Bereich 4 Compliance und Audit-Management

vPierre Sin categorizar, Cloud Computing, Sicherheit / Security Leave a Comment

Organisationen sind beim Wechsel von herkömmlichen Rechenzentren zur Cloud mit neuen Herausforderungen konfrontiert. Eine der größten Herausforderungen ist die Bereitstellung, Messung und Kommunikation der Compliance mit einer Vielzahl von Regulierungsvorschriften quer über mehrere Zuständigkeitsbereiche. Kunden und Provider müssen gleichermaßen die Unterschiede und Auswirkungen auf bestehende Compliance- und Revisions-Standards, Prozesse und Praktiken verstehen und sich dessen bewusst sein. Die virtualisierte und verteilte Natur der Cloud erfordert erhebliche Anpassungen des Rahmenwerks gegenüber Methoden auf Grundlage definierter und physischer Instanziierung von Informationen und Prozessen.

Zusätzlich zu den Kunden und Providern passen sich auch Auditoren und Regulatoren an die neue Welt des Cloud-Computing an. Nur wenige bestehende Vorschriften wurden geschrieben, um virtualisierte Umgebungen oder Cloud-Installationen zu berücksichtigen. Ein Cloud-Kunde kann vor der Aufgabe stehen, den Auditoren die Compliance der Organisation nachzuweisen. Das Verständnis für das Zusammenspiel von Cloud-Computing mit dem regulatorischen Umfeld ist ein zentraler Aspekt jeder Cloud-Strategie. Cloud-Kunden, Auditoren und Provider müssen Folgendes berücksichtigen und verstehen:

  • Regulatorische Auswirkungen der Nutzung eines bestimmten Cloud-Dienstes oder Providers mit besonderem Augenmerk auf alle grenzüberschreitenden oder unter mehrere Zuständigkeitsbereiche fallenden Angelegenheiten, sofern zutreffend.
  • Zuordnung von Compliance-Zuständigkeiten zwischen Provider und Kunde einschließlich indirekter Provider (d.h. der Cloud-Provider Ihres Cloud-Providers).
  • Fähigkeiten des Providers zum zeitnahen Nachweis der Compliance einschließlich Dokumenterzeugung, Bereitstellung von Nachweisen und Prozess-Compliance.
  • Beziehungen zwischen Kunde, Providern und Auditoren (sowohl beim Kunden als auch beim Provider) zur Gewährleistung des geforderten (und entsprechend beschränkten) Zugangs und Ausrichtung an den Governance-Anforderungen.

Einige weitere cloudspezifische Dinge, auf die besonders zu achten ist, sind:

