Mulighederne for at få en sikker sky<br />Lars Neupart<br />DI ITEK: It-sikkerhedsudvalg og bestyrelse<br />Cloud Security...
DI ITEK’s sikkerhedsarbejde<br />Siden 2001<br />Uafhængig af enkeltinteresser<br />Brugere (600) og leverandører (35) i f...
Cloud Security Alliance<br />En non profit organisation, startet i USA, med chapters i flere lande<br />http://cloudsecuri...
Om Neupart<br />Vi hjælper jer med at leve op til it-sikkerhedskrav på en tryg og effektiv måde<br />Krav fra kunder, sama...
Anbefalede vejledninger:<br />
DI ITEK Opsummering<br />Cloud computing er ikke revolutionerende! Det er bare outsourcing på en anden måde, end vi er van...
IDC<br />IDC’s worldwide forecast for cloud services :<br />			2009 			2013<br />Verden  		$17 MIA. 		$44 MIA<br />EU 			€...
What is Cloud Computing?<br />Compute as a utility: third major era of computing<br />Mainframe<br />PC Client/Server<br /...
Defining Cloud<br />On demand provisioning<br />Elasticity<br />Multi-tenancy<br />Key types<br />Infrastructure as a Serv...
S-P-I Framework<br />You “RFP”<br />security in<br />SaaS<br />Software as a Service<br />You build<br />security in<br />...
Is Cloud Computing Working? <br />Eli Lilly<br />New drug research project<br />IT promised system in 3 months, > $100,000...
How will Cloud Computing play out?<br />Much investment in private clouds for 3-5 years<br />Compliance use cases being de...
CSA Guidance Domains<br />I : 1:Understand Cloud Architecture<br />II: Governing in the Cloud<br /> 2: Governance and Ente...
Survey Results<br />
Cloud Controls Matrix Tool<br />Controls derived from guidance<br />Rated as applicable to S-P-I<br />Customer vs Provider...
Masser af problemer<br />Cloud-leverandørkonkurs –  dine data og din forretning?<br />Leverandør lever ikke op tilSLA’er<b...
Persondata i skyen?<br />EU betragtes sikkert.<br />Sikre 3. lande:<br />Schweiz <br />Canada (begrænset anvendelsesområde...
Persondata i skyen?<br />Bolig, bil, eksamen, ansøgning, CV<br />ansættelsesdato, stilling, arbejdsområde, arbejdstelefon<...
Summary<br />Cloud Computing is real and transformational<br />Challenges for People, Process, Technology,  Organizations ...
Anbefalinger<br />
Upcoming SlideShare
Loading in …5
×

Muligheder for sikker cloud computing

650 views

Published on

Præsentation hos hos ITST 22 juni 2010 på seminaret: "Kan jeg få en sikker sky?".

Published in: Technology, Business
0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
650
On SlideShare
0
From Embeds
0
Number of Embeds
8
Actions
Shares
0
Downloads
5
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide
  • Nej det hele forsvinder ikke, men noget af det gør temmeligt sikkert.
  • Dansk vejledning  Gennemgår bl.a. Fordele og ulemper med CCENISA:In-depth and independent analysis benefits and key security risks of cloud computing. Practical recommendations.Non-profit org for brugere, leverandørerogalle med interesse I at gøreskyen mere sikker
  • The NIST diagram provides a good visualization of what it is, what types of services are delivered and how it is deployed.
  • The security approach and role varies depending on the delivery model
  • Bank stævner Google for at få oplyst Gmail-brugers identitet: Banken havde sendt lånedokument til forkert modtager og ved en fejl vedhæftet et dokument med fortrolige oplysninger om 1.325 virksomheder og personer. Banken bad bruger slette – ingen reaktionBad Google om information om brugeren.Google nægtede uden retskendelse. Dommerkendelse pålagde Google at oplyse, om kontoen var aktiv, og om mailen havde været åbnet. Ville også pålægge at lukke kontoen. Mailen var aldrig blevet åbnetKilde: The Registerflere artikler
  • Muligheder for sikker cloud computing

