SlideShare une entreprise Scribd logo

Dansk It Neupart Cloud Sikkerhed Risikovurdering

Télécharger en tant que PPTX, PDF
Lars Neupart
Lars Neupart

Indhold Cloud computing bliver stadig mere udbredt blandt virksomheder i Danmark – økonomi- og salgssystemer og backup af data flyttes nu ud i skyen. Mens cloud computing giver virksomheder en række åbenlyse fordele (fleksibel adgang, opdateret software, billigere drift af it-systemer etc.), så er der desværre også en række sikkerhedstrusler forbundet med brug af cloud computing. På dette webinar lærer du at kunne vurdere og styre disse trusler, og hvordan du kan vurdere, om sikkerheden hos cloud-leverandørerne er god nok. Dette webinar er din genvej til at kunne foretage ansvarlige og professionelle risikovurderinger! Du bliver præsenteret for en række cloud-specifikke trusler og du vil få værktøjerne til at kunne foretage professionelle risikovurderinger.

1  sur  44
Velkommen til webinar med Dansk IT og Neupart: Risikostyring - også i skyen! Lars Neupart
De største forhindringer? Uvished om sikkerhed og persondata © Neupart A/S
Bange, undseelig, benovet, blufærdig, bly, forlegen, genert, skamfuld Hvad betyder sky og så er der……de der hvide, ? luftige, uigennemsigtige tingester på himlen….
hvem regnede med, at nogen skulle forbinde skyer eller ”cloud” med noget sikkert ?
Masser af trusler Cloud-leverandør konkurs – dine data og din forretning? Leverandør lever ikke op til SLA’er Leverandør med ringe “business continuity planning” Datacentre i lande med “uvenlig” lovgivning Leverandør-lock-in med proprietære teknologier og data formater Ressourcer deles med andre kunder– måske endda konkurrenter Leverandør-fejl får meget større konsekvenser end fejl I intern-it-afdeling. Og meget, meget mere……
Survey Results Top Ranked Threats RANK PERCENT 1) Data Loss/Leakage 28.8% 2) Abuse and Nefarious use of Cloud 17.8% Computing 3) Insecure API’s 15.1% 4) Malicious Insiders 11.0% 5) Account/Service and Traffic Hijacking 9.6% 6) Unknown Risk Profile 9.6% 7) Shared Technology Vulnerabilities 8.2% Copyright © 2010 Cloud Security Alliance www.cloudsecurityalliance.org
Defining Cloud • On demand provisioning • Elasticity • Multi-tenancy • Key types • Infrastructure as a Service (IaaS): basic O/S & storage • Platform as a Service (PaaS): IaaS + rapid dev • Software as a Service (SaaS): complete application • Public, Private, Community & Hybrid Cloud deployments Copyright © 2010 Cloud Security Alliance www.cloudsecurityalliance.org
S-P-I Framework You “RFP” security in SaaS Software as a Service You build security in PaaS Platform as a Service IaaS Infrastructure as a Service Copyright © 2010 Cloud Security Alliance www.cloudsecurityalliance.org
Eksempler på SaaS Salesforce.com Google Apps og Google Docs MS Office 365 DEMO af Gmail & Hotmail SalesForce.com E-conomic (dansk) Sådan kan et CRM i skyen se ud © Neupart A/S
Eksempler på PaaS Google Apps Engine Microsoft Azure Force.com (platform for Salesforce.com) Amazon Beanstalk DEMO af Force.com © Neupart A/S
Eksempler på IaaS Amazon EC2 Rackspace Cloud Microsoft Azure DEMO af EC2: Sådan opretter du en server i skyen © Neupart A/S
Top 5 ”hæmmere” ifølge Gartner Risk testing Data location Data and code portability Data loss Data security Vendor viability
CSA GRC stack CloudAudit API til ”audit” Cloud Controls Matrix Best practice kontrolmål for kunder såvel som udbydere af cloud Consensus Assesment Initiative Spørgeskema
Cloud Security Alliance STAR Cloud-leverandører offentliggør deres “self-assessment”. Baseret på CSA’s Control Matrix. Muligt grundlag for fremtidig certificering https://cloudsecurityalliance.org/STAR
Undgå denne situation… • http://www.youtube.com/watch?v=VjfaCoA2sQk © Neupart A/S
Dit eget ansvar som cloud-kunde Forebyggende Udbedrende tiltag tiltag Sikkerheds- Beredskabs- politik strategi Logning Vanskeligere at Compliance It-beredskabsplan overlade til cloud- Administrative checks leverandører Awareness tiltag Ændrings- System- Disaster Recovery styring dokumentation procedurer Firewall Antivirus Standby- Standby- Fysiske / tekniske udstyr driftscenter Lettere at Alarm- RAID tiltag Virtualisering Backup overlade til cloud- system Redundans leverandører Adgangskontrol- Server-snapshots system Brandslukning Server- cluster
Persondata i skyen?
Først lidt afgrænsning... Bolig, bil, eksamen, ansøgning, CV ansættelsesdato, stilling, arbejdsområde, arbejdstelefon CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet, personlighedstest Stamoplysninger: Navn, adresse, fødselsdato © Neupart A/S
Persondata i skyen? Generelt betragtet: EU betragtes sikre af Datatilsynet Sikre 3. lande: Schweiz Canada (begrænset anvendelsesområde - se Kommissionens) Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey Safe Harbor – ca. 2.000 virksomheder Liste hos Export.gov © Neupart A/S
