Security and Legal Issues in an   Era of Cloud Computing                    1(c) 2011 UHY LLP
Why is Cloud Computing Attractive?      •     Elasticity – rapid provisioning and scalability      •     Efficiency – pay ...
Cloud vs. Private      • Risks are the same:        Data Security          – Confidentiality         – Integrity         –...
What to consider          ……… Same    How would we be harmed if……           –     our data became publicly available?     ...
Security in the Cloud        • “In the Cloud, step one is trusting, and thats not           security — thats hope.”       ...
Security Benefits of Cloud Computing        • Economies of Scale – security resources are           cheaper when implement...
Security in the Cloud        Key Difference = CONTROL        • Loss of Direct access ‐ In the Cloud you are at least one  ...
Security in the Cloud        • CP failure or acquisition – if your CP goes out of business or           gets acquired by a...
Recent Cloud “Events”        • Gmail outage Feb 2011 – 140,000 accounts lost         • Epsilon mail services breach – Apri...
Legal and Contract  Issues        •    Who?        •    What?        •    When?        •    Where?        •    How?© 2011 ...
Legal and Contract  Issues        •    Who?   Responsible, Perform, Initiate        •    What?  Service (private, public, ...
Due Diligence               1.      Is vendor viable?               2.      Identity of data center operator and location ...
Encryption vs. Destruction             Payment Card Industry Data Security Standard (PCI‐DSS)                  Immediate...
Data Security        Vital to select a vendor with adequate security:               1.     Agreement should include minimu...
Privacy Considerations     Information Privacy.  If vendor has access to sensitive data (SSN,      account #, patient info...
SLAs and Performance       Identify concrete service level requirements:       • SLA definitions       • Availability/Upti...
Managing Liability        • Indemnification provisions                – address breach of security / confidentiality oblig...
Transition from Current Provider        • Include a transition assistance provision requiring           the vendor to assi...
Suggested Actions        • Understand the risks               – Educate yourself               – Bring in experts         ...
Mitigating the Risks    • Contract           – Find an attorney well versed in Cloud issues           – Be sure your contr...
Audits ‐ Lack of Standards© 2011 UHY LLP                           21Nelson Mullins Riley & Scarborough LLP
Summary of the Risks       • Cloud Computing lacks a broadly accepted standard for          secure access and data handlin...
MISSION STATEMENT             To promote the use of best practices for             providing security assurance within Clo...
Additional Resources                             Questions?••    http://www.aicpa.or...
Upcoming SlideShare
Loading in …5

Security And Legal In The Cloud Ats V2


Published on

An exploration of the key security and legal issues of Cloud Computing.

Published in: Technology, Business
1 Like
  • Be the first to comment

No Downloads
Total views
On SlideShare
From Embeds
Number of Embeds
Embeds 0
No embeds

