COBIT 5 Controls & Assurance in the Cloud€¦ · · 2015-11-09von Cloud Computing und dabei welcher Cloud-Service der beste für das ... Cloud Control Matrix Jericho Forum® Self-Assessment

COBIT 5 Controls & Assurance in the Cloud

05. November 2015

Page 2

Charakteristika der Cloud

On-Demand Self Service

• Benötigte IT-Kapazität selbstständig ordern und einrichten

Broad Network Access

• Zugriff auf die Cloud über das Netzwerk mittels verschiedener Endgeräte

Resource Pooling

• Gebündelte Ressourcen (Multi Mandanten Modell)

Rapid Elasticity

• Schnelle und flexible Skalierbarkeit der Ressourcen

Measured Service

• Es wird nur für die Ressourcen gezahlt, die auch genutzt werden

5 November 2015 COBIT 5, Controls & Assurance in the Cloud

Page 3

Cloud Service Modelle

► SaaS – Software as a Service Software und Infrastruktur liegt bei einem externen Dienstleister und kann vom Nutzer als

Dienst verwendet werden

► PaaS – Platform as a Service Bereitstellung einer Laufzeit- oder Entwicklungsumgebung, zur Unterstützung des

Softwarelebenszyklus

► IaaS – Infrastructure as a Service Zugang zu virtueller Computerhardware (Rechner, Speicher, Netze, …)

Eigene Gestaltung eines virtuellen Computer Clusters -> Für die Funktionsweise ist man selbst verantwortlich

► XaaS – Anything as a Service Beispiel: Security as a Service (SECaaS)

5 November 2015

Quelle: https://mizitechinfo.wordpress.com/2013/10/12/cloud-computing-spi-model-saas-paas-iaas-part-17/ COBIT 5, Controls & Assurance in the Cloud

Page 4

Anforderungen an den Weg in die Cloud

5 November 2015

Assurance

Governance Security

Vorteile nutzen

COBIT 5, Controls & Assurance in the Cloud

Page 5

Der Weg in die Cloud


Page 6

Unterstützung durch COBIT 5 - Übersicht

► Governance Risk Assessment

Nutzung von Entscheidungsmodellen

Vertragsgestaltung

► Security Übersicht potentieller Bedrohungen und Gegenmaßnahmen

► Assurance Vorschläge für angemessene Kontrollmechanismen

Assurance Frameworks

Speziell auf Cloud Computing ausgerichtetes Prüfprogramm


Page 7

Cloud Governance


Page 8

Risk Assessment

► Risiken beim Einsatz von Cloud Computing Vertraulichkeit und Integrität ist nicht zwingend gewährleistet

Daten könnten von Dritten gelöscht/eingesehen werden

Verletzung der Compliance

Nicht immer eine physikalische Trennung zwischen Mandanten gegeben

u.v.m.

► COBIT 5 unterstützt durch… beispielhafte Darstellung von Risikofaktoren beim Einsatz von Cloud

Computing

die Darstellung von sog. Cloud Risk Scenarios

Risk Scenarios = Beschreibung des Einflusses (positiv oder negativ) eines bestimmten Ereignisses auf die Unternehmensziele


Page 9

Auszug aus COBIT 5: Risikofaktoren

5 November 2015

Insgesamt 27 Risiken behandelt: IaaS – 12 Risiken; PaaS – 4 Risiken; SaaS – 11 Risiken


Page 10

Entscheidungsunterstützung

5 November 2015

COBIT 5 bietet einen Leitfaden zur:

• 1.) Vorbereitung der internen Umgebung (Prozesse, Policies..)

• 2.) Auswahl des Cloud Service Models (SaaS, PaaS…)

• 3.) Auswahl des Cloud Deployment Model (public vs private cloud)

• 4.) Auswahl des Cloud Provider

Entscheidungsmodelle:

• Helfen z.B. bei der Entscheidungsfindung für oder gegen den Einsatz von Cloud Computing und dabei welcher Cloud-Service der beste für das Unternehmen ist


Page 11

Beispiel: Entscheidungsbaum (SaaS, PaaS..)


Page 12

Vertragsgestaltung

► COBIT 5 gibt Tipps, welche Themen bei der Vertragsgestaltung jedenfalls beachtet werden sollen.

► Beispiele: Leistungsumfang

Verpflichtungen der Vertragspartner

Vertragsende

Haftung und (Daten)Eigentum

Mindeststandards hinsichtlich Security und Datenschutz

Zahlungsbedingungen, Laufzeit und Kündigung

Leistungsmessung (SLAs)

Anwendbares Recht

Business Continuity, Datenvernichtung und Ausstiegsszenarien


Page 13

Security


Page 14

Security

COBIT 5 bietet eine Übersicht zu 20 potentiellen Bedrohungen und Vorschläge wie man diesen begegnen kann


Page 15

Assurance


Page 16

Security und Assurance Frameworks & Co

ISO 2700x

ISO 20000

COBIT

AICPA/CICA Trust Services (SysTrust and WebTrust)

AICPA Service Organization Control (SOC) Reports

CSA - Cloud Control Matrix

Jericho Forum® Self-Assessment Scheme (SAS)

CSA STAR Certification

European Network and Information Security Agency (ENISA)

Background Intelligent Transfer Service (BITS)

Federal Risk and Authorization Management Program

Leet Security Rating Methodology

NIST SP 800-53

5 November 2015

COBIT 5 bietet eine Übersicht zu vorhandenen Frameworks, Standards und Certifications inkl. deren Vor- und Nachteile.

Behandelt werden folgende 13:


Page 17

Benefits und Challenges der Frameworks (Auszug)


Page 18

COBIT 5 umgelegt auf Cloud Computing

COBIT liefert Vorschläge zur Aufteilung der Verantwortlichkeiten hinsichtlich der Implementierung von Kontrollen (Kunde vs. Cloud Service Provider)


Page 19

COBIT 5 umgelegt auf Cloud Computing

► Vorschläge, wer welche Kontrolle implementieren sollte

► Unterteilung zwischen CSP, Client oder Beide


Page 20

CSA Cloud Control Matrix

Clo

ud C

on

trol M

atr

ix Framework, welches für die Cloud erstellt wurde

Wurde entwickelt, um den Anbietern von Cloud Diensten grundlegende Sicherheitsprinzipien und –richtlinien zur Verfügung zu stellen

Es werden ca. 130 Kontrollen bereitgestellt (16 Domänen)

Inklusive Mapping zu anderen Frameworks, wie z.B. zu COBIT 5, PCI-DSS, ISO 2700x etc.


Page 21

COBIT 5 – Controls and Assurance in the Cloud, Auszug aus dem Inhaltsverzeichnis

► 1. Introduction

► 2. Cloud Computing Fundamentals

► 3. Governance and Management in the Cloud

► 4. Security Considerations for Cloud Computing

► 5. Assurance in Cloud Computing

► 6. Putting It All Together

► + Appendices


Page 22

Zertifizierungen von AWS Amazon

5 November 2015

SOC2

SOC3


Documents

COBIT 5 Controls & Assurance in the Cloud€¦ · · 2015-11-09von Cloud Computing und dabei welcher Cloud-Service der beste für das ... Cloud Control Matrix Jericho Forum® Self-Assessment