Der Aufstieg von Cloud-Sicherheitsexperten Neues Sprachrohr in IT und Unternehmen Cloud-Technologien sind für viele Aspekte von Unternehmen von zentraler Bedeutung und deren strategischer Einsatz erfordert eine klare, sachkundige Stimme. Angesichts der Beziehung zwischen der IT und der Vorstandsebene einerseits und Risikobewertung für die Unternehmensführung andererseits, benötigen Unternehmen einen Experten für diese Schlüsselrolle. Cloud-Sicherheit und die Vorstandsebene Die Verwendung des englischen Begriffs „Cloud“ (zu Deutsch: Wolke), also die Ansammlung von weltweit miteinander verbundenen Servern und Computern, veranschaulicht, wie diese Wolke scheinbar über uns schwebt und mit Daten versorgt, wo auch immer wir uns befinden. Parallel dazu gibt es aber auch eine weniger komfortable Analogie, die jedem IT-Sicherheitsexperten hinreichend bekannt ist. Gemeint ist ein Flug ins Ungewisse, kopfüber in eine reale Wolke hinein mit Sicht gleich null und 900 km/h. Sicherheit in der Cloud ist eine nie endende und stets größer werdende Herausforderung. Die Verantwortlichen müssen von einer ganz speziellen Sorte sein: Technisch kompetent, immer neugierig, gut organisiert und sogar über ein politisches Bewusstsein verfügen. Heute ist die Cloud fest mit allen Teilen eines Unternehmens verbunden: In Richtung der Kunden, in Teams und Abteilungen, unterwegs mit dem Außendienst und im Back-Office. Die Technologie bietet dadurch Chancen und Risiken zugleich. Diese Risiken einzuschätzen, gelingt nur Cloud-Sicherheitsexperten. Bei manchen Organisationen wird der Kampf für den zusätzlichen Platz am Vorstandstisch gleich an zwei Fronten geführt. Dementsprechend müssen IT-Experten und das schließt auch die Sicherheitsexperten ein, über zusätzliche Kompetenzen verfügen: Die Fähigkeit, strategische Gespräche und Verhandlungen mit Entscheidungsträgern auf gleicher Ebene zu führen. Vertrauen ist gut, Kontrolle ist besser Die Herausforderung bei der Umsetzung einer sicheren Cloud-Strategie besteht darin, die Risiken zu definieren. Führungskräfte müssen sich über das Ausmaß bewusst sein, das die Cloud auf die Organisation als solche hat. Wenn jemand zum Beispiel ein Smartphone verwendet, um sich die Wegbeschreibung zu einem Meeting anzeigen zu lassen, nutzt er einen Cloud-Dienst. Die Cloud-Sicherheit muss vielmehr zu einer echten Partnerschaft zwischen dem Cloud-Provider, dem Der Aufstieg von Cloud-Sicherheitsexperten Cloud-Verbraucher und den Menschen und Maschinen werden. Firmenkunden, darunter auch alle Ebenen der Führungsebene, müssen aktiv in die Cloud-Security mit eingebunden werden. Hierzu gehört bessere Schulung vor allem auch im Hinblick, wie die Dienste überhaupt sicher genutzt werden können. Cloud-Sicherheit als Bestandteil des Risikomanagements Führungskräfte verbringen bereits Zeit damit, die Risiken zu identifizieren, vor denen ihre Organisation steht und dann die entsprechenden Strategien für Risikomanagement, Risikobekämpfung und Risikobewusstsein zu entwickeln. An sich müssen die Risiken der Cloud-Technologie aber genau hinterfragt werden. Eine der vielen Aufgaben von Cloud-Sicherheitsexperten besteht darin, ein Vermittler in diesen Gesprächen über die Sicherheit in der Cloud-Computing-Welt und der entsprechenden Cloud-Lösungen zu werden. Organisationen brauchen exakt festgelegte Richtlinien und Prozesse, auf die sich Teammitglieder auf allen Ebenen verlassen können. Viele Cloud-Sicherheitsexperten geben zu, dass die Herausforderung darin besteht, alle auf einen gemeinsamen Nenner zu bringen. Wichtige Themen sind aus ihrer Sicht Risiken, Haftungsfragen und natürlich die Sicherheit der Daten in der Cloud. Führungskräfte sind durch die öffentlichen Debatten sensibilisiert, so dass sie wissen, dass es ein besserer Ansatz ist, Daten intern zu speichern. Die Auslagerung der Daten an einen Dritten, also einem externen Provider, wird in diesem Zusammenhang ähnlich kritisch gesehen. Compliance ist ein ebenso wichtiges Thema, wenn es darum geht zu überlegen, wo die Daten gespeichert werden, wie sie übertragen und letztlich gehostet