Econis ICT Expert Talk – Folge # 1
Erfolgreich und sicher outsourcen in die Private Cloud
Dieser Expert Talk befasst sich mit den Fragestellungen rund um Outsourcing und Sicherheit – und worauf ein Unternehmen achten muss, wenn es zu einem Anbieter in eine private Cloud gehen möchte.
Wenn ein Unternehmen ihre Services und Daten zu einem private Cloud Anbieter outsourced – also nicht in eine Public Cloud wie Azure, Amazon & Co, sondern zu einem Hostinganbieter und in dessen Rechenzentrum – worauf muss es da in punkto Sicherheit achten?
Unterschiedliche Branchen haben unterschiedliche Anforderungen. Aber auch innerhalb derselben Branche gibt es Unterschiede. Dabei verfolgen alle das gleiche Ziel: Wie schütze ich meine Daten sinnvoll. Dazu muss man aber seine eigenen Daten zuerst kennen. Am Effizientesten kann dies über eine Datenklassifikation geregelt werden. Dazu werden alle Informationen in überschaubare Assets unterteilt und dann pro Asset Vertraulichkeit, Integrität, Verbindlichkeit und Verfügbarkeit festgelegt.
Wie anspruchsvoll und zeitwendig ist dies?
Es gibt hier sehr pragmatische und zuverlässige Ansätze, mit welchen eine Datenklassifikation gemacht werden kann. Aufgrund der Klassifikation ist dann sehr genau zu sehen, welche Daten stark oder weniger stark geschützt werden müssen. Damit kann dann der Datenschutz und die Wiederherstellung, z.B. im Falle von Ausfällen und Katastrophen, gezielt gesteuert werden. Das hilft mir wiederum stark bei der Auswahl des richtigen Anbieters und benötigten Service Levels und optimiert gleichzeitig die Kosten.
Nachdem diese Datenklassifikation gemacht ist – woran erkenne ich dann einen «guten» Outsourcer für mein Unternehmen?
Grundsätzlich würde ich mich zumindest einmal auf die anerkannten Zertifizierungen abstützen. Eine ISO 27001 Zertifizierung oder branchenspezifische Standards wie z.B. ISAE 3402 im Finanzumfeld stellen im Minimum sicher, dass die nötigen Prozesse vorhanden sind und auch geprüft werden. Das heisst, ich würde auf die Erfüllung grundsätzlicher Regulatoren und Branchenvorgaben achten. Da spielt bei vielen die Datenhaltung in der Schweiz eine wichtige Rolle. Dazu kommen nun, abgeleitet von der Datenklassifikation, die Anforderungen pro Asset. Wenn ich z.B. eine sehr hohe Vertraulichkeit auf bestimmten Daten habe, benötige ich auch einen höheren Schutz dieser Daten z.B. mit strafferen Zugriffsrechten, besserer Abschottung und / oder einer Verschlüsselung. Und wenn ich eine hohe Anforderung im Bereich der Verfügbarkeit oder Integrität habe, erwarte ich vom Private Cloudanbieter die nötigen Massnahmen z.B. eine Hochverfügbarkeits-Infrastruktur sowie eine effiziente und sichere Backup-Lösung.
Haben Sie Fragen oder Anregungen? Auf Ihre Kontaktaufnahme freuen wir uns!
«Für den richtigen Schutz meiner Daten, muss ich meine Daten zuerst kennen. Am Effizientesten kann dies über eine Datenklassifikation geregelt werden. Dazu werden alle Informationen in überschaubare Assets unterteilt und dann pro Asset Vertraulichkeit, Integrität, Verbindlichkeit und Verfügbarkeit festgelegt.»
Werner Stocker
Chief Information Security Officer | Econis AG
Kurzportrait Werner Stocker
Werner Stocker ist seit über 20 Jahren im Bereich Informationssicherheit unterwegs. Seit 2019 ist er CISO bei der Econis und war massgeblich beteiligt, die ISO/IEC 27001 Zertifizierung im 2020 erfolgreich zu bestehen. Er war davor in verschiedenen langjährigen Rollen als Senior Information Security Officer und Produktemanager in der Finanz- und IT Branche tätig und besitzt Spezialisierungen im Bereich Kryptographie und Schwachstellenmanagement. Seine aktuelle Tätigkeit beinhaltet hauptsächlich den Betrieb des Econis-eigenen Informations-Sicherheits-Management-Systems, inkl. Datenschutzabstimmungen mit sämtlichen Kunden, Schwachstellenmanagement Compliance & Reporting, Security Operation Center sowie die Begleitung von strategischen Projekten.
Das könnte Sie auch interessieren
Cloud
Der IT-Betrieb via Cloud erfordert keine eigene IT-Infrastruktur und auch keine Investitionen. Mit dem standardisierten, skalierbaren und zuverlässigen Cloud Angebot von Econis können Sie auf Marktveränderungen schnell und kosteneffizient reagieren.
Security & Compliance
«Security» ist in der IT ein übergreifendes Thema. Ob es um die Sicherheit von einzelnen Clients, zentralen Servern, den E-Mails oder dem Netzwerk geht – gemeinsam führen wir eine Risiko- und Schwachstellenanalysen durch und finden heraus, welchen Level an Sicherheit für Sie der richtige ist und begleiten Sie auf dem Weg zum optimalen Schutz.
