3 Top-Tipps zur Gewährleistung der Compliance in der Cloud

27th September 2021
Milou Lammers, Director of Compliance bei iland, untersucht die aktuelle Cloud-Regulierungslandschaft und legt ihre Ratschläge für Cloud-Kunden dar, die die Einhaltung von Vorschriften gewährleisten möchten.
Milou Lammers, Direktor für Compliance bei Iland, untersucht die aktuelle Cloud-Regulierungslandschaft und legt ihre Ratschläge für Cloud-Kunden dar, die die Einhaltung der Vorschriften gewährleisten möchten.

Compliance wird für Unternehmen zu einem immer komplexeren Thema. Da Unternehmen aufgrund von COVID-19 zunehmend remote und digital arbeiten, implementieren Regierungen weltweit eine wachsende Zahl von Datenschutz Vorschriften, an die sich Organisationen halten müssen. Der Grund dafür ist stichhaltig: Mit der Industrialisierung des Hackings und den enormen Auswirkungen von Sicherheitsverletzungen hatten Regierungen keine andere Wahl, als die Anzahl der Vorschriften, Standards und Gesetze, die sie derzeit durchsetzen, zu erhöhen, um nicht nur die Versuche der Gegner einzudämmen um vertrauliche Informationen zu kapern, aber auch um Datenlecks über andere, weniger böswillige Wege zu verhindern. Mit Gesetzgebern in über 29 Bundesstaaten in den USA, die den Datenschutz auf die Tagesordnung der Legislaturperioden im Jahr 2021 setzen, der Verbreitung der DSGVO in Europa und jetzt einem neuen Datenschutzgesetz, das in China am 1. November in Kraft treten soll, ist dies der Fall Noch nie war es für Unternehmen eine größere Herausforderung, konform zu bleiben. Die Frage ist jedoch, wo ist die ganze Regulierung der Informationssicherheit?

Wir müssen uns auf die Informationssicherheit konzentrieren

Während Datenschutzbelange in der Gesetzgebung im Vordergrund stehen, gibt es nur sehr wenig Bewegung in Bezug auf die Regulierung, wie Unternehmen Kundendaten schützen. Aufsichtsbehörden bestrafen Unternehmen für große Datenschutzverletzungen und verhängen hirnlose Bußgelder, z. B. Bußgelder von bis zu 20 Millionen Euro oder 4 % des weltweiten Gesamtumsatzes bei Nichteinhaltung der DSGVO. Diese Vorschriften verlangen jedoch nur, dass Unternehmen „angemessene technische und organisatorische Maßnahmen“ zum Schutz von Kundendaten beauftragen sie Unternehmen nicht wie um diese Daten zu schützen.

Die ersten Schritte in Richtung einer Hybrid-First-Cybersicherheitsumgebung unternehmen
Trending
Die ersten Schritte in Richtung einer Hybrid-First-Cybersicherheitsumgebung unternehmen

Da es nur sehr wenige informationssicherheitsspezifische Vorschriften und wenige Anleitungen von Regierungsbehörden zu Sicherheitsmaßnahmen gibt, haben sich unabhängige Zertifizierungsstellen verstärkt, um Organisationen dabei zu helfen, nachzuweisen, dass sie konform sind. Cloud Anbieter verlassen sich häufig auf externe Prüfer von Drittanbietern, um Service-Level-Audits zur Informationssicherheit und datenschutzspezifischen Kontrollen durchzuführen, um sicherzustellen, dass das Unternehmen über ausreichende Maßnahmen zum Schutz der in ihrer Cloud gespeicherten Kundendaten verfügt. 

Unabhängig davon, ob ein Unternehmen gerade erst mit Cloud-Technologien beginnt oder bereits stark in die Cloud investiert hat, diese Audits und Zertifizierungen geben Kunden die Gewissheit, dass ihre Daten in einer Compliance-zertifizierten Umgebung geschützt sind. 

