Dansk It Neupart Cloud Sikkerhed Risikovurdering
-
Upload
lars-neupart -
Category
Documents
-
view
366 -
download
6
description
Transcript of Dansk It Neupart Cloud Sikkerhed Risikovurdering
Velkommen til webinar
med Dansk IT og Neupart:
Risikostyring - også i skyen!
Lars Neupart
© Neupart A/S
De største forhindringer?
Uvished om sikkerhed og
persondata
Hvad betyder
sky?
Bange, undseelig, benovet, blufærdig, bly, forlegen, genert, skamfuld
og så er der……de der hvide, luftige,
uigennemsigtige tingester på himlen….
hvem regnede med, at nogen skulle forbinde
skyer eller ”cloud” med noget sikkert ?
Masser af trusler
Cloud-leverandør konkurs – dine data og din forretning?Leverandør lever ikke op til SLA’erLeverandør med ringe “business continuity planning”Datacentre i lande med “uvenlig” lovgivningLeverandør-lock-in med proprietære teknologier og data formaterRessourcer deles med andre kunder– måske endda konkurrenterLeverandør-fejl får meget større konsekvenser end fejl I intern-it-afdeling.Og meget, meget mere……
www.cloudsecurityalliance.orgCopyright © 2010 Cloud Security Alliance
Survey ResultsTop Ranked ThreatsRANK PERCENT
1) Data Loss/Leakage 28.8%
2) Abuse and Nefarious use of Cloud Computing
17.8%
3) Insecure API’s 15.1%
4) Malicious Insiders 11.0%
5) Account/Service and Traffic Hijacking
9.6%
6) Unknown Risk Profile 9.6%
7) Shared Technology Vulnerabilities 8.2%
www.cloudsecurityalliance.orgCopyright © 2010 Cloud Security Alliance
Defining Cloud• On demand provisioning
• Elasticity
• Multi-tenancy
• Key types• Infrastructure as a Service
(IaaS): basic O/S & storage
• Platform as a Service (PaaS): IaaS + rapid dev
• Software as a Service (SaaS): complete application
• Public, Private, Community & Hybrid Cloud deployments
www.cloudsecurityalliance.orgCopyright © 2010 Cloud Security Alliance
PaaSPlatform as a Service
You buildsecurity in
You “RFP”security in
S-P-I Framework
PaaSPlatform as a Service
IaaSInfrastructure as a Service
SaaSSoftware as a Service
© Neupart A/S
Eksempler på SaaS
Salesforce.comGoogle Apps og Google DocsMS Office 365Gmail & HotmailE-conomic (dansk)
DEMO af SalesForce.comSådan kan et CRM i skyen se ud
© Neupart A/S
Eksempler på PaaS
Google Apps EngineMicrosoft AzureForce.com (platform for Salesforce.com)Amazon Beanstalk
DEMO af Force.com
© Neupart A/S
Eksempler på IaaS
Amazon EC2Rackspace CloudMicrosoft Azure
DEMO af EC2:Sådan opretter du en server i skyen
Top 5 ”hæmmere” ifølge Gartner
Risk testingData locationData and code portabilityData lossData securityVendor viabilitySikkerhed
!
CSA GRC stack
CloudAuditAPI til ”audit”
Cloud Controls MatrixBest practice kontrolmål for kunder såvel som udbydere af cloud
Consensus Assesment InitiativeSpørgeskema
Cloud Security Alliance STAR
Cloud-leverandører offentliggør deres “self-assessment”.Baseret på CSA’s Control Matrix.Muligt grundlag for fremtidig certificering
https://cloudsecurityalliance.org/STAR
© Neupart A/S
Undgå denne situation…
• http://www.youtube.com/watch?v=VjfaCoA2sQk
Dit eget ansvar som cloud-kunde
Administrativetiltag
Fysiske / teknisketiltag
Forebyggendetiltag
Udbedrendetiltag
Firewall Antivirus
Server-cluster
RAIDBackup
Standby-udstyr
Virtualisering
Sikkerheds-politik
System-dokumentation
Awareness
Compliancechecks
Alarm-system
Brandslukning
Logning
Ændrings-styring
It-beredskabsplan
Disaster Recoveryprocedurer
Beredskabs-strategi
Redundans
Adgangskontrol-system
Standby-driftscenter
Server-snapshots
Vanskeligere at overlade til cloud-leverandører
Lettere at overlade til cloud-leverandører
Persondata i skyen?
© Neupart A/S
Bolig, bil, eksamen, ansøgning, CVansættelsesdato, stilling, arbejdsområde, arbejdstelefon
Stamoplysninger: Navn, adresse, fødselsdato
Først lidt afgrænsning...
CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold
Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent
private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet,
personlighedstest
© Neupart A/S
Persondata i skyen?
Generelt betragtet:EU betragtes sikre af DatatilsynetSikre 3. lande:
Schweiz Canada (begrænset anvendelsesområde - se Kommissionens)Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey
Safe Harbor – ca. 2.000 virksomhederListe hos Export.gov
En case: Odense Kommune
Et ønske om at bruge Google Docs til elevplaner er ikke muligt i følge Datatilsynet med mindre en række forhold ændres eller dokumenteres
© Neupart A/S
Elevplaner
Kommunikation mellem skole og hjemIndeholder potentielt følsomme oplysninger
Sociale forholdHelbredsoplysningerPsykisk ”profil” af eleverEtc.
