Auditing security controls for cloud computing
No Thumbnail Available
URL
Journal Title
Journal ISSN
Volume Title
Perustieteiden korkeakoulu |
Master's thesis
Authors
Date
2024-08-19
Department
Major/Subject
Security and Cloud Computing
Mcode
SCI3084
Degree programme
Master’s Programme in Computer, Communication and Information Sciences
Language
en
Pages
84
Series
Abstract
This work examined the implementation and effectiveness of the ISO 27001:2013 standard in a cloud computing environment. Our goal was to provide practical implementation guidance for Microsoft Azure through a case study and critically assess the standard’s overall suitability and coverage in the cloud with qualitative analysis. We also compared ISO 27001 to the Cloud Security Alliance’s Cloud Controls Matrix (CCM), which is a dedicated cloud security standard, to further evaluate the standard’s coverage of cloud-specific security challenges. Our analyses highlighted that while ISO 27001 provides a strong foundation for information security in the cloud and the standard aligns well with CCM, it has some shortcomings. The standard lacks guidance on some cloud-specific topics like multitenancy and shared responsibility models, can be complex to implement, and does not sufficiently address the dynamic and scalable aspect of the cloud. ISO 27001 also lacks guidance on data privacy and personal data handling. The research recommends adopting a hybrid approach that combines ISO 27001 with cloud-specific controls and frameworks to address the standard’s cloud-related gaps. Also, adopting the latest revisions of standards and frameworks is recommended, as our research showed that ISO 27001:2022 offered a significant increase in cloud security coverage compared to ISO 27001:2013, which was used in our study. With our recommendations, organizations could obtain a more robust information security that takes into account both general security requirements and the unique elements of the cloud.Tässä työssä tutkittiin ISO 27001:2013 -standardin implementointia ja soveltuvuutta pilviympäristössä. Tavoitteenamme oli luoda standardille soveltamisohjeet Microsoft Azure -ympäristöön ja arvioida sen kokonaisvaltaista soveltuvuutta ja kattavuutta pilviympäristössä. Vertasimme lisäksi ISO 27001 -standardia Cloud Security Alliancen Cloud Controls Matrix (CCM) -standardiin, joka on pilvipalveluille suunniteltu turvallisuusstandardi, arvioidaksemme vielä laajemmin ISO 27001 -standardin kykyä huomioida pilvipalvelukohtaiset turvallisuushaasteet. Tutkimuksemme osoitti, että vaikka ISO 27001 tarjoaa vahvan yleistason tietoturvan pilvipalveluille ja standardi on hyvin linjassa CCM:än kanssa, standardissa on myös joitakin puutteita. Standardista puuttuu tietoturvaohjeistuksia eräistä pilveen koskevista erikoisominaisuuksista, kuten moniasiakaskäyttö ja jaetun vastuun malli, se voi olla monimutkainen toteuttaa, eikä se käsittele riittävän perusteellisesti pilven dynaamista ja skaalautuvaa puolta. ISO 27001 -standardista puuttuu myös tietosuojaan ja henkilötietojen käsittelyyn liittyvä ohjeistus. Tutkimuksemme ehdottaa hybridilähestymistapaa, joka yhdistää ISO 27001 -standardin pilvipalveluille tarkoitettujen tietoturvasuojauksien ja - kehysten kanssa, joilla pyritään paikkaamaan standardin pilveen liittyvät puutteet. On myös suositeltavaa käyttää standardien ja kehysten viimeisimpiä revisioita, sillä tutkimuksemme osoitti, että ISO 27001:2022 tarjosi merkittävän parannuksen pilviturvallisuuden kattavuudessa verrattuna tutkimuksessamme käytettyyn ISO 27001:2013 - standardiin. Suosituksiemme avulla organisaatiot voivat saavuttaa vahvemman tietoturvan, joka huomioi sekä yleiset tietoturvavaatimukset että pilvipalveluiden erityispiirteet.Description
Supervisor
Aura, TuomasThesis advisor
Hänninen, SamiKeywords
ISO 27001:2013, information security, security standards, security controls