Unternehmen verfügen über mehr Daten und digitale Assets als je zuvor, und die Geschäftslandschaft Singapurs ist überschwemmt von Cloud-Dienstleistern und Rechenzentren, die Unternehmen dabei unterstützen, ihre Daten zu speichern und Anwendungen und Software für den Betrieb bereitzustellen. Systemausfälle oder Datenverluste durch einen Cloud-Dienstleister oder ein Rechenzentrum können erhebliche Auswirkungen auf die Fähigkeit eines Unternehmens haben, Produkte und Dienstleistungen zu liefern. Aus diesem Grund hat die Infocomm Media Development Authority (IMDA) neue Beratungsrichtlinien für Cloud-Dienstleister und Rechenzentren eingeführt.

Obwohl diese Richtlinien noch nicht zwingend vorgeschrieben sind, ist es ratsam, dass Cloud-Dienstleister und Rechenzentren in Singapur ihre Prozesse an den Beratungsrichtlinien ausrichten, um sicherzustellen, dass sie zuverlässige Dienste anbieten, die Kundendaten schützen. In diesem Blog untersuchen wir, was die neuen Richtlinien für Cloud-Dienstleister und Rechenzentren bedeuten, und erläutern, wie Sie Best-Practice-Prozesse für Cyber-Risikomanagement, Cyber-Vorfallsmanagement, Governance und Kontrollen implementieren können, um die Anforderungen zu erfüllen.

 

Was sind die IMDA-Beratungsrichtlinien für Cloud-Dienstleister?
Die IMDA-Beratungsrichtlinien für Cloud-Dienstleister sind darauf ausgelegt, mit bestehenden IT-Sicherheitsstandards wie ISO 22301 und ISO 27001 übereinzustimmen. Sie sind in 7 Kernbereiche unterteilt:

  1. Cloud-Governance-Maßnahmen: Dieser Abschnitt behandelt Informationssicherheitsmanagement, Rollen und Verantwortlichkeiten, Risikomanagement, Drittanbieter-Risiko, Einhaltung gesetzlicher Vorschriften, Daten-Governance, Richtlinien zur akzeptablen Nutzung, Implementierung eines ISMS, Management von Cyber-Vorfällen und Implementierung von Daten-Governance-Kontrollen usw.
  2. Cloud-Infrastruktur-Sicherheit: Dieser Abschnitt beschreibt Maßnahmen in Bezug auf Audit-Protokollierung, Benutzerverfolgung und Sicherheitszugriff. Er bietet auch Anleitungen zur sicheren Konfiguration von Sicherheitskontrollen, Sicherheitstests, Systementwicklung und Verschlüsselung.
  3. Cloud-Operationsmanagement: Dieser Abschnitt enthält Maßnahmen zu Betrieb, Sicherheitskontrolle, Richtlinien, Verfahren, Resilienzmaßnahmen und Änderungsmanagement.
  4. Cloud-Dienstleistungsverwaltung: Dieser Abschnitt enthält Anleitungen zur Verwaltung privilegierter Konten durch die Implementierung von Kontrollen und Governance-Prozessen.
  5. Cloud-Service-Kundenzugriff: Dieser Abschnitt enthält Maßnahmen in Bezug auf Benutzerzugriffskontrollen für Kunden, die die Implementierung von Kontrollen, Richtlinien und Governance-Verfahren erfordern.
  6. Mandanten- und Kundenisolation: Dieser Abschnitt enthält Maßnahmen in Bezug auf Mandanten- und Kundenisolation, die Benutzerzugriffs-Isolationskontrollen und -richtlinien erfordern, um sicherzustellen, dass Kunden keine Bedrohung füreinander darstellen.
  7. Cloud-Resilienz: Dieser Abschnitt beschreibt Maßnahmen zur Festlegung von Kontrollen und zur Implementierung von Governance, um die physische und umweltbezogene Sicherheit zu gewährleisten, sowie zur Implementierung von Business Continuity- und Disaster Recovery-Plänen.

