ISO 27002 - Kapitel 5.23 Nutzung von Cloud-Diensten
Die Nutzung von Cloud-Diensten hat in den letzten Jahren stark zugenommen und oft zahlreiche Vorteile wie Skalierbarkeit, Flexibilität und Kosteneinsparungen bewirkt. Gleichzeitig bringen diese Dienste jedoch auch spezifische Sicherheitsrisiken mit sich, die adressiert werden müssen.
Gemäß ISO/IEC 27002 Abschnitt 5.23, sind organisatorische Maßnahmen von entscheidender Bedeutung, um die Informationssicherheit bei der Nutzung von Cloud-Diensten zu gewährleisten. Im Folgenden werden einige Beispiele dargestellt.
Technische und organisatorische Maßnahmen bei der Nutzung von Cloud-Diensten
Erstellung einer Cloud-Strategie
Eine klar definierte Cloud-Strategie legt die Ziele, Anforderungen und Richtlinien für die Nutzung von Cloud-Diensten fest. Im Ergebnis sollte sichergestellt sein, dass Richtlinien der Organisation und gesetzliche Vorgaben beachtet werden. Eine geeignete Strategie umfasst unter anderem Vorgaben für die Auswahl eines Cloud-Anbieters und die anschließende Zusammenarbeit, die Definition von Zugriffsrichtlinien und die Festlegung von Datenklassifizierungen. Vor allem sollte eine klare Strategie vorhanden sein, wie laufend sichergestellt und überwacht wird, dass ein klar festgelegtes Niveau an Informationssicherheit aufrechterhalten wird und Abweichungen zuverlässig und kurzfristig abgestellt werden.
Durchführung einer umfassenden Risikobewertung
Eine gründliche Risikobewertung hilft dabei, potenzielle Sicherheitslücken und Bedrohungen in Bezug auf die Cloud-Nutzung zu identifizieren. Basierend auf den Ergebnissen der Bewertung können geeignete Sicherheitsmaßnahmen ergriffen und Risiken minimiert werden.
Beispiel für den Bereich Datenschutz
Vertragsgestaltung mit Cloud-Anbietern
Bei der Nutzung von Cloud-Diensten ist es wichtig, klare Vereinbarungen mit den Anbietern zu treffen. Verträge sollten Bestimmungen zur Datensicherheit, zur Verfügbarkeit der Dienste, zur Datenübertragung und zum Datenschutz enthalten. Außerdem sollten Regelungen zur Beendigung des Vertrags und zur Rückgabe der Daten nach Vertragsende festgelegt werden. Das Gesagte gilt selbst dann entsprechend, wenn kein wesentlicher Einfluss auf die Vertragsgestaltung des Cloud-Anbieters genommen werden kann. Auch in diesen Fällen ist immer zu prüfen, ob die eigenen Anforderungen erfüllt werden und wie ggf. verbleibende Risiken behandelt werden können.
Schulung und Sensibilisierung der Mitarbeiter
Um das Sicherheitsbewusstsein in Bezug auf die Nutzung von Cloud-Diensten zu erhöhen, sollten Mitarbeiter regelmäßig geschult und sensibilisiert werden. Dies beinhaltet die Schulung in Bezug auf die sichere Verwendung von Cloud-Diensten, die Erkennung von Phishing-Angriffen und die Sensibilisierung für die Verantwortung jedes Einzelnen im Umgang mit sensiblen Daten.
Die Nutzung von Cloud-Diensten in der ISO 27002
Es ist wichtig anzumerken, dass die oben genannten organisatorischen Lösungen nicht als vollständige Liste angesehen werden sollten, sondern als Ausgangspunkt für die Implementierung angemessener Sicherheitsmaßnahmen dienen sollten.
Durch die Umsetzung dieser organisatorischen Lösungen kann Organisationen dabei geholfen werden, eine sichere Nutzung von Cloud-Diensten zu gewährleisten und gleichzeitig ihre vertraulichen Informationen zu schützen.