Leverandør-evaluering og Compliance & sikkerhed er discipliner, som er blevet endnu mere aktuelle med introduktionen af EU GDPR. Dubex har erfaring med at rådgive kunder i de fleste brancher i Danmark og giver her et overblik over, hvilke metoder de anbefaler.
Jakob Herbst, CTO, Dubex
Uden sikkerhed og compliance - ingen digital transformationMicrosoft
Skal du udnytte potentialet i den digitale transformation, er du nødt til at have begrundet tillid til den eller de platforme, virksomheder og produkter, du vælger til rejsen. Digitaliseringen rummer store muligheder, men bringer også nye trusler og faldgruber med sig, når det gælder datasikkerhed og compliance. Sessionen introducerer konceptet Microsoft Secure og beskriver, hvordan du skaber et sikkert grundlag for jeres digitale transformation.
Ole Kjeldsen, National Technology Officer, Microsoft
Præsentation leveret til eSec Managed Security A/S.
eSec leverer sikkerhedsydelser på it-området. Målgruppen er danske virksomheder, hvor it-driften er mere kritisk end normalt. Præsentationen benyttes både på hjemmesiden og ved kundemøder. På møder kan den danne grundlag for præsentationer fra 10-30 minutter.
This document provides an agenda for a 30 minute session on Microsoft security assets. The agenda includes an introduction, overview of the Coretech approach, and questions about why, how, and who. It then outlines Microsoft security assets covering endpoints like Windows Defender, applications like Office 365, identity with Azure AD, and cloud and datacenter security. Specific assets like Windows 10, Azure Information Protection, and Advanced Threat Analytics are also mentioned. The document concludes with discussing Microsoft Operations Management Suite.
Tech Leadership Day provides tools and insights to empower employees and optimize productivity. MyAnalytics analyzes how individuals spend their time and with whom to provide personalized recommendations on improving focus, communication, and work-life balance. Insights from MyAnalytics can recover four hours per week per employee and improve engagement while enabling a focus on innovation rather than unproductive tasks and meetings.
This assignment brief requires the student to:
1) Create a 3D animation by devising either an original character run cycle or collision-based object sequence using animation techniques from tutorials.
2) Develop ideas through research, mind-mapping, and storyboarding before producing the animation in LightWave.
3) Review and evaluate the finished animation against the original intentions and production process.
Uden sikkerhed og compliance - ingen digital transformationMicrosoft
Skal du udnytte potentialet i den digitale transformation, er du nødt til at have begrundet tillid til den eller de platforme, virksomheder og produkter, du vælger til rejsen. Digitaliseringen rummer store muligheder, men bringer også nye trusler og faldgruber med sig, når det gælder datasikkerhed og compliance. Sessionen introducerer konceptet Microsoft Secure og beskriver, hvordan du skaber et sikkert grundlag for jeres digitale transformation.
Ole Kjeldsen, National Technology Officer, Microsoft
Præsentation leveret til eSec Managed Security A/S.
eSec leverer sikkerhedsydelser på it-området. Målgruppen er danske virksomheder, hvor it-driften er mere kritisk end normalt. Præsentationen benyttes både på hjemmesiden og ved kundemøder. På møder kan den danne grundlag for præsentationer fra 10-30 minutter.
This document provides an agenda for a 30 minute session on Microsoft security assets. The agenda includes an introduction, overview of the Coretech approach, and questions about why, how, and who. It then outlines Microsoft security assets covering endpoints like Windows Defender, applications like Office 365, identity with Azure AD, and cloud and datacenter security. Specific assets like Windows 10, Azure Information Protection, and Advanced Threat Analytics are also mentioned. The document concludes with discussing Microsoft Operations Management Suite.
Tech Leadership Day provides tools and insights to empower employees and optimize productivity. MyAnalytics analyzes how individuals spend their time and with whom to provide personalized recommendations on improving focus, communication, and work-life balance. Insights from MyAnalytics can recover four hours per week per employee and improve engagement while enabling a focus on innovation rather than unproductive tasks and meetings.
This assignment brief requires the student to:
1) Create a 3D animation by devising either an original character run cycle or collision-based object sequence using animation techniques from tutorials.
2) Develop ideas through research, mind-mapping, and storyboarding before producing the animation in LightWave.
3) Review and evaluate the finished animation against the original intentions and production process.
Over the years the traditional setup with on premise geographically spread datacenters has made it increasingly
challenging for MGIS to scale, maintain, support agility and meet business requirements. In this session MGIS will
explain why they made the decision to embrace the cloud and start consolidating and transitioning datacenters to
Azure World Wide.
Pat Leahy, Head of Capability Management, Maersk Line
Den dynamiske virksomhed - fra aspiration til realitetMicrosoft
Se og oplev, hvordan Microsoft Dynamics løsningerne indgår som en naturlig del af Microsofts samlede platform med fuld integration mellem AX, CRM, Office365, SharePoint, Business Intelligence, Yammer osv. Med Dynamics løsningerne får du sat medarbejderne i centrum og gør det muligt at tjene penge i en stadig mere konkurrencepræget hverdag.
Microsoft Next 2014 - Cloud Platform session 3 - Kopenhagen fur opnår høj fle...Microsoft
Microsoft Next 2014 - Cloud Platform session 3 - Kopenhagen fur opnår høj fleksibilitet og sikker drift med azure, v. Claus Andersen, CIO, Kopenhagen Fur
Skype for business - Effektiv kommunikationMicrosoft
De fleste organisationer stræber efter mere udbytterigt samarbejde, bedre kundekontakt og mere effektiv mødeafholdelse.
Skype for Business kan give den fleksibilitet, der skal til for at optimere kommunikationen både internt og eksternt. Hør hvordan og se demo af bl.a. Skype Broadcast, og hvordan man effektivt kommunikerer under udarbejdelse af dokumenter med flere interessenter.
v. Niels Kjelstrup, Produktchef, Skype for Business, Microsoft
Det opnåede Widex med et Hybrid Cloud scenarieMicrosoft
Få et indblik i de mange fordele den globale virksomhed Widex opnåede for både brugere og IT ved at implementere et Hybrid Cloud scenarie. Fordelene har været så store, at Widex nu altid tænker “Cloud First” i forbindelse med implementering af nye workloads.
