Secure Cloud Governance Framework – Martin Zbořil

Abstract:

Hlavním cílem této disertační práce byl vývoj rámce, který pomůže organizacím k bezpečnému řízení cloudového prostředí. Tento rámec zároveň může sloužit jako vhodný nástroj pro ohodnocení bezpečného řízení tohoto prostředí. Rámec byl vyvinut jako GRC rámec, jelikož obsahuje všechny prvky, které jsou s tímto typem spojené, tj. řízení (governance), rizika, compliance. V úvodní fázi disertační práce byl proveden kvantitativní předvýzkum ve formě dotazníkového šetření, který zjišťoval úroveň povědomí o cloudové bezpečnosti mezi českými organizacemi. Následoval kvalitativní výzkum ve formě hloubkových rozhovorů se special- isty na cloudovou bezpečnost. Hlavním cílem těchto rozhovorů bylo identifikovat specifika a priority pro vytvoření výše popsaného rámce. Dalším krokem byla detailní analýza 10 kat- alogů kontrol (rámce, standardy, regulatorika), které obsahovaly celkem 1341 kontrol. Na základě získaných výsledků a poznatků byl vyvinut rámec pro bezpečné řízení cloudového prostředí. Základem tohoto rámce je 170 unikátních kontrol. Jako vedlejší cíl a produkt to- hoto rámce bylo vytvoření kontrol pro proces adopce cloudových služeb, které jsou rozděleny dle jednotlivých fází adopce. Tyto kontroly mohou sloužit jako návod pro úspěšnou adopci cloudového prostředí nebo jako nástroj pro zpětné ohodnocení toho procesu. Finálním výs- tupem je Secure Cloud Governance Framework rámec, který představuje užitečný přínos do světa cloudové bezpečnosti a který se odlišuje od již vyvinutých rámců svým zaměřením na zákazníka cloudových služeb, nikoli na poskytovatele cloudových služeb, a pokrytím ob- sažených kontrol. …moreless

Abstract:

The main target of this thesis is to develop a framework that supports organizations in secure governance of their cloud environment. Besides, this framework might serve also for perform- ing an assessment of the cloud governance posture from the security perspective. The frame- work was developed as a GRC framework since it contains components of Governance, Risk, and Compliance. In the initial phase, a quantitative pre-research in a form of a question- naire was performed to identify the cloud security awareness of Czech organizations. Then, qualitative research in a form of in-depth interviews among cloud security specialists was taken to find specifics and priorities for the framework development. The next step involved a detailed analysis of 10 control catalogs (frameworks, standards, regulations) that contained 1341 controls in total. Based on the retrieved results and findings, the framework for the se- cure governance of the cloud environment was developed. The core of the framework is a list of 170 unique controls. As a secondary target and product, a list of cloud adoption controls that are divided into multiple phases was established. These controls might serve as a guide- line for the cloud adoption process or as a tool for a retrospective assessment of the process. The final output, Secure Cloud Governance Framework, presents a useful contribution to- wards the world of cloud security that distinguishes from an already developed set of controls with the main focus on a cloud service customer, not on a cloud service provider, and with the comprehensiveness of the relevant controls. …moreless