  • Die Rolle von Provider-Audits und Zertifizierungen und wie diese den Umfang der Audits (oder Beurteilungen) des Kunden beeinflussen.
  • Verständnis, welche Funktionen und Dienste eines Cloud-Providers im Umfang welcher Audits und Beurteilungen sind.
  • Verwaltung von Compliance und Audits im Zeitverlauf.
  • Arbeit mit Auditoren, die eventuell wenig Erfahrung mit der Technologie des Cloud-Computing haben.
  • Überblick
  • Compliance und Audit-Zusicherung sind das Bewusstsein für und die Einhaltung von Unternehmenspflichten (z.B. soziale Unternehmensverantwortung, Ethik, geltende Gesetze, Regulierungen, Verträge, Strategien und Richtlinien) durch Beurteilung des Zustands der Compliance, Beurteilung der Risiken und potenziellen Kosten einer Nichteinhaltung gegenüber den Kosten zur Erreichung der Compliance und daher die Priorisierung, Finanzierung und Einleitung aller als notwendig erachteten Abhilfemaßnahmen.
  • Compliance
    • Informationstechnologie in der Cloud ist zunehmend Thema einer Unmenge von Richtlinien und Verordnungen. Alle Beteiligten erwarten, dass Organisationen proaktiv die regulatorischen Richtlinien und Anforderungen quer über mehrere Zuständigkeitsbereiche erfüllen. IT-Governance ist eine Notwendigkeit, um diese Anforderungen erfüllen zu können und alle Organisationen benötigen dafür eine Strategie.
    • Governance umfasst die Prozesse und Richtlinien, die eine reibungslose Umsetzung der Ziele der Organisation innerhalb der Beschränkungen des äußeren Umfelds ermöglichen. Governance erfordert Compliance-Aktivitäten zur Gewährleistung, dass die Betriebsabläufe vollständig an diesen Prozessen und Richtlinien ausgerichtet sind. In diesem Sinne konzentriert sich Compliance auf die Ausrichtung an externen Anforderungen (z.B. Gesetzen, Verordnungen, Industriestandards), während sich Governance auf die Ausrichtung an internen Anforderungen (z.B. Aufsichtsratsbeschlüsse, Unternehmensrichtlinien) konzentriert.
    • Compliance kann definiert werden als Bewusstsein und Einhaltung von Pflichten (z.B. soziale Unternehmensverantwortung, geltenden Gesetzen, ethischen Grundsätzen) einschließlich der Beurteilung und Priorisierung von Abhilfemaßnahmen, die als notwendig und angemessen betrachtet werden. In manchen Umgebungen, besonders in stark regulierten, kann der Transparenzaspekt sogar dominant sein, so dass Berichtsanforderungen mehr Aufmerksamkeit erhalten als die Compliance selbst. Unter besten Bedingungen ist Compliance nicht ein Hemmnis der Effizienz in der Organisation, sondern eine Ergänzung zu intern bestimmten Richtlinien.
    • Regulierungen haben normalerweise starke Auswirkungen auf die Informationstechnologie und ihre Governance, vor allem hinsichtlich Überwachung, Management, Schutz und Offenlegung). IT-Governance ist ein unterstützendes Element für die gesamte Unternehmensführung, das Unternehmens-Risikomanagement, Compliance sowie Audit/Zusicherung.
    • Wie die Cloud die Compliance verändert
      • Wie bei der Sicherheit ist auch Compliance in der Cloud ein Modell geteilter Zuständigkeit. Sowohl Cloud-Provider als auch der Kunde haben Zuständigkeiten.
        • Diese sind durch Verträge, Revisionen/Beurteilungen und die Spezifika der Compliance-Anforderungen definiert.
      • Cloud-Kunden müssen stärker auf Bescheinigungen des Providers durch Dritte vertrauen, um Abstimmung und Lücken ihrer Compliance zu verstehen.
      • Viele Cloud-Provider sind für diverse Vorschriften und Branchenanforderungen wie PCI zertifiziert. Manchmal werden diese als Durchlauf-Audits bezeichnet.
        • Diese Zertifizierungen dienen zur Definition des Umfangs von Audits und Beurteilungen, aber die machen einen Kunden nicht automatisch konform.
        • Sie bestätigen, dass der Provider konform ist.
          • Es liegt weiterhin in der Verantwortung des Kunden, konforme Anwendungen und Dienste in der Cloud zu entwickeln.
          • Das bedeutet, die Infrastruktur/Dienste des Providers gehören nicht zum Umfang eines Audits / einer Beurteilung des Kunden. Aber alles, was der Kunde selbst aufbaut, gehört weiterhin zum Umfang.
          • Der Kunde ist weiterhin schlussendlich dafür verantwortlich, die Compliance all der Dinge zu erhalten, die er aufbaut und verwaltet.