Palle Henriksen, driftschef, Widex
Supply chains never rest. Instead, they have to be tweaked or changed completely in response to changing consumer demand or disruptions.
With Damco’s new digital supply chain management platform, companies have instant access to reliable information and tools that can save them
millions of dollars across the global value chain.
Daniel Mast, Enterprise Architect, Damco
“At tage på arbejde” betyder ikke det samme, som det gjorde engang. Arbejdspladsen er blevet langt mere mobil og fleksibel, og medarbejderne har i dag bedre forudsætninger for at være produktive, samarbejde og selv at indrette deres arbejdsdag. Hvordan kommer mobiliteten og fleksibiliteten virksomheden til gode?
Vi tager med Peter på arbejde og tegner et billede af, hvordan teknologien giver ham bedre muligheder for at være en succes på sit job.
Rasmus Kjærgaard, Senior Solution Specialist og Patrick Kitchell, Technology Solutions Professional, Microsoft
Windows 10 – En platform på tværs af devicesMicrosoft
Bedre sikkerhed, styring, produktivitet og nye devices er på agendaen hos de fleste organisationer. Alt dette understøttes i højere grad med vores nye styresystem Windows 10. Få en præsentation af Windows 10, og hør hvordan du kan spare penge ved at opgradere til Windows 10.
v. Martin Thorning, Produktdirektør, Windows, Microsoft
CFO konference - Demo – Finance i Microsoft - Morten Søe, Controller, MicrosoftMicrosoft
Airfare prices have declined recently as more airlines offer lower fares and discounts. Microsoft's new Surface Pro 3 tablet provides an all-in-one laptop and tablet experience with a larger high-resolution touchscreen and improved battery life and power for mobile professionals. The Surface Pro 3 is a versatile device for both work and personal use.
The document provides definitions for various audio and sound design terms. It includes a glossary with over 20 terms defined, along with the relevance of each term to the author's own production practice. Some of the key terms defined include foley artistry, sound libraries, audio file formats like .wav and .aiff, lossy compression, digital sound processors, mono vs stereo audio, MIDI, software sequencers, and MIDI keyboard instruments. For each term, the author provides a short internet definition and describes how the concept relates to their own work in games design sound production.
Unit 73 ig2 assignment creating a sample library 2013_y1Alexballantyne
The assignment brief asks the student to complete two tasks:
1) Produce a glossary of terms related to sound design and production, including definitions from research connected to their own production work.
2) Create original sound samples and short musical compositions for different game genres to add to a sample library, combining computer-generated and recorded audio with effects plugins.
The assignment aims to support learning outcomes about sound design methods and principles and creating game sound assets following industry practices. The student must submit their glossary and samples to blogs for assessment against criteria related to communication skills and sound design.
Microsoft Internet of Things konference 2015 - Ny teknologi skaber ny forretn...Microsoft
This document discusses Brüel & Kjær's use of cloud services to deliver their Noise Sentinel noise monitoring service. Some key points:
- Noise Sentinel allows customers to remotely monitor noise levels using sensors and access the data through an online portal. It has grown from 1 customer in 2010 to 70 customers in 2014.
- The service is fully hosted on Microsoft's Azure cloud platform, utilizing services like SQL databases, storage accounts, and websites. This allows Brüel & Kjær to offer the monitoring service in a scalable and cost-effective way.
- Migrating the service to the cloud provides benefits for both customers and Brüel & Kjær, including increased flexibility
The document summarizes research from a survey of 100 people about their demographics and habits related to playing GTA 5. The research was conducted both quantitatively through online surveys collecting 2500 responses total, and qualitatively by directly surveying 30 people. The results showed that GTA 5 attracts players from a variety of social classes, ages, locations, and genres of games. It supports the survey's goal of demonstrating that GTA 5 unites different kinds of people through a single popular video game.
The document is a production log for a student named Alex Ballantyne completing a unit on digital graphics for computer games. Over several dates, Alex describes progress on a project creating a character image in Photoshop and Illustrator. Alex first created the base image in Photoshop and then imported it into Illustrator to refine it. Subsequent entries describe adding and refining background elements, the character's bike, crossbow, jacket color, facial details and eyes to add depth and realism, and finally adding a face mask and framing the completed image.
Microsoft’s salgsproduktivitetsløsning hjælper salgsteams til at yde deres bedste, så de kan engagere kunder og teams på en meningsfyldt måde, styrke relationerne og levere fantastiske oplevelser. Oplev hvordan Microsoft Dynamics CRM udnytter Office 365 services som Power BI, Yammer, Skype og Social Engagement. Indlægget er på engelsk.
v. Alexander Bradley, Director, Office 365 Technical Marketing, Microsoft Corp
DataLakes kan skalere i takt med skyen, nedbryde integrationsbarrierer og data gemt i siloer og bane vejen for nye forretningsmuligheder. Det er alt sammen med til at give et bedre beslutningsgrundlag for ledelse og medarbejdere. Kom og hør hvordan.
David Bojsen, Arkitekt, Microsoft
Bedre kundeindsigt er vejen til engagerede kunderMicrosoft
Vi opsamler store mængder data om kunder fra mange forskellige kanaler. I denne session ser du, hvordan du med værktøjer som f.eks. Power BI kan modellere og analysere dine data, så de bliver til værdifuld kundeindsigt.
David Bojsen, Arkitekt, Microsoft
I fremtiden må alle virksomheder og organisationer tænke og agere digitalt, hvis de vil udnytte teknologien til at skabe nye forretningsmuligheder.
Hør, hvordan Microsoft på verdensplan hjælper kunder på vej mod digital transformation.
