Aktuelles, Branche - geschrieben von cp am Mittwoch, Oktober 10, 2018 16:39 - noch keine Kommentare
Lücken bei der Cyber-Kompetenz überwinden
Digitalisierung erzeugt enormen Fachkräftemangel
[datensicherheit.de, 10.10.2018] Das zunehmende Tempo der Digitalisierung führt zu einem enormen Fachkräftemangel, insbesondere im Bereich Cloud und Cyber-Sicherheit. Für Unternehmen, die Anwendungen, Daten, Geschäftsabläufe sowie eine Vielzahl von virtuellen Infrastrukturen in die Cloud verlagern müssen, bedeutet das nichts Gutes. Wie können Unternehmen, die bereits bei wichtigen Cyber-Projekten hinterherhinken, die Migration in die Cloud beschleunigen?
Manoj Mehta, SVP Cognizant, Continental Europe, sieht folgende Lösungsansätze als Möglichkeit, um dieser Engpass zu bewältigen: Zum einen muss die Anzahl interner Sicherheitsexperten stark erhöht werden, zum anderen müssen Berater, Systemintegratoren und Dienstleister in den täglichen Cyber-Betrieb eingebunden werden. Ein Perspektivwechsel sowie die Geschäftsstrategie durch die Cloud-Linse zu betrachten, wobei das Cloud-Modell die betrieblichen Sicherheitsanforderungen zu berücksichtigen hat, sind entscheidende Punkte.
Cloud-Service-Modelle aus der Security-Perspektive bewerten
Das bekannte Cloud-Modell mit Infrastruktur (IaaS), Plattform (PaaS) oder Software as a Service (SaaS) zeigt, dass die operative Verantwortung entweder beim Cloud-Anbieter oder beim Cloud-Kunden liegt. Das Modell sollte jedoch nicht dahingehend missverstanden werden, dass die Sicherheitsverantwortung ausschließlich beim operativen Inhaber eines jeden Layers liegt. Ist bei IaaS beispielsweise der Provider für Virtualisierung, Server, Storage und Networking verantwortlich, liegt die Verantwortung für das Management der Richtlinien auf den virtuellen Systemen sowie für die Zugriffskontrolle und das Eventmanagement in diesen Layern weiterhin beim Kunden.
Um besser zu verstehen, wo die Sicherheitsverantwortung liegt, sollten Cloud-Modelle nicht aus der operativen Perspektive, sondern aus Sicht der Sicherheitskontrollen betrachtet werden.
Durch das Verständnis, wo innerhalb eines jeden Kontroll-Layers die alleinige oder gemeinsame Verantwortung für die Sicherheit angesiedelt ist, kann ein Unternehmen feststellen, ob genügend Kompetenz und Ausstattung vorhanden sind, um die Unternehmenssteuerung auf die Cloud auszudehnen. Wenn die Sicherheitsreife nicht immer vom Unternehmen an die Cloud abgegeben wird, dann erfordert höchste Sicherheit in einem bestimmten Cyber-Bereich oftmals, dass das Unternehmen hierfür über genügend Cyber-Personen, -Prozesse und -Technologien verfügen muss, um seine Cloud-Ambitionen abzusichern. Kurz gesagt, vorhandenes Cyber-Wissen, entsprechende Rahmenbedingungen und Unternehmenssteuerung sowie eine damit verbundene Cyber-Disziplin können die Grundlage für eine Cloud-Einführung bilden.
Beseitigung der Qualifikationslücke durch Identifizierung des Geschäftsnutzens
Selbst Unternehmen mit eingeschränkter Cyber-Kompetenz können komplexe Cloud-Umgebungen unabhängig vom Stand ihrer Cyber-Reife oder Mitarbeiterqualifikation erfolgreich absichern, da die Einführung der Cloud durchaus schrittweise erfolgen kann. Der Geschäftsnutzen, die Kosten und die IT-Treiber hinter den einzelnen Projekten können getrennt von herkömmlichen Sicherheitsüberlegungen analysiert werden, bei denen sicherheitsrelevante Entscheidungen oftmals Auswirkungen auf andere Unternehmensbereiche haben.
