Google Cloud CISO im Interview
"Kunden waren zu lange selbst verantwortlich"
Im März 2021 kündigte GoogleGoogle Cloud ein neues Angebot names "Risk Protection Program" an, das seinen Cloud-Kunden - zunächst in den USA, demnächst auch in Deutschland - dabei unterstützen soll, Sicherheitsrisiken zu reduzieren. Dazu hat sich Google mit zwei Partnern zusammengetan, nämlich den Münchner Versicherungsunternehmen Allianz und Munich Re. Die Versicherer haben eine spezielle Cyberversicherungspolice für Google-Cloud-Kunden entwickelt, die sich "Cloud Protection+" nennt. Alles zu Google auf CIO.de
Das Ziel des Angebots, das laut Google die erste Partnerschaft zwischen einem großen Cloud-Anbieter und führenden Cyberversicherern darstellt, ist es, Vertrauen zu schaffen. Und zwar in erster Linie bei Unternehmen, die eine Verlagerung kritischer Workloads in die Cloud erwägen. Bestandteil ist auch ein neues Sicherheitsdiagnose-Tool namens "Risk Manager". Damit sollen die Kunden ihr Risiko in der Google Cloud messen und verwalten können sowie ein Reporting über ihre Sicherheitslage erhalten. Das kann potenziell dazu führen, dass Anwenderunternehmen weniger für spezifische Cyberversicherungen investieren müssen.
Unsere US-Kollegen von CSO haben mit Phil Venables, Vice President und CISO von Google Cloud und ehemals CISO von Goldman Sachs, über Cloud-Sicherheitstrends und darüber gesprochen, welche Auswirkungen Services wie das neue Google-Angebot haben.
"Digitales Immunsystem für unsere Kunden"
Inwieweit ist es für CISOs ein Problem, Compliance-Fragebögen ausfüllen zu müssen, um die eigene Cloud-Sicherheitslage für potenzielle Partner und Kunden zu zertifizieren?
Phil Venables: Anfragen von Kunden, Prüfern und Aufsichtsbehörden zu beantworten, ist ein notwendiger Bestandteil jedes kritischen Service. Bei der StandardisierungStandardisierung solcher Bewertungs-Frameworks gab es zuletzt große Fortschritte, nicht zuletzt im Hinblick auf die verfügbaren Zertifizierungen von ISO, SOC1/2 und mehr. Ein Vorteil eines Compliance-freundlichen Cloud-Services ist, dass eine Reihe von Zertifizierungen verfügbar sind. Sie helfen dem CISO und seinem Team (oder anderen Teams), indem sie alle notwendigen Informationen als Teil der Nutzung des Services bereitstellen. Alles zu Standardisierung auf CIO.de
Wie adressieren neue Services, wie das kürzlich angekündigte Risk Protection Program, dieses Problem?
Venables: Aufbauend auf dem, was wir für die Analyse des Sicherheitszustands und die Compliance-Berichterstattung tun, ermöglicht das Risk Manager Tool in unserem Risikoschutzprogramm eine effizientere und genauere Messung und Verwaltung der Risiken in Google Cloud. Das Risk Manager Tool generiert einen Bericht, der Unternehmen dabei hilft, ihre Sicherheitsrisikolage zu verstehen und als Indikator für ihre Sicherheits-Grundlinie dient. So müssen Unternehmen weniger Zeit dafür aufwenden, ihre Sicherheitseinstellungen zu kommunizieren und können diese durch das Tool effizienter verwalten. Der Bericht kann dann direkt mit unseren Versicherungspartnern Allianz und Munich Re geteilt werden, um die Eignung für spezielle Cyberversicherungen zu beurteilen.
Welche Rolle spielt die Telemetrie bei der Bewertung der Sicherheitslage eines Unternehmens in der Cloud?
Venables: Eine erhöhte Tiefe, Breite und Häufigkeit in Sachen Observability der Sicherheitskonfiguration ist entscheidend und einer von vielen Sicherheits- und Kontrollvorteilen in der Cloud. Es ist wichtig, die Sicherheitsmetriken und die Genauigkeit bei der Risikomessung zu verbessern. Als Cloud-Anbieter nehmen wir eine Sonderrolle ein, in der wir eine Art digitales Immunsystem für unsere Kunden werden können, da wir Probleme erkennen und schnell Unterstützung bieten können. Ein Bestandteil dieser Arbeit ist es, bessere Metriken und Messungen rund um die Sicherheit zu entwickeln. Ich denke jedoch, dass wir Gefahr laufen, zu sehr davon besessen zu sein, den perfekten Satz an Metriken für jeden Kontext zu finden. Mit dem Risk Manager starten wir ein Programm, das auf Best Practices für die Konfiguration von Cloud-Ressourcen des Center for Internet SecuritySecurity Standards basieren. Alles zu Security auf CIO.de
Was mich an dem Programm begeistert, ist die Möglichkeit, den Kreislauf zu schließen: Unsere Versicherungspartner werden Daten darüber sammeln, welche Indikatoren mit Verlusten korreliert sind und die Tiefe des Feedbacks, das wir unseren Kunden zum Thema Risiko geben, kontinuierlich verbessern.
