Proces til vurdering af cloud løsning og risici John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016
Agenda 1. Definition af Cloud 2. Inspiration til procestrin 3. Indledende betragtninger om cloud løsning og risici 4. Hvorfor en cloud løsning? 5. Udvalgte metoder for vurdering af Cloud 6. Processen for vurdering af cloud løsning og risici 7. Overblik ISO270XX-serien 8. Overblik COSO 9. Husk den nye EU forordning 10. Opfølgning på migrering til Cloud og enkelte gode råd 11.Efter i dag.
Hvad skal vi have ud af dette indlæg? Mål for dette indlæg: Inspirere til en struktureret proces for vurdering af cloud løsning og tilhørende risici Eksempler på forskellige koncepter og vejledninger Hvad kan der være af eksempler på mulige faldgruber. Er der andre kilder der kan få indflydelse på cloud Hvordan kommer man i gang? Disclaimer: Sikkerhed er et meget stort emneområde som er i konstant forandring. I løbet af de næste 25 minutter når vi højst at skrabe en lille smule i overfladen.
Definition af cloud ENISA - Europæiske agentur for Netværks og Informationssikkerhed: Cloud computing er en servicemodel for efterspørgsel af it-løsninger, hvori der indgår distribuerede it-teknologier og mulighed for virtualisering. Den amerikanske NIST-definition er sprogligt udformet anderledes, men har samme budskab. Fælles gælder, at der typisk også indgår en form for IT-outsourcing..
Inspiration til procestrin Cloudløsning Nye opgaver i ved cloud Berørte forretningsprocesser Få stærke krav med i aftale Identificer risici Testfase og BCP Vurder business impact Plan for risicihåndtering
Indledende betragtninger om cloud løsning og risici Anvend anerkendte metoder for vurdering af Clouds, f.eks.: ISO27001, ISO27002, ISO27005, ISO2017/20018 Inspiration fra COSO til Best Practice for en processmæssig tilgang Cloud Security Alliance (Version 4 udgave undervejs) Vær forberedt på, at der ved cloud opstår nye opgaver i form af Compliance og Contract management/controlling aktiviteter i egen virksomhed Ansvaret forbliver hos ledelsen ved cloud.
Hvorfor en cloud løsning? Simple eksempler på fordele/svagheder FORDELE Ingen direkte investering i servere Mulighed for skalere ydelse ud fra behovet Klassiske datacenter fordele Større it-organisation Mindre afhængighed af enkeltpersoner -------------------------------------------------- = Bedre TILGÆNGELIGHED ============================= SVAGHEDER Afhængighed af dataforbindelse Manglende fysisk kontrol over data/systemer Potentiel risiko for latenstid/qos Fysik placering af data. Adgang til systemer/data udvides Færre direkte handlemuligheder -------------------------------------------------- = Mindre egen kontrol af FORTROLIGHED og PÅLIDELIGHED. =============================
Cloud s svæver rundt og forekommer let og udbesværet Clouds findes i mange størrelser og former.
Udvalgte metoder ISO27000 serien, eksempelvis: ISO27001 Information Security Management System (ISMS) ISO27002 Sikkerhedsforanstaltninger ISO27005 Risikoledelse ISO27017 Særligt fokus på cloudtjenester ISO27018 Særligt vedrørede databehandling af personoplysninger i cloud. Og/eller: COSO I/II - Best Practice for en process tilgang - COSO CSA (Ny udgave undervejs, så brug version 3.0 indtil da)
Processen for vurdering af cloud løsning og risici 1. Hvilke data og forretningsprocesser overvejes håndteret i en Cloud løsning. 2. Afklaring af hvilke eksterne (bl.a. Lovkrav) og interne krav, som skal opfyldes. 3. Områder som skal håndteres i Cloud (IT-drift, IT-udvikling, IT-Support, IT-administration). 4. Bestem typen af Cloud løsning (SaaS, PaaS, IaaS) for at identificere omfang af risici, som skal håndteres. 5. Business Impact Analyse, hvor indvirkning på fortrolighed, integritet og tilgængelighed vurderes. 6. Opstil krav som skal opfyldes ved cloud samt hvordan der udføres monitorering. 7. Planlæg tests og test en passende periode, som giver et realistisk vurderingsgrundlag. 8. Re-tænk beredskabssituation HUSK at vurdere strategisk risiko for lock-in (Afhængighed/Ejerskab til data & processer)
Overblik ISO270XX-seriens punkter vedrørende brug af Cloud ISO27001 Velegnet til at opbygge et system for generel ledelsesmæssig håndtering af cloud risic ISO27002 Velegnet til at forankre og implementere ledelsessystemet i ISO27001 gennem 114 forslag til kontroller. ISO2005 Vejledningen har forkus på gennemførelse af risikostyringen. ISO2017 Udbygning af ISO27002 med tilpassede sikkerhedsforanstaltninger målrettet til cloud ISO2017 Velegnet særligt til behandling af persondata i cloud. ISO27000-serien kan opleves som en meget omfattende metode, der kan opfattes som meget detaljeorienteret og har en IT-orienteret tilgang.
