Leverandør-evaluering og Compliance & sikkerhed er discipliner, som er blevet endnu mere aktuelle med introduktionen af EU GDPR. Dubex har erfaring med at rådgive kunder i de fleste brancher i Danmark og giver her et overblik over, hvilke metoder de anbefaler.
Jakob Herbst, CTO, Dubex
Logimatic Engineering - Din automationspartner (DANISH)
Sådan vurderer du Cloud Compliance
1. Sådan vurderer du Cloud Compliance
Jacob Herbst, CTO, Dubex A/S
Microsoft Tech Leadership Day, Lyngby, Den 23. november 2016
2. Agenda
Hvem er Dubex og hvad laver vi?
Hvad er målsætningen for indlægget?
Hvad er cloudprocessen for risikostyring og compliance?
Hvilke metoder er der til compliance assurance ved cloud?
Hvordan er ISO270XX-serien relevant for cloud?
Hvordan opbygges til complianceprogram?
Hvad skal man gøre efter i dag?
3. Hvad skal vi have ud af dette indlæg?
• Mål for dette indlæg er at give bud på svar på:
• Hvordan kan man håndtere compliance og risikostyring for
cloudbaserede løsninger?
• Hvordan påvirkes risikostyringen i virksomheden, når der
anvendes cloud-løsninger?
• Hvordan kommer man i gang med at sikre compliance?
• Disclaimer: Sikkerhed er et meget stort og kompekst emneområde
som er i konstant forandring. I løbet af de næste 30 minutter når vi
højst at skrabe en lille smule i overfladen.
4. Dubex A/S
Managing risk –
Enabling growth
First mover
Største it-sikkerhedspartner i
Danmark
Selvfinansierende og privatejet siden
1997
Højt specialiserede it-sikkerheds-
eksperter
Eftertragtet arbejdsplads
Motiverede medarbejdere
Kvalitet
Service
Kompetence
Konsulent- og sikkerhedsydelser
lokalt og globalt
35. bedste
arbejdsplads i
Danmark
9. bedste IT-
arbejdsplads i
Danmark
5. Danmarks førende it-sikkerhedsspecialist
Managing risk,
Vi hjælper med at balancere dine forretningsmål og et
acceptabelt risikoniveau for it-sikkerhed.
enabling growth
Vi er altid på udkig efter muligheder for at styrke
vores kunders forretning og understøtte vækst.
1997 20122006
Business focus
Process focus
Technology focus
6. Managing risk
Beskytte følsomme oplysninger for at
forbedre og opretholde
markedsposition og sikre overholdelse
af regulativer samtidig med en kontrol
af omkostningsniveauet
Enabling growth
Forbedre og sikre forretningens agilitet
ved at give hurtig og intuitiv adgang til
de rigtige informationer, værktøjer og
applikationer
Prioritering af sikkerhed
INFORMATION er blevet virksomheders vigtigste asset
CIO
8. Private
(On-Premise)
Infrastructure
(as a Service)
Platform
(as a Service)
Service Models – shared responsibility
Storage
Server HW
Networking
Servers OS
Databases
Virtualization
Data
Applications
Security & Integration
Storage
Server HW
Networking
Servers OS
Databases
Virtualization
Data
Applications
Security & Integration
Storage
Server HW
Networking
Servers OS
Databases
Virtualization
Data
Applications
Security & Integration
Software
(as a Service)
Storage
Server HW
Networking
Servers OS
Databases
Virtualization
Data
Security & Integration
Applications
Managed by you
Managed by vendor
Access control Access control Access control Access control
9. Nye teknologier – nye udfordringer
• Vi har selv kontrol over data
• Serverrummet er placeret på X adresse
• Data ligger på server Y og Z
• Vi har backup på plads
• Vi har styr på vores administratoradgang
• Vores oppetid er tilstrækkelig – og ellers kan
vi selv gøre noget ved det
• Vi har vores egne sikkerhedseksperter
Dagens datacenter
• Hvem har kontrol?
