Muligheder for sikker cloud computing
 

Muligheder for sikker cloud computing

on

  • 686 views

Præsentation hos hos ITST 22 juni 2010 på seminaret: "Kan jeg få en sikker sky?".

Præsentation hos hos ITST 22 juni 2010 på seminaret: "Kan jeg få en sikker sky?".

Statistics

Views

Total Views
686
Views on SlideShare
683
Embed Views
3

Actions

Likes
0
Downloads
4
Comments
0

2 Embeds 3

http://www.linkedin.com 2
https://www.linkedin.com 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment
  • Nej det hele forsvinder ikke, men noget af det gør temmeligt sikkert.
  • Dansk vejledning  Gennemgår bl.a. Fordele og ulemper med CCENISA:In-depth and independent analysis benefits and key security risks of cloud computing. Practical recommendations.Non-profit org for brugere, leverandørerogalle med interesse I at gøreskyen mere sikker
  • The NIST diagram provides a good visualization of what it is, what types of services are delivered and how it is deployed.
  • The security approach and role varies depending on the delivery model
  • Bank stævner Google for at få oplyst Gmail-brugers identitet: Banken havde sendt lånedokument til forkert modtager og ved en fejl vedhæftet et dokument med fortrolige oplysninger om 1.325 virksomheder og personer. Banken bad bruger slette – ingen reaktionBad Google om information om brugeren.Google nægtede uden retskendelse. Dommerkendelse pålagde Google at oplyse, om kontoen var aktiv, og om mailen havde været åbnet. Ville også pålægge at lukke kontoen. Mailen var aldrig blevet åbnetKilde: The Registerflere artikler

Muligheder for sikker cloud computing Muligheder for sikker cloud computing Presentation Transcript