Marianne Dahl Steensen, adm. direktør, Microsoft
A survey was conducted with 2500 responses to show that the video game GTA 5 appeals to people from various social classes. The results were condensed to data from 100 people, most of whom responded online. The data found that GTA 5 has players of both genders and a wide range of ages, play styles, income levels, locations, and console platforms. This supports the survey's goal of demonstrating that GTA 5 unites different types of people through a single video game.
Dansk It Neupart Cloud Sikkerhed RisikovurderingLars Neupart
Indhold
Cloud computing bliver stadig mere udbredt blandt virksomheder i Danmark – økonomi- og salgssystemer og backup af data flyttes nu ud i skyen.
Mens cloud computing giver virksomheder en række åbenlyse fordele (fleksibel adgang, opdateret software, billigere drift af it-systemer etc.), så er der desværre også en række sikkerhedstrusler forbundet med brug af cloud computing. På dette webinar lærer du at kunne vurdere og styre disse trusler, og hvordan du kan vurdere, om sikkerheden hos cloud-leverandørerne er god nok. Dette webinar er din genvej til at kunne foretage ansvarlige og professionelle risikovurderinger!
Du bliver præsenteret for en række cloud-specifikke trusler og du vil få værktøjerne til at kunne foretage professionelle risikovurderinger.
Over the years the traditional setup with on premise geographically spread datacenters has made it increasingly
challenging for MGIS to scale, maintain, support agility and meet business requirements. In this session MGIS will
explain why they made the decision to embrace the cloud and start consolidating and transitioning datacenters to
Azure World Wide.
Pat Leahy, Head of Capability Management, Maersk Line
Den dynamiske virksomhed - fra aspiration til realitetMicrosoft
Se og oplev, hvordan Microsoft Dynamics løsningerne indgår som en naturlig del af Microsofts samlede platform med fuld integration mellem AX, CRM, Office365, SharePoint, Business Intelligence, Yammer osv. Med Dynamics løsningerne får du sat medarbejderne i centrum og gør det muligt at tjene penge i en stadig mere konkurrencepræget hverdag.
Microsoft Next 2014 - Cloud Platform session 3 - Kopenhagen fur opnår høj fle...Microsoft
Microsoft Next 2014 - Cloud Platform session 3 - Kopenhagen fur opnår høj fleksibilitet og sikker drift med azure, v. Claus Andersen, CIO, Kopenhagen Fur
Skype for business - Effektiv kommunikationMicrosoft
De fleste organisationer stræber efter mere udbytterigt samarbejde, bedre kundekontakt og mere effektiv mødeafholdelse.
Skype for Business kan give den fleksibilitet, der skal til for at optimere kommunikationen både internt og eksternt. Hør hvordan og se demo af bl.a. Skype Broadcast, og hvordan man effektivt kommunikerer under udarbejdelse af dokumenter med flere interessenter.
v. Niels Kjelstrup, Produktchef, Skype for Business, Microsoft
Det opnåede Widex med et Hybrid Cloud scenarieMicrosoft
Få et indblik i de mange fordele den globale virksomhed Widex opnåede for både brugere og IT ved at implementere et Hybrid Cloud scenarie. Fordelene har været så store, at Widex nu altid tænker “Cloud First” i forbindelse med implementering af nye workloads.
Palle Henriksen, driftschef, Widex
Supply chains never rest. Instead, they have to be tweaked or changed completely in response to changing consumer demand or disruptions.
With Damco’s new digital supply chain management platform, companies have instant access to reliable information and tools that can save them
millions of dollars across the global value chain.
Daniel Mast, Enterprise Architect, Damco
“At tage på arbejde” betyder ikke det samme, som det gjorde engang. Arbejdspladsen er blevet langt mere mobil og fleksibel, og medarbejderne har i dag bedre forudsætninger for at være produktive, samarbejde og selv at indrette deres arbejdsdag. Hvordan kommer mobiliteten og fleksibiliteten virksomheden til gode?
Vi tager med Peter på arbejde og tegner et billede af, hvordan teknologien giver ham bedre muligheder for at være en succes på sit job.
Rasmus Kjærgaard, Senior Solution Specialist og Patrick Kitchell, Technology Solutions Professional, Microsoft
Windows 10 – En platform på tværs af devicesMicrosoft
Bedre sikkerhed, styring, produktivitet og nye devices er på agendaen hos de fleste organisationer. Alt dette understøttes i højere grad med vores nye styresystem Windows 10. Få en præsentation af Windows 10, og hør hvordan du kan spare penge ved at opgradere til Windows 10.
v. Martin Thorning, Produktdirektør, Windows, Microsoft
CFO konference - Demo – Finance i Microsoft - Morten Søe, Controller, MicrosoftMicrosoft
Airfare prices have declined recently as more airlines offer lower fares and discounts. Microsoft's new Surface Pro 3 tablet provides an all-in-one laptop and tablet experience with a larger high-resolution touchscreen and improved battery life and power for mobile professionals. The Surface Pro 3 is a versatile device for both work and personal use.
The document provides definitions for various audio and sound design terms. It includes a glossary with over 20 terms defined, along with the relevance of each term to the author's own production practice. Some of the key terms defined include foley artistry, sound libraries, audio file formats like .wav and .aiff, lossy compression, digital sound processors, mono vs stereo audio, MIDI, software sequencers, and MIDI keyboard instruments. For each term, the author provides a short internet definition and describes how the concept relates to their own work in games design sound production.
Unit 73 ig2 assignment creating a sample library 2013_y1Alexballantyne
The assignment brief asks the student to complete two tasks:
1) Produce a glossary of terms related to sound design and production, including definitions from research connected to their own production work.
2) Create original sound samples and short musical compositions for different game genres to add to a sample library, combining computer-generated and recorded audio with effects plugins.
The assignment aims to support learning outcomes about sound design methods and principles and creating game sound assets following industry practices. The student must submit their glossary and samples to blogs for assessment against criteria related to communication skills and sound design.