          • Wenn zum Beispiel ein IaaS-Provider PCI-zertifiziert ist, kann der Kunde auf dieser Plattform seinen eigenen PCI-konformen Service aufbauen und Infrastruktur sowie Betrieb des Providers sollten außerhalb des Bewertungsmaßstabs des Kunden sein. Der Kunde kann jedoch ebenso leicht PCI verletzen und bei seiner Bewertung scheitern, wenn er seine eigene in der Cloud laufende Anwendung nicht richtig gestaltet.
      • Viele Cloud-Provider bieten weltweit verteilte Rechenzentren, die von einer zentralen Management-Konsole/Plattform aus gesteuert werden. Es liegt weiterhin in der Verantwortung des Kunden zu wissen und zu managen, wo Daten und Dienste aufgestellt werden und das seine rechtliche Compliance übergreifend über nationale und internationale Zuständigkeitsbereiche weiterhin erhalten bleibt.
        • Organisationen haben in herkömmlichen Computerumgebungen dieselbe Verantwortung, aber die Cloud verringert erheblich die Reibereien dieser potenziell internationalen Aufstellungen. Ein Entwickler kann z.B. potenziell regulierte Daten in einem nicht-konformen Land nutzen, ohne ein internationales Rechenzentrum zu fragen und mehrere Ebenen von Verträgen zu unterzeichnen.
      • Nicht alle Funktionen und Dienste eines bestimmten Cloud-Providers sind notwendigerweise konform zu allen Bestimmungen, wofür die Gesamtdienstleistung zertifiziert/überprüft worden ist. Es ist die Pflicht des Cloud-Providers, die Zertifizierungen und Bescheinigungen klar mitzuteilen, Kunden obliegt es dann, Geltungsbereich und Grenzen davon zu verstehen.
  • Audit-Management
    • Eine richtige organisatorische Governance umfasst naturgemäß Audit und Zusicherung. Ein Audit muss unabhängig durchgeführt werden und sollte robust gestaltet sein, um bewährte Methoden, entsprechende Ressourcen sowie getestete Protokolle und Standards wiederzugeben.
    • Audits und Bewertungen sind Mechanismen zum Nachweis der Compliance mit internen oder externen Anforderungen (oder zur Erkennung von Defiziten).
    • Audits sind Bewertungen hinsichtlich Informationssicherheit und konzentrieren sich normalerweise auf die Beurteilung der Wirksamkeit von Sicherheitskontrollen.
    • Die meisten Organisationen unterliegen einer Mischung interner und externer Audits und Bewertungen, um die Compliance zu internen und externen Anforderungen zuzusichern.
    • Audits haben einen variablen Umfang, der festlegt, was beurteilt wird (z.B. alle Systeme mit Finanzdaten) und gegenüber welchen Kontrollen (z.B. einem Industriestandard, individuellem Umfang oder beidem).
    • Eine Beglaubigung ist, wenn ein vertrauenswürdiger Dritter einen Audit durchführt und rechtskräftig feststellt, dass die beurteilte Organisation die angegebenen Anforderungen erfüllt.
    • Audit-Management umfasst das Management aller Arbeiten bezüglich Audits und Bewertungen wie die Bestimmung der Anforderungen, des Umfangs, der Planung und der Zuständigkeiten.
    • Wie die Cloud das Audit-Management ändert:
      • Einige Cloud-Kunden mögen an die Auditierung von Dritt-Providern gewöhnt sein, aber die Natur des Cloud-Computing sowie Verträge mit Cloud-Providern werden häufig Audits vor Ort ausschließen.
        • Kunden sollten verstehen, dass Provider Audits vor Ort als Sicherheitsrisiko ansehen können (und häufig sollten), wenn sie die Dienste mehreren Mandanten anbieten. Mehrere Audits vor Ort von einer Vielzahl von Kunden stellt klare Herausforderungen für Logistik und Sicherheit dar, vor allem wenn der Provider geteilte Anlagen zur Bildung von Ressourcen-Pools einsetzt.
          • Kunden werden stärker auf Bestätigung Dritter vertrauen als auf selbst durchgeführte Audits.
          • Abhängig vom Audit-Standard können tatsächliche Ergebnisse eventuell nur unter einer NDA bekanntgegeben werden . Häufig liegt das an rechtlichen oder vertraglichen Anforderungen an die Audit-Firma und nicht an Versuchen zur Verschleierung durch den Cloud-Provider.
        • Cloud-Provider sollten verstehen, dass Kunden dennoch eine Zusicherung benötigen, dass der Provider seine vertraglichen und regulatorischen Pflichten erfüllt und sollten daher strenge Bescheinigungen Dritter vorlegen, welche die Erfüllung ihrer Pflichten nachweisen.
          • Diese sollten auf Industriestandards basieren, einen klar definierten Geltungsbereich haben und die beurteilten spezifischen Kontrollen benennen.