En case: Odense Kommune Et ønske om at bruge Google Docs til elevplaner er ikke muligt i følge Datatilsynet med mindre en række forhold ændres eller dokumenteres
Elevplaner Kommunikation mellem skole og hjem Indeholder potentielt følsomme oplysninger Sociale forhold Helbredsoplysninger Psykisk ”profil” af elever Etc. © Neupart A/S
Google Analytics Datatilsynet i Norge siger nej IP numre er personhenførbare Cookies © Neupart A/S
Datatilsynet om Office 365 Kunden har ansvar for sikkerhed I Office 365 Microsoft har ansvar for sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. http://www.datatilsynet.dk/afgoerelser/arkiv-over- afgoerelser/artikel/behandling-af-personoplysninger-i- cloud-loesningen-office-365/ © Neupart A/S
It-universitetet Datatilsynet om Office 365 på ITU: Spørgsmål om tilstrækkelig risikovurdering. DT vil ikke godkende databehandler aftaler ITU’s ansvar for sikkerheden hos Microsoft indskærpes (!) ;-) http://www.datatilsynet.dk/afgoerelser/arkiv-over- afgoerelser/artikel/it-universitetet-i-koebenhavns- brug-af-microsofts-cloud-loesning-office-365/ © Neupart A/S
Ville I være trygge ved at lægge jeres egne persondata ud i skyen? F.eks. hos Google...
Risikovurdering
Cloud versus egen IT For cloud •Forretningsfokus (Hvad er vores egen ekspertise egentlig?) •Kapacitet, skalerbarhed, ”elasticitet” i servicen •Forretningen vil have det For egen IT •Cloud specifikke trusler •Compliance-krav •Vi ved hvad vi har.. © Neupart A/S
Cloud vs. klassisk outsourcing For cloud •Kapacitet, skalerbarhed, ”elasticitet” i servicen •Forretningen vil have det For klassisk outsourcing •Individuelle kontraktkrav kan bedre tilgodeses •Vi ved hvad vi har.. © Neupart A/S
Først en forkortelse: GRC IT GRC kan være med til at vurdere og sikre jeres anvendelse af skyen © Neupart A/S
Sådan kan GRC hjælpe med skyen: IT Governance: Beslut formål, strategi og operationelle regler for anvendelse af cloud-services. Dvs. opdatér jeres politik/regler/håndbøger IT Risikovurdering og –styring: Konsekvensvurdér: Kig på de forretningsprocesser der afhænger / skal afhænge af cloud services. Sårbarhedsvurder: Undersøg cloud leverandørens sårbarhed. Gennemgå sikkerhedsdokumentation og vilkår. ISO 27005 er meget velegnet som metode. CSA og ENISA chekclister. IT Compliance: Data-klassificering hjælper på vej. Aftaler/forpligtelser med kunder, partnere m.fl. Der er forskel på persondata – persondata i skyen er ikke forbudt som udgangspunkt © Neupart A/S G R C
Cloud computing og DS 484 DS 484 er relativt system-orienteret Mange detaljerede krav til sikrings- foranstaltninger og implementering DS 484 udkom før cloud computing © Neupart A/S G R C
Cloud computing og ISO 27001 27001 beskriver krav til ledelsessystem. Nøgleord: Plan–>do –>check –> act Politik Risikovurdering Intern audit Ledelsesvurdering Løbende forbedringer © Neupart A/S G R C
Sådan risikovurderer vi traditionelt Aktiv-hierarki Aktiv-type-hierarki Finans Business Product Business Service Business Division Konsekvensværdier ERP Business Function arves nedad Business Process Supporting Process Key Employee External Resource Finans-DB IT Service Outsourced Service Physical Documents Database Dynamics AOS Data Files Business System Data Storage System SQL 01 Infrastructure System Logical Server Logical Storage Logical Network Server 01 Software Product Server 02 Hardware Unit Communication Line Supply System Data Center HP DL380 Com. Center Sårbarhedsværdier Serial abc0987654321 HP DL380 Supply Center Serial xyz1234567890 Document Archive arves opad Workspace Data Center A G R C
Ny afhængighed – men samme metode for vurdering Forretnings- Forretnings- Konsekvensværdier proces proces arves nedad It-services fra It-services fra egen it. cloud- Sårbarhedsværdier arves opad leverandører © Neupart A/S G R C
Cloud-relevante kontrol-områder: © Neupart A/S G R C Input til jeres risikovurdering Kombi af CSA og ENISA’s checklister, anvendt i Neuparts vurdering af Google, Force.com, MS Azure. neupart.dk/sky
er skyen sikker?
dumt spørgsmål! er skyen sikker?
bedre: er skyen sikker nok?
svar: et rungende måske! – kan være bedre, kan være værre… afhænger af mange forhold, som du (heldigvis) kan risikovurdere
3 trin til skyen 1. Klassificér jeres data 2. Vurder relevante trusler 3. Vurder forretningskonsekvens (BIA) © Neupart A/S
Kursus-nyhed Neupart introducerer kursus med certificering fra Cloud Security Alliance: CCSK Certificate of Cloud Security Knowledge © Neupart A/S
Om Neupart Neupart A/S hjælper virksomheder med it- risikostyring og med at leve op til sikkerhedskrav. Også i skyen! Cloud-sikkerhed Bliv personligt certificeret CCSK : Certificate of Cloud Security Knowledge Neupart er Training Partner med Cloud Security Alliance ISO27001-certificeret Eneste it-sikkerhedsleverandør i DK, første it-virksomhed Certificeret siden 2003 (BS7799 / ISO 27001) © Neupart A/S
Kontakt information: Lars Neupart LN@neupart.com 70258030