Microsoft Internet of Things konference 2015 - Ny teknologi skaber ny forretn...Microsoft
This document discusses Brüel & Kjær's use of cloud services to deliver their Noise Sentinel noise monitoring service. Some key points:
- Noise Sentinel allows customers to remotely monitor noise levels using sensors and access the data through an online portal. It has grown from 1 customer in 2010 to 70 customers in 2014.
- The service is fully hosted on Microsoft's Azure cloud platform, utilizing services like SQL databases, storage accounts, and websites. This allows Brüel & Kjær to offer the monitoring service in a scalable and cost-effective way.
- Migrating the service to the cloud provides benefits for both customers and Brüel & Kjær, including increased flexibility
The document summarizes research from a survey of 100 people about their demographics and habits related to playing GTA 5. The research was conducted both quantitatively through online surveys collecting 2500 responses total, and qualitatively by directly surveying 30 people. The results showed that GTA 5 attracts players from a variety of social classes, ages, locations, and genres of games. It supports the survey's goal of demonstrating that GTA 5 unites different kinds of people through a single popular video game.
The document is a production log for a student named Alex Ballantyne completing a unit on digital graphics for computer games. Over several dates, Alex describes progress on a project creating a character image in Photoshop and Illustrator. Alex first created the base image in Photoshop and then imported it into Illustrator to refine it. Subsequent entries describe adding and refining background elements, the character's bike, crossbow, jacket color, facial details and eyes to add depth and realism, and finally adding a face mask and framing the completed image.
Microsoft’s salgsproduktivitetsløsning hjælper salgsteams til at yde deres bedste, så de kan engagere kunder og teams på en meningsfyldt måde, styrke relationerne og levere fantastiske oplevelser. Oplev hvordan Microsoft Dynamics CRM udnytter Office 365 services som Power BI, Yammer, Skype og Social Engagement. Indlægget er på engelsk.
v. Alexander Bradley, Director, Office 365 Technical Marketing, Microsoft Corp
DataLakes kan skalere i takt med skyen, nedbryde integrationsbarrierer og data gemt i siloer og bane vejen for nye forretningsmuligheder. Det er alt sammen med til at give et bedre beslutningsgrundlag for ledelse og medarbejdere. Kom og hør hvordan.
David Bojsen, Arkitekt, Microsoft
Bedre kundeindsigt er vejen til engagerede kunderMicrosoft
Vi opsamler store mængder data om kunder fra mange forskellige kanaler. I denne session ser du, hvordan du med værktøjer som f.eks. Power BI kan modellere og analysere dine data, så de bliver til værdifuld kundeindsigt.
David Bojsen, Arkitekt, Microsoft
I fremtiden må alle virksomheder og organisationer tænke og agere digitalt, hvis de vil udnytte teknologien til at skabe nye forretningsmuligheder.
Hør, hvordan Microsoft på verdensplan hjælper kunder på vej mod digital transformation.
Marianne Dahl Steensen, adm. direktør, Microsoft
A survey was conducted with 2500 responses to show that the video game GTA 5 appeals to people from various social classes. The results were condensed to data from 100 people, most of whom responded online. The data found that GTA 5 has players of both genders and a wide range of ages, play styles, income levels, locations, and console platforms. This supports the survey's goal of demonstrating that GTA 5 unites different types of people through a single video game.
Dansk It Neupart Cloud Sikkerhed RisikovurderingLars Neupart
Indhold
Cloud computing bliver stadig mere udbredt blandt virksomheder i Danmark – økonomi- og salgssystemer og backup af data flyttes nu ud i skyen.
Mens cloud computing giver virksomheder en række åbenlyse fordele (fleksibel adgang, opdateret software, billigere drift af it-systemer etc.), så er der desværre også en række sikkerhedstrusler forbundet med brug af cloud computing. På dette webinar lærer du at kunne vurdere og styre disse trusler, og hvordan du kan vurdere, om sikkerheden hos cloud-leverandørerne er god nok. Dette webinar er din genvej til at kunne foretage ansvarlige og professionelle risikovurderinger!
Du bliver præsenteret for en række cloud-specifikke trusler og du vil få værktøjerne til at kunne foretage professionelle risikovurderinger.
Hvad er de vigtigste begreber i GDPR at kende til for en CIO? Og hvordan håndterer Microsoft, at aftaler, sikkerhedskontroller, processer mm. lever op til GDPRs skærpede krav for data-ansvar og databehandling? Sessionen giver overblik over spørgsmål og svar, som Microsoft har behandlet under de sidste mange års arbejde med at hjælpe vores kunder til en cloudbaseret digital transformation.
Jørgen Hallengren, Cloud Compliance Strategist, Microsoft
Brug dit itsm værktøj til øget procesmodenhed - SEE 2018 Denmark TOPdesk
Når man har implementeret og ibrugtaget sit ITSM værktøj er arbejdet med processer langt fra slut. For har man ikke øget modenheden af processerne i forbindelse med implementering af værktøjet, er det oplagt at smøge ærmerne op når det er implementeret. Det er her du henter noget af den ”Return On Investment”, som du måske har angivet da systemet blev anskaffet. På denne workshop vil du se flere områder hvor det er oplagt at løfte modenheden, når man har et ITSM værktøj, og eksemplerne vil blive illustreret med skærmbilleder fra konkrete implementeringer i et værktøj. - Reni Friis
I like to say thanks to all your participating the Computerworld Summit in Copenhagen the 14th of April 2015, some of you have asked for the presentation, why I hereby share it in Public, please take what can be used or contact my on HBS@one-x.dk for further information’s have a nice summer.
BRG Henrik Blas Simonsen.
Fokuser på din forretning med Office 365. Få de internationale erfaringer og ...Microsoft
Office 365 kan ses på bundlinien hos mange danske virksomheder. Få del i både danske og udenlandske virksomheders erfaringer og hjælp til at lave din virksomheds business case. Vi tager konkret udgangspunkt i andre danske og internationale virksomheders business cases og beslutningsprocesser. Microsofts Cloud Director for Danmark, Norge, Sverige, Finland, Østrig og Irland vil dele sine erfaringer fra de virksomheder han har hjulpet ”i skyen” – og adressere overvejelser og belyse de målbare fordele din virksomhed kan opnå på produktivitet, samarbejde, sikkerhed og bundlinje.