• Hvor står serverne?
• Hvor er vores data opbevaret?
• Hvad sikre der er taget backup?
• Hvem har adgang?
• Hvor robust er det?
• Hvordan kan vi lave audit?
• Hvordan skal vores sikkerhedsfolk arbejde?
Morgendagens Cloud løsning
?
10. Eksempler på overvejelser
Hvor i verden er
”mine” data?
Hvordan laver jeg
auditering og
penetrationstest af
min cloud-
baserede
infrastruktur?
Hvad er risikoen ved at jeg
deler applikation, platform og
infrastruktur med andre?
Hvordan er mine data
beskyttet – overholdes
mine krav til
fortrolighed?
Har min cloud-
leverandører fokus
på sikkerhed?
Må jeg opbevare min
virksomhedens data på
fremmed udstyr?
Vil flytning af mine data
give fremmede lande
adgang?
Hvordan kan jeg
kontrollere
compliance?
Hvad laver
brugerne i
skyen?
Hvilke data er gemt i
skyen?
Hvor mange cloud-
løsninger kender jeg ikke
til?
Hvordan
overvåger
jeg
sikkerheden
i cloud?
Hvem har ansvaret?
Hvem har adgang til mine
data i skyen?
Hvordan krypterer jeg
mine data?
11. There is no such thing as “the cloud”.
It’s just someone else’s computer.
12. Sikkerhed og compliance opfattes som en udfordring
Sikkerhed, privacy er
den primære bekymring.
Compliance kommer på
tredjepladsen!
13. Hvad er compliance?
• Compliance handler om at være i overensstemmelse med et sæt specifikationer,
retningslinjer eller love eller være i færd med at blive det
• Overholdelse af reglerne skal typisk sikre fokus på sikkerhed med henblik på at
imødegå eller undgå en risiko
• Compliance styrker og gavner organisationen da man kan dokumentere
efterlevelsen overfor kunder, leverandører og myndigheder
• Compliance management sikrer, at it-processer, tjenester og systemer
overholder organisationens politikker og relevante eksterne lovkrav
• Afvigelse fra reglerne kan ofte medføre store bøder, pålæg og i regulerede
brancher medføre mistede licenser, tilladelser eller godkendelser
• Start med at beslut hvad du skal være compliant med fx
• GDPR / EU-persondataforordningen
• Persondataloven
• Payment Card Industry Data Security Standard (PCI DSS)
• Sarbanes-Oxley
• Health Insurance Portability and Accountability Act of 1996 (HIPAA)
• Federal Information Security Management Act (FISMA)
Compliance
Overholdelse af et sæt regler
eller standarder. Dette skal
kunne bekræftes ved en
revision baseret på
observationer, spørgsmål og
inspektion.
Sikkerhed
Implementering af tekniske,
fysiske og administrative
kontroller for at sikre
fortrolighed, integritet,
tilgængelighed, ansvar og
vished.
14. Compliance arbejdet starter før valg af løsning
• Planen og politikken for compliance management skal være på plads før cloud løsningen implementeres
• Politikken skal være vigtigt af input ved valget af cloud leverandør
• Informationssikkerhed er vigtig og bør indgå i compliance management politikken
• Tilgang baseret på Plan – Do – Check - Act princip
• Identificer risici og compliance krav
• Omfatter gældende normer, regler, love, standard og best practice
• Fokusområderne bør tilpasses organisationens strategiplan, og bør omfatte krav i forhold til privacy og
sikkerhed
• Compliance krav fra forretningsprocesser og forretningsenheder der anvender cloud
• Krav til cloud leverandør
• Vigtigt at cloud leverandørende forstår de opstillede compliane krav
• Klar ansvarsfordeling mellem parterne (dvs. cloud leverandør, bruger, kunde), forventninger, antagelser
• Krav til mulighed for revision af de definerede fokusområde / compliance krav
• Vigtigt med en klar ansvarsfordeling med cloud-udbyder
• En fordel med en leverandør som har god erfaring med compliance og transparens
• Få forståelse hvilke dele af compliance krav og dokumentation der kan fås fra cloud serivce leverandøren
15. Processen for risikostyring ved cloud-baseret løsning
• Vær opmærksom på, at frameworks for Cyber-sikkerhed har et isoleret fokus på cyber angrebsvektoren, og ikke
dækker den fuld beredskabssituation
• HUSK at vurdere strategisk risiko for lock-in (Afhængighed og ejerskab til data & processer)
Forretningsprocesser
• Kortlæg hvilke data og
forretningsprocesser der
håndteres i en Cloud
løsning?