Recommandé

Nyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetNyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetAnn Bruun Birk
 
KMD_sikkerhedbrochure
KMD_sikkerhedbrochureKMD_sikkerhedbrochure
KMD_sikkerhedbrochureClaus Lavdal
 
Idc Compliance (10 11 2009)
Idc Compliance (10 11 2009)Idc Compliance (10 11 2009)
Idc Compliance (10 11 2009)Martin von Haller Groenbaek
 
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
Muligheder for sikker cloud computing
Muligheder for sikker cloud computingMuligheder for sikker cloud computing
Muligheder for sikker cloud computingLars Neupart
 
Internet of Things
Internet of ThingsInternet of Things
Internet of ThingsAlexandra Instituttet
 
Skyerne er endnu ikke lettet over finans - men det lysner for de modige
Skyerne er endnu ikke lettet over finans - men det lysner for de modigeSkyerne er endnu ikke lettet over finans - men det lysner for de modige
Skyerne er endnu ikke lettet over finans - men det lysner for de modigeKristian Hjort-Madsen
 

Recommandé

Nyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetNyhedsbrev nr. 2, 2016 12 Spm. fra Datatilsynet
Nyhedsbrev nr. 2, 2016 12 Spm. fra DatatilsynetAnn Bruun Birk
 
KMD_sikkerhedbrochure
KMD_sikkerhedbrochureKMD_sikkerhedbrochure
KMD_sikkerhedbrochureClaus Lavdal
 
