Sig security fokusdag 2011 CIO & Molnsäkerhet

1,704 views

Published on

PPT från SIG Securitys Fokusdag den 10 mars i Stockholm. Jag presenterade ett antal tankar och idéer relaterade till CIO-rollen och cloudsourcing.

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,704
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
7
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Sig security fokusdag 2011 CIO & Molnsäkerhet

  1. 2. 20+ år i IT-branschen ADB-tekniker Test- & Chefredaktör; Nätverk & Kommunikation (IDG) Eget konsultföretag Nordic Consulting Manager, Novell CSA/NTO, Microsoft General Manager, LabCenter Driver nu MyNethouse, medgrundare Cloud Sweden och talesperson för molnfrågor Dataföreningen Stockholm Predrag Mitrovic Cloud Advisor
  2. 3. Molnsäkerhet – ett dilemma? <ul><li>Det här arbetet är licensierat enligt Creative Commons Attribution-ShareAlike 3.0 Unported License. creativecommons.org/licenses/by-sa/3.0/ </li></ul>Attribuera till: Predrag Mitrovic på http://cloudadvisor.se
  3. 4. By David Fletcher
  4. 5. Molnet existerar inte… Som enhetligt begrepp
  5. 6. <ul><ul><li>Molnet är flerdimensionellt: </li></ul></ul><ul><ul><li>Främst en beskrivning av ett skifte där IT-kraft, applikationslogik och information separeras från infrastrukturmekanismer som vi känner dem. </li></ul></ul><ul><ul><li>Kännetecknande för omstruktureringen är storskalighet, tjänstemodellering, flexibilitet i skalbarhet/betalning och med Internet som en form av “dator”. </li></ul></ul><ul><ul><li>Affärsmodellerna utvecklas och växer fram. </li></ul></ul>
  6. 7. Tre(o)enighet
  7. 8. 1. Institutionell kunskap saknas
  8. 9. 2. Faktabaserad erfarenhet av brister och utnyttjande saknas
  9. 10. 3. Paradigmskifte, evolution eller platt fall? (eller: Fågel, fisk, mitt emellan?)
  10. 11. “ An amazing invention – but who would ever want to use one?”* * Sagt om telefonen av den 19:e presidenten i USA, Rutheford Hayes. De hade ett väl utbyggt telegrafnät vid tidpunkten för kommentaren.
  11. 12. SÄKERHETSSTRATEGIER <ul><li>Ledarskap, Riskhantering, Kontroll </li></ul>
  12. 13. <ul><li>Ramverk för mappning av leverantörer och för vidare hantering av risker. </li></ul>
  13. 14. Tre huvudområden <ul><li>Organisationsrisker </li></ul><ul><li>Tekniska risker </li></ul><ul><li>Legala risker </li></ul>
  14. 15. Organisationsrisker <ul><li>Avhändning av kontroll </li></ul><ul><li>Inlåsning </li></ul><ul><li>Efterlevnadsutmaningar </li></ul><ul><li>Leverantörsobestånd </li></ul><ul><li>Uppköp </li></ul><ul><li>Överföring av KPIer och uppföljning </li></ul>
  15. 16. Tekniska risker <ul><li>Ond insider </li></ul><ul><li>Bristfällig isolering </li></ul><ul><li>Obehörig datafångst </li></ul><ul><li>Dataläckage vid överföringar </li></ul><ul><li>Överbelastningsattacker </li></ul><ul><li>Data fortsätter leva efter ”bäst-före-datum” </li></ul>
  16. 17. Legala risker <ul><li>Jurisdiktioner – byten vid uppköp </li></ul><ul><li>Dataskydd </li></ul><ul><li>Licensiering </li></ul>
  17. 19. CIO-dilemma <ul><li>SW-uppgradering = ny licens </li></ul><ul><li>Användarna klagar jämt </li></ul><ul><li>Molnet = bättre & billigare </li></ul><ul><li>Användarna använder molntjänster privat </li></ul><ul><li>Du måste leverera affärsvärde </li></ul><ul><li>IT kostar för mycket </li></ul><ul><li>Är intern IT säker? </li></ul><ul><li>IT för tungrott </li></ul><ul><li>Förändringsprojekt tar evigheter </li></ul><ul><li>Mitt jobb </li></ul><ul><li>#@% SW licenser </li></ul><ul><li>Jag måste kapa kostnader </li></ul><ul><li>Rättfärdiga investeringar </li></ul><ul><li>Hur får jag bandbredd hos VD/GD? </li></ul><ul><li>Jag har kostnadskontroll </li></ul><ul><li>Jag förstår trender och hype </li></ul><ul><li>Vi kan inte göra det nu </li></ul><ul><li>Jag är innovativ </li></ul><ul><li>Jag har full kontroll </li></ul>
  18. 20. CIO ”Pains & Gains” <ul><li>Underbemmand & utarbetad personal (brandkår) </li></ul><ul><li>Minskande IT-budget </li></ul><ul><li>Hackerattacker & MalWare </li></ul><ul><li>Ingen/låg influens på verksamhetsutvecklingen </li></ul><ul><li>Nedtider </li></ul><ul><li>Hypersnabba teknikskiften </li></ul><ul><li>Växande konsultberoenden </li></ul><ul><li>Investera i värdedrivande verksamhetsprojekt </li></ul><ul><li>Ena IT & verksamhet </li></ul><ul><li>Bli av med SW-license </li></ul><ul><li>IT = kritisk framgångspartner </li></ul><ul><li>Säker IT för alla </li></ul><ul><li>Tid för strategiska projekt som driver värde </li></ul><ul><li>Nöjda användare </li></ul>