    1. 1. Mulighederne for at få en sikker sky<br />Lars Neupart<br />DI ITEK: It-sikkerhedsudvalg og bestyrelse<br />Cloud Security Alliance medlem<br />Neupart A/S: Direktør og stifter<br />LN@neupart.com<br />
    2. 2. DI ITEK’s sikkerhedsarbejde<br />Siden 2001<br />Uafhængig af enkeltinteresser<br />Brugere (600) og leverandører (35) i fællesskab giver afbalancerede anbefalinger<br />Vejledning om informationssikkerhed til erhvervslivet - f.eks.:<br />Ledelse, Trusler, Standarder, Spam, Spyware, Phishing, Privacy, Cloud<br />Politisk indsats på området<br />Offentlig awareness om emnet<br />Repræsentation i mange sammenhænge<br />
    3. 3. Cloud Security Alliance<br />En non profit organisation, startet i USA, med chapters i flere lande<br />http://cloudsecurityalliance.org<br />The Cloud Security Alliance is a non-profit organization formed to promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.<br />
    4. 4. Om Neupart<br />Vi hjælper jer med at leve op til it-sikkerhedskrav på en tryg og effektiv måde<br />Krav fra kunder, samarbejdspartnere, danske og internationale standarder, ”almindelig god skik”, lovgivning m.m.<br />ISO27001-certificeret<br />Første it-virksomhed og eneste it-sikkerhedsleverandør i DK<br />Gazelle 2009<br />198% vækst i bruttofortjeneste 2005 - 2008<br />
    5. 5. Anbefalede vejledninger:<br />
    6. 6. DI ITEK Opsummering<br />Cloud computing er ikke revolutionerende! Det er bare outsourcing på en anden måde, end vi er vant til.<br />Cloud Computing kan være en udmærket ting for mindre virksomheder. Det gør det let at starte op, og har man ikke fokus på sikkerhed, kan det ofte give en bedre sikkerhed, end man selv er i stand til at præstere. Små virksomheder bør absolut overveje at kigge på cloud computing.<br />Har man sin egen sikkerhedsafdeling og god styr på sikkerheden, er cloud computing nok ikke så interessant, men kan måske bruges på delområderi lighed med andre former for outsourcing.<br />Bruger man cloud computing skal man være opmærksom på, hvordan ens data og applikationer er beskyttet hos serviceudbyderen, hvad der sker hvis udbyderen går fallit, hvilket land data hostes i m.v. Der er altså behov for en særlig sikkerheds- og kontrolindsats.<br />
    7. 7. IDC<br />IDC’s worldwide forecast for cloud services :<br /> 2009 2013<br />Verden $17 MIA. $44 MIA<br />EU €971m €6,005m <br />KildeEnisa, dec ´09<br />
    8. 8. What is Cloud Computing?<br />Compute as a utility: third major era of computing<br />Mainframe<br />PC Client/Server<br />Cloud computing: On demand model for allocation and consumption of computing<br />Cloud enabled by<br />Moore’s Law: Costs of compute & storage approaching zero<br />Hyperconnectivity: Robust bandwidth from dotcom investments<br />Service Oriented Architecture (SOA)<br />Scale: Major providers create massive IT capabilities <br />
    9. 9. Defining Cloud<br />On demand provisioning<br />Elasticity<br />Multi-tenancy<br />Key types<br />Infrastructure as a Service (IaaS): basic O/S & storage<br />Platform as a Service (PaaS): IaaS + rapid dev<br />Software as a Service (SaaS): complete application<br />Public, Private, Community & Hybrid Cloud deployments<br />
    10. 10. S-P-I Framework<br />You “RFP”<br />security in<br />SaaS<br />Software as a Service<br />You build<br />security in<br />PaaS<br />Platform as a Service<br />IaaS<br />Infrastructure as a Service<br />
    11. 11. Is Cloud Computing Working? <br />Eli Lilly<br />New drug research project<br />IT promised system in 3 months, > $100,000 USD<br />Scientist completed in one day in cloud, < $500 USD<br />Japanese government agencies<br />RFP for custom software development<br />Chose PaaS for 25% of cost and deployment time over traditional software house<br />