Idc Compliance (10 11 2009)
Idc Compliance (10 11 2009)Idc Compliance (10 11 2009)
Idc Compliance (10 11 2009)Martin von Haller Groenbaek
 
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
Muligheder for sikker cloud computing
Muligheder for sikker cloud computingMuligheder for sikker cloud computing
Muligheder for sikker cloud computingLars Neupart
 
Internet of Things
Internet of ThingsInternet of Things
Internet of ThingsAlexandra Instituttet
 
Skyerne er endnu ikke lettet over finans - men det lysner for de modige
Skyerne er endnu ikke lettet over finans - men det lysner for de modigeSkyerne er endnu ikke lettet over finans - men det lysner for de modige
Skyerne er endnu ikke lettet over finans - men det lysner for de modigeKristian Hjort-Madsen
 
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"Alexandra Instituttet
 
Keynote
KeynoteKeynote
KeynoteMicrosoft
 
16042 computerworld summit præsentation final 150410 v2
16042 computerworld summit præsentation final 150410 v216042 computerworld summit præsentation final 150410 v2
16042 computerworld summit præsentation final 150410 v2Henrik Blas Simonsen
 
PureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, Atea
PureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, AteaPureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, Atea
PureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, AteaIBM Danmark
 
Datacenter 2014: Conscia - Peter Arberg
Datacenter 2014: Conscia - Peter ArbergDatacenter 2014: Conscia - Peter Arberg
Datacenter 2014: Conscia - Peter ArbergMediehuset Ingeniøren Live
 
IBM cloud i computerworld november 2010
IBM cloud i computerworld november 2010IBM cloud i computerworld november 2010
IBM cloud i computerworld november 2010Toke Binzer
 
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/ConsciaSådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/ConsciaMediehuset Ingeniøren Live
 
eSec. Managed Security.
eSec. Managed Security.eSec. Managed Security.
eSec. Managed Security.Ulendorf ... think
 
Cloud Computing - fra udfordring til løsning
Cloud Computing - fra udfordring til løsningCloud Computing - fra udfordring til løsning
Cloud Computing - fra udfordring til løsningJakob Illeborg Pagter
 
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejdeHenrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejdeIBM Danmark
 
IBM Maximo for Facility Management
IBM Maximo for Facility ManagementIBM Maximo for Facility Management
IBM Maximo for Facility ManagementIBM Danmark
 
Cloud computing | Værd at vide
Cloud computing | Værd at videCloud computing | Værd at vide
Cloud computing | Værd at videJCD A/S
 
Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Kim Jensen
 
Sikkert i Skyen.pptx
Sikkert i Skyen.pptxSikkert i Skyen.pptx
Sikkert i Skyen.pptxNiels Peter Martin Pedersen
 
Computerworld Keynote 2021 - Cloud Privacy
Computerworld Keynote 2021 - Cloud PrivacyComputerworld Keynote 2021 - Cloud Privacy
Computerworld Keynote 2021 - Cloud PrivacyKristian Hjort-Madsen
 
Saas, ASP og Cloud aftaler
Saas, ASP og Cloud aftalerSaas, ASP og Cloud aftaler
Saas, ASP og Cloud aftalerPeter Lind Nielsen
 
IP Contractors intro - IP NOC og Drift
IP Contractors intro - IP NOC og DriftIP Contractors intro - IP NOC og Drift
IP Contractors intro - IP NOC og DriftLars Bodenhoff
 
Pentia Webinar: Digital arkitektur
Pentia Webinar: Digital arkitekturPentia Webinar: Digital arkitektur
Pentia Webinar: Digital arkitekturPentia
 
Lad data styre din forretning
Lad data styre din forretningLad data styre din forretning
Lad data styre din forretningMicrosoft
 
Device Management Hosted Sync Shield
Device Management Hosted Sync ShieldDevice Management Hosted Sync Shield
Device Management Hosted Sync ShieldMILCOM A/S
 
Neupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsNeupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsLars Neupart
 
How the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementHow the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementLars Neupart
 

Contenu connexe

Similaire à Dansk It Neupart Cloud Sikkerhed Risikovurdering

2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"Alexandra Instituttet
 
16042 computerworld summit præsentation final 150410 v2
16042 computerworld summit præsentation final 150410 v216042 computerworld summit præsentation final 150410 v2
16042 computerworld summit præsentation final 150410 v2Henrik Blas Simonsen
 
PureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, Atea
PureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, AteaPureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, Atea
PureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, AteaIBM Danmark
 
IBM cloud i computerworld november 2010
IBM cloud i computerworld november 2010IBM cloud i computerworld november 2010
IBM cloud i computerworld november 2010Toke Binzer
 
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/ConsciaSådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/ConsciaMediehuset Ingeniøren Live
 
Cloud Computing - fra udfordring til løsning
Cloud Computing - fra udfordring til løsningCloud Computing - fra udfordring til løsning
Cloud Computing - fra udfordring til løsningJakob Illeborg Pagter
 
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejdeHenrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejdeIBM Danmark
 
IBM Maximo for Facility Management
IBM Maximo for Facility ManagementIBM Maximo for Facility Management
IBM Maximo for Facility ManagementIBM Danmark
 
Cloud computing | Værd at vide
Cloud computing | Værd at videCloud computing | Værd at vide
Cloud computing | Værd at videJCD A/S
 
Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Kim Jensen
 
Computerworld Keynote 2021 - Cloud Privacy
Computerworld Keynote 2021 - Cloud PrivacyComputerworld Keynote 2021 - Cloud Privacy
Computerworld Keynote 2021 - Cloud PrivacyKristian Hjort-Madsen
 
IP Contractors intro - IP NOC og Drift
IP Contractors intro - IP NOC og DriftIP Contractors intro - IP NOC og Drift
IP Contractors intro - IP NOC og DriftLars Bodenhoff
 
Pentia Webinar: Digital arkitektur
Pentia Webinar: Digital arkitekturPentia Webinar: Digital arkitektur
Pentia Webinar: Digital arkitekturPentia
 
Lad data styre din forretning
Lad data styre din forretningLad data styre din forretning
Lad data styre din forretningMicrosoft
 
Device Management Hosted Sync Shield
Device Management Hosted Sync ShieldDevice Management Hosted Sync Shield
Device Management Hosted Sync ShieldMILCOM A/S
 

Similaire à Dansk It Neupart Cloud Sikkerhed Risikovurdering (20)

2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
 
Keynote
KeynoteKeynote
Keynote
 
16042 computerworld summit præsentation final 150410 v2
16042 computerworld summit præsentation final 150410 v216042 computerworld summit præsentation final 150410 v2
16042 computerworld summit præsentation final 150410 v2
 
PureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, Atea
PureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, AteaPureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, Atea
PureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, Atea
 
Datacenter 2014: Conscia - Peter Arberg
Datacenter 2014: Conscia - Peter ArbergDatacenter 2014: Conscia - Peter Arberg
Datacenter 2014: Conscia - Peter Arberg
 
IBM cloud i computerworld november 2010
IBM cloud i computerworld november 2010IBM cloud i computerworld november 2010
IBM cloud i computerworld november 2010
 
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/ConsciaSådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
Sådan bygger vi fremtidens netværk! - Thomas Raabo, Zitcom/Conscia
 
eSec. Managed Security.
eSec. Managed Security.eSec. Managed Security.
eSec. Managed Security.
 
Cloud Computing - fra udfordring til løsning
Cloud Computing - fra udfordring til løsningCloud Computing - fra udfordring til løsning
Cloud Computing - fra udfordring til løsning
 
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejdeHenrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
 
IBM Maximo for Facility Management
IBM Maximo for Facility ManagementIBM Maximo for Facility Management
IBM Maximo for Facility Management
 
Cloud computing | Værd at vide
Cloud computing | Værd at videCloud computing | Værd at vide
Cloud computing | Værd at vide
 
Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)
 
Sikkert i Skyen.pptx
Sikkert i Skyen.pptxSikkert i Skyen.pptx
Sikkert i Skyen.pptx
 
Computerworld Keynote 2021 - Cloud Privacy
Computerworld Keynote 2021 - Cloud PrivacyComputerworld Keynote 2021 - Cloud Privacy
Computerworld Keynote 2021 - Cloud Privacy
 
Saas, ASP og Cloud aftaler
Saas, ASP og Cloud aftalerSaas, ASP og Cloud aftaler
Saas, ASP og Cloud aftaler
 
