Your SlideShare is downloading. ×
Security And Legal In The Cloud Ats V2
Upcoming SlideShare
Loading in...5
×

Thanks for flagging this SlideShare!

Oops! An error has occurred.

×

Introducing the official SlideShare app

Stunning, full-screen experience for iPhone and Android

Text the download link to your phone

Standard text messaging rates apply

Security And Legal In The Cloud Ats V2

740
views

Published on

An exploration of the key security and legal issues of Cloud Computing.

An exploration of the key security and legal issues of Cloud Computing.

Published in: Technology, Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
740
On Slideshare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
0
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Security and Legal Issues in an  Era of Cloud Computing  1(c) 2011 UHY LLP
  • 2. Why is Cloud Computing Attractive? • Elasticity – rapid provisioning and scalability • Efficiency – pay as you go  • On demand self service  • Resource pooling – shared expertise • Ubiquitous availability – internet connectivity© 2011 UHY LLP  2Nelson Mullins Riley & Scarborough LLP
  • 3. Cloud vs. Private • Risks are the same: Data Security  – Confidentiality – Integrity – Availability • Risk can be: – Accepted (no action taken) – Transferred (bonding, insurance) – Mitigated (create controls)  • Cannot outsource responsibility© 2011 UHY LLP  3Nelson Mullins Riley & Scarborough LLP
  • 4. What to consider ……… Same How would we be harmed if…… – our data became publicly available? – unauthorized access to our data? – Process or function gave improper results? – unauthorized changes to the data? – data or process was unavailable for hours, days?© 2011 UHY LLP  4Nelson Mullins Riley & Scarborough LLP
  • 5. Security in the Cloud • “In the Cloud, step one is trusting, and thats not  security — thats hope.”  ‐ Andrew Walls, Gartner Group© 2011 UHY LLP  5Nelson Mullins Riley & Scarborough LLP
  • 6. Security Benefits of Cloud Computing • Economies of Scale – security resources are  cheaper when implemented on a larger scale • Focused Expertise – more experts available • Standardized vulnerability management  – pre‐hardened  – regularly updated patches and security settings • Market differentiator – your business can market  security capabilities of your cloud provider© 2011 UHY LLP  6Nelson Mullins Riley & Scarborough LLP
  • 7. Security in the Cloud Key Difference = CONTROL • Loss of Direct access ‐ In the Cloud you are at least one  step removed • Multi‐tenancy – not an issue in private computing, no  shared devices or services • Commingling – will your data be mixed in with other  clients?  How will it be segregated? • Resource Pooling – how will resource conflicts be  resolved?  Who gets first response?© 2011 UHY LLP  7Nelson Mullins Riley & Scarborough LLP
  • 8. Security in the Cloud • CP failure or acquisition – if your CP goes out of business or  gets acquired by a competitor, where do you stand? • Hypervisor compromise – If control of hypervisor is  compromised, ALL virtual machines are at risk • Ineffective data deletion – if you change providers does  your data get destroyed? Unintentional destruction? • Legal snafus – if Company A has their data subpoenaed  and your data is also on the same device, what happens to  your data?© 2011 UHY LLP  8Nelson Mullins Riley & Scarborough LLP
  • 9. Recent Cloud “Events” • Gmail outage Feb 2011 – 140,000 accounts lost  • Epsilon mail services breach – April 2011  – Over 50 companies affected – Millions of email addresses (passwords?) compromised • Amazon web services outage – April 2011 – Reddit, Hootsuite, Foursquare down – Human error on applying a patch© 2011 UHY LLP  9Nelson Mullins Riley & Scarborough LLP
  • 10. Legal and Contract  Issues • Who? • What? • When? • Where? • How?© 2011 UHY LLP  10Nelson Mullins Riley & Scarborough LLP
  • 11. Legal and Contract  Issues • Who?   Responsible, Perform, Initiate • What?  Service (private, public, community), Options • When?  Alerts, reporting, audits • Where? Data, facilities, call center, legal jurisdiction  • How?  Measures, KPIs, escalation, penalties, alerts© 2011 UHY LLP  11Nelson Mullins Riley & Scarborough LLP
  • 12. Due Diligence 1. Is vendor viable? 2. Identity of data center operator and location ‐ outside  your home state?  Outside of the US.? 3. Are subcontractors used? 4. How is client data segregated? 5. What technological/electronic measures are used to  protect client data?  6. Is PCI or HIPAA compliance guaranteed? How? 7. Can operations deal with suspension of services? 8. How hard would it be to transition to a new vendor? 9. Confirm compliance with applicable bar (legal ethics)© 2011 UHY LLP  12Nelson Mullins Riley & Scarborough LLP