© Neupart A/S
Google Analytics
Datatilsynet i Norge siger nejIP numre er personhenførbareCookies
© Neupart A/S
Datatilsynet om Office 365
Kunden har ansvar for sikkerhed I Office 365Microsoft har ansvar for sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
http://www.datatilsynet.dk/afgoerelser/arkiv-over-afgoerelser/artikel/behandling-af-personoplysninger-i-cloud-loesningen-office-365/
© Neupart A/S
It-universitetet
Datatilsynet om Office 365 på ITU:Spørgsmål om tilstrækkelig risikovurdering.DT vil ikke godkende databehandler aftalerITU’s ansvar for sikkerheden hos Microsoft indskærpes (!) ;-)
http://www.datatilsynet.dk/afgoerelser/arkiv-over-afgoerelser/artikel/it-universitetet-i-koebenhavns-brug-af-microsofts-cloud-loesning-office-365/
Ville I være trygge ved at lægge jeres egne persondata ud i skyen?
F.eks. hos Google...
Risikovurdering
© Neupart A/S
Cloud versus egen IT
For cloud• Forretningsfokus (Hvad er
vores egen ekspertise egentlig?)
• Kapacitet, skalerbarhed, ”elasticitet” i servicen
• Forretningen vil have det
For egen IT• Cloud specifikke trusler• Compliance-krav• Vi ved hvad vi har..
© Neupart A/S
Cloud vs. klassisk outsourcing
For cloud• Kapacitet,
skalerbarhed, ”elasticitet” i servicen
• Forretningen vil have det
For klassisk outsourcing• Individuelle
kontraktkrav kan bedre tilgodeses
• Vi ved hvad vi har..
© Neupart A/S
Først en forkortelse: GRC
IT GRC kan være med til at vurdere og sikre jeres anvendelse af skyen
IT GRC =
IT Governance, Risk & Compliance
Management
© Neupart A/S
Sådan kan GRC hjælpe med skyen:
IT Governance:Beslut formål, strategi og operationelle regler for anvendelse af cloud-services. Dvs. opdatér jeres politik/regler/håndbøger
IT Risikovurdering og –styring:Konsekvensvurdér: Kig på de forretningsprocesser der afhænger / skal afhænge af cloud services.Sårbarhedsvurder: Undersøg cloud leverandørens sårbarhed. Gennemgå sikkerhedsdokumentation og vilkår.ISO 27005 er meget velegnet som metode. CSA og ENISA chekclister.
IT Compliance:Data-klassificering hjælper på vej.Aftaler/forpligtelser med kunder, partnere m.fl.Der er forskel på persondata – persondata i skyen er ikke forbudt som udgangspunkt
G R C
© Neupart A/S
Cloud computing og DS 484
DS 484 er relativt system-orienteret Mange detaljerede krav til sikrings-foranstaltninger og implementeringDS 484 udkom før cloud computing
G R C
© Neupart A/S
Cloud computing og ISO 2700127001 beskriver krav til ledelsessystem. Nøgleord:
Plan–>do –>check –> actPolitikRisikovurderingIntern auditLedelsesvurderingLøbende forbedringer
G R C
Konsekvensværdier arves nedad
Sårbarhedsværdierarves opad
Business Product
Business Service
Business Division
Business Function
Business Process
Supporting Process
Key Employee
External Resource
Physical Documents
IT Service
Database
Data Files
Business System
Infrastructure System
Data Storage System
Logical Server
Logical Storage
Logical Network
Software Product
Hardware Unit
Communication Line
Supply System
Data Center
Com. Center
Workspace
Supply Center
Document Archive
Outsourced Service
Aktiv-type-hierarki
Server 01
SQL 01
HP DL380Serial xyz1234567890
Data Center A
Finans-DB
ERP
Dynamics AOS
HP DL380Serial abc0987654321
Server 02
Finans
Aktiv-hierarki
G R
Sådan risikovurderer vi traditionelt
C
© Neupart A/S
Ny afhængighed – men samme metode for vurdering
Forretnings-proces
It-services fra egen it.
Forretnings-proces
It-services fra cloud-
leverandører
Konsekvensværdier arves nedad
Sårbarhedsværdierarves opad
G R C
© Neupart A/S
Input til jeres risikovurdering
Organizational security
Operational security
Physical security
Identity and access
management
Encryption
Asset managemen
t and -security
Business continuity
management
Incident managemen
t
Legal requirement
s and privacy
Portability
G R CClo
ud-r
ele
van
te k
on
trol-
om
råd
er:
Kom
bi af
CS
A o
g E
NIS
A’s
check
liste
r,
anvendt
i N
eupart
s vurd
eri
ng a
f G
oogle
, Fo
rce.c
om
, M
S A
zure
. neupart
.dk/
sky
er skyen sikker?
dumt spørgsmål!
er skyen sikker?
bedre:
er skyen sikker nok?
svar: et rungende
måske!
– kan være bedre, kan være værre…
afhænger af mange forhold, som du (heldigvis) kan risikovurdere
© Neupart A/S
3 trin til skyen
1. Klassificér jeres data2. Vurder relevante trusler3. Vurder
forretningskonsekvens (BIA)
© Neupart A/S
Kursus-nyhed
Neupart introducerer kursus med certificering fra Cloud Security Alliance:
CCSKCertificate of Cloud Security Knowledge
© Neupart A/S
Om Neupart
Neupart A/S hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Også i skyen!
Cloud-sikkerhedBliv personligt certificeret
CCSK : Certificate of Cloud Security Knowledge
Neupart er Training Partner med Cloud Security Alliance
ISO27001-certificeretEneste it-sikkerhedsleverandør i DK, første it-virksomhed
Certificeret siden 2003 (BS7799 / ISO 27001)
IT GRC =IT Governance, Risk & Compliance Management
Kontakt information:
Lars [email protected]