Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Velkommen til webinar       med Dansk IT og Neupart:Risikostyring - også i skyen!              Lars Neupart
De største forhindringer?       Uvished om      sikkerhed og        persondata      © Neupart A/S
Bange, undseelig, benovet, blufærdig, bly,forlegen, genert, skamfuld Hvad betyder    sky  og så er der……de der hvide,     ...
hvem regnede med, atnogen skulle forbinde  skyer eller ”cloud” med noget sikkert ?
Masser af trusler  Cloud-leverandør konkurs – dine data og din forretning?  Leverandør lever ikke op til SLA’er  Leverandø...
Survey ResultsTop Ranked ThreatsRANK                                                           PERCENT1)     Data Loss/Lea...
Defining Cloud•   On demand provisioning•   Elasticity•   Multi-tenancy•   Key types    • Infrastructure as a Service     ...
S-P-I Framework                                                              You “RFP”                                    ...
Eksempler på SaaS  Salesforce.com  Google Apps og Google Docs  MS Office 365                         DEMO af  Gmail & Hotm...
Eksempler på PaaS  Google Apps Engine  Microsoft Azure  Force.com (platform for Salesforce.com)  Amazon Beanstalk         ...
Eksempler på IaaS  Amazon EC2  Rackspace Cloud  Microsoft Azure                      DEMO af EC2:                      Såd...
Top 5 ”hæmmere” ifølge Gartner  Risk testing  Data location  Data and code portability  Data loss  Data security  Vendor v...
CSA GRC stack  CloudAudit     API til ”audit”  Cloud Controls Matrix     Best practice kontrolmål for kunder såvel som udb...
Cloud Security Alliance STAR Cloud-leverandører offentliggør deres “self-assessment”. Baseret på CSA’s Control Matrix. Mul...
Undgå denne situation…•   http://www.youtube.com/watch?v=VjfaCoA2sQk        © Neupart A/S
Dit eget ansvar som cloud-kunde                         Forebyggende              Udbedrende                             t...
Persondata i skyen?
Først lidt afgrænsning...                       Bolig, bil, eksamen, ansøgning, CV              ansættelsesdato, stilling,...
Persondata i skyen?Generelt betragtet:   EU betragtes sikre af Datatilsynet   Sikre 3. lande:       Schweiz       Canada (...
En case: Odense Kommune  Et ønske om at bruge Google Docs til     elevplaner er ikke muligt i følge    Datatilsynet med mi...
Elevplaner  Kommunikation mellem skole og hjem  Indeholder potentielt følsomme  oplysninger     Sociale forhold     Helbre...
Google Analytics  Datatilsynet i Norge siger nej  IP numre er personhenførbare  Cookies      © Neupart A/S
Datatilsynet om Office 365  Kunden har ansvar for sikkerhed I Office 365  Microsoft har ansvar for sikkerhedsforanstaltnin...
It-universitetet  Datatilsynet om Office 365 på ITU:  Spørgsmål om tilstrækkelig risikovurdering.  DT vil ikke godkende da...
Ville I være trygge ved at læggejeres egne persondata ud i skyen?        F.eks. hos Google...
Risikovurdering
Cloud versus egen IT                                  For cloud                                  •Forretningsfokus (Hvad e...
Cloud vs. klassisk outsourcing                                       For cloud                                       •Kapa...
Først en forkortelse: GRCIT GRC kan være med til at vurdere og sikre        jeres anvendelse af skyen      © Neupart A/S
Sådan kan GRC hjælpe med skyen:  IT Governance:      Beslut formål, strategi og operationelle regler for anvendelse af clo...
Cloud computing og DS 484                             DS 484 er relativt                             system-orienteret    ...
Cloud computing og ISO 2700127001 beskriver krav tilledelsessystem. Nøgleord:   Plan–>do –>check –> act   Politik   Risiko...
Sådan risikovurderer vi traditionelt        Aktiv-hierarki                             Aktiv-type-hierarki             Fin...
Ny afhængighed– men samme metode for vurdering Forretnings-             Forretnings-      Konsekvensværdier   proces      ...
Cloud-relevante kontrol-områder:© Neupart A/SG R C                                                           Input til jer...
er skyen sikker?
dumt spørgsmål!er skyen sikker?
bedre:er skyen sikker   nok?
svar: et rungendemåske!– kan være bedre, kan være værre…      afhænger af mange forhold,   som du (heldigvis) kan risikovu...
3 trin til skyen1.   Klassificér jeres data2.   Vurder relevante trusler3.   Vurder forretningskonsekvens     (BIA)       ...
Kursus-nyhedNeupart introducererkursus med certificering fraCloud Security Alliance:CCSKCertificate of CloudSecurity Knowl...
Om Neupart  Neupart A/S hjælper virksomheder med it-  risikostyring og med at leve op til  sikkerhedskrav. Også i skyen!  ...
Kontakt information:Lars NeupartLN@neupart.com70258030
Dansk It Neupart Cloud Sikkerhed Risikovurdering
Upcoming SlideShare
Loading in …5
×

