Inhaltsverzeichnis:
Die Verwendung von Cloud-Diensten gewinnt unter vielen Umständen an Managementunterstützung. Diese optimistische Einstellung fehlt jedoch in den IT-Abteilungen. Der von Lumension gesponserte Ponemon-Bericht 2014 über den Stand des Endpunktrisikos legt nahe, dass der Einsatz von Cloud-Computing, unabhängig davon, ob es vom Unternehmen oder von Mitarbeitern unterstützt wird, bei den Befragten - 19.001 IT-Fachleuten in den USA - zugenommen hat. Die folgende Folie zeigt, dass 44 Prozent der Befragten (Anstieg von 16 Prozent von 2012 auf 2013) angaben, Cloud-Computing-Ressourcen als Hauptanliegen zu nutzen. IT-Mitarbeiter führten zahlreiche Bedenken in Bezug auf Cloud Computing an.
Quelle: Bericht zum Stand des Endpunktrisikos 2014
Wer ist für die Daten in der Cloud verantwortlich?
Der Ponemon-Bericht spiegelte viel von dem wider, was Sicherheitsexperten in den letzten Jahren gesagt haben. Was hat mich neugierig gemacht, wer dafür verantwortlich ist? Wer ist schuld, wenn in der Cloud mit Unternehmensdaten etwas passiert? Man könnte alle möglichen Erwähnungen darüber erwarten, aber es gibt keine. Kleinere Diskussionen über Verantwortung tauchten vor zwei oder drei Jahren auf. "Käufer aufgepasst" war jedoch die einzige echte Schlussfolgerung.
Angesichts der wachsenden Besorgnis der IT-Mitarbeiter ist es möglicherweise eine gute Idee, zu prüfen, ob sich in der Verantwortungsabteilung etwas geändert hat. 2012 habe ich mehrere Führungskräfte auf C-Level interviewt. Während der Interviews fragte ich, wer ihrer Meinung nach für die Sicherung von Cloud-residenten Unternehmensdaten verantwortlich ist. Jeder leitende Angestellte war der Ansicht, dass die Datensicherheit nicht länger sein Problem war, sobald sich die Daten auf den Servern eines anderen befanden.
Der Businessweek-Artikel 2012 Wer ist für den Schutz von Daten in der Cloud verantwortlich? von Sarah Frier bestätigte meine unwissenschaftliche Umfrage. In dem Artikel zitierte Frier Mario Santana von Verizon Communication: „Einige Unternehmen gehen fälschlicherweise davon aus, dass sie sich nicht mehr mit dem Schutz dieser Informationen befassen müssen, wenn sie sich für die Speicherung von Daten auf externen Servern entscheiden.“
Basierend auf den Ergebnissen von Ponemon und Businessweek wurde die Trennung zwischen Führungskräften auf C-Ebene und IT-Abteilungen im Jahr 2012 deutlich. Zwei Jahre später hat sich das, was Führungskräfte und IT-Experten über Sicherheit sagen und wer für Unternehmensdaten verantwortlich ist, die einem Cloud-Dienstleister anvertraut werden, geändert.
Was ist 2014 anders?
Im April 2014 veröffentlichte das Ponemon Institute seine dritte jährliche Studie zu Trends in der Cloud-Verschlüsselung, die von Thales e-Security gesponsert wurde. Bei der Umfrage von Ponemon wurden 4.275 Geschäfts- und IT-Manager in den USA, Großbritannien, Deutschland, Frankreich, Australien, Japan, Brasilien und Russland befragt. Das Hauptaugenmerk der Umfrage lag auf der Untersuchung, wie Unternehmen ihre Daten schützen, wenn sie an Cloud-Service-Anbieter weitergegeben werden.
Ponemon-Forscher stellten den Teilnehmern zwei Fragen, die für diese Diskussion wichtig sind:
- Wie viel Prozent der Unternehmen übertragen sensible oder vertrauliche Daten an externe Cloud-basierte Dienste?
- Wer ist für den Schutz sensibler oder vertraulicher Daten, die an einen Cloud-basierten Dienstanbieter übertragen werden, am meisten verantwortlich?
Quelle: Trends in der Cloud-Verschlüsselung
Wer war im Umfragejahr 2013 für den Schutz sensibler oder vertraulicher Daten verantwortlich, die an einen Cloud-basierten Dienstleister übertragen wurden? Es hängt davon ab, ob. Die Umfrageteilnehmer gaben an, dass die Verantwortung von der Art des bereitgestellten Cloud-Service abhängt - SaaS oder IaaS / PaaS. Die Folie unten zeigt die Meinung der Befragten, wer verantwortlich war, als ein Unternehmen eine SaaS-Umgebung verwendete. 2013 gaben 54 Prozent an, dass der Cloud-Anbieter für die Sicherheit verantwortlich ist, und 24 Prozent gaben an, dass Cloud-Service-Benutzer verantwortlich sind, während 19 Prozent der Meinung sind, dass die Verantwortung geteilt werden sollte. (Weitere Informationen finden Sie unter Auswählen zwischen IaaS und PaaS: Was Sie wissen müssen.)
Quelle: Trends in der Cloud-Verschlüsselung
Die nächste Folie zeigt die Meinung des Befragten, wer verantwortlich war, wenn ein Unternehmen eine IaaS / PaaS-Umgebung verwendet. Im Jahr 2013 betrachteten 47 Prozent Sicherheit als eine gemeinsame Verantwortung, 26 Prozent betrachteten Cloud-Service-Benutzer als verantwortlich und 22 Prozent hielten dies für eine Verantwortung eines Cloud-Service-Anbieters.
Quelle: Trends in der Cloud-Verschlüsselung
Das Endergebnis? Dinge haben sich geändert. Es scheint, dass die Einstellung „Käufer aufgepasst“ zusammen mit Cloud-Service-Produkten gereift ist. Aber wie mir ein Internet-versierter Anwalt sagte, werden die Verantwortlichkeiten durch die Verträge bestimmt, nicht mehr oder nicht weniger. Das sollten alle, die an Cloud-Diensten beteiligt sind, berücksichtigen.