Microsoft Cloud Security Governance

Kurzfassung

Eine geplante oder bereits stattgefundene Migration von On-Premise-Diensten zu Cloud Diensten stellt CISOs üblicherweise vor folgende Fragestellungen:

  • Wie können migrierte Cloud Services bzw. Cloud Workloads unter Berücksichtigung von regulatorischen Anforderungen, veränderten Bedrohungen und entstehenden
    Risiken abgesichert werden?
  • Wie verändern sich durch neue Möglichkeiten in der Cloud bestehende Prozesse der Informationssicherheit sowie jene zur Planung, Implementierung und Betrieb von IT Services?

Der Vortrag beleuchtet diese Fragestellungen mit Fokus und Praxisbeispielen zu Microsoft Cloud Services (sowohl Azure als auch Microsoft 365). Dabei wird Einblick gewährt, wie CISOs und andere Security-Verantwortliche eine Security Governance für – wenngleich sich behandelte Prinzipien auch auf andere Plattform wie AWS oder GCP anwenden lassen – Microsoft Cloud Services aufbauen, und Fachbereiche sowie IT-Abteilungen in ihrer Cloud Journey auf sichere Art und Weise begleitet werden können. Dabei geht es auch darum, Paradigmen wie Infrastructure-as-Code und eine Reduktion der Time-to-market aus Sicht der Informationssicherheit bestmöglich mitzutragen. Der Bogen wird dabei von strategischen Migrationsentscheidungen, Datenschutz-Themen und Risikomanagement zu Maßnahmen wie Identity und Access Management,
Netzwerksicherheit, Endpoint Security und anderen gespannt. Dabei wird jeweils beleuchtet, welche Themen in Bezug auf eine sichere Migration oder einen sicheren Betrieb von Microsoft Cloud Services zu berücksichtigen sind.

Besonderes Augenmerk wird dabei darauf gelegt, welchen Mehrwert Security Services wie Cloud Security Posture Management (CSPM) oder Cloud Workload Protection Platform (CWPP) liefern können und wie sich diese in eine bestehende Security Architektur integrieren lassen. In Bezug auf Security-as-Code wird auf den Einsatz von Azure Policies zur Automatisierung der Umsetzung und Überwachung von Sicherheitsvorgaben eingegangen.

Vortragender

Bernhard Heinzle

Bernhard Heinzle ist als Principal Consultant bei Devoteam Consulting in Wien mit Fachgebiet „IT Governance, Risk and Compliance“. Er hat in den vergangenen Jahren Analyse- und Transformationsprojekte im Bereich „Secure Cloud Transformation“ durchgeführt und ist themenverantwortlicher Ansprechpartner für Österreich innerhalb der Devoteam Group.
Darüber hinaus besitzt er umfassende Erfahrung in den Bereichen Security Management (ISMS, ISO 2001, NISG), Audits als QuaSte und technischen Umsetzungsprojekten der OT Security. Bernhard Heinzle hat einen Bachelorabschluss in „Sichere Informationssysteme“ der FH
Oberösterreich / Campus Hagenberg, einen Masterabschluss in „Computer and Information Security“ der Plymouth University (UK), einschlägige Zertifizierungen wie CISSP, CISM, CCSP, CIPP/E und diverse Microsoft-Zertifizierungen im Cloud-Umfeld.