Dansk It Neupart Cloud Sikkerhed Risikovurdering

510 views

Published on

Indhold
Cloud computing bliver stadig mere udbredt blandt virksomheder i Danmark – økonomi- og salgssystemer og backup af data flyttes nu ud i skyen.

Mens cloud computing giver virksomheder en række åbenlyse fordele (fleksibel adgang, opdateret software, billigere drift af it-systemer etc.), så er der desværre også en række sikkerhedstrusler forbundet med brug af cloud computing. På dette webinar lærer du at kunne vurdere og styre disse trusler, og hvordan du kan vurdere, om sikkerheden hos cloud-leverandørerne er god nok. Dette webinar er din genvej til at kunne foretage ansvarlige og professionelle risikovurderinger!

Du bliver præsenteret for en række cloud-specifikke trusler og du vil få værktøjerne til at kunne foretage professionelle risikovurderinger.

  • Be the first to comment

Dansk It Neupart Cloud Sikkerhed Risikovurdering

  1. 1. Velkommen til webinar med Dansk IT og Neupart:Risikostyring - også i skyen! Lars Neupart
  2. 2. De største forhindringer? Uvished om sikkerhed og persondata © Neupart A/S
  3. 3. Bange, undseelig, benovet, blufærdig, bly,forlegen, genert, skamfuld Hvad betyder sky og så er der……de der hvide, ? luftige, uigennemsigtige tingester på himlen….
  4. 4. hvem regnede med, atnogen skulle forbinde skyer eller ”cloud” med noget sikkert ?
  5. 5. Masser af trusler Cloud-leverandør konkurs – dine data og din forretning? Leverandør lever ikke op til SLA’er Leverandør med ringe “business continuity planning” Datacentre i lande med “uvenlig” lovgivning Leverandør-lock-in med proprietære teknologier og data formater Ressourcer deles med andre kunder– måske endda konkurrenter Leverandør-fejl får meget større konsekvenser end fejl I intern-it-afdeling. Og meget, meget mere……
  6. 6. Survey ResultsTop Ranked ThreatsRANK PERCENT1) Data Loss/Leakage 28.8%2) Abuse and Nefarious use of Cloud 17.8% Computing3) Insecure API’s 15.1%4) Malicious Insiders 11.0%5) Account/Service and Traffic Hijacking 9.6%6) Unknown Risk Profile 9.6%7) Shared Technology Vulnerabilities 8.2% Copyright © 2010 Cloud Security Alliance www.cloudsecurityalliance.org
  7. 7. Defining Cloud• On demand provisioning• Elasticity• Multi-tenancy• Key types • Infrastructure as a Service (IaaS): basic O/S & storage • Platform as a Service (PaaS): IaaS + rapid dev • Software as a Service (SaaS): complete application • Public, Private, Community & Hybrid Cloud deployments Copyright © 2010 Cloud Security Alliance www.cloudsecurityalliance.org
  8. 8. S-P-I Framework You “RFP” security in SaaS Software as a Service You build security in PaaS Platform as a Service IaaSInfrastructure as a Service Copyright © 2010 Cloud Security Alliance www.cloudsecurityalliance.org
  9. 9. Eksempler på SaaS Salesforce.com Google Apps og Google Docs MS Office 365 DEMO af Gmail & Hotmail SalesForce.com E-conomic (dansk) Sådan kan et CRM i skyen se ud © Neupart A/S
  10. 10. Eksempler på PaaS Google Apps Engine Microsoft Azure Force.com (platform for Salesforce.com) Amazon Beanstalk DEMO af Force.com © Neupart A/S
  11. 11. Eksempler på IaaS Amazon EC2 Rackspace Cloud Microsoft Azure DEMO af EC2: Sådan opretter du en server i skyen © Neupart A/S
  12. 12. Top 5 ”hæmmere” ifølge Gartner Risk testing Data location Data and code portability Data loss Data security Vendor viability