"Geteilte Verantwortung hinter sich lassen"
Wie viel zusätzliche Transparenz und Sicherheit kann die Telemetrie schon jetzt bieten und was muss geschehen, damit sich das weiter verbessert?
Venables: Das Risk Protection Program ist der erste Schritt, unseren Versicherungspartnern den Zugang zu verwertbaren Daten zu ermöglichen, auf denen sie aufbauen können. Die Daten aus dem Tool helfen ihnen, ihre Underwriting-Prozesse zu optimieren und ihre Versicherungspolicen mit der datengesteuerten Technologie, die ihre Versicherten einsetzen, weiterzuentwickeln.
Ich bin der festen Überzeugung, dass wir die Sicherheitsgrundlage allgemein verbessern können, wenn die Kosten für Kontrollen sinken. Je mehr Kontrollfunktionen unsere Plattform bietet, desto mehr profitieren unsere Kunden davon. Dabei brauchen wir Kunden, die die von uns angebotene Sicherheitstechnologie aktiv annehmen, stehen jedoch in der Pflicht, den jeweiligen Business Case herauszuarbeiten und den Adoptionsprozess zu vereinfachen. Unsere besten Sicherheitsfunktionen sind die, über die der Kunde nie nachdenken muss.
Gehen Cloud-Anbieter dazu über, das Compliance-Reporting zu automatisieren? Was bedeutet das für CISOs und ihre Teams?
Venables: Ein wichtiger Teil des Cloud-Betriebs ist die Möglichkeit, die beabsichtigte Konfiguration deklarativ zu definieren und so die kontinuierliche Einhaltung zu überwachen. Dieser Richtlinien- oder "Controls as Code"-Ansatz ist ein wichtiger Bestandteil des Continuous Controls Monitoring. Zusammen mit der Zuordnung dieser Kontrollen zu den Risiko- und Compliance-Zielen ist dies wiederum die Grundlage für ein automatisiertes Reporting, das den Aufwand, der durch Compliance-Sicherung entsteht, drastisch reduziert.
Wie bedeutsam ist es, dass ein Cloud-Anbieter und Versicherungsunternehmen bei so etwas zusammenarbeiten?
Venables: Dies ist die erste Zusammenarbeit zwischen einem großen Cloud-Anbieter und führenden Cyberversicherungsunternehmen. Zu lange waren die Kunden für den Aufbau effektiver Cloud-Sicherheitsprogramme selbst verantwortlich. Das Ergebnis ist, dass Unternehmen die Cloud als ein zu verwaltendes Risiko angesehen haben, statt als eine Plattform für Risikomanagement. Mit dem Risk Protection Program ermöglichen wir unseren Kunden, das alte Modell der geteilten Verantwortung hinter sich zu lassen und zu einem neuen Modell des geteilten Schicksals überzugehen. Dieses beinhaltet detaillierte Anleitungen zur Optimierung der Cloud-Sicherheit, Tools zur Verwaltung der laufenden Sicherheits- und Compliance-Anforderungen und jetzt auch einen vereinfachten Zugang zu Cyberversicherungen mit Preisen, die direkt an eine starke Sicherheitslage gekoppelt sind.
"Cloud erleichtert Risikotransparenz"
In der Vergangenheit haben Sie von "strukturellen Veränderungen" wie der Schaffung von Informationsaustausch- und Analyse-Zentren sowie einer Aufwertung der Rolle des CISO gesprochen. Gibt es in letzter Zeit weitere erwähnenswerte Entwicklungen auf dieser Ebene?
Venables: Die Cloud insgesamt ist ein gutes Beispiel dafür. Vor allem die Skaleneffekte der Cloud verändern die IT-Sicherheit grundlegend. Das Tempo der Sicherheitsverbesserung und in dem Sicherheitsfunktionen zu Produkten hinzugefügt werden - zu sicheren Produkten, nicht zu Sicherheitsprodukten - beschleunigt sich. Die anderen Cloud-Anbieter haben natürlich ähnliche Fortschritte gemacht. Diese massive, globale Beschleunigung, um die Sicherheit im Einklang mit Agilität und Produktivität zu erhöhen, ist für alle von Vorteil.
Gibt es weitere vielversprechende neue Technologien oder Prozesse, die Ihrer Meinung nach einen großen Einfluss auf Cloud und Sicherheit haben werden?
Venables: Unternehmen benötigen Echtzeit-Geschäftskontext für Sicherheitsdaten. Die Zuordnung von Sicherheitsproblemen zum Business-Kontext, um eine Risikostufe zu bestimmen, ist ein zeitaufwändiger Prozess. Diese Verzögerung führt letztlich dazu, dass Unternehmen einem höheren Risiko für einen Sicherheitsvorfall ausgesetzt sind. Mit der Cloud geht der Trend in eine positive Richtung, denn die Technologie erleichtert die Risikotransparenz - von gut beleuchteten Sicherheitspfaden über deklarative Ansätze wie Configuration as Code, bis hin zu präziseren Inventaren und Diagnosen. (fm)
Dieser Beitrag basiert auf einem Artikel unserer US-Schwesterpublikation CSO Online.