Audit in de cloud
Beveiligingsaudits versus Cloud computing
                 november 2009




               drs. Mike Ch...
Personalia

• 12 jaar in de IT
   –   Mainframe operator
   –   Architect
   –   Projectmanager
   –   Auditor/manager bij...
Cloud computing als fenomeen

• Hét IT-model van 2010
   – Meer dan 10 miljoen bedrijven in de cloud binnen 3 jaar
   – Me...
Hoofdvragen

• Hoe (on)veilig is de cloud?
   – Integriteit
   – Exclusiviteit
   – Beschikbaarheid
• Hoe (ir)relevant zij...
Definitie

•   Gehoste diensten vanaf het (inter)net, de ‘cloud’
•   Utilisatie van Web 2.0
•   ASP 2.0
•   Voorbeelden:
 ...
Kenmerken

•   On-demand
•   Elastisch
•   Gebruik van het publieke internet
•   Webgebaseerd
•   Externe dataopslag
•   M...
Beveiligingsissues zijn reëel
Risico’s: ‘specifieke’ factoren

•   Externe dataopslag
•   Multi-tenant architectuur
•   Gebruik van het publieke interne...
Risico’s: externe dataopslag

• Zwakke controle over de data (falende backup & recovery)
• Juridische complicaties (inbreu...
Risico’s: multi-tenant architectuur

•   Inadequate segregatie van data
•   Gebrekkig Identiteits- en Toegangsbeheer (IAM)...
Risico’s: gebruik van het publieke internet

• Onduidelijke en onbelegde aansprakelijkheid,
  eigenaarschap
• Verlies, mis...
Risico’s: integratie met de interne IT-omgeving

• Onduidelijke perimeters
• Onvoldoende aansluiting met interne beveiligi...
Restrisico’s

• Hoge initiële investeringen
   – Juridische kosten
   – Kosten voor risicoanalyses
   – Kosten voor escrow...
Voordelen

• Gecentraliseerde beveiliging
   – Concentratie van expertise
   – Economy of scale
   – Concentratie van data...
Auditstandaarden

•   Lokaal IT-landschap als uitgangspunt (ITIL)
•   Sterk geënt op client-server/on-premise (ISO27001)
•...
Auditstandaarden vs. externe dataopslag

• Geënt op toegang vanuit externe partijen
• Geënt op beheer door externe partije...
Auditstandaarden vs. multi-tenant architectuur

•   Nauwelijks aandacht voor architectuur
•   Multi-tenant vrijwel onbelic...
Auditstandaarden vs. gebruik internet

• Veelal financieel-juridisch van aard (aansprakelijkheid)
• Zeer lastig te auditen...
Auditstandaarden vs. integratie met de interne
 IT-omgeving

• ‘Open’ standaarden – welke te kiezen?
• ‘Open’ auditstandaa...
Compliance

• Verantwoordelijkheid bij de afnemer
• Wettelijke bepalingen vs. de huidige (technologische) stand
  van zake...
SAS70: bezwaren

•   Grote vrijheid in het kiezen van de controls
•   Zeer afhankelijk van de kennis en insteek van de aud...
SAS70: in de praktijk

• Dezelfde standaarden als voor client-server/on-premise
  omgevingen
• Nauwelijks aandacht voor mu...
IT-Auditors

•   Goede onderzoekers en analisten
•   Kennis van architectuur en technologie op high-level niveau
•   Een m...
IT-Audit in de praktijk

• Afstemming van deels irrelevante en ontoereikende normen
  voor Cloud-omgevingen
• Aanpak toege...
Contact

• Chung.mike@kpmg.nl
• 020-656 4034
Upcoming SlideShare
Loading in …5
×

Audit in de Cloud (Nederlands)

1,675 views
1,582 views

Published on

Hoe worden cloud-omgevingen onderzocht door EDP-auditors?

Check the English version: Audit in the Cloud - Security audits versus cloud computing.

Published in: Technology
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
1,675
On SlideShare
0
From Embeds
0
Number of Embeds
20
Actions
Shares
0
Downloads
34
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Audit in de Cloud (Nederlands)