IT kontrakter 2015 - Godkendelseskriterier og ændringshåndteringravnholt
På IBC Euroforums konference vedr. IT-kontrakter d. 28 januar 2015 holdt Henrik Gørup Rasmussen, Silverbullet A/S et indlæg omkring hvorledes ændringer og godkendelseskriterier i et igangværende projekt kan håndteres i praksis.
Indlægget tog udgangspunkt i en metode som er anvendt i et konkret nationalt projekt. Metoden er en mellemting mellem K01 og K03, idet projektet har en kravspecifikation i traditionelt K01 format, men leverancemodellen er iterativ som i K03.
Logimatic Engineering - Din automationspartner (DANISH)
Sådan vurderer du Cloud Compliance
1. Sådan vurderer du Cloud Compliance
Jacob Herbst, CTO, Dubex A/S
Microsoft Tech Leadership Day, Lyngby, Den 23. november 2016
2. Agenda
Hvem er Dubex og hvad laver vi?
Hvad er målsætningen for indlægget?
Hvad er cloudprocessen for risikostyring og compliance?
Hvilke metoder er der til compliance assurance ved cloud?
Hvordan er ISO270XX-serien relevant for cloud?
Hvordan opbygges til complianceprogram?
Hvad skal man gøre efter i dag?
3. Hvad skal vi have ud af dette indlæg?
• Mål for dette indlæg er at give bud på svar på:
• Hvordan kan man håndtere compliance og risikostyring for
cloudbaserede løsninger?
• Hvordan påvirkes risikostyringen i virksomheden, når der
anvendes cloud-løsninger?
• Hvordan kommer man i gang med at sikre compliance?
• Disclaimer: Sikkerhed er et meget stort og kompekst emneområde
som er i konstant forandring. I løbet af de næste 30 minutter når vi
højst at skrabe en lille smule i overfladen.
4. Dubex A/S
Managing risk –
Enabling growth
First mover
Største it-sikkerhedspartner i
Danmark
Selvfinansierende og privatejet siden
1997
Højt specialiserede it-sikkerheds-
eksperter
Eftertragtet arbejdsplads
Motiverede medarbejdere
Kvalitet
Service
Kompetence
Konsulent- og sikkerhedsydelser
lokalt og globalt
35. bedste
arbejdsplads i
Danmark
9. bedste IT-
arbejdsplads i
Danmark
5. Danmarks førende it-sikkerhedsspecialist
Managing risk,
Vi hjælper med at balancere dine forretningsmål og et
acceptabelt risikoniveau for it-sikkerhed.
enabling growth
Vi er altid på udkig efter muligheder for at styrke
vores kunders forretning og understøtte vækst.
1997 20122006
Business focus
Process focus
Technology focus
6. Managing risk
Beskytte følsomme oplysninger for at
forbedre og opretholde
markedsposition og sikre overholdelse
af regulativer samtidig med en kontrol
af omkostningsniveauet
Enabling growth
Forbedre og sikre forretningens agilitet
ved at give hurtig og intuitiv adgang til
de rigtige informationer, værktøjer og
applikationer
Prioritering af sikkerhed
INFORMATION er blevet virksomheders vigtigste asset
CIO
8. Private
(On-Premise)
Infrastructure
(as a Service)
Platform
(as a Service)
Service Models – shared responsibility
Storage
Server HW
Networking
Servers OS
Databases
Virtualization
Data
Applications
Security & Integration
Storage
Server HW
Networking
Servers OS
Databases
Virtualization
Data
Applications
Security & Integration
Storage
Server HW
Networking
Servers OS
Databases
Virtualization
Data
Applications
Security & Integration
Software
(as a Service)
Storage
Server HW
Networking
Servers OS
Databases
Virtualization
Data
Security & Integration
Applications
Managed by you
Managed by vendor
Access control Access control Access control Access control
9. Nye teknologier – nye udfordringer
• Vi har selv kontrol over data
• Serverrummet er placeret på X adresse
• Data ligger på server Y og Z
• Vi har backup på plads
• Vi har styr på vores administratoradgang
• Vores oppetid er tilstrækkelig – og ellers kan
vi selv gøre noget ved det
• Vi har vores egne sikkerhedseksperter
Dagens datacenter
• Hvem har kontrol?
• Hvor står serverne?
• Hvor er vores data opbevaret?
• Hvad sikre der er taget backup?
• Hvem har adgang?
• Hvor robust er det?
• Hvordan kan vi lave audit?
• Hvordan skal vores sikkerhedsfolk arbejde?
Morgendagens Cloud løsning
?
10. Eksempler på overvejelser
Hvor i verden er
”mine” data?
Hvordan laver jeg
auditering og
penetrationstest af
min cloud-
baserede
infrastruktur?
Hvad er risikoen ved at jeg
deler applikation, platform og
infrastruktur med andre?
Hvordan er mine data
beskyttet – overholdes
mine krav til
fortrolighed?
Har min cloud-
leverandører fokus
på sikkerhed?
Må jeg opbevare min
virksomhedens data på
fremmed udstyr?
Vil flytning af mine data
give fremmede lande
adgang?
Hvordan kan jeg
kontrollere
compliance?
Hvad laver
brugerne i
skyen?
Hvilke data er gemt i
skyen?
Hvor mange cloud-
løsninger kender jeg ikke
til?
Hvordan
overvåger
jeg
sikkerheden
i cloud?
Hvem har ansvaret?
Hvem har adgang til mine
data i skyen?
Hvordan krypterer jeg
mine data?
11. There is no such thing as “the cloud”.
It’s just someone else’s computer.
12. Sikkerhed og compliance opfattes som en udfordring
Sikkerhed, privacy er
den primære bekymring.
Compliance kommer på
tredjepladsen!