COSO Supplement/Alternativ
COSO framework The Committee of Sponsoring Organizations of the Treadway Commission: Hvorfor er COSO framework relevant: Der er reelt blot tale om hvordan interne kontroller i en organisation skal adressere nogle forretningsmæssige risici. COSO indgår i fundamentet for god selskabsledelse, krav til store børsnoterede virksomheder, styrende for hvordan revision skal udføres for at afdække risici. Holistisk tredimensionel model, der er baseret på en forretningsmæssig tilgang til management
COSO-modellen COSO I By: COSO.ORG IC I (v2) COSO II (incl. ERM) By: COSO.ORG ERM (v1)
Fælles for metoder ISO27xxx og COSO Opsummer resultat af risikovurderingen, eksempelvis: Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sammenlign risikobillede ved nuværende IT-løsning over for Cloud. Ledelsen skal afveje vægtningen mellem typisk Tilgængelighed (Normalt bedre) Fortrolighed/Pålidelighed (Kan være udfordret af adgangssikkerhed og placering af data)
Undgå gentagelse af faldgruber
Historisk set gentages it-sikkerhedsproblemer i nye rammer IT-sikkerhed er ofte lavere prioriteret end funktionalitet, integrationer, tilgængelighed osv. Blot nogle eksempler: Nøglefri betjening af biler RFID-betalinger uden kode for småbeløb Trådløse netværk uden kode Ukrypterede harddiske E-mail sendes ukrypterede med information man aldrig ville skrive på et postkort Adgangskoder sendes i klartekst i e-mail uden at kræve ændring PLC-systemer i industrisystemer (Sårbare for STUXnet) Brug tilgængelige erfaringer fra statens erfaringer med outsourcing (efter f.eks. CSC-sagen), Rigsrevisionens rapporter, Datatilsynets eksempler på udfordringer samt alle forside-historier om it-sikkerhedsbrud
Hvad med den nye EU-forordning? Indgåede aftaler om cloud må opdateres med nye krav Cloud leverandør blive i nogle tilfælde måske en egentlig databehandler Adgangsstyring- og godkendelser bliver centrale i forhold til at til enhver tid, at skulle have kendskab til hvem hos Cloud leverandør, som har eller har haft adgang til data, og som har været i kontrakt med data. Alternativt skal overvejes om kryptering af data eller hele applikationsdelen er en bedre løsning Hele området og omfanget af logning skal sammenholdes med de nye krav Der skal etableres et beredskab, som kan sikre overholdelse af rapporteringsfrister ved sikkerhedsbrister til såvel Datatilsynet som til de implicerede Retten til at blive glemt bliver en udfordring, hvis data er sendt videre til andre samarbejdspartnere.
Opfølgning på migrering til Cloud og enkelte gode råd Bliver de opstillede forventninger indfriet Udvikler anvendelsen af Cloud løsningen sig i en anden retning end forventet Succes-områder kan vise sig at være der, hvor virksomheden kan opnå vækst Uudnyttede features skal søges fravalgt for at begrænse unødvendige løbende omkostninger Påse, at organisationen implementerer ændringer i forretningsprocesser, herunder føre tilsyn, kontrol med Cloud-leverandør og tæt samarbejde om overvågning. Ved tvivl eller usikkerhed omkring integritet og fortrolighed, så benyt kryptering af data på databaseniveau samt kryptering af dataprocesser i applikationen samt End2End-kryptering. Udnyt forskningskilder, der qua krav om redelighed skal være objektive og upartiske i forhold til vurdering af løsninger samt underlagt kritiske peer-reviews før publicering. Kan være en udfordring at finde relevante analyser.
Efter i dag.. I dag: Overvej om cloud kunne være relevant umiddelbart I morgen: Afgræns/Udvælg mulige områder, som skal vurderes. Næste uge: Udarbejd succeskriterier ved cloud samt identificer hvilke krav som skal iagttages. Næste måned: Udarbejd en overordnet vurdering om Cloudløsning er interessant Næste kvartal: Gennemfør en risikovurdering for As-Is og Cloud samt en Business Impact Assessment Næste 1/2-1/1 år: Etabler et project for Cloud-løsning med plan A/B/C samt klare milestones, succeskriterier, exitkriterier, styregruppe mv.
Tak! jwi@dubex.dk