
Computing
die Darstellung von sog. Cloud Risk Scenarios
Risk Scenarios = Beschreibung des Einflusses (positiv oder negativ) eines bestimmten Ereignisses auf die Unternehmensziele
5 November 2015 COBIT 5, Controls & Assurance in the Cloud
Page 9
Auszug aus COBIT 5: Risikofaktoren
5 November 2015
Insgesamt 27 Risiken behandelt: IaaS – 12 Risiken; PaaS – 4 Risiken; SaaS – 11 Risiken
COBIT 5, Controls & Assurance in the Cloud
Page 10
Entscheidungsunterstützung
5 November 2015
COBIT 5 bietet einen Leitfaden zur:
• 1.) Vorbereitung der internen Umgebung (Prozesse, Policies..)
• 2.) Auswahl des Cloud Service Models (SaaS, PaaS…)
• 3.) Auswahl des Cloud Deployment Model (public vs private cloud)
• 4.) Auswahl des Cloud Provider
Entscheidungsmodelle:
• Helfen z.B. bei der Entscheidungsfindung für oder gegen den Einsatz von Cloud Computing und dabei welcher Cloud-Service der beste für das Unternehmen ist
COBIT 5, Controls & Assurance in the Cloud
Page 11
Beispiel: Entscheidungsbaum (SaaS, PaaS..)
5 November 2015 COBIT 5, Controls & Assurance in the Cloud
Page 12
Vertragsgestaltung
► COBIT 5 gibt Tipps, welche Themen bei der Vertragsgestaltung jedenfalls beachtet werden sollen.
► Beispiele: Leistungsumfang
Verpflichtungen der Vertragspartner
Vertragsende
Haftung und (Daten)Eigentum
Mindeststandards hinsichtlich Security und Datenschutz
Zahlungsbedingungen, Laufzeit und Kündigung
Leistungsmessung (SLAs)
Anwendbares Recht
Business Continuity, Datenvernichtung und Ausstiegsszenarien
5 November 2015 COBIT 5, Controls & Assurance in the Cloud
Page 14
Security
COBIT 5 bietet eine Übersicht zu 20 potentiellen Bedrohungen und Vorschläge wie man diesen begegnen kann
5 November 2015 COBIT 5, Controls & Assurance in the Cloud
Page 16
Security und Assurance Frameworks & Co
ISO 2700x
ISO 20000
COBIT
AICPA/CICA Trust Services (SysTrust and WebTrust)
AICPA Service Organization Control (SOC) Reports
CSA - Cloud Control Matrix
Jericho Forum® Self-Assessment Scheme (SAS)
CSA STAR Certification
European Network and Information Security Agency (ENISA)
Background Intelligent Transfer Service (BITS)
Federal Risk and Authorization Management Program
Leet Security Rating Methodology
NIST SP 800-53
5 November 2015
COBIT 5 bietet eine Übersicht zu vorhandenen Frameworks, Standards und Certifications inkl. deren Vor- und Nachteile.
Behandelt werden folgende 13:
COBIT 5, Controls & Assurance in the Cloud
Page 17
Benefits und Challenges der Frameworks (Auszug)
5 November 2015 COBIT 5, Controls & Assurance in the Cloud
Page 18
COBIT 5 umgelegt auf Cloud Computing
COBIT liefert Vorschläge zur Aufteilung der Verantwortlichkeiten hinsichtlich der Implementierung von Kontrollen (Kunde vs. Cloud Service Provider)
5 November 2015 COBIT 5, Controls & Assurance in the Cloud
Page 19
COBIT 5 umgelegt auf Cloud Computing
► Vorschläge, wer welche Kontrolle implementieren sollte
► Unterteilung zwischen CSP, Client oder Beide
5 November 2015 COBIT 5, Controls & Assurance in the Cloud
Page 20
CSA Cloud Control Matrix
Clo
ud C
on
trol M
atr
ix Framework, welches für die Cloud erstellt wurde
Wurde entwickelt, um den Anbietern von Cloud Diensten grundlegende Sicherheitsprinzipien und –richtlinien zur Verfügung zu stellen
Es werden ca. 130 Kontrollen bereitgestellt (16 Domänen)
Inklusive Mapping zu anderen Frameworks, wie z.B. zu COBIT 5, PCI-DSS, ISO 2700x etc.
5 November 2015 COBIT 5, Controls & Assurance in the Cloud
Page 21
COBIT 5 – Controls and Assurance in the Cloud, Auszug aus dem Inhaltsverzeichnis
► 1. Introduction
► 2. Cloud Computing Fundamentals
► 3. Governance and Management in the Cloud
► 4. Security Considerations for Cloud Computing
► 5. Assurance in Cloud Computing
► 6. Putting It All Together
► + Appendices
5 November 2015 COBIT 5, Controls & Assurance in the Cloud