Rammer/Krav
• Kortlæg hvilke eksterne
(bl.a. Lovkrav) og interne
krav, som skal opfyldes ved
brug af Cloud.
Gennemfør
risikoworkshops
• Identificér Cloud-risici i
forhold til klassisk CIA+I
Mitigeringstiltag
• Fastlæg ønskede
kontroltiltag til mitigering af
risici ved Cloud løsning
(SaaS, PaaS, IaaS)
D I E -test af kontroller
• Uvildig 2. opinion/Sanity
check af kontroller.
DRP/BCP
• Planlæg tests inklusiv
sikring af at Cloud-
leverandørens RPO og
RTO passer til
virksomhedens behov
Plan B/C/D
• Re-tænk/tilpas
beredskabssituation på
baggrund af resultater af
risikostyringen.
16. Valg af cloud leverandør
• Overvejelser ved cloud leverandør valg
• Hvilket cloud-teknologi vil bedst understøtte virksomhedens forretningsstrategi?
• Hvilket compliance management system er implementeret og anvendes?
• Hvor meget kontrol kan (bør) opgives til fordel for agilitet og fleksibilitet?
• Hvilken tjeneste skal købes for at sikre den rigtige ydeevne, sikkerhed, pålidelighed og agilitet?
• Er det risikoen værd?
• Hvordan vil det påvirke virksomhedens eksisterende compliance management og politikker?
• Hvor kan det tillades at data fysisk opbevares?
• Hvordan sikres tilstrækkelig kontrol over adgang til systemer og data
• Hvordan sikres fortrolighed for ikke-offentlige fortrolige informationer?
• Cloud leverandøren skal have compliance som del af deres proces for at
• sikre integration med kundens compliance management
• sikre den nødvendige transparens og synlighed i leverandøres compliance arbejde
• sikre overholdelse af regionale eller nationale compliance krav
• forebygge konflikter omkring aftaler og forventninger
17. Procesovervejelser ved brug af cloud-baserede løsninger
Cloud-
løsning
Berørte forretnings-
processer (og data)
Identificer
risici og compliance
krav
Vurder business
impact
Håndter cloud-risici
- krav til cloud
leverandør
Opfølgning på
cloud-leverancer
Tænk ”Going-
Concern” ved worst
case
Nye arbejdsopgaver
ved cloud
18. Opfølgning - Metoder til compliance assurance ved cloud
• ISO27001, ISO27002, ISO27005, ISO2017/20018
• Inspiration fra COSO til ”Best Practice” for en procesmæssig tilgang
• Cloud Security Alliance (Version 4 udgave undervejs)
• NIST-8xx serien (Officielt amerikansk framework, dvs. minder lidt om
SOX-approach=omfattende)
• Er klassiske revisorerklæringer er gode nok
(SOC1/2/ISAE3402/ISAE3000)?
• Udfordring kan bl.a. være:
• Applikationsprocesser og forretningsgange er begrænset
dækket i ISO og ISAE3402
• Detaljerede best practice guides for konfiguration af sikkerhed
findes ikke i ISO270xx-serien
• HUSK!! - Ansvaret forbliver stadig hos egen ledelse også ved
brug af cloud-baserede løsninger
ISO270XX-serien og relevans for cloud
ISO27001: Velegnet til at opbygge et system for
generel ledelsesmæssig håndtering af cloud risici
ISO27002: Velegnet til at forankre og
implementere ledelsessystemet i ISO27001
gennem 114 forslag til kontroller.
