Mögliche Kontroll-Elemente:

  • Konzeptionierung und vorhandene Dokumentation
  • Leistungsvereinbarungen mit Dienstleistern (SLA)
  • Konfiguration von Software as a Service-Dienstleistungen
  • Beispiel Microsoft 365
    • Identity Management
    • Exchange Online
    • Intune
    • Defender
    • SharePoint
    • Teams
  • Konfiguration von Plattform und Infrastructure as a Service-Dienstleistungen
  • Backup der Cloud-Daten

Nutzen

Sie wissen, in welchen Bereichen Sie gut aufgestellt sind, und welche Bereiche aus Sicht der Informationssicherheit erhöhte Aufmerksamkeit benötigen. Sie können die Aktivitäten Ihrer IT-Ressourcen gezielt steuern und Ihren risikobasierten Fokus auf sicherheitsrelevante Themen, wenn nötig, auch aufzeigen. Zudem erfahren Sie allfällige Schwachpunkte allgemeiner Natur oder solche, die in direktem Zusammenhang mit der Cloud-Strategie auftreten.

Jetzt Kontakt aufnehmen

Vorgehen

In einem vorgängigen Gespräch werden Ihre Anforderungen und Anliegen aufgenommen und beschrieben. Dieses Gespräch bildet die Basis für das Audit und legt fest, welche Dienste in der Cloud detailliert angeschaut werden.

Der Ihnen zugewiesene Auditor setzt sich mit der uns ausgehändigten Dokumentation auseinander und überprüft deren Umfang und Inhalt mit Fokus auf die IT-Sicherheit.

Am Tag des Audits (oder je nach Bedarf und Umfang vorab) führt der Auditor ein kurzes Interview mit der IT-Leitung durch. Der Fokus des Audits wird nun gefestigt und organisatorische Elemente erfragt.

Beim Cloud-Audit wird die aktuelle Konfiguration der Cloud-Umgebung geprüft. Die Standardkonfiguration ist primär auf Funktionalität und nur sekundär auf Sicherheit ausgelegt. Deshalb ist eine gezielte Härtung der einzelnen Services und Einstellungen wichtig. Beim Audit werden die Einstellungen manuell (Konsolen-Audit) geprüft und ergänzend Skripts / Scans zum Auslesen der aktuellen Konfiguration eingesetzt.

Der Auditor erstellt anschliessend an das Audit den umfassenden Bericht. Sie erhalten konkrete Vorschläge zur Verbesserung der Sicherheit Ihrer Konfiguration.

Die Präsentation findet bei Ihnen oder remote statt. Sie definieren, welche Personen an der Präsentation teilnehmen. Sämtliche Dokumentationen werden Ihnen an diesem Termin übergeben.

Lieferobjekte

  • Zusammenfassung
  • Ausführlicher Bericht
  • Massnahmenliste mit Priorisierung
  • Präsentation und Besprechung der Resultate

Zielgruppe

Das Cloud-Audit richtet sich an Firmen und öffentliche Verwaltungen, welche Dienstleistungen aus der Cloud beziehen. IT-Leiter und Geschäftsführer, die wissen wollen, wie es um ihre IT-Sicherheit steht und diese konsequent auf die Business-Anforderungen ausrichten möchten.

Aufwand

Je nach Umfang der zu prüfenden Elemente, liegt der Aufwand zwischen 3 bis 8 Tagen. Darin enthalten sind alle beschriebenen Tätigkeiten.

Jetzt Kontakt aufnehmen