Ich bin ein CFO und ich bin daran interessiert, Cloud-Services zu nutzen. Nach welchen Kriterien sollte ich die verschiedenen Anbieter beurteilen?
Zunächst ist dies ein mulitdisziplinäres Problem, welches einen multidisziplinären Ansatz und ein ebensolche Team erfordert. Der CFO ist offensichtlich eine wichtige Person in diesen Diskussionen, aber er wird Unterstützung von einem größeren Team brauchen, welches den Chief Technology Officer (CTO), den Chief Information Security Officer (CISO) und andere umfassen sollte.
Der CFO muss sich zunächst ein Verständnis der finanziellen Stabilität des Anbieters verschaffen. Wir haben in den letzten Monaten gesehen, dass bestimmte Anbieter- zum Teil aufgrund der Kreditklemme und der Finanzkrise wackeln oder mit anderen fusioniert haben. , Deshalb muss der CFO die Finanzkennzahlen der Organisationen sehr genau unter die Lupe nehmen, Noch wichtiger ist die Überprüfung, welchen Notfallplan sie haben, falls sie in Schwierigkeiten geraten.
Es gibt viele Diskussionen darüber, in die Cloud zu gehen, aber ich denke, es ist ebenso wichtig darüber zu reden, wie man aus der Cloud herauskommt oder zu einem alternativen Anbieter wechselt, wenn das Worst-Case-Szenario auftritt.
Ist es normal für Cloud-Service-Anbieter, solche Nofallpläne bereitzuhalten,?
Ich habe noch keinen Anbieter gesehen, der angekommen wäre und gesagt hätte „das ist der Notfallplan, und das sind die Partner, mit denen wir bei einem Worst-Case-Szenario zusammenarbeiten werden“. Die Käufer setzen die Anbieter nicht stark genug unter Druck, um gewisse Antworten zu erhalten, und das Problem verstärkt sich noch durch den Mangel an Standards in diesem Bereich.
In der klassischen Welt des Outsourcing gibt es weithin anerkannte Standards wie SAAS 70 für Datencenter. Sie bieten Unternehmen ein gewisses Maß an Sicherheit rund um die Leistungen eines spezifischen Anbieters. Leider funktionieren diese Standards im Cloud-Bereich nicht so gut.
Es gibt eine internationale Organisation, die Cloud Security Alliance (CSA), die gute Arbeit leistet bei der Durchsetzung neuer Standards und Richtlinien für die Cloud. Daher würde ich Unternehmen den Weg in diese Richtung weisen. Auch die European Network and Information Security Agency (ENISA) leistet gute Arbeit hinsichtlich einer Methode zur Risikobewertung für Unternehmen, die in die Cloud gehen.
Wenn es um die Cloud geht, ist Datensicherheit offensichtlich jedermanns Nummer eins auf der Wachsamkeitsliste. Welche Art von Sicherheits-Überlegungen werden nach Ihren Beobachtungen am häufigsten angestellt?
Das sind internationalen Datentransfer. Es kommt wirklich darauf an, wo die Daten gespeichert werden, und ob es sich dabei um ein anderes Land handelt. Das ist eines der wichtigsten Bedenken, die ich bei meinen Kunden sehe. Datentransfer wird ein Thema bei internationalen und globalen Cloud-Anbietern einfach aufgrund der Natur der Cloud, die normalerweise auf Dingen basiert wie riesigen Datencentern und virtuellen Servern, was es manchmal recht schwierig macht, Dinge zurückzuverfolgen. Einige große, etablierte Anbieter stellen Zonen zur Verfügung, sodass Ihre Daten in einer europäischen Zone bleiben statt in einer nordamerikanischen oder asiatischen oder südamerikanischen Zone. Das ist zweifelsohne ein Schritt in die richtige Richtung, weshalb ich denke, dass der Schlüssel im Standort der Daten liegt.
Der nächste Punkt ist die Nutzung von Verschlüsselungstechniken – Wo sitzen meine Daten, aber auch neben welchen anderen Daten sitzen sie? Könnte ich zum Beispiel in eine Situation geraten, wo die Daten meiner Firma sich direkt neben den Daten eines Wettbewerbers befinden? Oder was würde geschehen, wenn meine Daten sich in einem Datencenter befinden, und aus irgendeinem Grund entscheidet sich die US-Regierung, zu intervenieren und einige der Server in diesem Datencenter zu konfiszieren? Daher denke ich, dass Unternehmen über Datenverschlüsselung nachdenken müssen und über den genauen Standort der Daten – und dass sie in diesen Punkten aggressive Anforderungen an ihren Anbieter stellen sollten.
Was sollten die IT- und Sicherheitsabteilungen tun, damit diese Bedenken bei Cloud-Entscheidungen berücksichtigt werden?
IT und Sicherheit müssen besser auf Anforderungen aus den operativen Bereichen reagieren. Wenn sie das nicht tun, riskieren sie auf der Strecke zu bleiben. IT und Sicherheit müssen proaktiver sein und den Geschäftsbereich besser unterstützen um sicherzustellen, dass sie ein Mitspracherecht haben.
Wir haben Situationen gesehen, in denen Unternehmen eigenständig Cloud-basierte Dienstleistungen in Anspruch genommen haben, ohne den Weg über IT- oder Sicherheitsabteilung zu nehmen. Damit haben sie das Unternehmen einem Risiko ausgesetzt. Aber das Gegenargument dazu ist, dass sie die Dienstleistungen schneller und zu einem niedrigeren Preis bekamen und schneller arbeiten konnten als zuvor. Es gibt da also ein Gleichgewicht, das gehalten werden muss, und ich bin nicht überkritisch mit einem Unternehmen in dieser Situation. Wahrscheinlich liegt die Schuld bei den IT- und Sicherheits-Teams, die sichtbarer und proaktiver sein und mehr auf diese Prozesse reagieren müssen.