13. Hvad er compliance?
• Compliance handler om at være i overensstemmelse med et sæt specifikationer,
retningslinjer eller love eller være i færd med at blive det
• Overholdelse af reglerne skal typisk sikre fokus på sikkerhed med henblik på at
imødegå eller undgå en risiko
• Compliance styrker og gavner organisationen da man kan dokumentere
efterlevelsen overfor kunder, leverandører og myndigheder
• Compliance management sikrer, at it-processer, tjenester og systemer
overholder organisationens politikker og relevante eksterne lovkrav
• Afvigelse fra reglerne kan ofte medføre store bøder, pålæg og i regulerede
brancher medføre mistede licenser, tilladelser eller godkendelser
• Start med at beslut hvad du skal være compliant med fx
• GDPR / EU-persondataforordningen
• Persondataloven
• Payment Card Industry Data Security Standard (PCI DSS)
• Sarbanes-Oxley
• Health Insurance Portability and Accountability Act of 1996 (HIPAA)
• Federal Information Security Management Act (FISMA)
Compliance
Overholdelse af et sæt regler
eller standarder. Dette skal
kunne bekræftes ved en
revision baseret på
observationer, spørgsmål og
inspektion.
Sikkerhed
Implementering af tekniske,
fysiske og administrative
kontroller for at sikre
fortrolighed, integritet,
tilgængelighed, ansvar og
vished.
14. Compliance arbejdet starter før valg af løsning
• Planen og politikken for compliance management skal være på plads før cloud løsningen implementeres
• Politikken skal være vigtigt af input ved valget af cloud leverandør
• Informationssikkerhed er vigtig og bør indgå i compliance management politikken
• Tilgang baseret på Plan – Do – Check - Act princip
• Identificer risici og compliance krav
• Omfatter gældende normer, regler, love, standard og best practice
• Fokusområderne bør tilpasses organisationens strategiplan, og bør omfatte krav i forhold til privacy og
sikkerhed
• Compliance krav fra forretningsprocesser og forretningsenheder der anvender cloud
• Krav til cloud leverandør
• Vigtigt at cloud leverandørende forstår de opstillede compliane krav
• Klar ansvarsfordeling mellem parterne (dvs. cloud leverandør, bruger, kunde), forventninger, antagelser
• Krav til mulighed for revision af de definerede fokusområde / compliance krav
• Vigtigt med en klar ansvarsfordeling med cloud-udbyder
• En fordel med en leverandør som har god erfaring med compliance og transparens
• Få forståelse hvilke dele af compliance krav og dokumentation der kan fås fra cloud serivce leverandøren
15. Processen for risikostyring ved cloud-baseret løsning
• Vær opmærksom på, at frameworks for Cyber-sikkerhed har et isoleret fokus på cyber angrebsvektoren, og ikke
dækker den fuld beredskabssituation
• HUSK at vurdere strategisk risiko for lock-in (Afhængighed og ejerskab til data & processer)
Forretningsprocesser
• Kortlæg hvilke data og
forretningsprocesser der
håndteres i en Cloud
løsning?
Rammer/Krav
• Kortlæg hvilke eksterne
(bl.a. Lovkrav) og interne
krav, som skal opfyldes ved
brug af Cloud.
Gennemfør
risikoworkshops
• Identificér Cloud-risici i
forhold til klassisk CIA+I
Mitigeringstiltag
• Fastlæg ønskede
kontroltiltag til mitigering af
risici ved Cloud løsning
(SaaS, PaaS, IaaS)
D I E -test af kontroller
• Uvildig 2. opinion/Sanity
check af kontroller.
DRP/BCP
• Planlæg tests inklusiv
sikring af at Cloud-
leverandørens RPO og
RTO passer til
virksomhedens behov
Plan B/C/D
• Re-tænk/tilpas
beredskabssituation på
baggrund af resultater af
risikostyringen.
16. Valg af cloud leverandør
• Overvejelser ved cloud leverandør valg
• Hvilket cloud-teknologi vil bedst understøtte virksomhedens forretningsstrategi?
• Hvilket compliance management system er implementeret og anvendes?
• Hvor meget kontrol kan (bør) opgives til fordel for agilitet og fleksibilitet?
• Hvilken tjeneste skal købes for at sikre den rigtige ydeevne, sikkerhed, pålidelighed og agilitet?
• Er det risikoen værd?
• Hvordan vil det påvirke virksomhedens eksisterende compliance management og politikker?
• Hvor kan det tillades at data fysisk opbevares?
• Hvordan sikres tilstrækkelig kontrol over adgang til systemer og data
• Hvordan sikres fortrolighed for ikke-offentlige fortrolige informationer?
• Cloud leverandøren skal have compliance som del af deres proces for at
• sikre integration med kundens compliance management
• sikre den nødvendige transparens og synlighed i leverandøres compliance arbejde
• sikre overholdelse af regionale eller nationale compliance krav
• forebygge konflikter omkring aftaler og forventninger
17. Procesovervejelser ved brug af cloud-baserede løsninger
Cloud-
løsning
Berørte forretnings-
processer (og data)
Identificer
risici og compliance
krav
Vurder business
impact
Håndter cloud-risici
- krav til cloud
leverandør
Opfølgning på
cloud-leverancer
Tænk ”Going-
Concern” ved worst
case
Nye arbejdsopgaver
ved cloud
18. Opfølgning - Metoder til compliance assurance ved cloud
• ISO27001, ISO27002, ISO27005, ISO2017/20018
• Inspiration fra COSO til ”Best Practice” for en procesmæssig tilgang
• Cloud Security Alliance (Version 4 udgave undervejs)
• NIST-8xx serien (Officielt amerikansk framework, dvs. minder lidt om
SOX-approach=omfattende)
• Er klassiske revisorerklæringer er gode nok
(SOC1/2/ISAE3402/ISAE3000)?
