Dansk It Neupart Cloud Sikkerhed Risikovurdering

Velkommen til webinar

med Dansk IT og Neupart:

Risikostyring - også i skyen!

Lars Neupart

© Neupart A/S

De største forhindringer?

Uvished om sikkerhed og

persondata

Hvad betyder

sky?

Bange, undseelig, benovet, blufærdig, bly, forlegen, genert, skamfuld

og så er der……de der hvide, luftige,

uigennemsigtige tingester på himlen….

hvem regnede med, at nogen skulle forbinde

skyer eller ”cloud” med noget sikkert ?

Masser af trusler

Cloud-leverandør konkurs – dine data og din forretning?Leverandør lever ikke op til SLA’erLeverandør med ringe “business continuity planning”Datacentre i lande med “uvenlig” lovgivningLeverandør-lock-in med proprietære teknologier og data formaterRessourcer deles med andre kunder– måske endda konkurrenterLeverandør-fejl får meget større konsekvenser end fejl I intern-it-afdeling.Og meget, meget mere……

www.cloudsecurityalliance.orgCopyright © 2010 Cloud Security Alliance

Survey ResultsTop Ranked ThreatsRANK PERCENT

1) Data Loss/Leakage 28.8%

2) Abuse and Nefarious use of Cloud Computing

17.8%

3) Insecure API’s 15.1%

4) Malicious Insiders 11.0%

5) Account/Service and Traffic Hijacking

9.6%

6) Unknown Risk Profile 9.6%

7) Shared Technology Vulnerabilities 8.2%

http://www.cloudsecurityalliance.org/


Defining Cloud• On demand provisioning

• Elasticity

• Multi-tenancy

• Key types• Infrastructure as a Service

(IaaS): basic O/S & storage

• Platform as a Service (PaaS): IaaS + rapid dev

• Software as a Service (SaaS): complete application

• Public, Private, Community & Hybrid Cloud deployments



PaaSPlatform as a Service

You buildsecurity in

You “RFP”security in

S-P-I Framework

PaaSPlatform as a Service

IaaSInfrastructure as a Service

SaaSSoftware as a Service


© Neupart A/S

Eksempler på SaaS

Salesforce.comGoogle Apps og Google DocsMS Office 365Gmail & HotmailE-conomic (dansk)

DEMO af SalesForce.comSådan kan et CRM i skyen se ud

© Neupart A/S

Eksempler på PaaS

Google Apps EngineMicrosoft AzureForce.com (platform for Salesforce.com)Amazon Beanstalk

DEMO af Force.com

© Neupart A/S

Eksempler på IaaS

Amazon EC2Rackspace CloudMicrosoft Azure

DEMO af EC2:Sådan opretter du en server i skyen

Top 5 ”hæmmere” ifølge Gartner

Risk testingData locationData and code portabilityData lossData securityVendor viabilitySikkerhed

!

CSA GRC stack

CloudAuditAPI til ”audit”

Cloud Controls MatrixBest practice kontrolmål for kunder såvel som udbydere af cloud

Consensus Assesment InitiativeSpørgeskema

Cloud Security Alliance STAR

Cloud-leverandører offentliggør deres “self-assessment”.Baseret på CSA’s Control Matrix.Muligt grundlag for fremtidig certificering

https://cloudsecurityalliance.org/STAR

https://cloudsecurityalliance.org/STAR

© Neupart A/S

Undgå denne situation…

• http://www.youtube.com/watch?v=VjfaCoA2sQk

http://www.youtube.com/watch?v=VjfaCoA2sQk



Dit eget ansvar som cloud-kunde

Administrativetiltag

Fysiske / teknisketiltag

Forebyggendetiltag

Udbedrendetiltag

Firewall Antivirus

Server-cluster

RAIDBackup

Standby-udstyr

Virtualisering

Sikkerheds-politik

System-dokumentation

Awareness

Compliancechecks

Alarm-system

Brandslukning

Logning

Ændrings-styring

It-beredskabsplan

Disaster Recoveryprocedurer

Beredskabs-strategi

Redundans

Adgangskontrol-system

Standby-driftscenter

Server-snapshots

Vanskeligere at overlade til cloud-leverandører

Lettere at overlade til cloud-leverandører

Persondata i skyen?

© Neupart A/S

Bolig, bil, eksamen, ansøgning, CVansættelsesdato, stilling, arbejdsområde, arbejdstelefon

Stamoplysninger: Navn, adresse, fødselsdato

Først lidt afgrænsning...

CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold

Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent

private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet,

personlighedstest

© Neupart A/S

Persondata i skyen?

Generelt betragtet:EU betragtes sikre af DatatilsynetSikre 3. lande:

Schweiz Canada (begrænset anvendelsesområde - se Kommissionens)Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey

Safe Harbor – ca. 2.000 virksomhederListe hos Export.gov

http://web.ita.doc.gov/safeharbor/SHList.nsf/WebPages/Safe+Harbor+List

En case: Odense Kommune

Et ønske om at bruge Google Docs til elevplaner er ikke muligt i følge Datatilsynet med mindre en række forhold ændres eller dokumenteres

© Neupart A/S

Elevplaner

Kommunikation mellem skole og hjemIndeholder potentielt følsomme oplysninger

Sociale forholdHelbredsoplysningerPsykisk ”profil” af eleverEtc.

