Indhold
Cloud computing bliver stadig mere udbredt blandt virksomheder i Danmark – økonomi- og salgssystemer og backup af data flyttes nu ud i skyen.
Mens cloud computing giver virksomheder en række åbenlyse fordele (fleksibel adgang, opdateret software, billigere drift af it-systemer etc.), så er der desværre også en række sikkerhedstrusler forbundet med brug af cloud computing. På dette webinar lærer du at kunne vurdere og styre disse trusler, og hvordan du kan vurdere, om sikkerheden hos cloud-leverandørerne er god nok. Dette webinar er din genvej til at kunne foretage ansvarlige og professionelle risikovurderinger!
Du bliver præsenteret for en række cloud-specifikke trusler og du vil få værktøjerne til at kunne foretage professionelle risikovurderinger.
3. Bange, undseelig, benovet, blufærdig, bly,
forlegen, genert, skamfuld
Hvad betyder sky
og så er der……de der hvide,
?
luftige, uigennemsigtige
tingester på himlen….
4.
5. hvem regnede med, at
nogen skulle forbinde
skyer eller ”cloud”
med noget sikkert ?
6. Masser af trusler
Cloud-leverandør konkurs – dine data og din forretning?
Leverandør lever ikke op til SLA’er
Leverandør med ringe “business continuity planning”
Datacentre i lande med “uvenlig” lovgivning
Leverandør-lock-in med proprietære teknologier og data
formater
Ressourcer deles med andre kunder– måske endda
konkurrenter
Leverandør-fejl får meget større konsekvenser end fejl I
intern-it-afdeling.
Og meget, meget mere……
13. Top 5 ”hæmmere” ifølge Gartner
Risk testing
Data location
Data and code portability
Data loss
Data security
Vendor viability
14. CSA GRC stack
CloudAudit
API til ”audit”
Cloud Controls Matrix
Best practice kontrolmål for kunder såvel som udbydere
af cloud
Consensus Assesment Initiative
Spørgeskema
15. Cloud Security Alliance STAR
Cloud-leverandører offentliggør deres “self-assessment”.
Baseret på CSA’s Control Matrix.
Muligt grundlag for fremtidig certificering
https://cloudsecurityalliance.org/STAR
21. En case: Odense Kommune
Et ønske om at bruge Google Docs til
elevplaner er ikke muligt i følge
Datatilsynet med mindre en række
forhold ændres eller dokumenteres
34. Sådan risikovurderer vi traditionelt
Aktiv-hierarki Aktiv-type-hierarki
Finans Business Product
Business Service
Business Division
Konsekvensværdier
ERP Business Function arves nedad
Business Process
Supporting Process
Key Employee
External Resource
Finans-DB IT Service
Outsourced Service
Physical Documents
Database
Dynamics AOS Data Files
Business System
Data Storage System
SQL 01 Infrastructure System
Logical Server
Logical Storage
Logical Network
Server 01 Software Product
Server 02 Hardware Unit
Communication Line
Supply System
Data Center
HP DL380 Com. Center
Sårbarhedsværdier
Serial abc0987654321
HP DL380 Supply Center
Serial xyz1234567890 Document Archive arves opad
Workspace
Data Center A G R C
Uhåndgribelige, u-konkrete,svært definérbare, luftige og alligevel uigennemsigtige størrelser….
Jord?Klippe, bjerg, klippe, grundfeldtModsætningerSolskin? Jord <-> Luft Rock solidMan må godt holde hovedet (næsen?) i sky hvis man har fødderne på jordenSimon og det socialiste element – kolkhos ! ! CC er opfundet i USA
Vi starter på den hårde måde
Lidtmere exact
The NIST diagram provides a good visualization of what it is, what types of services are delivered and how it is deployed.
The security approach and role varies depending on the delivery model
Governance eksempel – ds 484 baserede sikkerheds politikker er ikke cloud egnede
Iso 27001 er bedre
Samme metode & princip for risikvurdering. Bare forskellige trusler.