Folgende Elemente werden kontrolliert:

  • Konzeptionierung und vorhandene Dokumentation
  • Leistungsvereinbarungen mit Dienstleistern (SLA)
  • Identity Management (inkl. Privileged Identity Management)
  • Konfiguration von Software as a Service-Dienstleistungen (z.B. Microsoft 365)
  • Konfiguration von Plattform und Infrastructure as a Service-Dienstleistungen
  • Firewall und Schnittstellen
  • Backup der Cloud-Daten
  • Mobile-Device-Management

Dienstleistungsbeschreibung PDF

Nutzen

Sie wissen, in welchen Bereichen Sie gut aufgestellt sind, und welche Bereiche aus Sicht der Informationssicherheit erhöhte Aufmerksamkeit benötigen. Sie können die Aktivitäten Ihrer IT-Ressourcen gezielt steuern und Ihren risikobasierten Fokus auf sicherheitsrelevante Themen, wenn nötig, auch aufzeigen. Zudem erfahren Sie allfällige Schwachpunkte allgemeiner Natur oder solche, die in direktem Zusammenhang mit der Cloud-Strategie auftreten.

Vorgehen

In einem vorgängigen Gespräch werden Ihre Anforderungen und Anliegen aufgenommen und beschrieben. Dieses Gespräch bildet die Basis für das Audit und legt fest, welche Dienste in der Cloud detailliert angeschaut werden.

Der Ihnen zugewiesene Auditor setzt sich mit der uns ausgehändigten Dokumentation auseinander, überprüft deren Umfang und führt einen kurzen Penetration Test durch.

Am Tag des Audits (oder je nach Bedarf und Umfang vorab) führt der Auditor ein kurzes Interview mit der IT-Leitung durch. Der Fokus des Audits wird nun gefestigt und organisatorische Elemente erfragt.

Beim Cloud-Audit wird die aktuelle Konfiguration der Cloud-Umgebung geprüft. Die Standardkonfiguration ist primär auf Funktionalität und nur sekundär auf Sicherheit ausgelegt. Deshalb ist eine gezielte Härtung der einzelnen Services und Einstellungen wichtig. Beim Audit werden die Einstellungen manuell (Konsolen-Audit) geprüft und ergänzend Skripts / Scans zum Auslesen der aktuellen Konfiguration eingesetzt.

Der Auditor erstellt anschliessend an das Audit den umfassenden Bericht. Sie erhalten konkrete Vorschläge zur Verbesserung der Sicherheit Ihrer Konfiguration.

Die Präsentation findet bei Ihnen statt. Sie definieren, welche Personen an der Präsentation teilnehmen. Sämtliche Dokumentationen werden Ihnen an diesem Termin übergeben.

Lieferobjekte

  • Zusammenfassung
  • Ausführlicher Bericht
  • Massnahmenliste mit Priorisierung
  • Präsentation und Besprechung der Resultate

Zielgruppe

Das Cloud-Audit richtet sich an Firmen und öffentliche Verwaltungen, welche Dienstleistungen aus der Cloud beziehen. IT-Leiter und Geschäftsführer, die wissen wollen, wie es um ihre IT-Sicherheit steht und diese konsequent auf die Business-Anforderungen ausrichten möchten.

Aufwand

Je nach Umfang der zu prüfenden Elemente, liegt der Aufwand zwischen 3 bis 8 Tagen. Darin enthalten sind alle beschriebenen Tätigkeiten.