IP Contractors intro - IP NOC og Drift
IP Contractors intro - IP NOC og DriftIP Contractors intro - IP NOC og Drift
IP Contractors intro - IP NOC og Drift
 
Pentia Webinar: Digital arkitektur
Pentia Webinar: Digital arkitekturPentia Webinar: Digital arkitektur
Pentia Webinar: Digital arkitektur
 
Lad data styre din forretning
Lad data styre din forretningLad data styre din forretning
Lad data styre din forretning
 
Device Management Hosted Sync Shield
Device Management Hosted Sync ShieldDevice Management Hosted Sync Shield
Device Management Hosted Sync Shield
 

Plus de Lars Neupart

Neupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsNeupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsLars Neupart
 
How the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementHow the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementLars Neupart
 
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22Lars Neupart
 
How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?Lars Neupart
 
Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen Lars Neupart
 
Neupart Isaca April 2012
Neupart Isaca April 2012Neupart Isaca April 2012
Neupart Isaca April 2012Lars Neupart
 
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Lars Neupart
 

Plus de Lars Neupart (7)

Neupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsNeupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessments
 
How the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementHow the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk Management
 
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
 
How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?
 
Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen
 
Neupart Isaca April 2012
Neupart Isaca April 2012Neupart Isaca April 2012
Neupart Isaca April 2012
 
