Proces til vurdering af cloud løsning og risici

Relaterede dokumenter
Security & Risk Management Summit 2016

ISO Ledelsesværktøj til digital risikostyring

MedComs informationssikkerhedspolitik. Version 2.2

Persondataforordningen. Konsekvenser for virksomheder

IT-sikkerhedspolitik S i d e 1 9

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Kursus: Ledelse af it- sikkerhed

28 August Data privacy i SAP Lyngby 27/8 2015

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing

Målrettet arbejde med persondataforordningen for

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

It-sikkerhedspolitik for Farsø Varmeværk

Rollen som DPO. September 2016

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

Region Hovedstadens Ramme for Informationssikkerhed

Security & Risk Management Summit

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

Certifikat i Risk Management

Virksomheden bør udvikle, implementere og konstant forbedre de rammer, der sikrer integration af processen til at håndtere risici i virksomhedens:

Torben Waage Partner

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Vejledning i informationssikkerhedspolitik. Februar 2015

Ma lrettet arbejde med persondataforordningen for

Målrettet arbejde med persondataforordningen for

Må lrettet årbejde med persondåtåforordningen for Vejby Smidstrup Våndværk

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

Vejledende tekst om risikovurdering. Datatilsynet og Rådet for Digital Sikkerhed

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Præsentation af Curanets sikringsmiljø

Plesner Certifikat i Persondataret

Informationssikkerhedspolitik for Horsens Kommune

Konference om Cloud Computing 18. maj Proof of Concept for transition til Cloud Lars Ravndrup Thomsen, Solutions Architect, KMD

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft d. 25. maj 2018.

Digitaliseringsstyrelsens konference 1. marts 2018

Ilisimatusarfik 11. maj Privatlivsbeskyttelse og Informationssikkerhed i Grønland

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Kl Indledning v. Lone Strøm, Rigsrevisor

Vejledning om den praktiske tilrettelæggelse af tilsynet med informationssikkerheden

Ma lrettet arbejde med persondataforordningen for

Fredericia Kommunes Informationssikkerhedspolitik 1 FREDERICIA KOMMUNE AFDELING TITEL PÅ POWERPOINT

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?

Denne publika ion er udarbejdet af Digitaliseringsstyrelsen Landgreven 4 Postboks København K Telefon dk

Cloud Computing De juridiske aspekter

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Avnbøl-Ullerup Våndværk A.m.b.å. CVR-nr

Business Continuity og Cloud

Fællesregional Informationssikkerhedspolitik

Trusselsidentifikation ved risikovurderingen af offentlige it-systemer Kom godt i gang

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Ma lrettet arbejde med persondataforordningen for Helberskov Vandværk

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Persondataforordningen og ISO 27001

IT sikkerhedspolitik for Business Institute A/S

Sikkerhed i cloud computing

Ledelsen har sikret, at der er etableret en hensigtsmæssig itsikkerhedsorganisation

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

It-sikkerhedstekst ST2

Hvad er Informationssikkerhed

Målrettet arbejde med persondataforordningen for

Beredskabsplan for Kolding HF & VUC

BEK nr 529 af 02/05/2019 (Gældende) Udskriftsdato: 20. juni Senere ændringer til forskriften Ingen

Handleplan for informationssikkerhed 2017 i Region Midtjylland - oversigt over initiativer/faser som forventes afsluttet i 2017

PRIVATLIVSPOLITIK MONTAGEBUREAUET APS S AF PRIVATLIVSPOLITIK

BPO og IT-outsourcing. Ved persondataspecialist Charlotte Bagger Tranberg

Bekendtgørelse om opgaver og ansvar for behandlingen af personoplysninger i det fælles datagrundlag for unges uddannelse og beskæftigelse

Bilag 1 Databehandlerinstruks

Indholdsfortegnelse. Generelt 3. Formål 3. Omfang 4. Sammenhæng med IT- og forretningsstrategier 4

Sikkerhedsanbefaling. Forholdsregler ved ophør af serviceopdateringer til Windows XP Embedded

LANGELAND KOMMUNE INTRODUKTION TIL INFORMATIONSSIKKERHED

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

It-sikkerhedstekst ST4

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Henrik Jensen Roskilde Universitet, OCG, CISSP, CISM, CRISC. 31 års it-mæssig erfaring, startede 1982 i PFA Pension som EDB-operatør

Som bekendt træder EU s nye databeskyttelsesforordning (GDPR) i kraft den 25. maj 2018.