  13. 13. CSA GRC stack CloudAudit API til ”audit” Cloud Controls Matrix Best practice kontrolmål for kunder såvel som udbydere af cloud Consensus Assesment Initiative Spørgeskema
  14. 14. Cloud Security Alliance STAR Cloud-leverandører offentliggør deres “self-assessment”. Baseret på CSA’s Control Matrix. Muligt grundlag for fremtidig certificering https://cloudsecurityalliance.org/STAR
  15. 15. Undgå denne situation…• http://www.youtube.com/watch?v=VjfaCoA2sQk © Neupart A/S
  16. 16. Dit eget ansvar som cloud-kunde Forebyggende Udbedrende tiltag tiltag Sikkerheds- Beredskabs- politik strategi Logning Vanskeligere at Compliance It-beredskabsplan overlade til cloud- Administrative checks leverandører Awareness tiltag Ændrings- System- Disaster Recovery styring dokumentation procedurer Firewall Antivirus Standby- Standby- Fysiske / tekniske udstyr driftscenter Lettere at Alarm- RAID tiltag Virtualisering Backup overlade til cloud- system Redundans leverandører Adgangskontrol- Server-snapshots system Brandslukning Server- cluster
  17. 17. Persondata i skyen?
  18. 18. Først lidt afgrænsning... Bolig, bil, eksamen, ansøgning, CV ansættelsesdato, stilling, arbejdsområde, arbejdstelefon CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet, personlighedstest Stamoplysninger: Navn, adresse, fødselsdato © Neupart A/S
  19. 19. Persondata i skyen?Generelt betragtet: EU betragtes sikre af Datatilsynet Sikre 3. lande: Schweiz Canada (begrænset anvendelsesområde - se Kommissionens) Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey Safe Harbor – ca. 2.000 virksomheder Liste hos Export.gov © Neupart A/S
  20. 20. En case: Odense Kommune Et ønske om at bruge Google Docs til elevplaner er ikke muligt i følge Datatilsynet med mindre en række forhold ændres eller dokumenteres
  21. 21. Elevplaner Kommunikation mellem skole og hjem Indeholder potentielt følsomme oplysninger Sociale forhold Helbredsoplysninger Psykisk ”profil” af elever Etc. © Neupart A/S
  22. 22. Google Analytics Datatilsynet i Norge siger nej IP numre er personhenførbare Cookies © Neupart A/S
  23. 23. Datatilsynet om Office 365 Kunden har ansvar for sikkerhed I Office 365 Microsoft har ansvar for sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. http://www.datatilsynet.dk/afgoerelser/arkiv-over- afgoerelser/artikel/behandling-af-personoplysninger-i- cloud-loesningen-office-365/ © Neupart A/S
  24. 24. It-universitetet Datatilsynet om Office 365 på ITU: Spørgsmål om tilstrækkelig risikovurdering. DT vil ikke godkende databehandler aftaler ITU’s ansvar for sikkerheden hos Microsoft indskærpes (!) ;-) http://www.datatilsynet.dk/afgoerelser/arkiv-over- afgoerelser/artikel/it-universitetet-i-koebenhavns- brug-af-microsofts-cloud-loesning-office-365/ © Neupart A/S
  25. 25. Ville I være trygge ved at læggejeres egne persondata ud i skyen? F.eks. hos Google...
  26. 26. Risikovurdering
  27. 27. Cloud versus egen IT For cloud •Forretningsfokus (Hvad er vores egen ekspertise egentlig?) •Kapacitet, skalerbarhed, ”elasticitet” i servicen •Forretningen vil have det For egen IT •Cloud specifikke trusler •Compliance-krav •Vi ved hvad vi har.. © Neupart A/S
  28. 28. Cloud vs. klassisk outsourcing For cloud •Kapacitet, skalerbarhed, ”elasticitet” i servicen •Forretningen vil have det For klassisk outsourcing •Individuelle kontraktkrav kan bedre tilgodeses •Vi ved hvad vi har.. © Neupart A/S