Lesen Sie die vollständigen IMDA-Richtlinien für Cloud-Dienstleister.

Was sind die IMDA-Beratungsrichtlinien für Rechenzentren?
Die IMDA-Beratungsrichtlinien fordern Rechenzentren auf, sich auf die Verwaltung einer Vielzahl unterschiedlicher Risikofaktoren zu konzentrieren, um sicherzustellen, dass Rechenzentren betriebsbereit bleiben. Dazu gehören:

  • Infrastrukturrisiko: Bezogen auf Strom, Kühlung, Konnektivität und Gebäudesicherheit.
  • Governance-Risiko: Bezogen auf robuste Abläufe, schnelle Vorfallsbehebung und Änderungsmanagementprotokolle.
  • Cyber-Risiko: Bezogen auf Cyberangriffe und die Notwendigkeit ausreichender Kontrollen.

Die Richtlinien legen nahe, dass Rechenzentren ein Business Continuity Management System implementieren sollten, um unerwartete Vorfälle zu lösen, und einen kontinuierlichen Prozesszyklus aus Planen, Durchführen, Überprüfen und Handeln anwenden sollten, um Resilienz- und Sicherheitsmaßnahmen aufrechtzuerhalten und kontinuierlich zu verbessern. Die IMDA-Richtlinien legen auch nahe, dass Unternehmen Maßnahmen zur Verwaltung von Cybersicherheitsrisiken implementieren sollten, indem sie ein Informationssicherheits-Managementsystem (ISMS), effektive Kontrollen und Richtlinien implementieren. Sie müssen auch sicherstellen, dass alle Drittanbieter die relevanten Informationssicherheits- und Risikomanagementrichtlinien, -standards, -verfahren und vertraglichen Verpflichtungen durch regelmäßige Überprüfungen einhalten, wodurch ein robustes Drittanbieter-Risikomanagementprogramm unerlässlich wird.

Lesen Sie die vollständigen IMDA-Richtlinien für Rechenzentren.

Wie können Cloud-Dienstleister und Rechenzentren Prozesse implementieren, um die IMDA-Richtlinien einzuhalten?
Viele der in den IMDA-Richtlinien dargelegten Anforderungen verlangen von Unternehmen Best-Practice-Verfahren für Cyber-Risikomanagement, Cyber-Vorfallsmanagement sowie Business Continuity und Disaster Recovery. Viele der Anforderungen verlangen auch von Cloud-Dienstleistern und Rechenzentren, strenge Governance-Verfahren, Cybersicherheitskontrollen und -richtlinien zu implementieren. Cloud-Dienstleister und Rechenzentren sollten auch Maßnahmen zur Verwaltung der Risiken im Zusammenhang mit Drittanbietern ergreifen.

Glücklicherweise gibt es für Cloud-Dienstleister und Rechenzentren Softwareplattformen, die einen Best-Practice-Rahmen zur Verwaltung all dieser Bereiche bieten. So funktioniert es…

Cyber-Risikomanagement: Unternehmen können Software verwenden, um ein Cyber-Risikoregister in der Plattform zu erstellen. Jedes potenzielle Risiko wird dann nach seiner Wahrscheinlichkeit und Schwere kategorisiert und bewertet, und wichtige Risikoindikatoren (KRIs) werden definiert. Die Risikostufen werden dann überwacht, um sicherzustellen, dass sie innerhalb des gewünschten Risikoappetits bleiben. Wenn die Risikostufen die tolerierbaren Werte überschreiten, werden die Mitarbeiter benachrichtigt, und automatisierte Workflows ermöglichen es ihnen, das Risiko zu eskalieren und Abhilfemaßnahmen zu implementieren. Die Risikostufen werden auf verschiedene Weisen überwacht. Mitarbeiter können Risikobewertungsformulare online ausfüllen, automatisierte Workflows verteilen die Formulare, und alle Daten fließen in die Plattform ein. Alternativ kann die Plattform über API-Integrationen mit Ihren anderen Systemen und IT-Daten integriert werden und Betriebsdaten in die Plattform ziehen, die zur Verfolgung der Risikostufen verwendet werden können.