  • Mulighederne for at få en sikker sky
    Lars Neupart
    DI ITEK: It-sikkerhedsudvalg og bestyrelse
    Cloud Security Alliance medlem
    Neupart A/S: Direktør og stifter
    LN@neupart.com
  • DI ITEK’s sikkerhedsarbejde
    Siden 2001
    Uafhængig af enkeltinteresser
    Brugere (600) og leverandører (35) i fællesskab giver afbalancerede anbefalinger
    Vejledning om informationssikkerhed til erhvervslivet - f.eks.:
    Ledelse, Trusler, Standarder, Spam, Spyware, Phishing, Privacy, Cloud
    Politisk indsats på området
    Offentlig awareness om emnet
    Repræsentation i mange sammenhænge
  • Cloud Security Alliance
    En non profit organisation, startet i USA, med chapters i flere lande
    http://cloudsecurityalliance.org
    The Cloud Security Alliance is a non-profit organization formed to promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.
    View slide
  • Om Neupart
    Vi hjælper jer med at leve op til it-sikkerhedskrav på en tryg og effektiv måde
    Krav fra kunder, samarbejdspartnere, danske og internationale standarder, ”almindelig god skik”, lovgivning m.m.
    ISO27001-certificeret
    Første it-virksomhed og eneste it-sikkerhedsleverandør i DK
    Gazelle 2009
    198% vækst i bruttofortjeneste 2005 - 2008
    View slide
  • Anbefalede vejledninger:
  • DI ITEK Opsummering
    Cloud computing er ikke revolutionerende! Det er bare outsourcing på en anden måde, end vi er vant til.
    Cloud Computing kan være en udmærket ting for mindre virksomheder. Det gør det let at starte op, og har man ikke fokus på sikkerhed, kan det ofte give en bedre sikkerhed, end man selv er i stand til at præstere. Små virksomheder bør absolut overveje at kigge på cloud computing.
    Har man sin egen sikkerhedsafdeling og god styr på sikkerheden, er cloud computing nok ikke så interessant, men kan måske bruges på delområderi lighed med andre former for outsourcing.
    Bruger man cloud computing skal man være opmærksom på, hvordan ens data og applikationer er beskyttet hos serviceudbyderen, hvad der sker hvis udbyderen går fallit, hvilket land data hostes i m.v. Der er altså behov for en særlig sikkerheds- og kontrolindsats.
  • IDC
    IDC’s worldwide forecast for cloud services :
    2009 2013
    Verden $17 MIA. $44 MIA
    EU €971m €6,005m
    KildeEnisa, dec ´09
  • What is Cloud Computing?
    Compute as a utility: third major era of computing
    Mainframe
    PC Client/Server
    Cloud computing: On demand model for allocation and consumption of computing
    Cloud enabled by
    Moore’s Law: Costs of compute & storage approaching zero
    Hyperconnectivity: Robust bandwidth from dotcom investments
    Service Oriented Architecture (SOA)
    Scale: Major providers create massive IT capabilities
  • Defining Cloud
    On demand provisioning
    Elasticity
    Multi-tenancy
    Key types
    Infrastructure as a Service (IaaS): basic O/S & storage
    Platform as a Service (PaaS): IaaS + rapid dev
    Software as a Service (SaaS): complete application
    Public, Private, Community & Hybrid Cloud deployments
  • S-P-I Framework
    You “RFP”
    security in
    SaaS
    Software as a Service
    You build
    security in
    PaaS
    Platform as a Service
    IaaS
    Infrastructure as a Service
  • Is Cloud Computing Working?
    Eli Lilly
    New drug research project
    IT promised system in 3 months, > $100,000 USD
    Scientist completed in one day in cloud, < $500 USD
    Japanese government agencies
    RFP for custom software development
    Chose PaaS for 25% of cost and deployment time over traditional software house
  • How will Cloud Computing play out?
    Much investment in private clouds for 3-5 years
    Compliance use cases being developed
    Cloud assurance ecosystem being built
    Public clouds will eventually dominate
    Virtual private clouds compromise between public and private
    All IT professions impacted
  • CSA Guidance Domains
    I : 1:Understand Cloud Architecture
    II: Governing in the Cloud
    2: Governance and Enterprise Risk Management
    3: Legal and Electronic Discovery
    4: Compliance and Audit
    5: Information Lifecycle Management
    6: Portability and Interoperability
    III: Operating in the Cloud.
    7: Traditional Security, Business Continuity, and Disaster Recovery
    8: Data Center Operations.
    9: Incident Response, Notification, and Remediation
    10: Application Security
    11: Encryption and Key Management
    12: Identity and Access Management
    13: Virtualization
  • Survey Results
  • Cloud Controls Matrix Tool
    Controls derived from guidance
    Rated as applicable to S-P-I
    Customer vs Provider role
    Mapped to ISO 27001, COBIT, PCI, HIPAA
    Help bridge the gap for IT & IT auditors
  • Masser af problemer
    Cloud-leverandørkonkurs – dine data og din forretning?
    Leverandør lever ikke op tilSLA’er
    Leverandør med ringe “business continuity planning”
    Datacentreilande med “uvenlig” lovgivning
    Leverandør-lock-in med proprietæreteknologierog data formater
    Ressourcer deles med andrekunder– måskeenddakonkurrenter
    Leverandør-fejlfårmegetstørrekonsekvenser end fejl I intern-it-afdeling.
    Ogmeget, meget mere……
  • Persondata i skyen?
    EU betragtes sikkert.
    Sikre 3. lande:
    Schweiz
    Canada (begrænset anvendelsesområde - se Kommissionens)
    Argentina
    Guernsey
    USA (kun vedr. flypassagerer - se Kommissionens hjemmeside)
    Isle of Man
    Jersey
    Safe Harbor – ca. 2.000 virksomheder
    Liste hos Export.gov
    Datatilsynet
    Udtalelse hvis data omfattet af persondatalovens §§ 7-8
    Datatilsynets vejledning
  • Persondata i skyen?
    Bolig, bil, eksamen, ansøgning, CV
    ansættelsesdato, stilling, arbejdsområde, arbejdstelefon
    CPR-nummer, økonomi, skat, gæld,
    sygedage, tjenstlige forhold, familieforhold
    Race, religion, helbred,
    sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet,
    personlighedstest
    Stamoplysninger: Navn, adresse,
    fødselsdato
  • Summary
    Cloud Computing is real and transformational
    Challenges for People, Process, Technology, Organizations and Countries
    Broad governance approach needed
    Tactical fixes needed
    Combination of updating existing best practices and creating completely new best practices
    Common sense not optional
  • Anbefalinger
  • Tak – og mere info:
    http://itek.di.dk/Shop/Produktside/Pages/produktside.aspx?productid=8036
    http://cloudsecurity.org/2009/11/20/enisa-cloud-security-risk-assessment/
    www.cloudsecurityalliance.org
    www.linkedin.com/groups?gid=1864210
    www.neupart.dk
  • Extra
  • DI ITEK: Sikkerhedsovervejelser
    Risikobilledet ændres
    Behov for dataklassifikation øges
    Omkostninger (spar, spredt, kontrol)
    Specialister og nye muligheder
    Døgnservice
    Egenkontrol mistes
    Tilgængelighed, fortrolighed og integritet
    Business continuity / disaster recovery
  • DI ITEK Kontrolovervejelser
    Kontrol med leverandøren (certificeringer politikker, procedurer, økonomi hos leverandør)
    Kontrol med data og compliance med lovgivning samt logning
    Risikostyring (risici hos leverandør og underleverandør)
    Funktionsadskillelse, backup og datasletning hos leverandør
    Kontrol med håndtering af sikkerhedshændelser
    Krypteringskontrol
    Adgangskontrol
    Lagring