- Der erste Schritt, um die für den Cloud-Einsatz günstigen IT-Treiber zu identifizieren, ist eine Bewertung der Cloud-Readiness. Zu den zu beantwortenden Fragen gehören nicht nur die Kompetenz eines Unternehmens, eine Cloud aufzusetzen und zu verwalten, sondern auch die strategischen Gründe, warum IT-Funktionen in die Cloud verlagert werden sollen wie Kostensenkung oder die Verkürzung von Produkteinführungszeiten. Der Schlüssel liegt darin, diese strategischen Faktoren mit Metriken zu bestimmen, die auf jedes neue IT-Projekt angewendet werden können.
- Sobald diese Antriebskräfte identifiziert sind, ist der nächste Stepp ein Cloud-First-Ansatz. Bei jedem neuen IT-Projekt sollte die Frage gestellt werden, ob diesen „IT-Treibern“ besser in der Cloud Rechnung getragen werden kann. Falls ja, ist der Aufwand, der erforderlich ist, um dieses Modell zu ermöglichen, in der Regel zweitrangig gegenüber dem strategischen Geschäftsnutzen.
- Eine vorhandene Kompetenzlücke für die Implementierung einer Sicherheitsstrategie oder die Absicherung des Betriebs der Cloud-Umgebung kann bei Bedarf mit Systemintegratoren, Service Providern und externen Beratungsexperten geschlossen werden. Managed Security Services (MMS) können auch eine Brückenfunktion zwischen dem aktuellen und dem gewünschten Stand der inneren Sicherheit übernehmen.
Kennt man die IT-Treiber, versteht die Verantwortlichkeiten für die Cloud-Sicherheit innerhalb jedes Kontroll-Layers, verlagert die Perspektive auf das Geschäftsergebnis und bittet Partner um Hilfe, ist die Cyber-Kompetenzlücke kein Thema mehr. Anstatt den Wechsel in die Cloud zu behindern, werden Sicherheitsaspekte zum zentralen Faktor, der die digitale Transformationsmaschine in Gang hält.
Weitere Informationen zum Thema:
datensicherheit.de, 21.09.2018
Digitale Talente – Die drei größten Herausforderungen für Unternehmen
datensicherheit.de, 20.02.2017
Weltweiter Fachkräftemangel gefährdet Cyber-Sicherheit
Aktuelles, Experten - Nov 21, 2024 20:50 - noch keine Kommentare
ePA für alle: Daten für die Forschung und das Risiko trägt der Patient
weitere Beiträge in Experten
- CRA endgültig in Kraft getreten: Digitale Produkte in der EU kommen auf den Prüfstand
- Datenleck bei Öko-Stromanbieter: 50.000 Datensätze deutscher Tibber-Kunden im Darknet
- HmbBfDI unternahm branchenweite Schwerpunktprüfung im Forderungsmanagement
- Repräsentative Studie von Civey und QBE: Über 24 Prozent deutscher Unternehmen kürzlich von Cyber-Attacke betroffen
- Datenschutz-Sandbox: Forschungsprojekt soll sicherer Technologieentwicklung Raum geben
Aktuelles, Branche - Nov 21, 2024 20:58 - noch keine Kommentare
Gelsemium-Hacker: ESET warnt vor neuen Linux-Backdoors
weitere Beiträge in Branche
- Laut 2025 Identity Fraud Report alle fünf Minuten ein Deepfake-Angriff
- Unternehmen sollten NIS-2 ernst nehmen und schnell konforme Lösungen etablieren
- Betrug im Digital-Zeitalter: Moderne IT definiert -Bedrohungen und -Schutzmaßnahmen neu
- TOPqw Webportal: G DATA deckte fünf Sicherheitslücken auf
- Proofpoint gibt Tipps gegen Online-Betrug – Hochsaison der Online-Einkäufe startet
Branche, Umfragen - Dez 21, 2020 21:46 - noch keine Kommentare
Threat Hunting: Bedeutung und Wertschätzung steigt
weitere Beiträge in Service
- Umfrage: 71 Prozent der IT-Entscheidungsträger besorgt über Mehrfachnutzung von Passwörtern
- Fast die Hälfte der Unternehmen ohne geeignete Sicherheitsrichtlinien für Remote-Arbeit
- Umfrage: Bedeutung der Konsolidierung von IT-Sicherheitslösungen
- TeleTrusT-Umfrage: „IT-Sicherheit im Home Office“
- Cybersicherheit: SANS-Studie zu Frauen in Führungspositionen
Kommentieren