 

Kontrollen: Um Risikostufen und Cybersicherheitskonformität zu verwalten, müssen Unternehmen natürlich eine Vielzahl von Kontrollen implementieren. Kontrollen können eine Richtlinie oder ein Verfahren sein, sie können eine regelmäßige Überprüfung oder ein Test sein, oder sie können IT-Sicherheitsmaßnahmen wie Firewalls, Backups oder Verschlüsselung sein. Was auch immer die Kontrolle ist, sie muss dokumentiert, dem relevanten Risiko oder der regulatorischen Anforderung zugeordnet und regelmäßig überprüft und getestet werden. Durch die Verwendung von GRC-Software können Unternehmen eine Kontrollbibliothek erstellen und Kontrollen einfach den relevanten Risiken oder Vorschriften zuordnen. Software kann auch den gesamten Kontrollprüf- und Testprozess automatisieren, automatisierte Workflows benachrichtigen Mitarbeiter, wenn Kontrollprüfungen und Tests fällig sind, und sie vervollständigen die Informationen in der Plattform. Dies ermöglicht es Führungsteams, leicht zu verstehen, ob Kontrollen wirksam sind.

 

Cyber-Vorfallsmanagement: Software kann auch den Cyber-Vorfallsmanagementprozess automatisieren. Unternehmen protokollieren Cyber-Vorfälle einfach in der Plattform, oder in einigen Fällen können Vorfälle basierend auf Tickets in Ihrer bestehenden IT-Supportfunktion erstellt werden. Formulare passen sich dynamisch an die Art des protokollierten Vorfalls an, um sicherzustellen, dass die relevanten Daten erfasst werden können, Fotos, Sprachaufnahmen, URLs und Dateien können auch als Beweismittel hinzugefügt werden. Sobald ein Vorfall protokolliert ist, eskalieren automatisierte Workflows den Vorfall an den relevanten Stakeholder und erfassen alle Abhilfemaßnahmen, Schritte und jede erforderliche Ursachenanalyse, bis der Vorfall gelöst ist. Das System kann in Ihr Active Directory integriert werden, sodass Sie Mitarbeiter, Standorte und Geräte mit verwandten Vorfällen verknüpfen können. Das Management kann die Quelle wiederkehrender Vorfälle leicht einsehen, sodass präventive Maßnahmen ergriffen werden können. Sie können auch den Fortschritt von Vorfällen verstehen und erkennen, welche Vorfälle offen oder ausstehend sind. Bei der Verwendung von GRC-Software für das Cyber-Vorfallsmanagement können Vorfälle leicht mit allen verbundenen Risiken oder regulatorischen Anforderungen verknüpft werden.

 

Cyber- und IT-Richtlinienmanagement: Software kann auch verwendet werden, um Ihre Bibliothek von IT-Richtlinien zu zentralisieren. Sobald eine Richtlinie erstellt wurde, wird sie in das System hochgeladen, wobei wichtige Details zum Eigentümer, zur Anwendbarkeit und zu Ablauf- oder Überarbeitungsdaten erfasst werden. Automatisierte Workflows werden verwendet, um Richtlinien, Genehmigungen, Eskalationen, Änderungen und Überarbeitungen zu automatisieren. Mitarbeiter wissen immer, welche Richtlinie aktuell ist, sie können frühere Kopien zur Versionskontrolle einsehen, und Mitarbeiter können sogar Richtlinien online bestätigen, um zu bestätigen, dass sie die Richtlinie gelesen und verstanden haben.

