Lässt sich Cloud Shadow IT-Nutzung unterbinden oder ... · MD-Management Server “On-Premise”,...
22
1 Copyright ® ICT Economic Impact Ltd. 2015 Lässt sich Cloud Shadow IT-Nutzung unterbinden oder steuern? Frankfurt, den 30.11.2015 Technische Möglichkeiten der Kontrolle Alexander W. Koehler Dipl.-Math., CISSP, CCSK, CSP, ITIL
Transcript of Lässt sich Cloud Shadow IT-Nutzung unterbinden oder ... · MD-Management Server “On-Premise”,...
1 Copyright® ICT Economic Impact Ltd. 2015
Lässt sich Cloud Shadow IT-Nutzung unterbinden oder steuern?
Frankfurt, den 30.11.2015
Technische Möglichkeiten der Kontrolle Alexander W. Koehler Dipl.-Math., CISSP, CCSK, CSP, ITIL
2 Copyright® ICT Economic Impact Ltd. 2015
Agenda: Nutzung unterbinden oder steuern
Klassifizierung von Kontrollmaßnahmen
Maßnahmenklassen - Detektierend - Präventiv - Korrigierend
Risiken - vermeiden - transferieren - mindern
Methode - Technisch - Administrativ
3 Copyright® ICT Economic Impact Ltd. 2015
Data Leakage Prevention DLP Ausgereift, verfügbar für alle Endgeräte
Upload, Download, etc. Cloud Deployment? Korrelation von Ereignissen?
Technisch – detektierend und präventiv
4 Copyright® ICT Economic Impact Ltd. 2015
Was möchte der Benutzer tun? - Das “Warum” Ist für Ihn der Hersteller der App wichtig? Nein!
Das Problem: Die Fachabteilungen nutzen einen kostenlosen Speicherdienst, der Daten unverschlüsselt ablegt Keine Aussagen über Verfügbarkeit trifft Keine Aussasgen über Server-Standorte macht
Die Lösung: Ersatz durch einen Anbieter mit gleicher Funktionalität aber :
Ende-zu-Ende Verschlüsselung Hochverfügbarkeit Benutzerkomfort: Browser und App DC im deutschen Rechtsraum
Technisch und administrativ - Risiko mindern
5 Copyright® ICT Economic Impact Ltd. 2015
Technisch - präventiv Was möchte der Benutzer tun? - Das “Warum”
eMail-Austausch mit Dokumenten in Anhängen Zugriff und Speicherung abhängig vom Ort Location Based Service Daten können aussschliesslich im Firmengelände
bearbeitet oder auf dem mobilen Endgerät gespeichert werden
insbesondere PII-Daten MS Outlook, Apple Mail, Blackberry etc. plus “Location
Based Service” und Klassifizierung Usability: keine Einschränkungen Unternehmensrichtlinien zur Datensicherheit sind
durchgesetzt
6 Copyright® ICT Economic Impact Ltd. 2015
File Sync & Share (FSS) Dropbox und Box; MS, Google, Apple, ... 80 Anbieter
Consumer FSS: CFFS
Datenhoheit: Mitarbeiter
Enterprise FSS: EFFS Datenhoheit: Unternehmen
Administrativ und technisch - Risiko mindern
7 Copyright® ICT Economic Impact Ltd. 2015
Consumer FSS versus Enterprise FSS
Sicherheitskontrollmechanismen, Richtlinien Kennwortrichtlinien (a,A,#,2, ...) Mehrfaktorauthentifizierung (2fach) Zusätzliches Log-In zwingend Verwendung von Unternehmens-IDs zwecks SSO Schnittstelle zu SIEM Schnittstelle zu DRM-Systemen
Administrator hat die Kontrolle I Rechtezuweisung an Gruppen, granular Gerätezugang erlauben / blockieren / entziehen Aktivitäten der Benutzer sichtbar, prüfbar
Administrativ - Risiko mindern
8 Copyright® ICT Economic Impact Ltd. 2015
Consumer FSS versus Enterprise FSS Administrator hat die Kontrolle II eDiscovery, Audit Trail Datentransfer verschlüsselt (“resilient”) Ende-zu-Ende Verschlüsselung Recovery 2 Konten: Enterprise und Privat Steuerung von Rechten teamfremder Mitglieder Verknüpfung Endgerät zu Cloud Löschen von Daten “remote”
Beispiele zur Implementierung Dropbox mit Dropbox Business oder Box.com
Administrativ - Risiko mindern
9 Copyright® ICT Economic Impact Ltd. 2015
MDM, Mobile Device Management Kontrolle über den Endpunkt oder Teil davon Monitoring Feststellung von Anomalien Fehlerbehebung Vermeidung von sich wiederholenden Fehlern
Bestandteile Apps und Endgeräte Funknetzbetreiber Network Operation Center (NOC) Firewall – Proxy – Backend-Infrastruktur MD Management Systeme
Technisch - Risiko mindern
10 Copyright® ICT Economic Impact Ltd. 2015
Hybrid geschlossene Systeme Zusammenspiel Endgerät, Unternehmensserver und Cloud Die serverseitige Infrastruktur einschliesslich der Endgeräte
ist ein geschlossenes Systems MD-Management Server “On-Premise”, oder: MD-Management Server “Cloud”
Vorteil: Höchstes Maß an Kontrolle Nachteil: Kann mit den Teilen privater Nutzung von
Endgeräten kollidieren (BYOD)
Technisch und administrativ – präventiv und detektierend
11 Copyright® ICT Economic Impact Ltd. 2015
Hybrid geschlossene Systeme Geschlossenes System für die Enterprise Umgebung und ... Enterprise // Privat
... Offenes System für die Private Umgebung
Technisch – präventiv und detektierend
12 Copyright® ICT Economic Impact Ltd. 2015
Log Management Protokolle über Veränderungen oder Vorfälle Bereits vorhanden auf Servern und Endgeräten BS und Apps sammeln im regulären Betrieb forensische
Daten: Schatten-IT detektierend Windows: Ereignis Anzeige, Linux: Syslog Dienst
SIEM: Security Incident and Event Management Effizientes Bewerten und Nutzen der Log-Daten unter
Anwendung von Metriken “Dektierend” wird erweitert zu “korrigierend”
Beispiel ...