  19. 21. Vision, visualisering, förstå terrängen, formulera avsikter Kontrollerad implementation ” MOLNET” Hype, praktikfall, best practices, besserwissers Praktikfall, best practice, lärdomar Strategisk molngrund (fast mark under fötterna) Ledarskap, förändringshantering, beslutskriteria, granskning
  20. 22. Consolidated Data Center Public/Hybrid Cloud <ul><ul><li>Private Cloud </li></ul></ul><ul><ul><ul><li>Policies </li></ul></ul></ul><ul><ul><ul><li>Security </li></ul></ul></ul><ul><ul><ul><li>Interoperability </li></ul></ul></ul><ul><ul><ul><li>Standards </li></ul></ul></ul>
  21. 25. HW SW Konsulter Support Underhåll Lagring Överföringar Energi Kommunikation <ul><li>Flexibilitet </li></ul><ul><li>Snabbrörlighet </li></ul><ul><li>Tillgänglighet </li></ul><ul><li>Teknikstyrning </li></ul><ul><ul><li>Test/utveckling/integration/Underhåll </li></ul></ul><ul><ul><li>Licensutnyttjande </li></ul></ul><ul><li>Process & styrning </li></ul><ul><ul><li>Overhead </li></ul></ul><ul><ul><li>TTM/TTA </li></ul></ul>
  22. 27. Operationell Pragmatiker Värdeskapare Kostnadskapare IT & Verksamhetsledning Inspirerarne teknikledare Driva innovation Maximera ROI Driva verksamhet framåt Visionär – Sälja visioner
  23. 28. Value Creation Value Creation Value Creation Verksamhets-utvecklare Leverantörer Experter Cloud Maestro <ul><li>Cloudsourcing Vision / Mission </li></ul><ul><li>Inspiration </li></ul><ul><li>Marknadsanalyser / Användningsområden </li></ul><ul><li>Riktlinjer </li></ul><ul><li>Enterprise Architecture </li></ul><ul><li>Upphandlingsstöd </li></ul><ul><li>Verksamhetsbehov </li></ul><ul><li>Kravfångst </li></ul><ul><li>Intressen </li></ul><ul><li>Återmatningar </li></ul><ul><li>Standardkrav </li></ul><ul><li>Säkerhetsprocesser </li></ul><ul><li>Praktikfall </li></ul><ul><li>Driftinsikter </li></ul><ul><li>Tjänsteuppföljningar </li></ul><ul><li>Aktivt söka råd och rön </li></ul><ul><li>Engagemang </li></ul><ul><li>Hållbara relationer </li></ul><ul><li>Tjänster & avtal som följer krav </li></ul><ul><li>Input till standardisering </li></ul><ul><li>Samverkan utveckling av standarder och praktikfall </li></ul>Säkerhet Standarder Drift Prestanda <ul><li>RFI/RFPs </li></ul><ul><li>Definitioner </li></ul><ul><li>Säkerhetskrav </li></ul><ul><li>Standardkrav </li></ul><ul><li>SLAs </li></ul>Workshops Konsult Webinars Seminarier Analys- tjänster Labs Artiklar
  24. 30. Usage Metering Provisioning services Authentication Authorization Logging Reporting Incident management Data Enterprise Appl. (UI + Logic)
  25. 31. Lämplighet för molnet* Tydligt verksamhets-värde? Unik avskiljare (kapacitet)? Hinder för outsourcing? Hinder för cloudsourcing? Objekt redo för molnet? Lösningen blir en plattform? Processen isolerad? IT-baserad differentiering? Specifik Applikation, HW, SW? Behandlar kritiskt data? Ja Nej * Baserat på arbete hos Open Group
  26. 32. Efterlevnad
  27. 33. Kravuppfyllelse
  28. 34. Riskhantering
  29. 35. Business continuity Min verksamhet Lev. verksamhet
  30. 36. Källor (som jag gillar) <ul><li>Cloud Sweden (LinkedIn: sök Cloud Sweden) eller cloudsweden.se </li></ul><ul><li>Cloud Advisor – cloudadvisor.se (det är jag  ) </li></ul><ul><li>CloudTweaks – www.cloudtweaks.com </li></ul><ul><li>NIST – csrc.nist.gov/groups/SNS/cloud-computing/index.html </li></ul><ul><li>ENISA </li></ul><ul><li>CloudCamp – www.cloudcamp.com </li></ul><ul><li>Cloud Security Alliance – www.cloudsecurityalliance.com </li></ul><ul><li>Open Cloud Manifesto – www.opencloudmanifesto.org </li></ul>
  31. 37. Källor (som jag gillar del2) <ul><li>Arbetsgrupp Säkerhet (Cloud Sweden): natverk.dfs.se/node/21320 </li></ul><ul><li>Cloud Standards – cloud-standards.org </li></ul><ul><li>The Open Group - www.opengroup.org/cloudcomputing/ </li></ul><ul><li>IDG Cloud Magazine – cloud.idg.se/ </li></ul><ul><li>Amazon, Microsoft, Google, IBM, Oracle, Salesforce, RackSpace och de vanligen misstänkta </li></ul>
  32. 38. En funderare: Metodik att utveckla/implementera <ul><li>Logisk segregering inför migrering: </li></ul><ul><ul><li>Information </li></ul></ul><ul><ul><li>Behörigheter </li></ul></ul><ul><ul><li>Loggning </li></ul></ul><ul><li>Assimileringsstrategier för omvänd- eller vidaremigrering </li></ul>
  33. 39. <ul><li>Predrag Mitrovic </li></ul><ul><li>[email_address] </li></ul><ul><li>0709 – 200 350 </li></ul><ul><li>Skype/Twitter: write4joy </li></ul><ul><li>Mynethouse.se </li></ul>Tack för trevlig samvaro!

×