ra2 studio - stock.adobe.com
So sollten CDOs Cloud-Installationen und -Compliance managen
Die Cloud verändert die Art, wie Chief Data Officers Cloud-Daten verwalten, da sie Fragen der Sicherheit, der Privacy und der Compliance in der Hybrid Cloud beachten müssen.
Der Chief Data Officer (CDO) steht im Mittelpunkt, wenn es um das Datenmanagement in der Cloud geht, da die Cloud-Nutzung durch Private, Public und hybride Cloud-Umgebungen weiter zunimmt.
Zu den Themen, mit denen sich CDOs weiterhin beschäftigen, gehören die Auswirkungen der Cloud auf das Datenmanagement, die Sicherheit, die Privacy und die Einhaltung von Vorschriften (Compliance). Wenn es um die Cloud geht, gibt es zwei Hauptaspekte, mit denen sich der CDO befassen muss, und die Einhaltung von Vorschriften für hybride Clouds sollte auf dem Radar eines jeden CDOs stehen.
Cloud-Einführung und ihre Auswirkungen auf die Daten
Die meisten CDOs haben es mit einem hybriden Universum zu tun, es sei denn, ein Unternehmen hat entweder vollständig auf eine einzige Public oder Private Cloud umgestellt oder ist als relativer Neueinsteiger in der Cloud installiert worden. Ein hybrides Universum ist eine Kombination aus Private und Public sowie manchmal mehr als einer Public Cloud. Vor diesem Hintergrund können die folgenden Richtlinien hilfreich sein:
- Für neue Initiativen, bei denen es um die Verwaltung und Analyse wachsender Datenmengen geht, sollte ein Data-Fabric-Modell gewählt werden. Data Fabric ist ein von Gartner definiertes Designkonzept, das als integrierte Schicht (Fabric) von Daten und Verbindungsprozessen dient. Die Verwendung eines Data-Fabric-Modells ermöglicht außerdem einen effektiven und skalierbaren Rahmen, der die Entwicklung von Prozessen zur Einhaltung von Vorschriften unterstützt.
- Für bestehende Initiativen, die in einem lokalen Rechenzentrum gestartet wurden, ist es wichtig, die Daten vor der Migration in die Cloud zu bereinigen und zu harmonisieren. Dadurch wird die Datenexposition drastisch reduziert und die Migration in die Cloud beginnt mit einer sauberen Datenbasis. Umgekehrt ist es teuer, alle lokalen Daten in die Cloud zu verlagern. Außerdem können die Daten zu einem massiven Angriffsziel werden, und es wird eine wichtige Gelegenheit zur Reduzierung der Angriffsfläche verpasst.
- Wichtige Treiber für die Migration in die und Vermehrung von Daten in der Cloud sind die Analyse- und Datenverwaltungs-Tools sowie die Plattformen und das Fachwissen, das von diesen Anbietern angeboten wird. Bewerten Sie die Analysefähigkeiten der Kandidaten, bevor Sie sich für einen bestimmten Cloud-Anbieter entscheiden.
Einhaltung von Vorschriften in einer hybriden Welt
Die Einhaltung von Compliance-Vorschriften in einer hybriden Welt ist sowohl komplex als auch zeitaufwändig. Viele Unternehmen, die in einer hybriden Cloud-Welt leben, können versuchen, die Komplexität und den Zeitaufwand für die Einhaltung von Vorschriften in der hybriden Cloud zu begrenzen, indem sie folgende Maßnahmen ergreifen:
- Aufbau auf einer einzigen Lösung - vor Ort, bei einem Managed Security Service Provider oder in der Public Cloud - für eine bestimmte Art von Compliance-Anforderungen. Wenn zum Beispiel Kundenkartendaten vorhanden sind, für die PCI-Compliance (Payment Card Industry) vorgeschrieben ist, dann wählen Sie einen Public-Cloud-Anbieter, der die vier Stufen der PCI-Compliance einhält. Die Wahl einer PCI-konformen Public-Cloud-Plattform bedeutet jedoch nicht, dass das Unternehmen automatisch PCI-konform ist. Während der Public Cloud Service Provider (CSP) für die Infrastruktur und deren Umgebung verantwortlich ist, ist das Unternehmen für die Anwendungen verantwortlich, die Zahlungskartendaten speichern, verarbeiten oder übertragen. Somit liegt die Verantwortung für die PCI-Konformität bei der Organisation und dem CSP gemeinsam.
- Regelmäßige Bewertung anderer Lösungen. Da sich Public Clouds ständig weiterentwickeln und ausgereift sind, sollten Unternehmen ihre Cloud-Lösungen bewerten, um mögliche Migrationspfade zu identifizieren - sowohl von lokalen Cloud-Optionen als auch von Cloud-Anbietern von Drittanbietern. Es wird empfohlen, die Leitlinien der Cloud Security Alliance Cloud Controls Matrix zu verwenden.
- Überwachen und Abhilfe schaffen. Dies gilt sowohl für lokale als auch für Cloud-Implementierungen in einem hybriden Universum. Cloud-Implementierungen entwickeln sich schnell weiter, um mit den sich ändernden rechtlichen Rahmenbedingungen Schritt zu halten, aber es liegt in der Verantwortung des Unternehmens, den Cloud-Anbieter zu prüfen, die Risikoberichte zu bewerten und Abhilfemaßnahmen zu ergreifen.
Darüber hinaus ist, wie im PCI-Beispiel zu sehen, das Unternehmen für die Einhaltung der Vorschriften verantwortlich, und es müssen ähnliche Pläne für regelmäßige Prüfungen, Risikobewertungen und Abhilfemaßnahmen vorhanden sein.
Da sich Clouds weiterentwickeln und Daten immer mehr zu einer reichhaltigen Quelle für Innovationen werden - aber auch zu einem Hauptziel für Angreifer - ist die Einhaltung der Vorschriften für hybride Clouds ein notwendiger erster Schritt, um eine angemessene Datenhygiene sicherzustellen. Die Einhaltung der Vorschriften allein reicht jedoch nicht aus. Für ein erfolgreiches Datenmanagement in der Cloud ist es entscheidend, mit den oben beschriebenen Lösungen zur Wahrung von Sicherheit und Datenschutz auf dem Laufenden zu bleiben.