Continuous Compliance: Vom traditionellen Audit zur Echtzeit-Zertifizierung

Der Blogbeitrag Cybersecurity: Echtzeitdaten zur Zertifizierung von Cloud-Diensten handelt von Robert, CTO einer großen Bank, und von seinem Wunsch nach einer kontinuierlichen, automatisierten Prüfung von Cloud-Diensten. Im Folgeartikel MEDINA und EU Cybersecurity – ein neuer europäischer Weg für Sicherheit? kommt Alex, Compliance Manager bei einem europäischen Clouddienst-Anbieter, mithilfe der MEDINA-Plattform und deren „Compliance-as-Code“-Ansatz diesem Ziel einen großen Schritt näher. Dieser Beitrag beschäftigt sich nun damit, wie ein Cloud-Provider MEDINA einsetzt, um schlussendlich Roberts Wünsche zu erfüllen.

Der traditionelle Cloud-Zertifizierungsprozess

Für die aktuell jährlichen Zertifizierungen des Cloud-Providers braucht es neben Compliance Manager Alex und ihrem Fokus auf die Organisation auch mehrere Internal Control Owner für die Implementierung. In dieser Funktion tragen unter anderem die leitenden Angestellten Julia und Christopher die Verantwortung für die Einhaltung von Sicherheitsstandards in ihren Bereichen. Dazu müssen sie in regelmäßigen Abständen die Erfüllung bestimmter Kontrolltätigkeiten durch ihre Teams sicherstellen und nachweisen.

Die Audits per se – interne wie externe – nehmen viel Arbeitszeit der zuständigen Mitarbeiter in Anspruch. Zeit, die in unserem Fall Alex, Julia und Christopher bei der Erledigung ihrer Kernaufgaben fehlt. Bei ihren Recherchen hinsichtlich des neuen EUCS (European Cybersecurity Certification Scheme for Cloud Services) ist Alex auf MEDINA gestoßen: Die Lösung, um Robert den gewünschten Zugang zu sicherem und in Echtzeit zertifiziertem Cloud-Computing zu ermöglichen.

Continuous Compliance durch die Arbeit mit MEDINA

Die MEDINA-Plattform wird in der Zukunft mit einer Reihe effizienter Tools für eine automatisierte, kontinuierliche Zertifizierung sorgen.

Durch die Integration von MEDINA gelingt es, sämtliche Prüfkataloge von Compliance Managern wie Alex schnell über ein sogenanntes Company Compliance Dashboard zu importieren und deren Kontrollen an die Internal Control Owner zu verteilen. Diese sind bereits für die weitere Bearbeitung vorbereitet. Den aktuellen Status kann sie einfach nachvollziehen.

Im Anschluss teilen Christopher und Julia die einzelnen Kontrollen einmalig ihrem Team oder sich selbst zur Durchführung zu. Vorgefertigte Metriken und Beispiele dienen dabei als Orientierungshilfe. Bereits vorhandene Metriken aus anderen Frameworks lassen sich ebenfalls wiederverwenden.

Nach der Umsetzung folgt – wie bisher – die Abnahme der implementierten Kontrollen von einem Auditor. Die regelmäßigen Kontrolltätigkeiten stellen den Compliance-Status des Cloud-Anbieters kontinuierlich sicher. Die vom Cloud-Provider gesammelten Nachweise sind für die Auditoren zentral abgelegt und somit auf Abruf verfügbar. Erst eine Änderung von Kontrollen macht ein erneutes Audit nötig. Dieses läuft aufgrund der vorliegenden Nachweise unkompliziert und deutlich schneller ab. Durch die ständige Kommunikation des Compliance-Status ist Robert zu jedem Zeitpunkt in der Lage, das hohe Sicherheitsniveau der Cloud-Lösung gegenüber den Regulierungsbehörden zu argumentieren und nachzuweisen.

Company Compliance Dashboard

Fabasoft und sieben weitere europäische Partner im Horizon 2020-Projekt MEDINA verfolgen das Ziel, Firmen die Chance zu bieten, eine automatisierte, kontinuierliche Zertifizierung weitestgehend in Echtzeit zu erreichen. Als Teil des Use Cases von Fabasoft wird das Fabasoft (Company) Compliance Dashboard als Demo System implementiert. Die Gestaltung des User Interfaces findet in Zusammenarbeit mit Compliance Managern und Internal Control Ownern statt, um deren Bedürfnisse zu erfüllen.

Durch die Verwendung von standardisierten Schnittstellen und einer ähnlichen Ontologie der Test-Metriken wird auch eine automatische Verifikation für die Federated-Services von Gaia-X über dieses Dashboard möglich sein.

Wenn Sie mehr über MEDINA, Gaia-X oder Continuous Compliance wissen möchten, schreiben Sie mir gerne ein E-Mail.