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
 

Dansk It Neupart Cloud Sikkerhed Risikovurdering

  • 1. Velkommen til webinar med Dansk IT og Neupart: Risikostyring - også i skyen! Lars Neupart
  • 2. De største forhindringer? Uvished om sikkerhed og persondata © Neupart A/S
  • 3. Bange, undseelig, benovet, blufærdig, bly, forlegen, genert, skamfuld Hvad betyder sky og så er der……de der hvide, ? luftige, uigennemsigtige tingester på himlen….
  • 4.
  • 5. hvem regnede med, at nogen skulle forbinde skyer eller ”cloud” med noget sikkert ?
  • 6. Masser af trusler Cloud-leverandør konkurs – dine data og din forretning? Leverandør lever ikke op til SLA’er Leverandør med ringe “business continuity planning” Datacentre i lande med “uvenlig” lovgivning Leverandør-lock-in med proprietære teknologier og data formater Ressourcer deles med andre kunder– måske endda konkurrenter Leverandør-fejl får meget større konsekvenser end fejl I intern-it-afdeling. Og meget, meget mere……
  • 7. Survey Results Top Ranked Threats RANK PERCENT 1) Data Loss/Leakage 28.8% 2) Abuse and Nefarious use of Cloud 17.8% Computing 3) Insecure API’s 15.1% 4) Malicious Insiders 11.0% 5) Account/Service and Traffic Hijacking 9.6% 6) Unknown Risk Profile 9.6% 7) Shared Technology Vulnerabilities 8.2% Copyright © 2010 Cloud Security Alliance www.cloudsecurityalliance.org
  • 8. Defining Cloud • On demand provisioning • Elasticity • Multi-tenancy • Key types • Infrastructure as a Service (IaaS): basic O/S & storage • Platform as a Service (PaaS): IaaS + rapid dev • Software as a Service (SaaS): complete application • Public, Private, Community & Hybrid Cloud deployments Copyright © 2010 Cloud Security Alliance www.cloudsecurityalliance.org
  • 9. S-P-I Framework You “RFP” security in SaaS Software as a Service You build security in PaaS Platform as a Service IaaS Infrastructure as a Service Copyright © 2010 Cloud Security Alliance www.cloudsecurityalliance.org
  • 10. Eksempler på SaaS Salesforce.com Google Apps og Google Docs MS Office 365 DEMO af Gmail & Hotmail SalesForce.com E-conomic (dansk) Sådan kan et CRM i skyen se ud © Neupart A/S
  • 11. Eksempler på PaaS Google Apps Engine Microsoft Azure Force.com (platform for Salesforce.com) Amazon Beanstalk DEMO af Force.com © Neupart A/S
  • 12. Eksempler på IaaS Amazon EC2 Rackspace Cloud Microsoft Azure DEMO af EC2: Sådan opretter du en server i skyen © Neupart A/S
  • 13. Top 5 ”hæmmere” ifølge Gartner Risk testing Data location Data and code portability Data loss Data security Vendor viability
  • 14. CSA GRC stack CloudAudit API til ”audit” Cloud Controls Matrix Best practice kontrolmål for kunder såvel som udbydere af cloud Consensus Assesment Initiative Spørgeskema
  • 15. Cloud Security Alliance STAR Cloud-leverandører offentliggør deres “self-assessment”. Baseret på CSA’s Control Matrix. Muligt grundlag for fremtidig certificering https://cloudsecurityalliance.org/STAR
  • 16. Undgå denne situation… • http://www.youtube.com/watch?v=VjfaCoA2sQk © Neupart A/S
  • 17. Dit eget ansvar som cloud-kunde Forebyggende Udbedrende tiltag tiltag Sikkerheds- Beredskabs- politik strategi Logning Vanskeligere at Compliance It-beredskabsplan overlade til cloud- Administrative checks leverandører Awareness tiltag Ændrings- System- Disaster Recovery styring dokumentation procedurer Firewall Antivirus Standby- Standby- Fysiske / tekniske udstyr driftscenter Lettere at Alarm- RAID tiltag Virtualisering Backup overlade til cloud- system Redundans leverandører Adgangskontrol- Server-snapshots system Brandslukning Server- cluster
  • 19. Først lidt afgrænsning... Bolig, bil, eksamen, ansøgning, CV ansættelsesdato, stilling, arbejdsområde, arbejdstelefon CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet, personlighedstest Stamoplysninger: Navn, adresse, fødselsdato © Neupart A/S
  • 20. Persondata i skyen? Generelt betragtet: EU betragtes sikre af Datatilsynet Sikre 3. lande: Schweiz Canada (begrænset anvendelsesområde - se Kommissionens) Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey Safe Harbor – ca. 2.000 virksomheder Liste hos Export.gov © Neupart A/S
  • 21. En case: Odense Kommune Et ønske om at bruge Google Docs til elevplaner er ikke muligt i følge Datatilsynet med mindre en række forhold ændres eller dokumenteres
  • 22. Elevplaner Kommunikation mellem skole og hjem Indeholder potentielt følsomme oplysninger Sociale forhold Helbredsoplysninger Psykisk ”profil” af elever Etc. © Neupart A/S
  • 23. Google Analytics Datatilsynet i Norge siger nej IP numre er personhenførbare Cookies © Neupart A/S
  • 24. Datatilsynet om Office 365 Kunden har ansvar for sikkerhed I Office 365 Microsoft har ansvar for sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven. http://www.datatilsynet.dk/afgoerelser/arkiv-over- afgoerelser/artikel/behandling-af-personoplysninger-i- cloud-loesningen-office-365/ © Neupart A/S
