Inhalt
Die Informationssicherheit der Dienste, welche Sie aus der Cloud beziehen, wird mit dem Cloud-Audit überprüft. Der Inhalt des Audits wird individuell auf Ihre Bedürfnisse angepasst. Mittels einer detaillierten und umfassenden Analyse der IST-Situation erhalten Sie eine klare Aussage, wie es um die Sicherheit Ihrer Daten und Prozesse steht. Dazu erfahren Sie, welche Massnahmen unsere erfahrenen Experten für die weitere Optimierung vorschlagen.
Mögliche Kontroll-Elemente:
- Konzeptionierung und vorhandene Dokumentation
- Leistungsvereinbarungen mit Dienstleistern (SLA)
- Konfiguration von Software as a Service-Dienstleistungen
- Beispiel Microsoft 365
- Identity Management
- Exchange Online
- Intune
- Defender
- SharePoint
- Teams
- Konfiguration von Plattform und Infrastructure as a Service-Dienstleistungen
- Backup der Cloud-Daten
Nutzen
Sie wissen, in welchen Bereichen Sie gut aufgestellt sind, und welche Bereiche aus Sicht der Informationssicherheit erhöhte Aufmerksamkeit benötigen. Sie können die Aktivitäten Ihrer IT-Ressourcen gezielt steuern und Ihren risikobasierten Fokus auf sicherheitsrelevante Themen, wenn nötig, auch aufzeigen. Zudem erfahren Sie allfällige Schwachpunkte allgemeiner Natur oder solche, die in direktem Zusammenhang mit der Cloud-Strategie auftreten.
Vorgehen
In einem vorgängigen Gespräch werden Ihre Anforderungen und Anliegen aufgenommen und beschrieben. Dieses Gespräch bildet die Basis für das Audit und legt fest, welche Dienste in der Cloud detailliert angeschaut werden.
Der Ihnen zugewiesene Auditor setzt sich mit der uns ausgehändigten Dokumentation auseinander und überprüft deren Umfang und Inhalt mit Fokus auf die IT-Sicherheit.
Am Tag des Audits (oder je nach Bedarf und Umfang vorab) führt der Auditor ein kurzes Interview mit der IT-Leitung durch. Der Fokus des Audits wird nun gefestigt und organisatorische Elemente erfragt.
Beim Cloud-Audit wird die aktuelle Konfiguration der Cloud-Umgebung geprüft. Die Standardkonfiguration ist primär auf Funktionalität und nur sekundär auf Sicherheit ausgelegt. Deshalb ist eine gezielte Härtung der einzelnen Services und Einstellungen wichtig. Beim Audit werden die Einstellungen manuell (Konsolen-Audit) geprüft und ergänzend Skripts / Scans zum Auslesen der aktuellen Konfiguration eingesetzt.
Der Auditor erstellt anschliessend an das Audit den umfassenden Bericht. Sie erhalten konkrete Vorschläge zur Verbesserung der Sicherheit Ihrer Konfiguration.
Die Präsentation findet bei Ihnen oder remote statt. Sie definieren, welche Personen an der Präsentation teilnehmen. Sämtliche Dokumentationen werden Ihnen an diesem Termin übergeben.
Lieferobjekte
- Zusammenfassung
- Ausführlicher Bericht
- Massnahmenliste mit Priorisierung
- Präsentation und Besprechung der Resultate
Zielgruppe
Das Cloud-Audit richtet sich an Firmen und öffentliche Verwaltungen, welche Dienstleistungen aus der Cloud beziehen. IT-Leiter und Geschäftsführer, die wissen wollen, wie es um ihre IT-Sicherheit steht und diese konsequent auf die Business-Anforderungen ausrichten möchten.
Aufwand
Je nach Umfang der zu prüfenden Elemente, liegt der Aufwand zwischen 3 bis 8 Tagen. Darin enthalten sind alle beschriebenen Tätigkeiten.