          • Die Veröffentlichung von Zertifizierungen und Bescheinigungen (im rechtlichen erlaubten Ausmaß) unterstützt Cloud-Kunden sehr bei der Beurteilung von Providern.
      • Einige Standards wie SSAE 16 bescheinigen, dass dokumentierte Kontrollen wie geplant/gefordert funktionieren. Der Standard definiert nicht zwingend den Umfang der Kontrollen, so dass beides für eine volle Bewertung nötig ist.
      • Bescheinigungen und Zertifizierungen gelten nicht notwendigerweise gleichermaßen für alle angebotenen Dienste eines Cloud-Providers.
        • Provider sollten sich darüber im Klaren sein, welche Dienste und Funktionen damit abgedeckt sind, und es ist Aufgabe des Kunden, auf die Auswirkungen seiner Nutzung des Providers zu achten und dies zu verstehen.
      • Wie im Abschnitt Compliance erwähnt, kann ein Provider durchzureichende Bescheinigungen und Zertifizierungen haben. Diese versichern den Kunden, dass Infrastruktur und Dienste des Providers diese Anforderungen erfüllen und der Provider außerhalb vom Audit-Umfang des Kunden sein sollte.
        • Kunden sind dennoch voll dafür verantwortlich, wie sie Kontrollen gemäß aller Compliance-Anforderungen gestalten, managen und umsetzen.
        • Kunden sind dennoch für die Verwaltung ihrer eigenen Audits ihrer eigenen Nutzung des Cloud-Providers verantwortlich.
      • Bestimmte Arten von Bewertungen und Audits (wie eine Schwachstellenanalyse) können in den Geschäftsbedingungen des Providers beschränkt sein und eine Genehmigung erfordern. Häufig hilft das dem Provider bei der Unterscheidung zwischen einer rechtmäßigen Bewertung und einem Angriff.
      • Bescheinigungen und Zertifizierungen sind Aktivitäten eines Zeitpunkts.
        • Provider müssen alle veröffentlichten Ergebnisse aktuell halten.
        • Kunden müssen sicherstellen, dass sie sich auf aktuelle Ergebnisse verlassen.
      • Prüfgegenstände sind Protokolle, Dokumentation und andere Dinge, die für Audits und Compliance nötig sind.
        • Provider und Kunden sind beide dafür zuständig, ihre jeweiligen Prüfgegenstände zu erzeugen und zu verwalten
        • Kunden sind letztendlich für die Prüfgegenstände zuständig, die ihre eigenen Audits unterstützen, und müssen daher wissen, was der Provider anbietet, und dann ihre eigenen Prüfgegenstände für alle Lücken erzeugen. Beispielsweise durch den Einbau einer robusteren Protokollierung in eine Anwendung, weil Server-Protokolle auf PaaS nicht verfügbar sein können.
  • Empfehlungen
  • Cloud-Provider sollten:
    • ihre Audit-Ergebnisse, Zertifizierungen und Bescheinigungen klar bekanntgeben mit besonderem Augenmerk:
      • auf den Umfang der Beurteilungen.
      • darauf, welche bestimmten Merkmale/Dienste an welchen Orten und welchen Zuständigkeitsbereichen abgedeckt sind.
      • darauf, wie Kunden konforme Anwendungen und Dienste in der Cloud aufstellen können.
      • auf alle zusätzlichen Zuständigkeiten und Begrenzungen des Kunden.
    • Cloud-Provider müssen ihre Zertifizierungen/Bescheinigungen im Zeitverlauf erhalten und alle Änderungen im Status selber aktiv mitteilen.
    • Cloud-Provider sollten sich kontinuierlich in Compliance-Initiativen engagieren, um die Bildung jeglicher Lücken und somit Gefährdungen für ihre Kunden zu vermeiden.
    • den Kunden üblicherweise benötigte Werkzeuge für die Compliance wie etwa Protokolle administrativer Zugriffe bereitstellen, die der Kunde sonst nicht selbst erfassen kann.
  • Cloud-Kunden sollten:
    • ihre Compliance-Pflichten vollständig verstehen, bevor sie zur Cloud migrieren, dort aufstellen oder entwickeln.
    • die Bescheinigungen und Zertifizierungen eines Providers durch Dritte bewerten und diese an den Compliance-Anforderungen ausrichten.
    • den Geltungsbereich der Bescheinigungen und Zertifizierungen verstehen einschließlich der abgedeckten Kontrollen sowie Funktionen/Dienste.
    • versuchen, Auditoren mit Erfahrung im Cloud-Computing auszuwählen, insbesondere wenn durchgreifende Audits und Zertifizierungen verwendet werden, um den Audit-Umfang des Kunden zu managen.
    • sicher verstehen, welche Compliance-Werkzeuge der Provider anbietet und wie diese Werkzeuge effektiv erfasst und verwaltet werden.
      • ihre eigenen Prüfgegenstände erzeugen und erfassen, falls die Prüfgegenstände des Providers nicht ausreichend sind.

Leave a Reply

Your email address will not be published. Required fields are marked *