  • 25. It-universitetet Datatilsynet om Office 365 på ITU: Spørgsmål om tilstrækkelig risikovurdering. DT vil ikke godkende databehandler aftaler ITU’s ansvar for sikkerheden hos Microsoft indskærpes (!) ;-) http://www.datatilsynet.dk/afgoerelser/arkiv-over- afgoerelser/artikel/it-universitetet-i-koebenhavns- brug-af-microsofts-cloud-loesning-office-365/ © Neupart A/S
  • 26. Ville I være trygge ved at lægge jeres egne persondata ud i skyen? F.eks. hos Google...
  • 28. Cloud versus egen IT For cloud •Forretningsfokus (Hvad er vores egen ekspertise egentlig?) •Kapacitet, skalerbarhed, ”elasticitet” i servicen •Forretningen vil have det For egen IT •Cloud specifikke trusler •Compliance-krav •Vi ved hvad vi har.. © Neupart A/S
  • 29. Cloud vs. klassisk outsourcing For cloud •Kapacitet, skalerbarhed, ”elasticitet” i servicen •Forretningen vil have det For klassisk outsourcing •Individuelle kontraktkrav kan bedre tilgodeses •Vi ved hvad vi har.. © Neupart A/S
  • 30. Først en forkortelse: GRC IT GRC kan være med til at vurdere og sikre jeres anvendelse af skyen © Neupart A/S
  • 31. Sådan kan GRC hjælpe med skyen: IT Governance: Beslut formål, strategi og operationelle regler for anvendelse af cloud-services. Dvs. opdatér jeres politik/regler/håndbøger IT Risikovurdering og –styring: Konsekvensvurdér: Kig på de forretningsprocesser der afhænger / skal afhænge af cloud services. Sårbarhedsvurder: Undersøg cloud leverandørens sårbarhed. Gennemgå sikkerhedsdokumentation og vilkår. ISO 27005 er meget velegnet som metode. CSA og ENISA chekclister. IT Compliance: Data-klassificering hjælper på vej. Aftaler/forpligtelser med kunder, partnere m.fl. Der er forskel på persondata – persondata i skyen er ikke forbudt som udgangspunkt © Neupart A/S G R C
  • 32. Cloud computing og DS 484 DS 484 er relativt system-orienteret Mange detaljerede krav til sikrings- foranstaltninger og implementering DS 484 udkom før cloud computing © Neupart A/S G R C
  • 33. Cloud computing og ISO 27001 27001 beskriver krav til ledelsessystem. Nøgleord: Plan–>do –>check –> act Politik Risikovurdering Intern audit Ledelsesvurdering Løbende forbedringer © Neupart A/S G R C
  • 34. Sådan risikovurderer vi traditionelt Aktiv-hierarki Aktiv-type-hierarki Finans Business Product Business Service Business Division Konsekvensværdier ERP Business Function arves nedad Business Process Supporting Process Key Employee External Resource Finans-DB IT Service Outsourced Service Physical Documents Database Dynamics AOS Data Files Business System Data Storage System SQL 01 Infrastructure System Logical Server Logical Storage Logical Network Server 01 Software Product Server 02 Hardware Unit Communication Line Supply System Data Center HP DL380 Com. Center Sårbarhedsværdier Serial abc0987654321 HP DL380 Supply Center Serial xyz1234567890 Document Archive arves opad Workspace Data Center A G R C
  • 35. Ny afhængighed – men samme metode for vurdering Forretnings- Forretnings- Konsekvensværdier proces proces arves nedad It-services fra It-services fra egen it. cloud- Sårbarhedsværdier arves opad leverandører © Neupart A/S G R C
  • 36. Cloud-relevante kontrol-områder: © Neupart A/S G R C Input til jeres risikovurdering Kombi af CSA og ENISA’s checklister, anvendt i Neuparts vurdering af Google, Force.com, MS Azure. neupart.dk/sky
  • 40. svar: et rungende måske! – kan være bedre, kan være værre… afhænger af mange forhold, som du (heldigvis) kan risikovurdere
  • 41. 3 trin til skyen 1. Klassificér jeres data 2. Vurder relevante trusler 3. Vurder forretningskonsekvens (BIA) © Neupart A/S
  • 42. Kursus-nyhed Neupart introducerer kursus med certificering fra Cloud Security Alliance: CCSK Certificate of Cloud Security Knowledge © Neupart A/S
  • 43. Om Neupart Neupart A/S hjælper virksomheder med it- risikostyring og med at leve op til sikkerhedskrav. Også i skyen! Cloud-sikkerhed Bliv personligt certificeret CCSK : Certificate of Cloud Security Knowledge Neupart er Training Partner med Cloud Security Alliance ISO27001-certificeret Eneste it-sikkerhedsleverandør i DK, første it-virksomhed Certificeret siden 2003 (BS7799 / ISO 27001) © Neupart A/S

Notes de l'éditeur

  1. Uhåndgribelige, u-konkrete,svært definérbare, luftige og alligevel uigennemsigtige størrelser….
  2. Jord?Klippe, bjerg, klippe, grundfeldtModsætningerSolskin? Jord <-> Luft Rock solidMan må godt holde hovedet (næsen?) i sky hvis man har fødderne på jordenSimon og det socialiste element – kolkhos ! ! CC er opfundet i USA
  3. Vi starter på den hårde måde
  4. Lidtmere exact
  5. The NIST diagram provides a good visualization of what it is, what types of services are delivered and how it is deployed.
  6. The security approach and role varies depending on the delivery model
  7. Governance eksempel – ds 484 baserede sikkerheds politikker er ikke cloud egnede
  8. Iso 27001 er bedre
  9. Samme metode & princip for risikvurdering. Bare forskellige trusler.