"Microsoft Cloud Security Readiness Tool " (CSRT)

Unabhängige Bewertung des Cloud-Security-Reifegrads

| Autor / Redakteur: Michael Matzer / Florian Karlstetter

Das Microsoft Cloud Security Readiness Tool gibt Aufschluss, auf welchem Reifegrad sich die IT-Infrastruktur einer Organisation im Hinblick auf Cloud Security befindet.
Das Microsoft Cloud Security Readiness Tool gibt Aufschluss, auf welchem Reifegrad sich die IT-Infrastruktur einer Organisation im Hinblick auf Cloud Security befindet. (© alphaspirit - Fotolia.com)

Cloud-Security ist in Zeiten von Spähprogrammen wie dem amerikanischen "Prism" und dem britischen "Tempora" wichtiger denn je. Der IT-Verantwortliche möchte wissen, wo er steht. Das von Microsoft initierte Cloud Security Readiness Tool soll dabei helfen.

Das Cloud Security Readiness Tool wird von Microsoft seit Oktober 2012 kostenlos online zur Verfügung gestellt. Im Wesentlichen handelt es sich um einen Fragebogen mit 27 Fragen. Damit kann der IT-Verantwortliche, insbesondere in kleinen und mittleren Unternehmen, beurteilen, auf welchem Reifegrad sich die IT-Infrastruktur seiner Organisation im Hinblick auf Cloud Security befindet.

Diese 27 Fragen jedoch haben es in sich. Jede bezieht sich auf eine Ebene der Cloud Controls Matrix (CCM), die die Cloud Security Alliance (CSA) aufgestellt hat. Die Ebenen decken die Aspekte, um die sich die CSA kümmert, ab, also nicht nur Sicherheit, sondern auch Verfügbarkeit, Compliance usw.

Die unabhängige Non-Profit-Organisation Cloud Security Alliance erteilt unparteiische Ratschläge und gibt Empfehlungen, die auf Best Practices basieren. In diesem Sinne ist auch das CSRT aufzufassen. Es hilft unverbindlich, die Fragen zu beantworten: "Wo stehen wir im Hinblick auf Cloud Security, wo wollen wir im Zeitraum x sein und wie kommen wir dorthin?"

Der Antwortgeber wählt zunächst zwischen den Cloud-Services aus, die sein Unternehmen nutzt: IaaS, PaaS, SaaS - also Infrastruktur, Plattform oder Software as a Service? Er beurteilt selbst den Reifegrad seiner Cloud-Security, so etwa "Wir stehen am Anfang", wenn sich seine Organisation gerade daran macht, Cloud-Dienste in der IT-Infrastruktur zu nutzen. Ähnliches gilt, wenn bereits Cloud-Services erprobt im Einsatz sind.

Die zehn Zentralbereiche, die das CSRT abdeckt, sind:

  • 1. Security Architecture
  • 2. Information Security
  • 3. Widerstandfähigkeit (Resiliency)
  • 4. Data Governance
  • 5. Release Management
  • 6. Operations Management
  • 7. Risk Management
  • 8. Human Resources Security
  • 9. Facility Security
  • 10. Rechtsfragen

Die 27 Antworten, die der IT-Verantwortliche eingibt, landen in einem vertraulich gehandhabten Report. Dieser gibt mit Hilfe der Empfehlungen der CSA in der Cloud Control Matrix detaillierte Auskunft über den Reifegrad des jeweiligen Unternehmens in den verschiedenen Bereichen. So wird beispielsweise der wichtige ISO-Standard 27001-2005 auf Beachtung, Einhaltung bzw. Implementierung geprüft. Ist das nicht oder nur unvollständig der Fall, empfiehlt der Report die schrittweise Umsetzung der im ISO-Standard empfohlenen Sicherheitsfunktionen. Das gleiche gilt für Standards wie PCI/DSS in der Handhabung von Kreditkartendaten oder hinsichtlich HIPAA, wenn es um Daten aus dem Gesundheitswesen geht.

Neuer ISO-Standard für die Entwicklung sicherer Cloud-Anwendungen

Sichere Software-Entwicklung mit ISO 27034-1

Neuer ISO-Standard für die Entwicklung sicherer Cloud-Anwendungen

14.06.13 - Fast täglich werden Datendiebstähle gemeldet. Der Eindruck entsteht, dass Software, gerade in der Cloud, von sich aus unsicher und voller Einfallstore für Angreifer sei. Dieser Entwicklung wollen Standardisierungsgremien wie die ISO und das IEC einen Riegel vorschieben. Ende 2012 verabschiedeten sie mit dem ISO-Standard 27034-1 den ersten Teil von sechs Empfehlungen für Sicherheit in der Software-Entwicklung. Was taugt der neue Standard? lesen

Inhalt des Artikels:

Kommentare werden geladen....

Kommentar zu diesem Artikel abgeben

Anonym mitdiskutieren oder einloggen Anmelden

Avatar
  1. Avatar
    Avatar
    Bearbeitet von am
    Bearbeitet von am
    1. Avatar
      Avatar
      Bearbeitet von am
      Bearbeitet von am

Kommentare werden geladen....

Kommentar melden

Melden Sie diesen Kommentar, wenn dieser nicht den Richtlinien entspricht.

Kommentar Freigeben

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Freigabe entfernen

Der untenstehende Text wird an den Kommentator gesendet, falls dieser eine Email-hinterlegt hat.

Dieser Beitrag ist urheberrechtlich geschützt. Sie wollen ihn für Ihre Zwecke verwenden? Infos finden Sie unter www.mycontentfactory.de (ID: 42301927 / Risk Management)