ISO27005: Vejledningen har fokus på
gennemførelse af risikostyringen.
ISO27017: Udbygning af ISO27002 med
tilpassede sikkerhedsforanstaltninger målrettet
cloud
ISO27018: Velegnet særligt til behandling af
persondata i cloud.
ISO27000-serien fremstår omfattende, fordi
standarden har et stort anvendelsesområde.
Fordelen er, at man kun skal vælge det, der er
behov for.
19. Succeskrav for et effektivt complianceprogram
• Compliance-opgaven skal varetages af en, der
har
• tværfaglig viden om it-systemer og kontroller
• med arbejdsproceserfaring
• samt har erfaring med kontrakthåndteringer
• Udgangspunktet for compliance-programmet er
• resultatet fra risikoprocessen
• eventuelle erklæringer fra cloud leverandøren
• Vigtigt ikke at se compliance som ”Contract
management” og compliance går videre end
driftsrapporter
• Områder hvor leverandør erklæringer er relevante
for virksomhedens risici:
• Erklæringsarbejdet vurderes at være
tilstrækkelig til at afdække risici
• Compliance-opgaven inden for fx den finansiel
sektor kan kræve et vist omfang af egne
stikprøver
• Områder hvor leverandør erklæringer vurderes til
ikke at være tilstrækkelig til at afdække risici
• Når der er tale om brancher med særregler
• Erklæringsarbejde har ikke undersøgt forhold,
fordi der er tale om individuel aftale med CSP
• Danske regler om brug af databehandleraftaler
• Efterlevelse af virksomhedens IT-
sikkerhedspolitik
• Erklæringer kan supplerende med egne udførte
tests
• Det afklares hvordan virksomheden selv kan
kompensere (fx modtage periodisk kopier af
data)
20. Cloud Security Alliance (CSA)
• Non-profit organisation med det formål at
fremme anvendelsen af best practices ved
sikringen af sikkerhed i Cloud Computing
• Opererer med 14 domæner ifbm. sikring af
Cloud Computing
http://www.cloudsecurityalliance.org/guidance.html
Governance Domains
2. Governance and
Enterprise Risk
Management
3. Legal Issues: Contracts
and Electronic Discovery
4. Compliance and Audit
Management
5. Information Management
and Data Security
6. Interoperability and
Portability
Operational Domains
7. Traditional Security,
Business Continuity and
Disaster Recovery
8. Data Center Operations
9. Incident Response
10. Application Security
11. Encryption and Key
Management
12. Identity, Entitlement, and
Access Management
13. Virtualization
14.Security as a Service
Cloud Architecture
1. Cloud Computing Architectural Framework
21. CSA - Mapping the Cloud Model to the Security Control & Compliance
23. Sikkerhed - fordele og ulemper
• Sikkerhed er en integreret del af leverandørens
infrastruktur
• Stordriftsfordele – ressourcer til at sikkerhed
bliver lavet rigtigt
• Standardisering – sikkerheden kan blot
gentages
• Hvis offentligt tilgængelige systemer flyttes til
en ekstern cloud-service mindskes
eksponeringen af følsomme interne data
• Man bliver (oftere) tvunget til et aktivt valg
omkring sikkerhed
• Cloud-servicen indeholder automatiserede
sikkerhedsfunktioner
• Redundans og Disaster Recovery er (som
regel) en del af løsningen
Resultat: Bedre Sikkerhed og
tilgængelighed
Fordele
• Afhængighed af dataforbindelse for
tilgængelighed
• Nødt til at tro på leverandørens
sikkerhedsmodel og rapportering
• Man har ikke mulighed for selv at reagere på
hændelser
• Det kan være besværligt at få hjælp til
efterforskning
• Tillidsfuld sælgers sikkerhedsmodel
• Manglende mulighed for at reagere på
revisionsanmærkninger
• Indirekte administratoransvar
• Proprietære løsninger kan ikke kontrolleres
• Manglende fysisk kontrol over data/systemer
• Større eksponering af systemer og data
• Færre egne direkte handlemuligheder
Resultat: Mistet egen kontrol med
fortrolighed og integritet
Ulemper
24. Forskellige cloud leverandører
• Udvikle en metode til at gennemføre en hurtig,
enkelt, men effektiv revision af små spillere, før
der købes services
• Hvis formålet med den pågældende service er
hastighed til markedet, giver det ikke mening at
overbebyrde dem med administrative / juridiske
opgaver.
