Steve Durbin hat zwei Smartphones: das eine für dienstliche, das andere für private Zwecke. Ob er denn noch nichts von "Bring your own device" gehört habe? Doch sicher, antwortet der Global Vice President des Information Security Forum (ISF). Und dagegen sei grundsätzlich auch nichts einzuwenden. Durbin beschreibt die Haltung des ISF folgendermaßen: "Wir sagen nicht: Lass es sein, sondern: Sei dir der Risiken bewusst, und triff Vorkehrungen."
Ein mobiles Gerät, das auf Unternehmensdaten zugreift, muss seinerseits den Zugriff des Unternehmens hinnehmen, so Durbin. Zum Beispiel sei es notwendig, dass es sich im Falle eines Diebstahls zentral abschalten lasse, dass Updates automatisch aufgespielt werden könnten und dass die Kommunikation mit dem Firmennetz nur über handverlesene Verbindungen geschieht: "Manche Anwender schrecken, wenn sie das hören, vor dem Gedanken zurück, ihr privates Handy dienstlich nutzen zu wollen." Aber ohne eine strikte Mobile-Strategie gehe es aber nun einmal nicht: "Die ist genauso wichtig wie die Verordnungen zur Gesundheit der Mitarbeiter oder zur Betriebssicherheit."
Auch über die Apps, die der Nutzer auf sein Firmen-Smartphone oder das dienstlich genutzte Privat-Handy lädt, sollte das Unternehmen stets informiert sein, empfiehlt Durbin: "Denn die App-Anbieter nehmen ihre Security-Pflichten unterschiedlich ernst." Der ehemalige Gartner-Analyst empfiehlt den Unternehmen, eine verbindliche "Whitelist" von unbedenklichen und zur Nutzung freigegebenen Apps zu pflegen, oder am besten selbst als App-Shop zu agieren.
- Cloud Computing Checkliste
Wenn Fachbereiche ohne Wissen der IT Cloud-Services beschaffen, entsteht früher oder später eine "Schatten-IT". Hier erfahren Sie, wie Sie die Datensicherheit im Unternehmen erhöhen und dieser Schatten-IT entgegenwirken können. Hierzu sollten die Verantwortung und Aufgaben der Cloud-Strategie, Unternehmensleitung und IT-Abteilung klar geregelt sein. - Die zentrale Cloud-Strategie …
legt fest, wie eine Private Cloud im Unternehmen organisiert wird. - Die zentrale Cloud-Strategie …
bestimmt, welche SaaS-Anwendungen aus der Public Cloud beziehbar sind. - Die zentrale Cloud-Strategie …
regelt, wie virtuelle Server in Public Clouds zu nutzen sind (Stichwort IaaS). - Die zentrale Cloud-Strategie …
definiert die Zuständigkeiten der Abteilungen bei der Bestellung von Cloud-Leistungen und Vertragsverhandlungen. - Die zentrale Cloud-Strategie …
enthält Vorgaben für Datenschutz und Datensicherheit bei der Cloud-Nutzung. - Die zentrale Cloud-Strategie …
untersagt den Mitarbeitern den eigenmächtigen Einsatz von Cloud-Services. - Die Unternehmensleitung muss …
IT-Richtlinie im Unternehmen erlassen und für die Umsetzung sorgen. - Die Unternehmensleitung muss …
das nötige Know-how zu Cloud-Verträgen im Unternehmen sicherstellen - durch Schulungen, Entwicklung von Standards und Musterregelungen. - Die Unternehmensleitung muss …
das Zusammenwirken der Abteilungen bei Vertragsverhandlungen koordinieren. - Die IT-Abteilung schließlich …
erarbeitet ein detailliertes Sicherheitskonzept für die Unternehmens-IT und prüft es laufend. - Die IT-Abteilung schließlich …
untersucht die Möglichkeiten zur Einbindung von Cloud-Services in Unter-nehmens-IT. - Die IT-Abteilung schließlich …
berät die Unternehmensleitung bei der Entwicklung der Cloud-Strategie und deren Umsetzung. - Die IT-Abteilung schließlich …
wirkt an Verhandlungen zu SaaS- und Cloud-Verträgen mit, prüft laufend deren Einhaltung, löst auftretende Probleme. - Die IT-Abteilung schließlich …
schult Mitarbeiter aller Abteilungen zu Datensicherheit.