  1. 1. Audit in de cloud Beveiligingsaudits versus Cloud computing november 2009 drs. Mike Chung RE
  2. 2. Personalia • 12 jaar in de IT – Mainframe operator – Architect – Projectmanager – Auditor/manager bij KPMG • Gespecialiseerd in audits en advies op het gebied van: – Cloud computing/SaaS – Service Oriented Architecture – Open source software • Metalhead
  3. 3. Cloud computing als fenomeen • Hét IT-model van 2010 – Meer dan 10 miljoen bedrijven in de cloud binnen 3 jaar – Meer dan 50% van alle Fortune500 bedrijven maken al gebruik van Cloud computing • Forse investering van software-vendors en IT-integrators • Toenemende interesse ondanks/dankzij de financiële crisis en de ‘betrouwbaarheid’ van het internet
  4. 4. Hoofdvragen • Hoe (on)veilig is de cloud? – Integriteit – Exclusiviteit – Beschikbaarheid • Hoe (ir)relevant zijn de auditstandaarden? • Hoe (on)kundig zijn de auditors?
  5. 5. Definitie • Gehoste diensten vanaf het (inter)net, de ‘cloud’ • Utilisatie van Web 2.0 • ASP 2.0 • Voorbeelden: – Infrastructure as a Service (Amazon EC2, Citrix Cloud Centre) – Platform as a Service (GoogleApps, Force.com, 3tera AppLogic) – Software as a Service (Salesforce.com, Microsoft Online, Gmail)
  6. 6. Kenmerken • On-demand • Elastisch • Gebruik van het publieke internet • Webgebaseerd • Externe dataopslag • Multi-tenant architectuur
  7. 7. Beveiligingsissues zijn reëel
  8. 8. Risico’s: ‘specifieke’ factoren • Externe dataopslag • Multi-tenant architectuur • Gebruik van het publieke internet • Integratie met de interne IT-omgeving
  9. 9. Risico’s: externe dataopslag • Zwakke controle over de data (falende backup & recovery) • Juridische complicaties (inbreuk op privacy, conflicterende wetgevingen) • Levensvatbaarheid onzeker (onvoldoende garantie voor continuïteit en beschikbaarheid)
  10. 10. Risico’s: multi-tenant architectuur • Inadequate segregatie van data • Gebrekkig Identiteits- en Toegangsbeheer (IAM) • Onvoldoende logging en monitoring • Zwakste schakel is beslissend (virtualisatie, shared databases)
  11. 11. Risico’s: gebruik van het publieke internet • Onduidelijke en onbelegde aansprakelijkheid, eigenaarschap • Verlies, misbruik en diefstal van data • Geen toegang tot data en/of services • Non-repudiation issues
  12. 12. Risico’s: integratie met de interne IT-omgeving • Onduidelijke perimeters • Onvoldoende aansluiting met interne beveiliging • Complexiteit van de integratie
  13. 13. Restrisico’s • Hoge initiële investeringen – Juridische kosten – Kosten voor risicoanalyses – Kosten voor escrowregelingen • Performance • Beheer – IAM – Key management
  14. 14. Voordelen • Gecentraliseerde beveiliging – Concentratie van expertise – Economy of scale – Concentratie van data • Hoge bereikbaarheid
  15. 15. Auditstandaarden • Lokaal IT-landschap als uitgangspunt (ITIL) • Sterk geënt op client-server/on-premise (ISO27001) • Statisch (Cobit) • Sterk gericht op processen (SOx)
  16. 16. Auditstandaarden vs. externe dataopslag • Geënt op toegang vanuit externe partijen • Geënt op beheer door externe partijen van intern opgeslagen data • Vanuit de optiek van de afnemer: irrelevant en ontoereikend • Vanuit de optiek van de aanbieder: onvoldoende (technische) diepgang • Nieuwe uitgangspunten (11 commandments van het Jericho forum)
  17. 17. Auditstandaarden vs. multi-tenant architectuur • Nauwelijks aandacht voor architectuur • Multi-tenant vrijwel onbelicht • Slechts scheiding van functies, faciliteiten en netwerken • IAM baselines beschikbaar (Liberty Alliance)
  18. 18. Auditstandaarden vs. gebruik internet • Veelal financieel-juridisch van aard (aansprakelijkheid) • Zeer lastig te auditen • Standaarden voor e-mail-gebruik en netwerkbeveiliging tussen verschillende sites reeds in bestaande standaarden
  19. 19. Auditstandaarden vs. integratie met de interne IT-omgeving • ‘Open’ standaarden – welke te kiezen? • ‘Open’ auditstandaarden • Goede aanzet: ISF The Standard of Good Practice for Information Security
  20. 20. Compliance • Verantwoordelijkheid bij de afnemer • Wettelijke bepalingen vs. de huidige (technologische) stand van zaken • Compliant met meerdere bepalingen van meerdere landen (SOx, HIPAA, PCI DSS, WBP..) • SAS70 als uitkomst?
  21. 21. SAS70: bezwaren • Grote vrijheid in het kiezen van de controls • Zeer afhankelijk van de kennis en insteek van de auditor • Grote variaties in aanpak, opmaak en mate van detail • Ruime intervals
  22. 22. SAS70: in de praktijk • Dezelfde standaarden als voor client-server/on-premise omgevingen • Nauwelijks aandacht voor multi-tenant architectuur, service integratie en externe dataopslag • Oppervlakkig bestudeerd door (potentiële) klanten en auditors – SAS70 is niet voor auditors alleen • Lacunes zelden aangekaart
  23. 23. IT-Auditors • Goede onderzoekers en analisten • Kennis van architectuur en technologie op high-level niveau • Een minderheid is technisch geschoold • Baselines als uitgangspunten van onderzoek • Niet afdoende toegerust op snelle, nieuwe ontwikkelingen
  24. 24. IT-Audit in de praktijk • Afstemming van deels irrelevante en ontoereikende normen voor Cloud-omgevingen • Aanpak toegespitst op een client-serveromgeving • Procesgericht onderzoek met veelal papieren bewijzen • Aanbeveling niet specifiek gericht op de risico’s van Cloud computing
  25. 25. Contact • Chung.mike@kpmg.nl • 020-656 4034

×