Technisch - detektierend
13 Copyright® ICT Economic Impact Ltd. 2015
Log Management
Technisch - detektierend
Report, Alert
14 Copyright® ICT Economic Impact Ltd. 2015
Überwachen von Apps
Zugelassene Nicht verbotene Verbotene
Technisch - detektierend
15 Copyright® ICT Economic Impact Ltd. 2015
Bewertung von Apps und deren Umgebung Cloud – Vertrauensindex Gewichtung durch Kunden
Technisch - detektierend
16 Copyright® ICT Economic Impact Ltd. 2015
Überwachung von Apps und Benutzern I Was? Wann? Wo? Wer?
Technisch - detektierend
17 Copyright® ICT Economic Impact Ltd. 2015
Überwachung von Apps und Benutzern II Fein granulare Sichtbarkeit und Kontrolle Frei gegebene Apps: vollständige Governance Zugriff, Aktivitäten und Daten Entdecken und schützen von Daten im Transit und
am Speicherort: PII, PCI Richtliniendurchsetzung mit oder ohne Agenten
Nicht freigegebene Apps: Sichtbarkeit und Kontrolle von allen Apps
Interaktion mit den Benutzern Erfassen jeglicher Endpunkte On-Premise oder Remote
Technisch – detektierend und präventiv
18 Copyright® ICT Economic Impact Ltd. 2015
Überwachung von Apps und Benutzern III DLP “Noice Cancelling” Reduktion von “False Positives” Sehr großer Umfang an
erkennbaren Parametern Daten Identifikatoren (3000+) Datei Typen (500+) Kontext
Im Zweifelsfall: Datenumleitung Cloud –> OnPremise
Funktionen unabhängig vom App Deployment Modell Analyse- und Richtlinien-Engines unabhängig von App
Deployment Architekturen
Technisch – detektierend und präventiv
19 Copyright® ICT Economic Impact Ltd. 2015
Information Rights Management Q: ”Zu welcher Cloud müssen wir jetzt?” A: “Is’ egal” (frei nach Dirk Nowitzky)
Technisch und administrativ - präventiv
20 Copyright® ICT Economic Impact Ltd. 2015
Information Rights Management Data Centric View Sensible
Informationen vom Ort und Gerät
unabhängig
Richtlinien zur Benutzung sind mit der Datei verbunden
Sicheren Einsatz von mobilen Endgeräten, Cloud Computing und Kollaboration
Technisch und administrativ - präventiv
21 Copyright® ICT Economic Impact Ltd. 2015
Ausblick Datenaustausch firmenintern oder B-2-B 95% eMail Übergang zu geschlossenen Systemen: DE-Mail
IRM, DRM wird grundsätzlich eingesetzt Getag’te Daten Sicherheit: Orts- und transportunabhängig Instant Erase: Vertraulichkeit Elektronische Signatur und Siegel Authentizität Integrität
Enterprise Backup: Verfügbarkeit
Technische Möglichkeiten der Kontrolle
22 Copyright® ICT Economic Impact Ltd. 2015
Information Security ICT Group ICT Verwaltungsgesellschaft GmbH ICT Economic Impact Ltd. Go4Cloud Ltd.
Darmstädter Landstraße 87 D-60598 Frankfurt Tel.: +49(69) 6607 6603 www.ict5.com
Dipl. Math. Alexander W. Koehler CEO, ICT Economic Impact [email protected] Tel.: +49(170)2162638