 

Business Continuity und Resilienz: Software kann auch zur Automatisierung von Business Continuity und Resilienz verwendet werden. Organisationen erstellen ein Geschäftsprozessregister, um ihre kritischen Prozesse und alle Abhängigkeiten oder Ineffizienzen zu identifizieren. Die Software kann auch zur Automatisierung von Business Impact Assessments verwendet werden. Workflows senden BIA-Formulare aus, und Mitarbeiter füllen sie online aus. Regelmäßige Planaktualisierungen können ebenfalls automatisiert werden. Workflows werden eingerichtet, um Mitarbeiter dazu aufzufordern, die Pläne für ihren Bereich regelmäßig zu überprüfen und zu aktualisieren, um sicherzustellen, dass die Pläne aktuell bleiben. Sie können die BCM-Plattform auch verwenden, um Resilienztests gegen verschiedene Szenarien und Schwachstellen durchzuführen, um Lücken zu identifizieren. Diese Plattformen bieten typischerweise Zusatzmodule für Krisenmanagement und Notfallkommunikation, um sicherzustellen, dass Organisationen in einer Krise effektiv mit den Mitarbeitern kommunizieren können. Einige Lösungen bieten sogar Integrationen mit Drittanbieter-Bedrohungsintelligenzanbietern, um Einblicke in aufkommende Bedrohungen zu liefern.

 

Drittanbieter-Risikomanagement: Viele GRC-Softwareplattformen können auch das Drittanbieter-Risikomanagement automatisieren. Unternehmen richten ein Lieferantenregister in der Plattform ein, das wichtige Details zu jedem Lieferanten erfasst, einschließlich Kosten, Hauptkontakten, SLAs, KPIs und Vertragsbedingungen. Das System automatisiert den Lieferanten-Risikobewertungsprozess. Die Workflow-Automatisierung sendet Benachrichtigungen an Lieferanten, um Risikobewertungen über ein Online-Portal durchzuführen, wobei alle Daten in die Plattform fließen. Die Lieferantenleistung wird auch anhand von SLAs und KPIs verfolgt, indem Transaktions- und Betriebsdaten über API-Integrationen in die Plattform gezogen werden. Viele Drittanbieter-Risikolösungen integrieren sich mit Drittanbieter-Risikointelligenzanbietern, um Unternehmen zu benachrichtigen, wenn ihre Lieferanten aus den falschen Gründen in die Schlagzeilen geraten. Diese Systeme formalisieren auch den Onboarding- und Offboarding-Prozess, um sicherzustellen, dass keine Vertragsklauseln übersehen werden. Dieser gesamte Prozess stellt sicher, dass Cloud-Dienstleister und Rechenzentren mit seriösen Drittanbietern zusammenarbeiten.

 

Warum Cloud-Dienstleister und Rechenzentren jetzt handeln müssen, um Prozesse an die IMDA-Richtlinien anzupassen
Obwohl die IMDA-Beratungsrichtlinien nicht zwingend vorgeschrieben sind, sollten Cloud-Dienstleister und Rechenzentren die Richtlinien dennoch befolgen, um sich vor unerwarteten Risiken und Vorfällen zu schützen und sicherzustellen, dass ihre Dienste betriebsbereit bleiben. Da viele Unternehmen auf ein weitgehend digitales Betriebsmodell angewiesen sind, sind Cloud-Dienstleister und Rechenzentren Teil unserer kritischen Infrastruktur, und eine Datenpanne oder ein Ausfall könnte für die Betroffenen katastrophal sein. Die Befolgung dieser Richtlinien wird Cloud-Dienstleistern und Rechenzentren wahrscheinlich auch neue Geschäfte sichern, da sie nachweisen können, dass sie über ausreichende Sicherheitsmaßnahmen verfügen, um Kundendaten zu schützen und sicherzustellen, dass sie in einer Krise betriebsbereit bleiben.

Wenn Ihr Unternehmen Best-Practice-Prozesse für Cyber-Risikomanagement, Cyber-Vorfallsmanagement, Drittanbieter-Risikomanagement, Business Continuity und Resilienz sowie Cyber-Governance, Kontrollen und Richtlinien implementieren möchte, kontaktieren Sie uns noch heute oder fordern Sie eine Demo an.