  29. 29. Først en forkortelse: GRCIT GRC kan være med til at vurdere og sikre jeres anvendelse af skyen © Neupart A/S
  30. 30. Sådan kan GRC hjælpe med skyen: IT Governance: Beslut formål, strategi og operationelle regler for anvendelse af cloud-services. Dvs. opdatér jeres politik/regler/håndbøger IT Risikovurdering og –styring: Konsekvensvurdér: Kig på de forretningsprocesser der afhænger / skal afhænge af cloud services. Sårbarhedsvurder: Undersøg cloud leverandørens sårbarhed. Gennemgå sikkerhedsdokumentation og vilkår. ISO 27005 er meget velegnet som metode. CSA og ENISA chekclister. IT Compliance: Data-klassificering hjælper på vej. Aftaler/forpligtelser med kunder, partnere m.fl. Der er forskel på persondata – persondata i skyen er ikke forbudt som udgangspunkt © Neupart A/S G R C
  31. 31. Cloud computing og DS 484 DS 484 er relativt system-orienteret Mange detaljerede krav til sikrings- foranstaltninger og implementering DS 484 udkom før cloud computing © Neupart A/S G R C
  32. 32. Cloud computing og ISO 2700127001 beskriver krav tilledelsessystem. Nøgleord: Plan–>do –>check –> act Politik Risikovurdering Intern audit Ledelsesvurdering Løbende forbedringer © Neupart A/S G R C
  33. 33. Sådan risikovurderer vi traditionelt Aktiv-hierarki Aktiv-type-hierarki Finans Business Product Business Service Business Division Konsekvensværdier ERP Business Function arves nedad Business Process Supporting Process Key Employee External Resource Finans-DB IT Service Outsourced Service Physical Documents DatabaseDynamics AOS Data Files Business System Data Storage System SQL 01 Infrastructure System Logical Server Logical Storage Logical Network Server 01 Software Product Server 02 Hardware Unit Communication Line Supply System Data CenterHP DL380 Com. Center SårbarhedsværdierSerial abc0987654321 HP DL380 Supply Center Serial xyz1234567890 Document Archive arves opad Workspace Data Center A G R C
  34. 34. Ny afhængighed– men samme metode for vurdering Forretnings- Forretnings- Konsekvensværdier proces proces arves nedadIt-services fra It-services fra egen it. cloud- Sårbarhedsværdier arves opad leverandører © Neupart A/S G R C
  35. 35. Cloud-relevante kontrol-områder:© Neupart A/SG R C Input til jeres risikovurdering Kombi af CSA og ENISA’s checklister, anvendt i Neuparts vurdering af Google, Force.com, MS Azure. neupart.dk/sky
  36. 36. er skyen sikker?
  37. 37. dumt spørgsmål!er skyen sikker?
  38. 38. bedre:er skyen sikker nok?
  39. 39. svar: et rungendemåske!– kan være bedre, kan være værre… afhænger af mange forhold, som du (heldigvis) kan risikovurdere
  40. 40. 3 trin til skyen1. Klassificér jeres data2. Vurder relevante trusler3. Vurder forretningskonsekvens (BIA) © Neupart A/S
  41. 41. Kursus-nyhedNeupart introducererkursus med certificering fraCloud Security Alliance:CCSKCertificate of CloudSecurity Knowledge © Neupart A/S
  42. 42. Om Neupart Neupart A/S hjælper virksomheder med it- risikostyring og med at leve op til sikkerhedskrav. Også i skyen! Cloud-sikkerhed Bliv personligt certificeret CCSK : Certificate of Cloud Security Knowledge Neupart er Training Partner med Cloud Security Alliance ISO27001-certificeret Eneste it-sikkerhedsleverandør i DK, første it-virksomhed Certificeret siden 2003 (BS7799 / ISO 27001) © Neupart A/S
  43. 43. Kontakt information:Lars NeupartLN@neupart.com70258030

×