© Neupart A/S

Google Analytics

Datatilsynet i Norge siger nejIP numre er personhenførbareCookies

© Neupart A/S

Datatilsynet om Office 365

Kunden har ansvar for sikkerhed I Office 365Microsoft har ansvar for sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.

http://www.datatilsynet.dk/afgoerelser/arkiv-over-afgoerelser/artikel/behandling-af-personoplysninger-i-cloud-loesningen-office-365/

© Neupart A/S

It-universitetet

Datatilsynet om Office 365 på ITU:Spørgsmål om tilstrækkelig risikovurdering.DT vil ikke godkende databehandler aftalerITU’s ansvar for sikkerheden hos Microsoft indskærpes (!) ;-)

http://www.datatilsynet.dk/afgoerelser/arkiv-over-afgoerelser/artikel/it-universitetet-i-koebenhavns-brug-af-microsofts-cloud-loesning-office-365/






Ville I være trygge ved at lægge jeres egne persondata ud i skyen?

F.eks. hos Google...

Risikovurdering

© Neupart A/S

Cloud versus egen IT

For cloud• Forretningsfokus (Hvad er

vores egen ekspertise egentlig?)

• Kapacitet, skalerbarhed, ”elasticitet” i servicen

• Forretningen vil have det

For egen IT• Cloud specifikke trusler• Compliance-krav• Vi ved hvad vi har..

© Neupart A/S

Cloud vs. klassisk outsourcing

For cloud• Kapacitet,

skalerbarhed, ”elasticitet” i servicen

• Forretningen vil have det

For klassisk outsourcing• Individuelle

kontraktkrav kan bedre tilgodeses

• Vi ved hvad vi har..

© Neupart A/S

Først en forkortelse: GRC

IT GRC kan være med til at vurdere og sikre jeres anvendelse af skyen

IT GRC =

IT Governance, Risk & Compliance

Management

© Neupart A/S

Sådan kan GRC hjælpe med skyen:

IT Governance:Beslut formål, strategi og operationelle regler for anvendelse af cloud-services. Dvs. opdatér jeres politik/regler/håndbøger

IT Risikovurdering og –styring:Konsekvensvurdér: Kig på de forretningsprocesser der afhænger / skal afhænge af cloud services.Sårbarhedsvurder: Undersøg cloud leverandørens sårbarhed. Gennemgå sikkerhedsdokumentation og vilkår.ISO 27005 er meget velegnet som metode. CSA og ENISA chekclister.

IT Compliance:Data-klassificering hjælper på vej.Aftaler/forpligtelser med kunder, partnere m.fl.Der er forskel på persondata – persondata i skyen er ikke forbudt som udgangspunkt

G R C

© Neupart A/S

Cloud computing og DS 484

DS 484 er relativt system-orienteret Mange detaljerede krav til sikrings-foranstaltninger og implementeringDS 484 udkom før cloud computing

G R C

© Neupart A/S

Cloud computing og ISO 2700127001 beskriver krav til ledelsessystem. Nøgleord:

Plan–>do –>check –> actPolitikRisikovurderingIntern auditLedelsesvurderingLøbende forbedringer

G R C

Konsekvensværdier arves nedad

Sårbarhedsværdierarves opad

Business Product

Business Service

Business Division

Business Function

Business Process

Supporting Process

Key Employee

External Resource

Physical Documents

IT Service

Database

Data Files

Business System

Infrastructure System

Data Storage System

Logical Server

Logical Storage

Logical Network

Software Product

Hardware Unit

Communication Line

Supply System

Data Center

Com. Center

Workspace

Supply Center

Document Archive

Outsourced Service

Aktiv-type-hierarki

Server 01

SQL 01

HP DL380Serial xyz1234567890

Data Center A

Finans-DB

ERP

Dynamics AOS

HP DL380Serial abc0987654321

Server 02

Finans

Aktiv-hierarki

G R

Sådan risikovurderer vi traditionelt

C

© Neupart A/S

Ny afhængighed – men samme metode for vurdering

Forretnings-proces

It-services fra egen it.

Forretnings-proces

It-services fra cloud-

leverandører

Konsekvensværdier arves nedad

Sårbarhedsværdierarves opad

G R C

© Neupart A/S

Input til jeres risikovurdering

Organizational security

Operational security

Physical security

Identity and access

management

Encryption

Asset managemen

t and -security

Business continuity

management

Incident managemen

t

Legal requirement

s and privacy

Portability

G R CClo

ud-r

ele

van

te k

on

trol-

om

råd

er:

Kom

bi af

CS

A o

g E

NIS

A’s

check

liste

r,

anvendt

i N

eupart

s vurd

eri

ng a

f G

oogle

, Fo

rce.c

om

, M

S A

zure

. neupart

.dk/

sky

http://neupart.dk/sky

er skyen sikker?

dumt spørgsmål!

er skyen sikker?

bedre:

er skyen sikker nok?

svar: et rungende

måske!

– kan være bedre, kan være værre…

afhænger af mange forhold, som du (heldigvis) kan risikovurdere

© Neupart A/S

3 trin til skyen

1. Klassificér jeres data2. Vurder relevante trusler3. Vurder

forretningskonsekvens (BIA)

© Neupart A/S

Kursus-nyhed

Neupart introducerer kursus med certificering fra Cloud Security Alliance:

CCSKCertificate of Cloud Security Knowledge

© Neupart A/S

Om Neupart

Neupart A/S hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Også i skyen!

Cloud-sikkerhedBliv personligt certificeret

CCSK : Certificate of Cloud Security Knowledge

Neupart er Training Partner med Cloud Security Alliance

ISO27001-certificeretEneste it-sikkerhedsleverandør i DK, første it-virksomhed

Certificeret siden 2003 (BS7799 / ISO 27001)

IT GRC =IT Governance, Risk & Compliance Management

Kontakt information:

Lars [email protected]

Dansk It Neupart Cloud Sikkerhed Risikovurdering

Documents

Transcript of Dansk It Neupart Cloud Sikkerhed Risikovurdering