    12. 12. How will Cloud Computing play out?<br />Much investment in private clouds for 3-5 years<br />Compliance use cases being developed<br />Cloud assurance ecosystem being built<br />Public clouds will eventually dominate<br />Virtual private clouds compromise between public and private<br />All IT professions impacted<br />
    13. 13. CSA Guidance Domains<br />I : 1:Understand Cloud Architecture<br />II: Governing in the Cloud<br /> 2: Governance and Enterprise Risk Management<br /> 3: Legal and Electronic Discovery<br /> 4: Compliance and Audit<br /> 5: Information Lifecycle Management<br /> 6: Portability and Interoperability<br />III: Operating in the Cloud.<br /> 7: Traditional Security, Business Continuity, and Disaster Recovery<br /> 8: Data Center Operations.<br /> 9: Incident Response, Notification, and Remediation<br /> 10: Application Security <br /> 11: Encryption and Key Management<br /> 12: Identity and Access Management <br /> 13: Virtualization <br />
    14. 14. Survey Results<br />
    15. 15. Cloud Controls Matrix Tool<br />Controls derived from guidance<br />Rated as applicable to S-P-I<br />Customer vs Provider role<br />Mapped to ISO 27001, COBIT, PCI, HIPAA<br />Help bridge the gap for IT & IT auditors<br />
    16. 16. Masser af problemer<br />Cloud-leverandørkonkurs – dine data og din forretning?<br />Leverandør lever ikke op tilSLA’er<br />Leverandør med ringe “business continuity planning”<br />Datacentreilande med “uvenlig” lovgivning<br />Leverandør-lock-in med proprietæreteknologierog data formater<br />Ressourcer deles med andrekunder– måskeenddakonkurrenter<br />Leverandør-fejlfårmegetstørrekonsekvenser end fejl I intern-it-afdeling.<br />Ogmeget, meget mere……<br />
    17. 17. Persondata i skyen?<br />EU betragtes sikkert.<br />Sikre 3. lande:<br />Schweiz <br />Canada (begrænset anvendelsesområde - se Kommissionens)<br />Argentina <br />Guernsey <br />USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) <br />Isle of Man <br />Jersey <br />Safe Harbor – ca. 2.000 virksomheder<br />Liste hos Export.gov<br />Datatilsynet<br />Udtalelse hvis data omfattet af persondatalovens §§ 7-8<br />Datatilsynets vejledning<br />
    18. 18. Persondata i skyen?<br />Bolig, bil, eksamen, ansøgning, CV<br />ansættelsesdato, stilling, arbejdsområde, arbejdstelefon<br />CPR-nummer, økonomi, skat, gæld, <br />sygedage, tjenstlige forhold, familieforhold<br />Race, religion, helbred, <br />sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet, <br />personlighedstest<br />Stamoplysninger: Navn, adresse, <br />fødselsdato<br />
    19. 19. Summary<br />Cloud Computing is real and transformational<br />Challenges for People, Process, Technology, Organizations and Countries<br />Broad governance approach needed<br />Tactical fixes needed<br />Combination of updating existing best practices and creating completely new best practices<br />Common sense not optional<br />
    20. 20. Anbefalinger<br />
    21. 21. Tak – og mere info:<br />http://itek.di.dk/Shop/Produktside/Pages/produktside.aspx?productid=8036<br />http://cloudsecurity.org/2009/11/20/enisa-cloud-security-risk-assessment/<br />www.cloudsecurityalliance.org<br />www.linkedin.com/groups?gid=1864210<br />www.neupart.dk<br />
    22. 22. Extra<br />
    23. 23. DI ITEK: Sikkerhedsovervejelser<br />Risikobilledet ændres<br />Behov for dataklassifikation øges<br />Omkostninger (spar, spredt, kontrol)<br />Specialister og nye muligheder<br />Døgnservice<br />Egenkontrol mistes<br />Tilgængelighed, fortrolighed og integritet<br />Business continuity / disaster recovery<br />
    24. 24. DI ITEK Kontrolovervejelser<br />Kontrol med leverandøren (certificeringer politikker, procedurer, økonomi hos leverandør)<br />Kontrol med data og compliance med lovgivning samt logning<br />Risikostyring (risici hos leverandør og underleverandør)<br />Funktionsadskillelse, backup og datasletning hos leverandør<br />Kontrol med håndtering af sikkerhedshændelser<br />Krypteringskontrol<br />Adgangskontrol<br />Lagring<br />

    ×