werden. Hier spielen verschiedene rechtliche Rahmenbedingungen aus unterschiedlichen Ländern hinein, die nur mit einer gewissen Rechtsexpertise bewertet werden können. Cloud-Sicherheitsexperten weisen gerne darauf hin, dass externe Cloud-Provider sicher und immer auf dem neuesten Stand bleiben. Das heißt nicht, dass externe Provider zu 100 Prozent betriebssicher sind, aber sie wenden viel mehr Zeit- und Ressourcenaufwand auf, um alles auf einem zuverlässigen und sicheren Stand 2 zu halten. Angestellte in Unternehmen stellen dagegen einen Risikofaktor dar, sie nutzen beispielsweise unsichere WLAN-Verbindungen, verwenden unsichere Passwörter, klicken auf Phishing-Mails oder lassen Laptops oder USB-Laufwerke unbeaufsichtigt stehen. Cyberkriminelle werden immer raffinierter und ausdauernder, deshalb bedarf es einer speziellen Kombination aus Detailwissen und Erfahrung, um diese Art von Geschäftsrisiko bewerten, verstehen und eindämmen zu können. CloudSicherheitsexperten müssen diese Fähigkeiten kultivieren, um die Hausforderung Cloud-Sicherheit zu meistern. Diplomatie, Politik und Sprache Ein Sicherheitssystem ist nur so gut wie die Menschen, von denen es täglich genutzt wird. Cloud-Sicherheitsexperten erinnern beim Durchführen interner Überprüfungen der Unternehmenssysteme gerne daran, dass es nicht ausreicht, einfach die Ergebnisse mit den Zielen zu vergleichen; Unternehmen müssen vielmehr den Prozess überprüfen, um sicherzustellen, dass die Menschen sich so verhalten, dass sie stets die von der Unternehmensführung erwarteten Resultate erzielen. Sicherheit darf also nicht nur Technologie getrieben sein, sondern sollte auch auf das Bewusstsein des Menschen und die menschliche Natur eingehen. Die Experten benötigen dafür jedoch ein Forum, in dem sie sich austauschen und weiterbilden können. Für die Sicherheit der Daten in der Cloud müssen sie in der Lage sein mit dem Vorstand und auch der Geschäftsführung auf Augenhöhe sprechen zu können. Kommunikation ist entscheidend. Bewertungen und damit verbundene Standards können eine Art gemeinsames Lexikon für Interessensgemeinschaften aufbauen, damit diese zusammenarbeiten und sich bei komplexen Themen annähern können. Einimpfen einer proaktiven Denkweise in punkto Sicherheit Eine proaktive Denkweise ist in der Tat unnatürlich. Menschen sind darauf programmiert, auf Gefahr zu reagieren, aber sie vorherzusehen und entsprechende Maßnahmen zur Abwehr zu ergreifen, ist eine erlernte Fähigkeit, die meist erst nach einer Krise entsteht und selten davor. Menschen geben nicht gerne Geld für Gefahren aus, die sie physisch sehen können. Darunter leiden IT-Sicherheitsabteilungen, denn sie müssen Gefahren absichern, die sie erst sichtbar machen können, wenn diese eintreten. Die Cloud ist eine Ergänzung zu diesem Ökosystem, und ihre Größe, Vielfalt und Raffinesse nimmt stetig zu. Als weiterer Faktor hinzu kommt eine wahre Explosion an mit dem Internet verbundenen Sensoren, die durch das Internet der Dinge (IoT) entstehen. Von Kaffeemaschinen über LKWs bis hin zu Kühen kommuniziert alles miteinander, teilt Daten und wird Teil der IT-Systeme in Unternehmen. Die Missbrauchsmöglichkeiten steigen darüber ins unendliche. Der Unterschied zwischen Proaktivität und „Der Himmel fällt herab“ Hier bedarf es einer klaren Planung, einer transparenten Kommunikation und adäquaten Weiterbildung. Die Cloud ist noch immer eine recht neue Umgebung und sie zu verstehen ist vergleichbar mit einer komplexen medizinischen Spurensuche. Cloud-Sicherheitsexperten werden immer besser darin, Bedrohungen und Sicherheitsverletzungen zu erkennen und zu analysieren. Heute werden Daten auf allen möglichen Arten von Mobilfunkgeräten rund um die ganze Welt verschickt. Diese Geräte bieten Angriffsvektoren, mit denen sich Schwachstellen in einer Organisation ausnutzen lassen. Folglich wird unsere Angriffsfläche immer größer, was dann auch zu einer zunehmenden Anzahl von Angriffen führt. Klare und regelmäßige Informationen, die von Herstellern, Überwachungsbeauftragten und Kollegen stammen, ist es möglich, eine Echtzeit-Wissensdatenbank aufzubauen, aus der Cloud-Sicherheitsexperten Anweisungen, Richtlinien und Verfahren ableiten können. Ein effektives Risikomanagement erfordert eine regelmäßige Kommunikation. Unternehmen können mit dem Einsatz von zertifizierten Cloud-Sicherheitsexperten sicherstellen, dass sie gemäß den empfohlenen Best Practices, Sicherheitsstandards und einem gemeinsamen Lexikon handeln, wodurch sichere Cloud-ComputingInfrastrukturen erzeugt und gepflegt werden. Sie greifen nun vermehrt auf Experten mit anerkannten Welche Voraussetzungen muss ich für den CCSP erfüllen? 