Immer wieder DORA: Leitfaden für Data Protection und Cyberresilienz
Was die Verantwortung für den Schutz von Cloud- und SaaS-Daten betrifft, müssen die Verantwortlichen in Unternehmen das Modell der „Shared Responsibility“ verstehen und verinnerlichen. In einem herkömmlichen Rechenzentrumsmodell sind Unternehmen für die Sicherheit ihrer gesamten Betriebsumgebung verantwortlich, einschließlich Anwendungen, physischer Server, Benutzerkontrollen und sogar der Sicherheit des Gebäudes.
Das Modell der geteilten Verantwortung ist ein Konzept, das festlegt, dass Cloud-Anbieter die Verantwortung mit ihren Kunden teilen, wenn es um die Sicherung von Workloads geht, die in ihren Clouds gehostet werden.”
Gemäß dem Modell der geteilten Verantwortung übertragen Cloud- und SaaS-Anbieter die Verantwortung für die Sicherung und Wiederherstellung der Daten im Allgemeinen dem Kunden. Das Konzept ist sinnvoll, da die Cloud-Anbieter nicht die volle Kontrolle über alles haben, was die Benutzer in ihren Clouds tun.
Vielfältige DORA-Anforderungen
Geschäftskontinuität, Datensicherung und Tests sind wichtige Anforderungen, die Unternehmen für DORA erfüllen müssen. Dies umfasst Backup-Anforderungen, die Reaktion auf Vorfälle und die Wiederherstellung sowie eine Nachvollziehbarkeit der Wiederherstellung samt Berichterstattung.
Backup
Die Backup-Anforderungen für DORA beginnen mit der Planung von täglichen Backups für jede Instanz und Anwendung in der Umgebung. Erforderlich ist insbesondere das Speichern von Backups außerhalb des Unternehmens in einem S3-kompatiblen Speicher, unabhängig von den primären SaaS-Anwendungen. Ebenso müssen Unternehmen sicherstellen, dass Sicherungskopien im Falle eines Ausfalls oder einer Cyberbedrohung zugänglich sind und eine Mindesthäufigkeit für die Backups pro Anwendung festlegen.
Es gilt sicherzustellen, dass das Sicherungssystem außerhalb der primären SaaS-Anwendungen läuft und von diesen getrennt ist.”
Die Aktivierung der Unveränderbarkeit des Backup-Speicherziels im Falle eines Cybersicherheitsvorfalls ist eine weitere wichtige Anforderung. Der Standort des Backup-Speichers muss die Anforderungen des entsprechenden Landes erfüllen. Zum Schutz der Integrität und Vertraulichkeit von Backups ist zudem die Implementierung und Aufrechterhaltung von Multi-Faktor-Authentifizierung, Verschlüsselung und Netzwerksegmentierung entscheidend.
Reaktion auf Vorfälle und Wiederherstellung
Unternehmen müssen Recovery-SLAs festlegen, die der Bedeutung der jeweiligen Anwendung angemessen sind. Ebenso gilt es, Disaster-Recovery-Pläne, die Vorlagen für verschiedene Vorfallszenarien enthalten, zu entwickeln und regelmäßig zu aktualisieren. Ebenso müssen Unternehmen sicherstellen, dass diese Pläne umfassend und auf die geschäftlichen Bedürfnisse zugeschnitten sind. Die Durchführung regelmäßiger Schulungen und Simulationen ist erforderlich, um die Effektivität der Mitarbeiter bei einem kritischen Vorfall zu optimieren.
Der Schwerpunkt liegt auf klar definierten Rollen, Verantwortlichkeiten und Maßnahmen für effektives Störungsmanagement.”
Nachvollziehbare Wiederherstellung mit Berichterstattung
Für die nachvollziehbare Wiederherstellung ist eine Berichterstattung erforderlich. Diese umfasst die Dokumentation und Aufzeichnung aller Prozesse, um die Einhaltung der DORA-Anforderungen nachzuweisen und sich für Audits und Inspektionen zu wappnen. Hier bietet sich der Einsatz von fortschrittlichen Tools für die kontinuierliche Überwachung und Echtzeit-Berichterstattung von Sicherungs- und Wiederherstellungsaktivitäten an, um die Entscheidungsfindung und die Möglichkeiten der Reaktion auf Vorfälle zu verbessern.
Risikobewertung
Zur Risikobewertung müssen Unternehmen einen Rahmen erstellen, um alle ICT-Services zu identifizieren und abzubilden (z. B. Atlassian Cloud, AWS, Salesforce etc.). Dazu können sie Audit-Templates nutzen oder erstellen, um jede IT-Technologie in Zusammenhang mit Sicherheit, Erkennung, Reaktion und Geschäftskontinuität zu bewerten.
Für alle genutzten SaaS-Anwendungen müssen Unternehmen zudem Verantwortliche für den Datenschutz bestimmen.”
Hier empfiehlt sich der Einsatz von Tools für die kontinuierliche Überwachung der genutzten Technologien und die regelmäßige Dokumentation von Änderungen im Tech-Stack – über alle Abteilungen hinweg.dk
Sie finden diesen Artikel im Internet auf der Website:
https://itfm.link/217975
Schreiben Sie einen Kommentar