• Udfordring kan bl.a. være:
• Applikationsprocesser og forretningsgange er begrænset
dækket i ISO og ISAE3402
• Detaljerede best practice guides for konfiguration af sikkerhed
findes ikke i ISO270xx-serien
• HUSK!! - Ansvaret forbliver stadig hos egen ledelse også ved
brug af cloud-baserede løsninger
ISO270XX-serien og relevans for cloud
ISO27001: Velegnet til at opbygge et system for
generel ledelsesmæssig håndtering af cloud risici
ISO27002: Velegnet til at forankre og
implementere ledelsessystemet i ISO27001
gennem 114 forslag til kontroller.
ISO27005: Vejledningen har fokus på
gennemførelse af risikostyringen.
ISO27017: Udbygning af ISO27002 med
tilpassede sikkerhedsforanstaltninger målrettet
cloud
ISO27018: Velegnet særligt til behandling af
persondata i cloud.
ISO27000-serien fremstår omfattende, fordi
standarden har et stort anvendelsesområde.
Fordelen er, at man kun skal vælge det, der er
behov for.
19. Succeskrav for et effektivt complianceprogram
• Compliance-opgaven skal varetages af en, der
har
• tværfaglig viden om it-systemer og kontroller
• med arbejdsproceserfaring
• samt har erfaring med kontrakthåndteringer
• Udgangspunktet for compliance-programmet er
• resultatet fra risikoprocessen
• eventuelle erklæringer fra cloud leverandøren
• Vigtigt ikke at se compliance som ”Contract
management” og compliance går videre end
driftsrapporter
• Områder hvor leverandør erklæringer er relevante
for virksomhedens risici:
• Erklæringsarbejdet vurderes at være
tilstrækkelig til at afdække risici
• Compliance-opgaven inden for fx den finansiel
sektor kan kræve et vist omfang af egne
stikprøver
• Områder hvor leverandør erklæringer vurderes til
ikke at være tilstrækkelig til at afdække risici
• Når der er tale om brancher med særregler
• Erklæringsarbejde har ikke undersøgt forhold,
fordi der er tale om individuel aftale med CSP
• Danske regler om brug af databehandleraftaler
• Efterlevelse af virksomhedens IT-
sikkerhedspolitik
• Erklæringer kan supplerende med egne udførte
tests
• Det afklares hvordan virksomheden selv kan
kompensere (fx modtage periodisk kopier af
data)
20. Cloud Security Alliance (CSA)
• Non-profit organisation med det formål at
fremme anvendelsen af best practices ved
sikringen af sikkerhed i Cloud Computing
• Opererer med 14 domæner ifbm. sikring af
Cloud Computing
http://www.cloudsecurityalliance.org/guidance.html
Governance Domains
2. Governance and
Enterprise Risk
Management
3. Legal Issues: Contracts
and Electronic Discovery
4. Compliance and Audit
Management
5. Information Management
and Data Security
6. Interoperability and
Portability
Operational Domains
7. Traditional Security,
Business Continuity and
Disaster Recovery
8. Data Center Operations
9. Incident Response
10. Application Security
11. Encryption and Key
Management
12. Identity, Entitlement, and
Access Management
13. Virtualization
14.Security as a Service
Cloud Architecture
1. Cloud Computing Architectural Framework
21. CSA - Mapping the Cloud Model to the Security Control & Compliance
23. Sikkerhed - fordele og ulemper
• Sikkerhed er en integreret del af leverandørens
infrastruktur
• Stordriftsfordele – ressourcer til at sikkerhed
bliver lavet rigtigt
• Standardisering – sikkerheden kan blot
gentages
• Hvis offentligt tilgængelige systemer flyttes til
en ekstern cloud-service mindskes
eksponeringen af følsomme interne data
• Man bliver (oftere) tvunget til et aktivt valg
omkring sikkerhed
• Cloud-servicen indeholder automatiserede
sikkerhedsfunktioner
• Redundans og Disaster Recovery er (som
regel) en del af løsningen
Resultat: Bedre Sikkerhed og
tilgængelighed
Fordele
• Afhængighed af dataforbindelse for
tilgængelighed
• Nødt til at tro på leverandørens
sikkerhedsmodel og rapportering
• Man har ikke mulighed for selv at reagere på
hændelser
• Det kan være besværligt at få hjælp til
efterforskning
• Tillidsfuld sælgers sikkerhedsmodel
• Manglende mulighed for at reagere på
revisionsanmærkninger
• Indirekte administratoransvar
• Proprietære løsninger kan ikke kontrolleres
• Manglende fysisk kontrol over data/systemer
• Større eksponering af systemer og data
• Færre egne direkte handlemuligheder
Resultat: Mistet egen kontrol med
fortrolighed og integritet
Ulemper
24. Forskellige cloud leverandører
• Udvikle en metode til at gennemføre en hurtig,
enkelt, men effektiv revision af små spillere, før
der købes services
• Hvis formålet med den pågældende service er
hastighed til markedet, giver det ikke mening at
overbebyrde dem med administrative / juridiske
opgaver.
• Hjælp med at holde dine samarbejdspartnere i live
• Vær pragmatisk om risiko. Vær forberedt på et
pludselig ophør af både kontrakter og service
Håndtering af små cloud leverandører
• Risikostyring og compliance bliver hurtigt
komplekst:
• Mange SaaS-løsninger kører på andre
udbyderes IaaS infrastruktur – man skal være
opmærksom på alle led i kæden
• Omfatter din kontrakt, at alle parter skal
overholde alle krav i den?
• Gælder force majeure for fejl hos alle parter?
• Hvor synlig er økonomien hos
underleverandører?
• Understøtter dine disaster recovery og
beredskabsplaner dette scenarie?