• Hjælp med at holde dine samarbejdspartnere i live
• Vær pragmatisk om risiko. Vær forberedt på et
pludselig ophør af både kontrakter og service
Håndtering af små cloud leverandører
• Risikostyring og compliance bliver hurtigt
komplekst:
• Mange SaaS-løsninger kører på andre
udbyderes IaaS infrastruktur – man skal være
opmærksom på alle led i kæden
• Omfatter din kontrakt, at alle parter skal
overholde alle krav i den?
• Gælder force majeure for fejl hos alle parter?
• Hvor synlig er økonomien hos
underleverandører?
• Understøtter dine disaster recovery og
beredskabsplaner dette scenarie?
Cloud underleverandører
25. Leverandør transparens
Method Customer Decision
Usefulness
Customer Level of
Effort
Formal on-site evaluation by in-house team High Highest
Formal on-site evaluation by consultant High High
Formal written report from third-party assessor
(assessment not initiated by customer)
Medium to High Medium
Security rating service Medium High Low
Successful completion of third-party assessment (without
written report)
Medium Low
Evaluation of CSP's security documentation Low Medium
Completed questionnaire Low Medium
Marketing material describing security program Lowest Low to Medium
Kilde: Gartner
26. Forskellige cloud leverandører har forskellig risiko
Tier 1
Tier 3
Tier 2
CSP
Size/Experience/
Market Share
Kilde: Gartner
Number of Cloud Service Providers
You don't have to worry if one of the
major CSPs is secure, but you still
must use them securely
Second Tier CSPs may be
providing strategically important
applications for departments or
verticals. They usually lack third-
party evaluation and may be
financially weak.
You can't assume a tiny CSP is secure, or
financially solvent. That may be an acceptable
risk, but you must use them carefully.
27. Hvad er Dubex proces til cloud anvendelse?
Cloud Readiness
• Er virksomheden klar til Cloud service
• Forretningsmæssige fordele ved Cloud Computing
• Cloud computing fra et teknisk perspektiv og ændringer ved IT service
management
• Risiko ved regulativer for cloud computing
Cloud Risikovurdering
• Risici ved Cloud services
• Overblik over kritiske sikkerhedsrisici
• Compliance krav
• Metoder til at nedbringe restrisici ved cloud service
Cloud Compliance analyse
• Compliance ved cloud anvendelsen
• Virksomhedens reelle efterlevelse
• Kritiske afvigelser ligger
• Metoder til at håndtere afvigelserne ift. compliance krav
28. Cloud compliance - hvad tilbyder Dubex?
• Disse kan suppleres med praktiske tests af efterlevelsen, f.eks.
