Mulighederne for at få en sikker sky Lars Neupart DI ITEK: It-sikkerhedsudvalg og bestyrelse Cloud Security Alliance medlem Neupart A/S: Direktør og stifter LN@neupart.com DI ITEK s sikkerhedsarbejde Siden 2001 Uafhængig af enkeltinteresser Brugere (600) og leverandører (35) i fællesskab giver afbalancerede anbefalinger Vejledning om informationssikkerhed til erhvervslivet - f.eks.: Ledelse, Trusler, Standarder, Spam, Spyware, Phishing, Privacy, Cloud Politisk indsats på området Offentlig awareness om emnet Repræsentation i mange sammenhænge
Cloud Security Alliance En non profit organisation, startet i USA, med chapters i flere lande http://cloudsecurityalliance.org The Cloud Security Alliance is a non-profit organization formed to promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing. Om Neupart Vi hjælper jer med at leve op til itsikkerhedskrav på en tryg og effektiv måde Krav fra kunder, samarbejdspartnere, danske og internationale standarder, almindelig god skik, lovgivning m.m. ISO27001-certificeret Første it-virksomhed og eneste itsikkerhedsleverandør i DK Gazelle 2009 198% vækst i bruttofortjeneste 2005-2008
Anbefalede vejledninger: DI ITEK Opsummering 1. Cloud computing er ikke revolutionerende! Det er bare outsourcing på en anden måde, end vi er vant til. 2. Cloud Computing kan være en udmærket ting for mindre virksomheder. Det gør det let at starte op, og har man ikke fokus på sikkerhed, kan det ofte give en bedre sikkerhed, end man selv er i stand til at præstere. Små virksomheder bør absolut overveje at kigge på cloud computing. 3. Har man sin egen sikkerhedsafdeling og god styr på sikkerheden, er cloud computing nok ikke så interessant, men kan måske bruges på delområder i lighed med andre former for outsourcing. 4. Bruger man cloud computing skal man være opmærksom på, hvordan ens data og applikationer er beskyttet hos serviceudbyderen, hvad der sker hvis udbyderen går fallit, hvilket land data hostes i m.v. Der er altså behov for en særlig sikkerheds- og kontrolindsats.
IDC IDC s worldwide forecast for cloud services : 2009 2013 Verden $17 MIA. $44 MIA EU 971m 6,005m Kilde Enisa, dec 09 What is Cloud Computing? Compute as a utility: third major era of computing Mainframe PC Client/Server Cloud computing: On demand model for allocation and consumption of computing Cloud enabled by Moore s Law: Costs of compute & storage approaching zero Hyperconnectivity: Robust bandwidth from dotcom investments Service Oriented Architecture (SOA) Scale: Major providers create massive IT capabilities
Defining Cloud On demand provisioning Elasticity Multi-tenancy Key types Infrastructure as a Service (IaaS): basic O/S & storage Platform as a Service (PaaS): IaaS + rapid dev Software as a Service (SaaS): complete application Public, Private, Community & Hybrid Cloud deployments S-P-I Framework You RFP security in SaaS Software as a Service You build security in IaaS Infrastructure as a Service PaaS Platform as a Service
Is Cloud Computing Working? Eli Lilly New drug research project IT promised system in 3 months, > $100,000 USD Scientist completed in one day in cloud, < $500 USD Japanese government agencies RFP for custom software development Chose PaaS for 25% of cost and deployment time over traditional software house How will Cloud Computing play out? Much investment in private clouds for 3-5 years Compliance use cases being developed Cloud assurance ecosystem being built Public clouds will eventually dominate Virtual private clouds compromise between public and private All IT professions impacted
CSA Guidance Domains I : 1: Understand Cloud Architecture II: Governing in the Cloud 2: Governance and Enterprise Risk Management 3: Legal and Electronic Discovery 4: Compliance and Audit 5: Information Lifecycle Management 6: Portability and Interoperability III: Operating in the Cloud. 7: Traditional Security, Business Continuity, and Disaster Recovery 8: Data Center Operations. 9: Incident Response, Notification, and Remediation 10: Application Security 11: Encryption and Key Management 12: Identity and Access Management 13: Virtualization Survey Results RANK THREAT PERCENT 1) Data Loss/Leakage 28.8% 2) Abuse and Nefarious use of Cloud Computing 17.8% 3) Insecure API s 15.1% 4) Malicious Insiders 11.0% 5) Account/Service and Traffic Hijacking 9.6% 6) Unknown Risk Profile 9.6% 7) Shared Technology Vulnerabilities 8.2%
Cloud Controls Matrix Tool Controls derived from guidance Rated as applicable to S- P-I Customer vs Provider role Mapped to ISO 27001, COBIT, PCI, HIPAA Help bridge the gap for IT & IT auditors Masser af problemer Cloud-leverandør konkurs dine data og din forretning? Leverandør lever ikke op til SLA er Leverandør med ringe business continuity planning Datacentre i lande med uvenlig lovgivning Leverandør-lock-in med proprietære teknologier og data formater Ressourcer deles med andre kunder måske endda konkurrenter Leverandør-fejl får meget større konsekvenser end fejl I intern-it-afdeling. Og meget, meget mere
Persondata i skyen? EU betragtes sikkert. Sikre 3. lande: Schweiz Canada (begrænset anvendelsesområde - se Kommissionens) Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey Safe Harbor ca. 2.000 virksomheder Liste hos Export.gov Datatilsynet Udtalelse hvis data omfattet af persondatalovens 7-8 Datatilsynets vejledning Persondata i skyen? Bolig, bil, eksamen, ansøgning, CV ansættelsesdato, stilling, arbejdsområde, arbejdstelefon CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet, personlighedstest Stamoplysninger: Navn, adresse, fødselsdato
Summary Cloud Computing is real and transformational Challenges for People, Process, Technology, Organizations and Countries Broad governance approach needed Tactical fixes needed Combination of updating existing best practices and creating completely new best practices Common sense not optional Anbefalinger
Tak og mere info: http://itek.di.dk/shop/produktsi de/pages/produktside.aspx?pro ductid=8036 http://cloudsecurity.org/2009/11/ 20/enisa-cloud-security-riskassessment/ www.cloudsecurityalliance.org www.linkedin.com/groups?gid= 1864210 www.neupart.dk Extra
DI ITEK: Sikkerhedsovervejelser 1. Risikobilledet ændres 2. Behov for dataklassifikation øges 3. Omkostninger (spar, spredt, kontrol) 4. Specialister og nye muligheder 5. Døgnservice 6. Egenkontrol mistes 7. Tilgængelighed, fortrolighed og integritet 8. Business continuity / disaster recovery DI ITEK Kontrolovervejelser 1. Kontrol med leverandøren (certificeringer politikker, procedurer, økonomi hos leverandør) 2. Kontrol med data og compliance med lovgivning samt logning 3. Risikostyring (risici hos leverandør og underleverandør) 4. Funktionsadskillelse, backup og datasletning hos leverandør 5. Kontrol med håndtering af sikkerhedshændelser 6. Krypteringskontrol 7. Adgangskontrol 8. Lagring