Når Compliance Bliver Kultur

Assens Kommune Sikkerhedspolitik for it, data og information

Fællesregional Informationssikkerhedspolitik

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Persondataforordningen...den nye erklæringsstandard

AWARENESS EN SIKKER VEJ TIL BEDRE SIKKERHED & KVALITET DATASIKKERHEDSKONFERENCE

DI ITEK-gennemgang: National strategi for cyber- og informationssikkerhed

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

Politik for informationssikkerheddatabeskyttelse

Forordningens sikkerhedskrav

Målrettet arbejde med persondataforordningen for Østermarie Vandværk

Når compliance bliver kultur

Nyt om ISO-standarder ISO 14001:2015 ISO 9001:2015 ISO 45001:2016. Jan Støttrup Andersen. Lidt om mig:

Vejledning i etablering af forretningsoverblik. Januar 2018

Informationssikkerhedspolitik for <organisation>

Forfatter: Carsten Stenstrøm Mail: Telefon: IT Amerika Plads København Ø

Leverandørstyring: Stil krav du kan måle på

Transkript:

Proces til vurdering af cloud løsning og risici John Wiingaard, GRC konsulent, Dubex Bygholm Park, Horsens, den 12. maj 2016

Agenda 1. Definition af Cloud 2. Inspiration til procestrin 3. Indledende betragtninger om cloud løsning og risici 4. Hvorfor en cloud løsning? 5. Udvalgte metoder for vurdering af Cloud 6. Processen for vurdering af cloud løsning og risici 7. Overblik ISO270XX-serien 8. Overblik COSO 9. Husk den nye EU forordning 10. Opfølgning på migrering til Cloud og enkelte gode råd 11.Efter i dag.

Hvad skal vi have ud af dette indlæg? Mål for dette indlæg: Inspirere til en struktureret proces for vurdering af cloud løsning og tilhørende risici Eksempler på forskellige koncepter og vejledninger Hvad kan der være af eksempler på mulige faldgruber. Er der andre kilder der kan få indflydelse på cloud Hvordan kommer man i gang? Disclaimer: Sikkerhed er et meget stort emneområde som er i konstant forandring. I løbet af de næste 25 minutter når vi højst at skrabe en lille smule i overfladen.

Definition af cloud ENISA - Europæiske agentur for Netværks og Informationssikkerhed: Cloud computing er en servicemodel for efterspørgsel af it-løsninger, hvori der indgår distribuerede it-teknologier og mulighed for virtualisering. Den amerikanske NIST-definition er sprogligt udformet anderledes, men har samme budskab. Fælles gælder, at der typisk også indgår en form for IT-outsourcing..

Inspiration til procestrin Cloudløsning Nye opgaver i ved cloud Berørte forretningsprocesser Få stærke krav med i aftale Identificer risici Testfase og BCP Vurder business impact Plan for risicihåndtering

Indledende betragtninger om cloud løsning og risici Anvend anerkendte metoder for vurdering af Clouds, f.eks.: ISO27001, ISO27002, ISO27005, ISO2017/20018 Inspiration fra COSO til Best Practice for en processmæssig tilgang Cloud Security Alliance (Version 4 udgave undervejs) Vær forberedt på, at der ved cloud opstår nye opgaver i form af Compliance og Contract management/controlling aktiviteter i egen virksomhed Ansvaret forbliver hos ledelsen ved cloud.

Hvorfor en cloud løsning? Simple eksempler på fordele/svagheder FORDELE Ingen direkte investering i servere Mulighed for skalere ydelse ud fra behovet Klassiske datacenter fordele Større it-organisation Mindre afhængighed af enkeltpersoner -------------------------------------------------- = Bedre TILGÆNGELIGHED ============================= SVAGHEDER Afhængighed af dataforbindelse Manglende fysisk kontrol over data/systemer Potentiel risiko for latenstid/qos Fysik placering af data. Adgang til systemer/data udvides Færre direkte handlemuligheder -------------------------------------------------- = Mindre egen kontrol af FORTROLIGHED og PÅLIDELIGHED. =============================

Cloud s svæver rundt og forekommer let og udbesværet Clouds findes i mange størrelser og former.

Udvalgte metoder ISO27000 serien, eksempelvis: ISO27001 Information Security Management System (ISMS) ISO27002 Sikkerhedsforanstaltninger ISO27005 Risikoledelse ISO27017 Særligt fokus på cloudtjenester ISO27018 Særligt vedrørede databehandling af personoplysninger i cloud. Og/eller: COSO I/II - Best Practice for en process tilgang - COSO CSA (Ny udgave undervejs, så brug version 3.0 indtil da)

Processen for vurdering af cloud løsning og risici 1. Hvilke data og forretningsprocesser overvejes håndteret i en Cloud løsning. 2. Afklaring af hvilke eksterne (bl.a. Lovkrav) og interne krav, som skal opfyldes. 3. Områder som skal håndteres i Cloud (IT-drift, IT-udvikling, IT-Support, IT-administration). 4. Bestem typen af Cloud løsning (SaaS, PaaS, IaaS) for at identificere omfang af risici, som skal håndteres. 5. Business Impact Analyse, hvor indvirkning på fortrolighed, integritet og tilgængelighed vurderes. 6. Opstil krav som skal opfyldes ved cloud samt hvordan der udføres monitorering. 7. Planlæg tests og test en passende periode, som giver et realistisk vurderingsgrundlag. 8. Re-tænk beredskabssituation HUSK at vurdere strategisk risiko for lock-in (Afhængighed/Ejerskab til data & processer)

Overblik ISO270XX-seriens punkter vedrørende brug af Cloud ISO27001 Velegnet til at opbygge et system for generel ledelsesmæssig håndtering af cloud risic ISO27002 Velegnet til at forankre og implementere ledelsessystemet i ISO27001 gennem 114 forslag til kontroller. ISO2005 Vejledningen har forkus på gennemførelse af risikostyringen. ISO2017 Udbygning af ISO27002 med tilpassede sikkerhedsforanstaltninger målrettet til cloud ISO2017 Velegnet særligt til behandling af persondata i cloud. ISO27000-serien kan opleves som en meget omfattende metode, der kan opfattes som meget detaljeorienteret og har en IT-orienteret tilgang.

