Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Transkript

1 Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab Carsten Jørgensen 7 marts 2012

2 Carsten Jørgensen CloudSecurity.dk

3 Falck 2012 Falck 2011 Emergency Assistance Healthcare Training Ambulance services Patient transport Fire fighting Home Care Control Centres Motoring & Road Side, Travel Assistance Home assistance Lifestyle/care services Clinics Primary Healthcare Healthcare services Well-being services Assistive Aid Rehabilitation Contingency planning Offshore and maritime Fire fighting training Consultancy services

4 De to største udfordringer Forståelse for hvad cloud computing er Lovgivningen

5 ENISA

6 De to største udfordringer Forståelse for hvad Cloud computing er Lovgivningen

7 En cloud

8 En cloud

9 1994

10 Betyder ikke at cloud automatisk er sikkert IT bliver ikke sikkert på magisk vis, bare fordi man kalder noget cloud Men det bliver heller ikke usikkert

11 Hvad er den bedste cloud-løsning? Cloud Computing er ikke én specifik arkitektur eller én teknologi, det er en driftsmodel

12 Cloud Computing er en drifts- og leverancemodel Leverance modeller: Public clouds Private clouds Community clouds Hybrid clouds Cloud tjenester: Infrastruktur (IaaS) Platform (PaaS) Software (SaaS) Nøgle karaktertræk: Elasticitet On-demand selvbetjening Betalingsmodellerne

13 De tre *aas modeller Mindre indflydelse Fri for Mulighed for mere indflydelse Fri til

14 Overvejelserne De fleste overvejelser i forbindelse med outsourcing gælder også for cloudsourcing

15 Delt ansvar Løsning: Eget ansvar: Cloud-leverandørs ansvar: Software (SaaS) Konfiguration af log Data Applikationer Platform (PaaS) Logs fra egne apps System Management Infrastruktur (IaaS) Lokal overvågning Applikationslogs OS logs Netværk Hardware, host Procedurer m.m. Fysisk sikring

16 Sikkerhedsmodel og compliance hensyn Risiko vurdering + Data klassifikation Er vi underlagt lovkrav? Vores sikkerhedsmodel Persondatalovgivningen Bogføringslovgivningen SOX Euro-SOX PCI DS484/ISO 27002

17 Arbejdsgang Lovkrav: Persondatalovgivning Regnskabsloven Compliance hensyn: PCI SOX Sikkerhedsmodel: DS484 ISO Risiko vurdering + Data klassifikation Software (SaaS) Platform (PaaS) Infrastruktur (IaaS) Applikationer Data System Management Netværk Hardware Fysisk sikring Fysisk placering

18 Ikke magi Det er ikke nødvendigt at starte forfra på cloud sikkerhedsarbejdet, dine sikkerhedskrav er (nok) ikke unikke

19 cloudsecurityalliance.org

20 cloudsecurityalliance.org CTP Cloud Trust protocol standard til indsamling og verifikation af revisionsmateriale Cloud Audit standard til automatisering af revisionsmateriale CAI Consensus Assessment Initiative checklister og spørgeskemaer CCM Cloud Controls Matrix grundlæggende krav til leverandørerne Vurdering og løbende revision

21 Cloud Audit Cloud Controls Matrix 98 kontroller efter CSA Guidance dokument Kontrollerer cloud-leverandørene Politikker og procedurer Mapper til de generelle initiativer

22 Cloud Audit Cloud Controls Matrix

23 Cloud Audit Consensus Assessment Initiative Omkring 150 cloud-specifikke spørgsmål til at verificere om tilstrækkelige kontroller og procedurer er på plads Mapper til CMM (Cloud Controls Matrix)

24 Cloud Audit Consensus Assessment Initiative

25 Cloud Audit

26 Cloud Audit

27 Samlet oversigt ISO, NIST, ENISA osv -> Control matrix -> Politikker og procedurer

28 Cloud audit og assurance initiativer

29 Situation normal everything must change Når cloud-løsninger er standardiserede er det IKKE nødvendigt at vi ALLE vurderer DE SAMME ting igen og igen Hvad er anderledes i MIN LØSNING i forhold til standard vurderingen?

30 Cloud, cloud eller CLOUD Bagest i nogle næsten tomme kabinetter, står en boks på ca. 0,5 gange 0,5 meter og blinker. eller»det er vores private sky,«siger Mads.

31 Cloud, cloud eller CLOUD eller Cloud og cloud traditionel outsourcing eller cloudsourcing

32 Cloud, cloud eller CLOUD Se f.eks.

33 Ikke magi Man opgiver ikke ethvert håb om datasikkerhed - selvom det hedder skyen Forstå teknologien, mulighederne for kontroller og de kompenserende kontroller

34 Sikkerhed i skyen Alle de kendte sikkerhedsudfordringer findes i skyen

35 35 Sikkerhedstrusler Cloud security traditionelle sikkerhedskontroller i et dynamisk miljø 3/7/2012

36 Integration og cloud

37 SaaS overalt (Baby Clouds) SaaS - 11 SaaS - 5 SaaS - 10 SaaS - 4 SaaS - 2 SaaS - 1 SaaS - 8 SaaS - 12 SaaS - 3 SaaS - 9 SaaS - 6 SaaS - 7 Hvor fanges de nye clouds?

38 Udfordringer og myter Afhængigheder ved kombineret infrastruktur - availability Laveste fællesnævner Hvad sker der når cloud-løsningen fejler Single points of failure og sky-stabling Vi har stadig ansvaret, vi cloud-sourcer - stadig ikke noget ansvar

39 3/7/ Cloud Computing Massive amounts of D oh!

40 Men ikke meget anderledes

41 Det er nødvendigt at vurderer it-sikkerheden Hvor kritisk er løsningen og data? Lovkrav / compliance? Er det en kendt cloud-leverandør? Afhængigheder og integration? Ansvar og nye krav/nye kompetancer SaaS, PaaS, IaaS? Hvad sker der når cloudløsningen fejler Ofte større indsats for SaaS-løsninger (ansvar)

42 Krav til orgainisationen Hvad kræver cloud-leverandøren af jer i den specifikke løsning? Glem ikke jeres ansvar Nye krav til organisationen Aktiv stillingtagen

43 Let the clouds make your life easier Cloud Computing er ikke magi! Cloud Computing er helt normale it-systemer, der bruger strøm. It-systemer fejler en gang imellem, men de kan vurderes.

44 Anbefalinger Forstå den cloud i overvejer, ellers kan man ikke sikre den Risiko analyse og risk management som altid Sund fornuft cloud er ikke magi, det er it-systemer der bruger strøm

45 Konklusion Spørgsmål / kommentarer 45 3/7/2012 caj@falck.dk eller CloudSecurity.dk