Sicherheitsdokumentation auf Anfrage

Das Volumen der weltweit angebotenen Informationssicherheitsaudits und -zertifizierungen hat stark zugenommen. Einzelne Branchen haben zusammen mit staatlichen Aufsichtsbehörden in Branchen wie Banken, Gesundheitswesen und Fertigung einzigartige, umfassende Standards entwickelt. Andere globale Zertifizierungsstellen wie die Internationale Organisation für Normung (ISO) haben Gesetze und Standards aus mehreren Ländern zu einer Best-Practice-Zertifizierung zusammengefasst. Beispielsweise kombiniert die ISO/IEC 27701:2019 Security Techniques (ISO 27701)-Zertifizierung einige der strengsten Datenschutzstandards der Welt, wie die DSGVO, CCPA und australische Datenschutzgesetze, zu einem Standard, nach dem Unternehmen gemeinsam auditiert werden können um die Einhaltung dieser Standards nachzuweisen. Einige der gängigsten Sicherheitsstandards und Audit-Zertifizierungen, um die CSPs heute gebeten werden, umfassen eine ISO 27001-Zertifizierung und einen SOC 2-Bericht für US-Cloud-Anbieter. 

ISO 27001-Bericht

Die Norm ISO/IEC 27001: Information Security Management (ISO 27001) ist ein Audit-Framework, das Organisationen einen Fahrplan für das Management der Informationssicherheit bietet. Es kann als eines der Tools angesehen werden, auf die sich CSPs verlassen, um nachzuweisen, dass sie „angemessene technische und organisatorische Maßnahmen“ zum Schutz von Kundendaten in der Cloud implementiert haben. 

SOC 2-Bericht

Darüber hinaus verlassen sich US-Anbieter auf die SOC 2 Trust Services Criteria der AICPA, um die Sicherheits-, Verfügbarkeits- und Verarbeitungsintegritätskontrollen nachzuweisen, die sie eingerichtet haben, um Kundendaten in ihren Systemen und die Vertraulichkeit und den Datenschutz der von diesen Systemen verarbeiteten Informationen zu schützen. Ein SOC 2-Bericht enthält auch eine detaillierte Zusammenfassung der überprüften Beweise und der Sicherheitskontrollen wie Zugangskontrolle und physische Sicherheit, die das Unternehmen eingerichtet hat, um Kundendaten besser zu schützen.

Der Umfang, die Vielfalt und die sich ändernde Art von Compliance-Regeln können für ein Unternehmen schwer zu verstehen und zu interpretieren sein, und daher werden sich viele auf die Erfahrung und das Fachwissen eines Cloud-Service-Anbieters verlassen. Wie sollten Unternehmensleiter also sicherstellen, dass sie die Vorschriften einhalten, wenn sich nicht alle Ressourcen in ihren Räumlichkeiten und unter ihrer physischen Kontrolle befinden?

Top-Tipps zur Gewährleistung der Compliance in der Cloud

1. Überprüfen Sie die Compliance-Dokumentation Ihres CSPs

Überprüfen Sie die Compliance-Dokumentation, die Ihr CSP Kunden zur Verfügung stellt, und stellen Sie sicher, dass sie für Ihre Branche und die Sicherheitsbedenken Ihres Unternehmens gilt. Abhängig von Ihrer Branche gibt es möglicherweise andere, relevantere Audit-Zertifizierungen, die Ihr CSP haben sollte. Beispielsweise HITRUST- oder HIPAA-Audit-Zertifizierungen für US-amerikanische Gesundheitsunternehmen, Cyber ​​Essentials für britische Unternehmen oder regierungsspezifische Vorschriften für Rüstungsunternehmen wie CMMC in den USA oder IRAP in Australien. 