Cloud underleverandører
25. Leverandør transparens
Method Customer Decision
Usefulness
Customer Level of
Effort
Formal on-site evaluation by in-house team High Highest
Formal on-site evaluation by consultant High High
Formal written report from third-party assessor
(assessment not initiated by customer)
Medium to High Medium
Security rating service Medium High Low
Successful completion of third-party assessment (without
written report)
Medium Low
Evaluation of CSP's security documentation Low Medium
Completed questionnaire Low Medium
Marketing material describing security program Lowest Low to Medium
Kilde: Gartner
26. Forskellige cloud leverandører har forskellig risiko
Tier 1
Tier 3
Tier 2
CSP
Size/Experience/
Market Share
Kilde: Gartner
Number of Cloud Service Providers
You don't have to worry if one of the
major CSPs is secure, but you still
must use them securely
Second Tier CSPs may be
providing strategically important
applications for departments or
verticals. They usually lack third-
party evaluation and may be
financially weak.
You can't assume a tiny CSP is secure, or
financially solvent. That may be an acceptable
risk, but you must use them carefully.
27. Hvad er Dubex proces til cloud anvendelse?
Cloud Readiness
• Er virksomheden klar til Cloud service
• Forretningsmæssige fordele ved Cloud Computing
• Cloud computing fra et teknisk perspektiv og ændringer ved IT service
management
• Risiko ved regulativer for cloud computing
Cloud Risikovurdering
• Risici ved Cloud services
• Overblik over kritiske sikkerhedsrisici
• Compliance krav
• Metoder til at nedbringe restrisici ved cloud service
Cloud Compliance analyse
• Compliance ved cloud anvendelsen
• Virksomhedens reelle efterlevelse
• Kritiske afvigelser ligger
• Metoder til at håndtere afvigelserne ift. compliance krav
28. Cloud compliance - hvad tilbyder Dubex?
• Disse kan suppleres med praktiske tests af efterlevelsen, f.eks.
• Audit af udvalgte områder, hvor anvendelsen af de relevante kontroller testes
• Gennemgang af outsourcing partnere
• Tekniske gennemgange og sårbarhedsscanninger
Dubex tilbyder at hjælpe med at etablere et billede af compliance niveau
•Detaljer omkring
interviews og adgang til
dokumentation aftales
Aktivitet 1 –
Opstartsmøde
•Interviews med
nøglepersoner hos
virksomheden inden for
områderne: forretningen,
sikkerhed og
organisation, samt IT
Aktivitet 2 – Gennemgang
af organisatorisk
compliance
•Interviews med
nøglepersoner hos
virksomheden inden for
områderne: sikkerhed,
netværk, applikationer og
server infrastruktur
Aktivitet 3 – Gennemgang
af teknisk compliance
•Analyse af de
indsamlede informationer
og udarbejdelse af
rapport, inkl.
kommentering
Aktivitet 4 – Analyse,
behandling og rapport
•Fremlæggelse af rapport
og konklusioner for
ledelse og/eller
projektdeltagere
Aktivitet 5 –
Afrapportering
29. Hvilken fremgangsmetode anvendes?
• Risikovillighed og brug af risikovurderinger
• Informationssikkerhedspolitik og vedligeholdelse
• Organisering og styring af informationssikkerhed internt og eksternt
• Personalesikkerhed ifm. ansættelser, afskedigelser og under ansættelsen
• Styring af aktiver (klassifikation og retningslinier for brug af faciliteter)
• Adgangsstyring (brugeradministration og passwords)
• Kryptografi
• Fysisk sikkerhed, samt miljøsikring og beskyttelse af udstyr
• Driftssikkerhed (teknologier, inkl. backup, logning mv.)
• Kommunikationssikkerhed (sikring af netværkstjenester, segmentering mv.)
• Anskaffelse, udvikling og vedligeholdelse af informationssystemer
• Informationssikkerhed i leverandørforhold og outsourcing
• Styring af informationssikkerhedshændelser og forbedringer
• Beredskabsstyring, nødplaner og kontinuitet
• Overensstemmelse med eksterne krav, lovgivning mv.
• Ekstra kontroller fra ISO 27017
Gennemgangen baseres på ISO 27002 / ISO 27017 standardernes kontroller
30. Anbefalinger - generelle
• Udvikle en holistisk cloud-sikkerhedsstrategi, som omfatter:
• Baseret på Shared Responsibility Model
• Beskyttelsen af virksomhedernes SaaS-applikationer
• Beskyttelsen af virksomhedernes systemer, der kører i offentligt eller privat IaaS
• Security Management, compliance mangement & overvågningstjenester i Cloud
• Omfatter alle led i sikkerhedsprocessen
• Risikostyring og planlægning (Predict & Identify)
• Implementering af passende, afvejede kontroller (Prevent & protect)
• Overvåning så angreb og kompromitteringer opdages (Detect)
• Reaktion, beredskab og Incident Response (Respond & recover)
Predict & identify Prevent & protect Detect Respond & recover
31. Efter i dag…..
I dag:
Overvej om der er overblik
over cloudrisici og om
man påser compliance
hos CSP i tilstrækkelig
grad
I morgen:
Afgræns/Udvælg mulige
områder, som skal
undersøges nærmere.
Næste uge:
Lav en plan for hvordan
gaps skal håndteres/
løses.
Næste måned:
Vurdér hvordan DRP-
planer kan forbedres
Næste kvartal:
Overvej hvordan nye krav
i EU-persondataforordning
vil påvirke brug af cloud
løsning
Næste 1/2-1/1 år:
Indarbejd tilpasninger i
ledelsessystemer, der
afdækker cloudrisici og
passende respons på
compliancekontroller
32. Risikobegrænsning
• Risikoen kan ikke fjernes, kun begrænses
• Sikkerhed kan ikke købes som produkt
• Sikkerhed opnås ved en blanding af
• Procedure & ledelse (Management issues)
• Design, værktøjer og tekniske løsninger
• Løbende overvågning og vedligeholdelse
• Resultat: Formulering af sikkerhedspolitik og implementering af sikkerhedssystem
33. Hold dig opdateret
Besøg
www.dubex.dk www.dubex.dk/update/
Tilmeld dig Dubex’ nyhedsbrev
Deltag på Dubex’ arrangementer
http://www.dubex.dk/arrangementer/
Følg Dubex på LinkedIn & Twitter
www.linkedin.com/company/dubex-as
twitter.com/Dubex