COSO Supplement/Alternativ

COSO framework The Committee of Sponsoring Organizations of the Treadway Commission: Hvorfor er COSO framework relevant: Der er reelt blot tale om hvordan interne kontroller i en organisation skal adressere nogle forretningsmæssige risici. COSO indgår i fundamentet for god selskabsledelse, krav til store børsnoterede virksomheder, styrende for hvordan revision skal udføres for at afdække risici. Holistisk tredimensionel model, der er baseret på en forretningsmæssig tilgang til management

COSO-modellen COSO I By: COSO.ORG IC I (v2) COSO II (incl. ERM) By: COSO.ORG ERM (v1)

Fælles for metoder ISO27xxx og COSO Opsummer resultat af risikovurderingen, eksempelvis: Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sammenlign risikobillede ved nuværende IT-løsning over for Cloud. Ledelsen skal afveje vægtningen mellem typisk Tilgængelighed (Normalt bedre) Fortrolighed/Pålidelighed (Kan være udfordret af adgangssikkerhed og placering af data)

Undgå gentagelse af faldgruber

Historisk set gentages it-sikkerhedsproblemer i nye rammer IT-sikkerhed er ofte lavere prioriteret end funktionalitet, integrationer, tilgængelighed osv. Blot nogle eksempler: Nøglefri betjening af biler RFID-betalinger uden kode for småbeløb Trådløse netværk uden kode Ukrypterede harddiske E-mail sendes ukrypterede med information man aldrig ville skrive på et postkort Adgangskoder sendes i klartekst i e-mail uden at kræve ændring PLC-systemer i industrisystemer (Sårbare for STUXnet) Brug tilgængelige erfaringer fra statens erfaringer med outsourcing (efter f.eks. CSC-sagen), Rigsrevisionens rapporter, Datatilsynets eksempler på udfordringer samt alle forside-historier om it-sikkerhedsbrud

Hvad med den nye EU-forordning? Indgåede aftaler om cloud må opdateres med nye krav Cloud leverandør blive i nogle tilfælde måske en egentlig databehandler Adgangsstyring- og godkendelser bliver centrale i forhold til at til enhver tid, at skulle have kendskab til hvem hos Cloud leverandør, som har eller har haft adgang til data, og som har været i kontrakt med data. Alternativt skal overvejes om kryptering af data eller hele applikationsdelen er en bedre løsning Hele området og omfanget af logning skal sammenholdes med de nye krav Der skal etableres et beredskab, som kan sikre overholdelse af rapporteringsfrister ved sikkerhedsbrister til såvel Datatilsynet som til de implicerede Retten til at blive glemt bliver en udfordring, hvis data er sendt videre til andre samarbejdspartnere.

Opfølgning på migrering til Cloud og enkelte gode råd Bliver de opstillede forventninger indfriet Udvikler anvendelsen af Cloud løsningen sig i en anden retning end forventet Succes-områder kan vise sig at være der, hvor virksomheden kan opnå vækst Uudnyttede features skal søges fravalgt for at begrænse unødvendige løbende omkostninger Påse, at organisationen implementerer ændringer i forretningsprocesser, herunder føre tilsyn, kontrol med Cloud-leverandør og tæt samarbejde om overvågning. Ved tvivl eller usikkerhed omkring integritet og fortrolighed, så benyt kryptering af data på databaseniveau samt kryptering af dataprocesser i applikationen samt End2End-kryptering. Udnyt forskningskilder, der qua krav om redelighed skal være objektive og upartiske i forhold til vurdering af løsninger samt underlagt kritiske peer-reviews før publicering. Kan være en udfordring at finde relevante analyser.

Efter i dag.. I dag: Overvej om cloud kunne være relevant umiddelbart I morgen: Afgræns/Udvælg mulige områder, som skal vurderes. Næste uge: Udarbejd succeskriterier ved cloud samt identificer hvilke krav som skal iagttages. Næste måned: Udarbejd en overordnet vurdering om Cloudløsning er interessant Næste kvartal: Gennemfør en risikovurdering for As-Is og Cloud samt en Business Impact Assessment Næste 1/2-1/1 år: Etabler et project for Cloud-løsning med plan A/B/C samt klare milestones, succeskriterier, exitkriterier, styregruppe mv.

Tak! jwi@dubex.dk

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback