Sponsored

Die Schatten-IT ins Licht setzen

  • security
  • ispin
image

Leuchten Sie die Schatten-IT in Ihrem Unternehmen bis in den letzten Winkel aus und schaffen Sie Transparenz über alle Ihre IT-Systeme, -Anwendungen und -Prozesse.

Mit einem Cloud Consumption Risk Assessment erhalten Sie Einblick in die verstecktesten Winkel Ihrer IT. Mit der gewonnenen, lückenlosen Transparenz legen Sie den Grundstein für mehr Sicherheit und Compliance.
Die Cloud ist allgegenwärtig in den Schweizer Unternehmen: Grosse Unternehmen nutzen rund 1300, Mittelgrosse rund 500 Cloud-Dienste und -Anwendungen. Der Grund: Die Cloud bringt zahlreiche Vorteile. Durch die vielen hilfreichen Apps aus der Cloud, die jederzeit zur Verfügung stehen, einfach bedienbar sind und kaum Verwaltungsaufwand verursachen, arbeiten Mitarbeitende produktiver und agiler. Für die IT aber sind sie in den meisten Fällen ein Problem. Denn nur 2 % der in Unternehmen eingesetzten Cloud-Services liegen in der Verantwortung der IT-Abteilung und werden von dieser kontrolliert. Die anderen 98 % sind Teil des riesigen Reichs der Schatten-IT, welches eine ganze Reihe von Gefahren mit sich bringt:
  • Fast die Hälfte (47 %) des Internetverkehrs in die Cloud verläuft unverschlüsselt – und das, obwohl 37 % der Daten, die in Cloud-Apps genutzt werden, vertrauliche Informationen (personenbezogene Daten, Passwörter, Credentials oder Kreditkarteninformationen) sind.
  • Pro Mitarbeitenden und Monat werden durchschnittlich 20 sensitive Dateien auf Public Cloud Storage Services geladen, wo sie oft unverschlüsselt liegen. Die zunehmende Zahl an Home-Office und Remote-Workern hat diese Entwicklung deutlich verschärft.
  • Viele Cloud-Services garantieren in ihren Nutzungsbedingungen nicht, dass die Daten ausschliesslich dem Kunden gehören.
  • Unsichere und nicht autorisierte Cloud-Services können Kanäle für Angreifer öffnen. Diese nutzen die Situation: 60 % der Malware wird über Cloud-Storage verteilt; 36 % aller Phishing-Kampagnen zielen auf Cloud-Identitäten ab; 90 % aller Attacken starten mit Phishing. Viele Phishing-Webseiten sind vermeintlich korrekte Cloud-Services.
  • Nur 22 % der Cloud-Services sind vertrauenswürdig, also für den Enterprise-Einsatz geeignet.
  • Viele der genutzten Anwendungen sind nicht rechts- bzw. DSGVO-konform (vgl. auch US Privacy Shield welches nicht DSGVO konform ist)

Zuerst volle Transparenz schaffen…

Sollen die Risiken, die mit der Cloud einhergehen, reduziert werden, muss zunächst Transparenz über sämtliche IT-Systeme geschaffen werden. Nur IT-Verantwortliche, die genau wissen, wie viele und welche Cloud-Anwendungen und -Dienste überhaupt in ihrem Unternehmen im Einsatz sind und ob diese den Security- und Compliance-Richtlinien entsprechen bzw. wohin sensible Daten fliessen und gespeichert sind, können die Kontrolle wieder vollständig übernehmen.

Das Flutlicht: Cloud Consumption Risk Assessment

Hier kommt das Cloud Consumption Risk Assessment ins Spiel. Damit setzen Sie auch noch den hintersten Winkel Ihrer Schatten-IT in volles Licht und erhalten:
  • Einen umfassenden Überblick über alle in Ihrem Unternehmen genutzten Cloud-Dienste.
  • Alle identifizierten Cloud-Dienste werden nach dem Cloud Confidence Level qualifiziert.
  • Der Datenverkehr in Richtung Cloud wird analysiert und aufgeschlüsselt nach Anwendungen.
  • Die Aufschlüsselung erfolgt nach den wichtigsten Risiken, z. B. Data Loss, Compliance und Cloud Threats mit zugehörigen Metriken.
  • Einen Überblick über die Nutzung und die Datenbewegungen in sanktionierten und erlaubten Apps.
  • Die Möglichkeit, DLP-Verstösse und Datenexpositionen ausfindig zu machen sowie mögliche weitere Sicherheitsrisiken und Datenschutzverletzungen zu erkennen.
  • Konkrete Handlungsempfehlungen für die Risikominimierung.

…dann Massnahmen setzen

Ist erst einmal die nötige Transparenz hergestellt, fällt es leichter, Sicherheitslücken zu erkennen und somit auch, passende Massnahmen zu setzen, um Verbesserungen bei Sicherheit und Compliance zu erreichen. Konkrete Vorschläge dafür erhalten Sie bereits im Assessment-Bericht. Auch die Definition von unternehmensspezifischen Richtlinien für die Cloud-Nutzung ist einfacher, genauso wie die auf diesen Regeln basierte Steuerung. Beispiele für Massnahmen sind etwa das Stoppen von Daten-Uploads in unmanaged Applikationen, das Verhindern des Teilens von Passwörtern oder das Blockieren gefährlicher Downloads.

Die passende Security-Lösung finden

In der Regel lassen sich derlei Massnahmen nicht mit den herkömmlichen Perimeter-zentrierten Sicherheitsmodellen realisieren. Diese Legacy-Lösungen bieten nur eine binäre Richtlinienauswahl: blockieren oder erlauben. Blockieren ist weder für die IT noch für die User eine wählbare Option. Denn die Anwender möchten uneingeschränkten und schnellen Zugriff auf die Apps und erwarten, dass dies möglich ist, ohne dabei die Sicherheit der Organisation zu beeinträchtigen. Notwendig sind also andere Sicherheitslösungen. Hier gilt es, die für das eigene Unternehmen optimale Lösung zu finden. Doch welche Lösung auch immer gewählt wird – alle setzen eines voraus: Die Schaffung von Transparenz.

Bringen Sie Licht ins Dunkle!

Vermeiden Sie Security- und Compliance-Risiken und Datenverluste. Setzen Sie das dunkle Reich der Schatten-IT ins Licht und schaffen Sie die Voraussetzung für eine höhere Sicherheit und Compliance in Ihrem Unternehmen. Fragen Sie uns nach dem Cloud Consumption Risk Assessment – unsere Cybersecurity-Experten beraten und unterstützen Sie gerne.
Lesen Sie in unserem Whitepaper wie Unternehmen Schatten-IT sichtbar machen und absichern können.
Jetzt herunterladen

ISPIN AG www.ispin.ch +41 44 838 31 11 [email protected]

Loading

Mehr zum Thema

image

Online-Betrüger: "Kommen Sie an unseren Branchenevent"

KMU und Private werden mit Phishing- und Betrugsmails bombardiert. Das NCSC hat alle Hände voll zu tun.

publiziert am 9.12.2022
image

Podcast: Lehren aus dem Drama um das Organspenderegister

Nach dem Ende des Registers von Swisstransplant bleibt vor allem Konsternation. Christian Folini und Florian Badertscher im Gespräch über Meldeprozesse für Lücken und heikle Datenbanken.

publiziert am 9.12.2022
image

Wilken nach Cyberangriff wiederhergestellt

Der ERP-Anbieter kann sein volles Portfolio wieder liefern. Kunden­daten sollen bei dem Hack keine abhandengekommen sein.

publiziert am 8.12.2022
image

Glutz nach Cyberangriff wieder im eingeschränkten Betrieb

Die Solothurner Firma wurde zum Ziel eines Ransomware-Angriffes. Spezialisten sowie IT-Forensiker arbeiten noch immer daran, die Systeme gänzlich wiederherzustellen.

publiziert am 8.12.2022