• Audit af udvalgte områder, hvor anvendelsen af de relevante kontroller testes
• Gennemgang af outsourcing partnere
• Tekniske gennemgange og sårbarhedsscanninger
Dubex tilbyder at hjælpe med at etablere et billede af compliance niveau
•Detaljer omkring
interviews og adgang til
dokumentation aftales
Aktivitet 1 –
Opstartsmøde
•Interviews med
nøglepersoner hos
virksomheden inden for
områderne: forretningen,
sikkerhed og
organisation, samt IT
Aktivitet 2 – Gennemgang
af organisatorisk
compliance
•Interviews med
nøglepersoner hos
virksomheden inden for
områderne: sikkerhed,
netværk, applikationer og
server infrastruktur
Aktivitet 3 – Gennemgang
af teknisk compliance
•Analyse af de
indsamlede informationer
og udarbejdelse af
rapport, inkl.
kommentering
Aktivitet 4 – Analyse,
behandling og rapport
•Fremlæggelse af rapport
og konklusioner for
ledelse og/eller
projektdeltagere
Aktivitet 5 –
Afrapportering
29. Hvilken fremgangsmetode anvendes?
• Risikovillighed og brug af risikovurderinger
• Informationssikkerhedspolitik og vedligeholdelse
• Organisering og styring af informationssikkerhed internt og eksternt
• Personalesikkerhed ifm. ansættelser, afskedigelser og under ansættelsen
• Styring af aktiver (klassifikation og retningslinier for brug af faciliteter)
• Adgangsstyring (brugeradministration og passwords)
• Kryptografi
• Fysisk sikkerhed, samt miljøsikring og beskyttelse af udstyr
• Driftssikkerhed (teknologier, inkl. backup, logning mv.)
• Kommunikationssikkerhed (sikring af netværkstjenester, segmentering mv.)
• Anskaffelse, udvikling og vedligeholdelse af informationssystemer
• Informationssikkerhed i leverandørforhold og outsourcing
• Styring af informationssikkerhedshændelser og forbedringer
• Beredskabsstyring, nødplaner og kontinuitet
• Overensstemmelse med eksterne krav, lovgivning mv.
• Ekstra kontroller fra ISO 27017
Gennemgangen baseres på ISO 27002 / ISO 27017 standardernes kontroller
30. Anbefalinger - generelle
• Udvikle en holistisk cloud-sikkerhedsstrategi, som omfatter:
• Baseret på Shared Responsibility Model
• Beskyttelsen af virksomhedernes SaaS-applikationer
• Beskyttelsen af virksomhedernes systemer, der kører i offentligt eller privat IaaS
• Security Management, compliance mangement & overvågningstjenester i Cloud
• Omfatter alle led i sikkerhedsprocessen
• Risikostyring og planlægning (Predict & Identify)
• Implementering af passende, afvejede kontroller (Prevent & protect)
• Overvåning så angreb og kompromitteringer opdages (Detect)
• Reaktion, beredskab og Incident Response (Respond & recover)
Predict & identify Prevent & protect Detect Respond & recover
31. Efter i dag…..
I dag:
Overvej om der er overblik
over cloudrisici og om
man påser compliance
hos CSP i tilstrækkelig
grad
I morgen:
Afgræns/Udvælg mulige
områder, som skal
undersøges nærmere.
Næste uge:
Lav en plan for hvordan
gaps skal håndteres/
løses.
Næste måned:
Vurdér hvordan DRP-
planer kan forbedres
Næste kvartal:
Overvej hvordan nye krav
i EU-persondataforordning
vil påvirke brug af cloud
løsning
Næste 1/2-1/1 år:
Indarbejd tilpasninger i
ledelsessystemer, der
afdækker cloudrisici og
passende respons på
compliancekontroller
32. Risikobegrænsning
• Risikoen kan ikke fjernes, kun begrænses
• Sikkerhed kan ikke købes som produkt
• Sikkerhed opnås ved en blanding af
• Procedure & ledelse (Management issues)
• Design, værktøjer og tekniske løsninger
• Løbende overvågning og vedligeholdelse
• Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem
33. Hold dig opdateret
Besøg
www.dubex.dk www.dubex.dk/update/
Tilmeld dig Dubex’ nyhedsbrev
Deltag på Dubex’ arrangementer
http://www.dubex.dk/arrangementer/
Følg Dubex på LinkedIn & Twitter
www.linkedin.com/company/dubex-as
twitter.com/Dubex