Cloud Audit
Ein Cloud-Audit ist eine regelmäßige Untersuchung, die ein Unternehmen durchführt, um die Leistung seines Cloud-Anbieters zu bewerten und zu dokumentieren. Das Ziel eines solchen Audits ist, zu sehen, wie gut ein Cloud-Anbieter die vereinbarten Leistungen erfüllt.
Die Cloud Security Alliance (CSA) bietet Audit-Dokumente, Anleitungen und Kontrollen mit denen IT-Organisationen ihre Cloud-Anbieter überprüfen. Externe Auditoren nutzen oft ebenfalls die Materialien der CSA. Sie gelten als das primäre Audit-Tool zum Durchführen und Optimieren eines umfassenden Cloud Audits.
Der Begriff CloudAudit bezieht sich auf eine Spezifikation, welche die CSA im Jahr 2019 entwickelt hat, um auszudrücken, wie ein Cloud-Service-Anbieter bestimmte Vorgaben erfüllt. Das Ziel von CloudAudit war es, Anbietern von Cloud-Diensten eine Möglichkeit zu bieten, ihre Leistungs- und Sicherheitsdaten potenziellen Kunden leicht zugänglich zu machen.
Wie führen Sie ein Cloud-Audit durch?
Ein Audit einer Cloud-Umgebung funktioniert ähnlich wie jedes IT-Audit. Beide untersuchen eine Vielzahl von Betriebs-, Verwaltungs-, Sicherheits- und Leistungskontrollen. Cloud-Audit-Kontrollen ähneln auch IT-Audit-Kontrollen, konzentrieren sich jedoch auf die Nuancen von Cloud-Umgebungen.
In der Regel nutzen Cloud-Kunden On-Demand-Ressourcen wie Software as a Service (SaaS) und Platform as a Service (PaaS). Mit einem Audit stellen sie sicher, ob diese Services die Anforderungen erfüllen, insbesondere solche, die Sicherheitsrichtlinien und Risikomanagement betreffen. Sie beweisen, ob der Cloud-Anbieter Best Practices anwendet, angemessene Standards einhält und bestimmte Benchmarks beim Bereitstellen seiner Dienste erfüllt.
Führen Sie für ein Cloud-Audit die folgenden grundlegenden Schritte aus:
- Sammeln Sie relevante Dokumente und andere Beweise, wie zum Beispiel Screenshots.
- Fragen Sie Ihre Ansprechpartner beim Cloud-Anbieter, wie dieser arbeitet und seine Dienste bereitstellt. CSA hat Cloud-Audit-Fragen und Checklisten, die sowohl für externe als auch für interne Auditoren nützlich sein können. CSA ist eine Partnerschaft mit ISACA eingegangen, um zu definieren, was relevantes Cloud-Audit-Wissen ausmacht, und um Akkreditierungsressourcen für Cloud-Audit-Experten bereitzustellen.
- Analyse. Prüfen Sie, wie gut die Prozesse des Anbieters mit den CSA- und ISACA-Kontrollen übereinstimmen.
- Akkumulation. Kombinieren Sie die Analyse mit den Beweisen aus der Dokumentation und Interviews in Arbeitspapieren, um einen Überblick zu erhalten und die Gesamtsituation sinnvoll einzuschätzen.
- Schlussbericht. Reichen Sie einen Schlussbericht beim Management ein, üblicherweise im Rahmen eines formellen Audit Briefings.
- Konsequenzen. Das Management zieht die Konsequenzen aus dem Audit und kann beispielsweise beim Anbieter eine Beschwerde einreichen.
Anmeldeinformationen für Cloud-Audit-Experten
Die CSA und ISACA bieten gemeinsam die folgenden Cloud-Audit-Zertifikate an:
- Certificate of Cloud Security Knowledge ist eine Wissenssammlung in Bereichen der Cloud-Technologie, einschließlich Cloud-Verarbeitung und -Sicherheit. Es ist ein erster Schritt zur Vorbereitung auf die Companion Certification in Cloud Auditing Knowledge.
- Das Certificate of Cloud Auditing Knowledge schult Kandidaten in der Prüfung von Cloud-Plattformen und -Sicherheit.
Beide Zertifikate ergänzen die ISACA-Zeugnisse. Sie belegen das Wissen eines Prüfers über Cloud-Infrastruktur und -Systeme, Sicherheit und Schwachstellen und zeigen, dass der Prüfer weiß, wie man ein Cloud-Audit durchführt.