2. Zugangskontrolle verstehen

Ein großer Teil der regulatorischen IT-Compliance ergibt sich aus der Sicherstellung angemessener Kontrollen darüber, wer Zugriff auf welche Daten im System hat. Während eines Compliance-Audits müssen Sie nachweisen können, welche Zugriffsebene jeder Benutzer hat und wie diese verschiedenen Ebenen aufrechterhalten werden. Ihr CSP muss in der Lage sein, Ihnen eine Dokumentation zur Verfügung zu stellen, die darlegt, wie er die Aufgabentrennung für Verwaltungsfunktionen umsetzt. Sie müssen auch in der Lage sein, eine klare Dokumentation bereitzustellen, aus der hervorgeht, welche Benutzer wann auf welche Systeme Zugriff hatten und auf welche Daten und Systeme jeder Benutzer zugreifen konnte.

3. Bewerten Sie Ihren CSP-Lieferanten regelmäßig

Ohne die Gefahr staatlicher Vorschriften in Bezug auf Informationssicherheitsmaßnahmen wird die Compliance in der Cloud von Best-Practice-Standards und Kundenanforderungen bestimmt. Wenn Kunden regelmäßig eine bestimmte Audit-Zertifizierung anfordern, über die eine Organisation noch nicht verfügt, können sie erwägen, ihr Compliance-Programm zu erweitern, um den Marktanforderungen gerecht zu werden. Bewerten Sie Ihren CSP weiterhin regelmäßig, um sicherzustellen, dass er seine Compliance-Zertifizierungen regelmäßig erneuert und ein für Ihr Unternehmen wichtiges Compliance-Programm nicht aufgegeben hat.

WEITERLESEN:

Um die Flexibilität und Vorteile der Cloud sowie die erforderliche Compliance zu erhalten, sind Überlegungen und Planung erforderlich. Beruhige dich nicht. Stellen Sie von Anfang an sicher, dass Sie mit einem Cloud-Service-Anbieter zusammenarbeiten, der Ihre Compliance- und Audit-Anforderungen berücksichtigt. Sie wollen einen Anbieter, der Sie in den Mittelpunkt stellt und möchte, dass Sie von der Cloud profitieren. Finden Sie einen Anbieter, der für Ihr Unternehmen Compliance gewährleistet und Sie und die sensiblen Daten Ihrer Kunden schützt. Stellen Sie sicher, dass sie über die Erfahrung, Fähigkeiten, Mitarbeiter und Prozesse verfügen, um Ihre spezifischen Compliance-Anforderungen zu erfüllen.

Vergessen Sie nicht, unser tägliches Bulletin zu abonnieren, um weitere Neuigkeiten von Top Business Tech zu erhalten!

Folge uns auf  LinkedIn und Twitter

Wir glauben, dass Ihnen Folgendes gefallen wird:

Amber Donovan-Stevens

Amber ist Inhaltsredakteurin bei Top Business Tech

Neue Umfragen zur Beliebtheit von Programmiersprachen unterstreichen die Vorteile modernisierter...

Graham Morphew • 04. Mai 2023

Die Modernisierung von VxWorks bekräftigt unser Engagement, das zu liefern, was unsere Kunden am meisten wollen: die Fähigkeit, Innovationen zu beschleunigen, ohne Sicherheit, Zuverlässigkeit und Zertifizierbarkeit zu opfern. Wie auch immer Sie die digitale Transformation definieren, wo immer Sie sich auf Ihrem Weg zu modernen DevOps befinden, Geschwindigkeit ist von entscheidender Bedeutung.

Schalten Sie die Kraft von WiFi 6 frei: So nutzen Sie es ...

TBT-Newsroom • 01. März 2023

Sind Sie es leid, in der technologischen Welt zurückgelassen zu werden? Nun, keine Angst! WiFi 6 ist hier, um den Tag zu retten und Ihr Unternehmen in die Zukunft zu führen. Mit beispiellosen Geschwindigkeiten und einer Vielzahl neuer Funktionen ist WiFi 6 die unverzichtbare Technologie für jedes Unternehmen, das der Zeit voraus sein möchte.