  • 13. Encryption vs. Destruction  Payment Card Industry Data Security Standard (PCI‐DSS)  Immediate, secure destruction of sensitive data   PCI mandates the use of strong encryption of "cardholder data"  during transmission over open or public networks.   State and FACTA Secure Destruction Laws  Secure destruction when no longer needed  HIPAA Security  Encryption on a par with destruction  Breach Notification  Intrusion detection© 2011 UHY LLP  13Nelson Mullins Riley & Scarborough LLP
  • 14. Data Security Vital to select a vendor with adequate security: 1. Agreement should include minimum security and  infrastructure practices; 2. Require that security practices be regularly updated; 3. Customer must have the right to perform regular  audits to confirm compliance; 4. Third party verification and/or certification               (e.g., ISO, SOC, PCI). © 2011 UHY LLP  14Nelson Mullins Riley & Scarborough LLP
  • 15. Privacy Considerations Information Privacy.  If vendor has access to sensitive data (SSN,  account #, patient information, etc.), agreement should cover: • Requirement to maintain all legal, technical and procedural  compliance with consumer privacy laws; • Social Security number laws; secure destruction and security  procedures laws; • Security breach notification laws (along with verification of  incident response policy and reimbursement of costs arising  from security breach); and • Address user privacy and whether vendor has the right to  retain and/or use data.© 2011 UHY LLP  15Nelson Mullins Riley & Scarborough LLP
  • 16. SLAs and Performance Identify concrete service level requirements: • SLA definitions • Availability/Uptime (e.g. 99.9%)  • Performance Standards per Transaction (load and response  times) • Scalability/Redundancy (address peak traffic capacity issues) • Error correction time – Definition of “error” • Problem Resolution and Notification (detail resolution of hosting  issues, root cause analysis) • Quality of service • Root Cause Analysis • Specify Penalties for Non‐performance (liquidated  damages/credits and termination rights) • SLAs/KPIs unique to your business needs© 2011 UHY LLP  16Nelson Mullins Riley & Scarborough LLP
  • 17. Managing Liability • Indemnification provisions  – address breach of security / confidentiality obligations,  negligence criteria (confidential data and IP infringement); • Require vendor to have adequate cyber‐risk insurance • Exclude indemnification obligations and damages  arising from breach of confidentiality / security  provisions from cap on liability and exclusions of  consequential damages.© 2011 UHY LLP  17Nelson Mullins Riley & Scarborough LLP
  • 18. Transition from Current Provider • Include a transition assistance provision requiring  the vendor to assist customer with transition to a  new vendor. • Require the return or secure destruction of all  data held by vendor. • Have right to verify compliance. • Transition period may last from 30 days to 6  months.© 2011 UHY LLP  18Nelson Mullins Riley & Scarborough LLP
  • 19. Suggested Actions • Understand the risks – Educate yourself – Bring in experts – Look at the big picture • Mitigate the risks – Contract and SLAs – Third party audit  (ISO, SSAE 16, SOC 2, SOC 3)© 2011 UHY LLP  19Nelson Mullins Riley & Scarborough LLP
  • 20. Mitigating the Risks • Contract – Find an attorney well versed in Cloud issues – Be sure your contract addresses all your concerns • Confidentiality, Integrity, Availability clause • Change clause • Audit clause • Data ownership, location, transfer clauses – Enlist your own security experts during negotiation© 2011 UHY LLP  20Nelson Mullins Riley & Scarborough LLP
  • 21. Audits ‐ Lack of Standards© 2011 UHY LLP  21Nelson Mullins Riley & Scarborough LLP
  • 22. Summary of the Risks • Cloud Computing lacks a broadly accepted standard for  secure access and data handling  • Cloud Computing is not intended to be location  specific– where is your data?  If you don’t know where  your data is, you cannot hope to secure it. • Cloud Computing is often pursued without adequate  concern for security arrangements • Cloud Computing presents new legal / contract issues • Cloud Computing lacks a standard for third‐party audit© 2011 UHY LLP  22Nelson Mullins Riley & Scarborough LLP
  • 23. MISSION STATEMENT To promote the use of best practices for  providing security assurance within Cloud  Computing, and provide education on the  uses of Cloud Computing to help secure all  other forms of computing.© 2011 UHY LLP  23Nelson Mullins Riley & Scarborough LLP
  • 24. Additional Resources Questions?• https://cloudsecurityalliance.org/• http://www.aicpa.org/SOC/• http://www.isaca.org David Barton  Amanda Witt Principal Of Counsel UHY LLP Nelson Mullins Riley &  Scarborough LLP dbarton@uhy‐us.com amanda.witt@nelsonmullins.com 24