Du verwendest einen veralteten Browser. Es ist möglich, dass diese oder andere Websites nicht korrekt angezeigt werden. Du solltest ein Upgrade durchführen oder einen alternativen Browser verwenden.
Austausch unter IT-Professionals - Erfahrungen, Tipps, Fachsimpelei
Ne, steht da nicht. Und weder die ISO 27001 noch tisax steht gegen die Cloud. wer behauptet denn so einen Mist? Habe mehrere Projekte bei großen tisax Unternehmen umgesetzt die explizit in die Cloud mussten um tisax zu erfüllen.
Frage, wie klassifiziert ihr Dokumente und verschlüsselt diese?
Naja man kann nicht alles wissen und oftmals ist das auch einfach ein uninformierter Compliance Officer oder DSB, der seit 5 Jahren keine Schulung gemacht hat, zusammengemischt wie "das machen wir shcon immer so" und "bei Heise stand Cloud ist illegal".
Fakt ist aber, und da hast du Recht, Dass man das durchaus genau betrachten muss - und dabei in 90% der Fälle merkt, dass man mindestens in die Cloud sollte, wenn nicht sogar muss, weil die alternative viel zu teuer ist, um die Anforderungen zu erfüllen.
Ich sags mal so: Diese Fragen einfach mal einem Partner stellen kostet dich erstmal gar nix und bringt dir eine Menge Informationen - neben den Lizenzinfos die du ja eh suchst.
Verlieren kannst du dabei ja nix
MS selber ist TISAX zertifiziert.
Problem ist hier der Interpretationsspielraum.
Ein/Ausstieg in diensfremde System wird in unserer Branche ander angefasst als bei andere.
Bestes Beispiel Control 5.3.4. wie betreibt der externe Dienstleister die Mandantentrennung.
Blödsinn ja definitiv, haben wir eine Wahl, nein haben wir nicht, leider.
Aber da alle Firmen, welche uns beauftragen mittlerweile mit o365 unterwegs sind, ist es nur eine Frage der Zeit bis wir auch endlich in die Richtung gehen dürfen.
Ich werd jetzt mal 2 Lizenzen bestellen und mir den CSP Weg ansehen.
ps.:
mich würde interessieren, wie andere Firmen das Security Assessment. Control. 1.3.3 angegangen sind.
Ich find es ein bisschen schwierig, da aus dem Nähkästchen zu plaudern. denn wie immer "kommt es darauf an".
Du sagst leider nicht, wo ihr das Problem mit diesen Anforderungen explizit habt.
Ansonsten muss man ja die Pauschale Antwort geben, die du schon selbst genannt hast: MS ist zertifiziert, bietet alle möglichen Verträge und Abkommen an, SCCs, AVVs und wie sie nicht alle heißen, also wo sollten da die beiden Normen ein Problem sein?
sagen wir es mal so:
Du hast eine Firma, in der laut IT-Sicherheitsrichtlinie das private surfen im Netz explizit erlaubt ist.
Die Richtlinie sieht aber vor, dies zu kontrollieren, möchtest deine MA`s aber nicht auszuspionieren, wie bekommst du einen grünen Haken an dass Control?
Kein Admin möchte sowas lesen wie "selbsthilfe Gruppe der anonymen was auch immer".
Kannst du das Control mal verlinken oder zitieren? Grundsätzlich sind immer Datenschutz und IT-Sicherheit gegeneinander abzuwägen. MMn gibt es keinen Grund die besuchten Seiten der MAs ansatzlos alle zu überwachen, außer durch automatisierte IT-Sec Tools.
ja sorry bin da etwas abgebogen, ist gerade eines der heißen Themen bei uns.
Wenn du eine Abweichung kassierst, weil du dich nicht um den privaten Traffic kümmerst. Control 1.3.3 --> Black/Whitelisting von Namspaces/URLs/IPs wird da nicht funktionieren.
Nein, bestes Beispiel dürfte gerade deepl sein. Was die an Firmengeheimnissen bekommen ist vermutlich Millionen wert.
Mit M365 erstelle ich Übersichten, welche Dienste genutzt werden. Wenn diese kritisch sind, schalte ich die ab und blockiere die auf den Endgeräten, soweit möglich. Gleichzeitig muss die Belegschaft informiert werden, dass keine Informationen ins Internet übertragen werden. Das geht anonym aber irgendwann würde ich auch spezifischer werden, wenn diese Nutzung noch nicht aufhört.
Letztendlich kann man es nicht verhindern, der "Innentäter" ob bewusst oder unabsichtlich ist der größte Gegner.
Genau für den Fall und auf die gefühlt 2-4 letzten exploits, aben wir nen Proxy davor gehangen, der nur ecp/owa Anfragen durch lässt.
Den Poxy verknüft mit einer SAML Anbindung und man hat Ruhe.
Ist die Frage warum man Autodiscover und Active Sync überhaupt aufrubar im Netz hat.
Die MA vor Ort sollen möglichst schlecht aussehen, so dass die Managed Services in der Cloud attraktiver werden, denn auch MS weiß, echte Admins nutzen Linux.
Ja klar, das ist volle Absicht!
... Das ist doch Hanebüchen. Wenn du sowas behauptest (egal in welche Richtung) solltest du schon überprüfbare Fakten mitbringen.
Hier geht's um Fachsimpelei, nicht drum hier auch noch eine Linux vs Windows und "Cloud ist Böse" Diskussion loszutreten. Danke.
Vermutlich wurde der veröffentlichte Workaround bereits implementiert.
Aber auch ansonsten ist bekannt, dass die Cloud nicht auf derselben Exchange-Version läuft wie Onprem.
Wie stark das sich unterscheidet, keine Ahnung. Weiß wer, ob da überhaupt noch Windows im Hintergrund läuft? Ich würde doch eher vermuten, dass die alle Exchange Dienste und Datenbanken in möglichst kleine und skalierbare durch Azure ausführbare Codestücksel umgewandelt haben...
