Organisatorische Verantwortlichkeiten für die Cloud-Sicherheit
Über das Modell der gemeinsamen Verantwortung hinaus ist es wichtig, dass Sie die individuellen Verantwortlichkeiten für die Cloud-Sicherheit innerhalb Ihrer Organisation festlegen und sicherstellen, dass jeder weiß, was erforderlich ist. Es reicht nicht aus - und ist sogar ein wenig klischeehaft -, einfach zu sagen: "Sicherheit ist jedermanns Verantwortung."
Führungsteams müssen die Bemühungen um Cloud-Sicherheit unterstützen. In der heutigen gesetzlichen Landschaft ist das Sponsoring durch Führungskräfte praktisch obligatorisch. Die potenziellen finanziellen Auswirkungen der Nichteinhaltung gesetzlicher Vorschriften können für ein Unternehmen genauso verheerend sein wie (oder schlimmer als) eine Datenschutzverletzung selbst. Neben den finanziellen Strafen sehen viele Vorschriften auch strafrechtliche Sanktionen für Führungskräfte und andere Treuhänder eines Unternehmens vor.
Führungskräfte müssen mit gutem Beispiel vorangehen. Wenn die Unternehmensrichtlinien vorschreiben, dass Unternehmensdaten auf mobilen Geräten verschlüsselt werden müssen und der Zugriff auf SaaS-Anwendungen eine Multi-Faktor-Authentifizierung (MFA) erfordert, dann sollten für Führungskräfte keine "einmaligen" Ausnahmen gemacht werden. Führungskräfte müssen nicht nur mit gutem Beispiel vorangehen, sondern auch dafür sorgen, dass Sicherheits- und Compliance-Initiativen die entsprechende Unterstützung und Ressourcen erhalten und dass die Auswirkungen strategischer Geschäftsentscheidungen auf die allgemeine Sicherheits- und Compliance-Stellung der Organisation stets berücksichtigt werden.
Sicherheits- und Compliance-Teams müssen geeignete Richtlinien definieren und durchsetzen, die das Unternehmen sicher machen. Um effektiv zu sein, müssen Sicherheitsteams und Compliance-Teams die Unternehmensziele verstehen und mit ihnen übereinstimmen, und sie dürfen keinen Engpass für Produktivität und Effizienz darstellen.
Geschäftsbereichsleiter sind dafür verantwortlich, dass die Cloud-Sicherheit und Compliance-Governance der Organisation in ihren jeweiligen Geschäftsbereichen verstanden und befolgt wird. Da sich die geschäftlichen Anforderungen weiterentwickeln, sollten die Manager der Geschäftsbereiche mit den Sicherheitsteams zusammenarbeiten, um das Risiko und den Nutzen der Einführung neuer Tools abzuwägen. Die Umgehung einer Sicherheitsrichtlinie, z. B. der Anforderung, nur genehmigte SaaS-Anwendungen zu verwenden, um ein kurzfristiges Geschäfts- oder Produktivitätsziel zu erreichen, sollte niemals akzeptiert werden. Stattdessen sollten sich die Sicherheitstools an die geschäftlichen Anforderungen anpassen und das gewünschte Benutzerverhalten steuern.
Die Zusammenarbeit mit Sicherheits- und Compliance-Teams trägt auch dazu bei, dass die einzelnen Geschäftsbereiche in der Lage sind, alle bestehenden Beziehungen der Organisation zu Anbietern oder Cloud-Providern zu nutzen, um Dienste kostengünstiger zu beschaffen und bei Bedarf schnell Unterstützung zu erhalten, anstatt in einem Vakuum mit isolierten Cloud-Technologien und -Produkten zu arbeiten.
DevOps teams stehen unter ständigem Druck, Softwareprojekte und -updates schnell zu liefern und die Markteinführungszeit zu verkürzen. Um diesen Anforderungen gerecht zu werden, müssen die Anforderungen an die Sicherheit zu Beginn eines jeden Projekts definiert und verstanden werden und idealerweise in den Workflow der Anwendungsbereitstellung integriert werden. Auf diese Weise können die Entwicklungsteams weiter vorankommen, ohne häufig anhalten und zurücksetzen zu müssen, um Sicherheitslücken und Compliance-Verstöße zu beheben.
Einzelne Endbenutzer sind dafür verantwortlich, die Unternehmensführung in Bezug auf Cloud-Sicherheit und Compliance zu befolgen. Sie müssen die mit der Cloud verbundenen Risiken verstehen und die ihnen anvertrauten Daten so schützen, als wären es ihre eigenen persönlichen Daten.
