1 / 37

Er skyen sikker nok ?

Er skyen sikker nok ?. Lars Neupart. De største forhindringer?. Uvished om s ikkerhed og persondata. Hvad betyder sky ?. Bange, undseelig, benovet, blufærdig, bly, forlegen, genert, skamfuld. og så er der……de der hvide, luftige, uigennemsigtige tingester på himlen….

lalo
Download Presentation

Er skyen sikker nok ?

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Er skyen sikker nok ? Lars Neupart

  2. De største forhindringer? Uvished om sikkerhed og persondata

  3. Hvad betyder sky? Bange, undseelig, benovet, blufærdig, bly, forlegen, genert, skamfuld og så er der……de der hvide, luftige, uigennemsigtige tingester på himlen….

  4. hvem regnede med at nogen skulle forbinde skyer eller ”cloud” med noget sikkert ?

  5. Indlægget i dag

  6. Masser af trusler • Cloud-leverandør konkurs – dine data og din forretning? • Leverandør lever ikke op til SLA’er • Leverandør med ringe “business continuity planning” • Datacentre i lande med “uvenlig” lovgivning • Leverandør-lock-in med proprietære teknologier og data formater • Ressourcer deles med andre kunder– måske endda konkurrenter • Leverandør-fejl får meget større konsekvenser end fejl I intern-it-afdeling. • Og meget, meget mere……

  7. Survey Results

  8. Defining Cloud On demand provisioning Elasticity Multi-tenancy Key types Infrastructure as a Service (IaaS): basic O/S & storage Platform as a Service (PaaS): IaaS + rapid dev Software as a Service (SaaS): complete application Public, Private, Community & Hybrid Cloud deployments

  9. S-P-I Framework IaaS Infrastructure as a Service You “RFP” security in SaaS Software as a Service You build security in PaaS Platform as a Service

  10. Dette indlæg

  11. Gennemgang af ny rapport om sikkerheden hos 3 store cloud leverandører Kan hentes gratis på www.neupart.dk/sky

  12. Organisationer og publikationer

  13. Cloud leverandører i rapporten

  14. Hvorfor PaaS? • For IaaS står du selv for meget sikkerhed • For SaaS er det svært at finde 3 ens ydelser at sammenligne • PaaS var tilpas komplekst og sammenligneligt på tværs af leverandører

  15. Den teoretiske fremgangsmåde

  16. Den faktiske fremgangsmåde

  17. Resultat af analysen

  18. Hvorfor ”vandt” Google? • Fordi de havde et højt sikkerhedsniveau • Fordi de var gode til at dokumentere deres sikkerhedsniveau • Er de andre så dårlige valg? Ikke nødvendigvis... men • Force.com havde meget lidt information om deres sikkerhedsniveau • Microsoft ”gemte” sig lidt bag ved en masse forkortelser og teknik-snak

  19. Dette indlæg

  20. Cloud versus egen IT

  21. Cloud vs. klassisk outsourcing

  22. Et punkt tilbage… (et stort et)

  23. Først en forkortelse: GRC IT GRC kan være med til at vurdere og sikre jeres anvendelse af skyen IT GRC = IT Governance, Risk & Compliance Management

  24. Sådan kan GRChjælpe medskyen: • IT Governance: • Beslut formål, strategi og operationelle regler for anvendelse af cloud-services. Dvs. opdatér jeres politik/regler/håndbøger • IT Risikovurdering og –styring: • Konsekvensvurdér: Kig på de forretningsprocesser der afhænger / skal afhænge af cloud services. • Sårbarhedsvurder: Undersøg cloud leverandørens sårbarhed. Gennemgå sikkerhedsdokumentation og vilkår. • ISO 27005 er meget velegnet som metode. CSA og ENISA chekclister. • IT Compliance: • Data-klassificering hjælper på vej. • Aftaler/forpligtelser med kunder, partnere m.fl. • Der er forskel på persondata – persondata i skyen er ikke forbudt som udgangspunkt R G C

  25. Cloud computing og DS 484 • DS 484 er relativt system-orienteret • Mange detaljerede krav til sikrings-foranstaltninger og implementering • DS 484 udkom før cloud computing R G C

  26. Cloud computing og ISO 27001 27001 beskriver krav til ledelsessystem. Nøgleord: • Plan–>do –>check –> act • Politik • Risikovurdering • Intern audit • Ledelsesvurdering • Løbende forbedringer R G C

  27. Sådan risikovurderer vi traditionelt Aktiv-type-hierarki Business Product Business Service Business Division Business Function Business Process Supporting Process Key Employee External Resource IT Service Outsourced Service Physical Documents Database Data Files Business System Data Storage System Infrastructure System Logical Server Logical Storage Logical Network Software Product Hardware Unit Communication Line Supply System Data Center Com . Center Supply Center Document Archive Workspace Aktiv-hierarki Finans Konsekvensværdier arves nedad ERP Finans-DB Dynamics AOS SQL 01 Server 01 Server 02 HP DL380 Serial abc0987654321 Sårbarhedsværdierarves opad HP DL380 Serial xyz1234567890 R G C Data Center A

  28. Ny afhængighed – men samme metode for vurdering Konsekvensværdier arves nedad Forretnings-proces Forretnings-proces It-services fra egen it. It-services fra cloud-leverandører Sårbarhedsværdierarves opad R G C

  29. Input til jeres risikovurdering R G C Kombiaf CSA og ENISA’s checklister, anvendt i Neuparts vurdering af Google, Force.com, MS Azure. neupart.dk/sky Cloud-relevante kontrol-områder:

  30. Persondata i skyen? • Odense kommune har fået nej til at bruge Google Apps kontorpakke til følsomme oplysninger fx helbredsforhold, væsentlige sociale problemer og andre rent private forhold. Men generelt: • EU betragtes sikre af Datatilsynet (siger de … hmm….) • Sikre 3. lande: • Schweiz • Canada (begrænset anvendelsesområde - se Kommissionens) • Argentina • Guernsey • USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) • Isle of Man • Jersey • SafeHarbor – ca. 2.000 virksomheder • Liste hos Export.gov R G C

  31. Persondata i skyen? Tjah… Bolig, bil, eksamen, ansøgning, CV ansættelsesdato, stilling, arbejdsområde, arbejdstelefon CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet, personlighedstest Stamoplysninger: Navn, adresse, fødselsdato R G C

  32. er skyen sikker?

  33. er skyen sikker? dumt spørgsmål!

  34. bedre: er skyen sikker nok?

  35. svar: et rungende måske! – kan være bedre, kan være værre… afhænger af mange forhold, som du (heldigvis) kan risikovurdere

  36. Spørgsmål? neupart.dk/SKY Rapport om cloud-leverandør-vurdering, mere om cloud-sikkerhed, gratis-seminarer

More Related