No notes for slide

Security And Legal In The Cloud Ats V2

  1. 1. Security and Legal Issues in an  Era of Cloud Computing  1(c) 2011 UHY LLP
  2. 2. Why is Cloud Computing Attractive? • Elasticity – rapid provisioning and scalability • Efficiency – pay as you go  • On demand self service  • Resource pooling – shared expertise • Ubiquitous availability – internet connectivity© 2011 UHY LLP  2Nelson Mullins Riley & Scarborough LLP
  3. 3. Cloud vs. Private • Risks are the same: Data Security  – Confidentiality – Integrity – Availability • Risk can be: – Accepted (no action taken) – Transferred (bonding, insurance) – Mitigated (create controls)  • Cannot outsource responsibility© 2011 UHY LLP  3Nelson Mullins Riley & Scarborough LLP
  4. 4. What to consider ……… Same How would we be harmed if…… – our data became publicly available? – unauthorized access to our data? – Process or function gave improper results? – unauthorized changes to the data? – data or process was unavailable for hours, days?© 2011 UHY LLP  4Nelson Mullins Riley & Scarborough LLP
  5. 5. Security in the Cloud • “In the Cloud, step one is trusting, and thats not  security — thats hope.”  ‐ Andrew Walls, Gartner Group© 2011 UHY LLP  5Nelson Mullins Riley & Scarborough LLP
  6. 6. Security Benefits of Cloud Computing • Economies of Scale – security resources are  cheaper when implemented on a larger scale • Focused Expertise – more experts available • Standardized vulnerability management  – pre‐hardened  – regularly updated patches and security settings • Market differentiator – your business can market  security capabilities of your cloud provider© 2011 UHY LLP  6Nelson Mullins Riley & Scarborough LLP
  7. 7. Security in the Cloud Key Difference = CONTROL • Loss of Direct access ‐ In the Cloud you are at least one  step removed • Multi‐tenancy – not an issue in private computing, no  shared devices or services • Commingling – will your data be mixed in with other  clients?  How will it be segregated? • Resource Pooling – how will resource conflicts be  resolved?  Who gets first response?© 2011 UHY LLP  7Nelson Mullins Riley & Scarborough LLP
  8. 8. Security in the Cloud • CP failure or acquisition – if your CP goes out of business or  gets acquired by a competitor, where do you stand? • Hypervisor compromise – If control of hypervisor is  compromised, ALL virtual machines are at risk • Ineffective data deletion – if you change providers does  your data get destroyed? Unintentional destruction? • Legal snafus – if Company A has their data subpoenaed  and your data is also on the same device, what happens to  your data?© 2011 UHY LLP  8Nelson Mullins Riley & Scarborough LLP
  9. 9. Recent Cloud “Events” • Gmail outage Feb 2011 – 140,000 accounts lost  • Epsilon mail services breach – April 2011  – Over 50 companies affected – Millions of email addresses (passwords?) compromised • Amazon web services outage – April 2011 – Reddit, Hootsuite, Foursquare down – Human error on applying a patch© 2011 UHY LLP  9Nelson Mullins Riley & Scarborough LLP
  10. 10. Legal and Contract  Issues • Who? • What? • When? • Where? • How?© 2011 UHY LLP  10Nelson Mullins Riley & Scarborough LLP
  11. 11. Legal and Contract  Issues • Who?   Responsible, Perform, Initiate • What?  Service (private, public, community), Options • When?  Alerts, reporting, audits • Where? Data, facilities, call center, legal jurisdiction  • How?  Measures, KPIs, escalation, penalties, alerts© 2011 UHY LLP  11Nelson Mullins Riley & Scarborough LLP
  12. 12. Due Diligence 1. Is vendor viable? 2. Identity of data center operator and location ‐ outside  your home state?  Outside of the US.? 3. Are subcontractors used? 4. How is client data segregated? 5. What technological/electronic measures are used to  protect client data?  6. Is PCI or HIPAA compliance guaranteed? How? 7. Can operations deal with suspension of services? 8. How hard would it be to transition to a new vendor? 9. Confirm compliance with applicable bar (legal ethics)© 2011 UHY LLP  12Nelson Mullins Riley & Scarborough LLP
  13. 13. Encryption vs. Destruction  Payment Card Industry Data Security Standard (PCI‐DSS)  Immediate, secure destruction of sensitive data   PCI mandates the use of strong encryption of "cardholder data"  during transmission over open or public networks.   State and FACTA Secure Destruction Laws  Secure destruction when no longer needed  HIPAA Security  Encryption on a par with destruction  Breach Notification  Intrusion detection© 2011 UHY LLP  13Nelson Mullins Riley & Scarborough LLP
  14. 14. Data Security Vital to select a vendor with adequate security: 1. Agreement should include minimum security and  infrastructure practices; 2. Require that security practices be regularly updated; 3. Customer must have the right to perform regular  audits to confirm compliance; 4. Third party verification and/or certification               (e.g., ISO, SOC, PCI). © 2011 UHY LLP  14Nelson Mullins Riley & Scarborough LLP
  15. 15. Privacy Considerations Information Privacy.  If vendor has access to sensitive data (SSN,  account #, patient information, etc.), agreement should cover: • Requirement to maintain all legal, technical and procedural  compliance with consumer privacy laws; • Social Security number laws; secure destruction and security  procedures laws; • Security breach notification laws (along with verification of  incident response policy and reimbursement of costs arising  from security breach); and • Address user privacy and whether vendor has the right to  retain and/or use data.© 2011 UHY LLP  15Nelson Mullins Riley & Scarborough LLP
  16. 16. SLAs and Performance Identify concrete service level requirements: • SLA definitions • Availability/Uptime (e.g. 99.9%)  • Performance Standards per Transaction (load and response  times) • Scalability/Redundancy (address peak traffic capacity issues) • Error correction time – Definition of “error” • Problem Resolution and Notification (detail resolution of hosting  issues, root cause analysis) • Quality of service • Root Cause Analysis • Specify Penalties for Non‐performance (liquidated  damages/credits and termination rights) • SLAs/KPIs unique to your business needs© 2011 UHY LLP  16Nelson Mullins Riley & Scarborough LLP
  17. 17. Managing Liability • Indemnification provisions  – address breach of security / confidentiality obligations,  negligence criteria (confidential data and IP infringement); • Require vendor to have adequate cyber‐risk insurance • Exclude indemnification obligations and damages  arising from breach of confidentiality / security  provisions from cap on liability and exclusions of  consequential damages.© 2011 UHY LLP  17Nelson Mullins Riley & Scarborough LLP
  18. 18. Transition from Current Provider • Include a transition assistance provision requiring  the vendor to assist customer with transition to a  new vendor. • Require the return or secure destruction of all  data held by vendor. • Have right to verify compliance. • Transition period may last from 30 days to 6  months.© 2011 UHY LLP  18Nelson Mullins Riley & Scarborough LLP
  19. 19. Suggested Actions • Understand the risks – Educate yourself – Bring in experts – Look at the big picture • Mitigate the risks – Contract and SLAs – Third party audit  (ISO, SSAE 16, SOC 2, SOC 3)© 2011 UHY LLP  19Nelson Mullins Riley & Scarborough LLP
  20. 20. Mitigating the Risks • Contract – Find an attorney well versed in Cloud issues – Be sure your contract addresses all your concerns • Confidentiality, Integrity, Availability clause • Change clause • Audit clause • Data ownership, location, transfer clauses – Enlist your own security experts during negotiation© 2011 UHY LLP  20Nelson Mullins Riley & Scarborough LLP
  21. 21. Audits ‐ Lack of Standards© 2011 UHY LLP  21Nelson Mullins Riley & Scarborough LLP
  22. 22. Summary of the Risks • Cloud Computing lacks a broadly accepted standard for  secure access and data handling  • Cloud Computing is not intended to be location  specific– where is your data?  If you don’t know where  your data is, you cannot hope to secure it. • Cloud Computing is often pursued without adequate  concern for security arrangements • Cloud Computing presents new legal / contract issues • Cloud Computing lacks a standard for third‐party audit© 2011 UHY LLP  22Nelson Mullins Riley & Scarborough LLP
  23. 23. MISSION STATEMENT To promote the use of best practices for  providing security assurance within Cloud  Computing, and provide education on the  uses of Cloud Computing to help secure all  other forms of computing.© 2011 UHY LLP  23Nelson Mullins Riley & Scarborough LLP
  24. 24. Additional Resources Questions?••• David Barton  Amanda Witt Principal Of Counsel UHY LLP Nelson Mullins Riley &  Scarborough LLP dbarton@uhy‐ 24