1. Grundvoraussetzung: 5 Jahre ITErfahrung und 3 Jahre Erfahrung in der Informationssicherheit sowie 1 Jahr Erfahrung in einem der folgenden 6 Bereiche: a. Architektur & Design von Infrastrukturen b. Datensicherheit in der Cloud c. Cloud Plattform und Infrastruktur Sicherheit d. Anwendungssicherheit in der Cloud e. Betrieb von Cloud Infrastrukturen f. Recht & Compliance 2. Erstellen Sie sich einen individuellen Studienplan aus den folgenden Komponenten: a. Lehrbücher, Lernhilfen, Karteikarten b. Präsenztraining, Online-Training, OnDemand-Training, privates Coaching 3. Ablegen der Prüfung: a. Die Prüfung dauert vier Stunden und beinhaltet 125 Fragen b. Hier geht es zur Anmeldung im Pearson Vue Test Center: www.pearsonvue.com/ isc2 4. Abschluss des Endorsement Prozesses: a. Nach Bestehen der Prüfung bleiben 9 Monate Zeit, um den Endorsement Prozess abzuschließen b. Hier geht es zu den Details dieses Prozesses: www.isc2.org/endorsement 5. Das Konzept des lebenslangen Lernens a. Sobald die Zertifizierung verliehen wurde, gehört der Träger zur (ISC)2 b. Die Zertifizierung muss alle drei Jahre erneuert werden, dafür müssen die Zertifizierten 90 CPEs mit verschiedenen Weiterbildungsmaßnahmen sammeln und 100 US-Dollar Jahresgebühr aufbringen 9.775 Zeichen inklusive Leerzeichen 3 Der Aufstieg von Cloud-Sicherheitsexperten Branchenzertifizierungen zurück, beispielsweise dem Certified Cloud Security Professional (CSSP). Damit stellen sie sicher, dass Cloud-Sicherheitsexperten über die notwendigen Kenntnisse, Qualifikationen und Fähigkeiten zum Prüfen, Bewerten und Absichern von Cloud-Infrastrukturen verfügen. Diese Zertifizierung darf führen, wer fünf Jahre Erfahrung in der IT, drei Jahre Erfahrung in der IT-Sicherheit und ein Jahr Erfahrung in der Cloud-Sicherheit mitbringt. Mitarbeiter in der Informationssicherheit und in der IT erhalten dann die Qualifikationen und die Glaubwürdigkeit, die sie benötigen, um ihre Aufgaben innerhalb der Unternehmen zu erfüllen. Unternehmen wiederum haben dann die personelle Ausstattung, um ihre IT-Infrastruktur in die Cloud zu verschieben. Ein zertifizierter Cloud-Sicherheitsexperte ist zu deutlich mehr in der Lage, als lediglich die Mechanik der Informationstechnologie zu begreifen. Er ist jemand, dessen strategisches Wissen und dessen Kommunikationsfähigkeit für jedes Unternehmen wichtig wird, das die Nutzung von Cloud Services für die eigene Geschäftsentwicklung auf einen sicheren Weg bringen möchte. Über (ISC)2 Die (ISC)² ist eine internationale gemeinnützige mitgliedergeführte Organisation, deren Ziel es ist, sich mit Anregungen für eine sichere Cyber-Welt einzusetzen. Bekannt durch den Certified Information Systems Security Professional (CISSP®), bietet (ISC)² ein Portfolio von Zertifizierungen an, die Teil eines holistischen, programmatischen Ansatzes für Sicherheit sind. 115.000 Mitglieder aus den Bereichen Cyber-Sicherheit, Informationssicherheit, Softwaresicherheit und Infrastruktursicherheit helfen dabei die Sicherheitswirtschaft voranzubringen. Unsere Vision wird mit unserem Commitment aus- und weiterzubilden sowie die Gesellschaft mit unserer karitativen Stiftung - The Center for Cyber Safety and EducationTM unterstützt. Weitere Informationen finden Sie unter www.isc2.org, folgen Sie uns auf Twitter oder verbinden Sie sich mit uns auf Facebook. © 2016, (ISC)² Inc., (ISC)², CISSP, ISSAP, ISSMP, ISSEP, CSSLP, CAP, CCFP, HCISPP, SSCP und CBK sind eingetragene Handelsmarken von (ISC)², Inc.
© Copyright 2024 ExpyDoc
