Mulighederne for at få en sikker sky



Relaterede dokumenter
Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

Lars Neupart Director GRC Stifter, Neupart

Business Continuity og Cloud

Security & Risk Management Summit 2016

Managing Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen,

Hvad er cloud computing?

Hvordan sikres investeringen i eksisterende systemer, når skyen tages i brug. Carsten Rasmussen, CTO, Capgemini Danmark A/S IDC Cloud Computing 2011

Hvordan sikres personfølsomme data - og adgangen til disse så persondataloven overholdes. Klaus Kongsted, CRO, Dubex A/S Dubex A/S, den 5.

HYBRID TAKEOFF REDEFINED JOURNEY TO THE CLOUD BY EMC Søren Holm, Proact

HACKERNE BLIVER BEDRE, SYSTEMERNE BLIVER MERE KOMPLEKSE OG PLATFORMENE FORSVINDER HAR VI TABT KAMPEN? MARTIN POVELSEN - KMD

4 sekunder. 20 sekunder. 1-3 timer. 14% hurtigere. 5-6% bagud. 30/70 split. Vejen til succes med Hybrid Cloud v/cso, Poul Bærentsen, Atea

Security & Risk Management Summit

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Cloud computing. Hvad er fordelene ved Microsoft løsninger - og hvad er begrænsningerne

RÅDET FOR DIGITAL SIKKERHED

DI ITEK og DI s vejledning om Cloud Computing - sikker outsourcing i skyen

Byg din informationsarkitektur ud fra en velafprøvet forståelsesramme The Open Group Architecture Framework (TOGAF)

Copyright SaaS-it Consult Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13.

Information Lifecycle Management

Everything-as-a-Service. Afdelingsdirektør, Poul Bærentsen

Cloud Computing i GxP miljø

Kursus-introduktion. IT Sikkerhed Efterår /09/2012 ITU 0.1

MOC On-Demand Administering System Center Configuration Manager [ ]

Online kursus: Certified Information Security Manager (CISM)

IT Service Management - the ITIL approach

Projektledelse i praksis

Analytics serveret på tre forskellige måder. af: Per Lolk Salgsdirektør

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing

Sikkerhed på nettet for applikationer og identiteter

Det moderne datacenter. Jesper Ryder NetApp

CONNECTING PEOPLE AUTOMATION & IT

Test af Cloud-baserede løsninger DSTB Ole Chr. Hansen Managing Consultant

MÆSSIGE MULIGHEDER GIVER CLOUD COMPUTING

Morten Juul Nielsen Produktchef Microsoft Danmark

Persondataretlige aspekter ved cloud computing

Cloud Computing De juridiske aspekter

Hvordan er det med datasikkerhed og privacy? Highlights fra persondataloven Århus, d. 14. marts 2017 Erika Wolf, jurist, Sundhedsdatastyrelsen

It-direktør Nils Lau Frederiksen

MOC On-Demand Identity with Windows Server 2016 [20742]

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

xrm både en applikation og en ramme for hurtig udvikling af løsninger til strukturet relationshåndtering og understøttelse af forretningsprocesser

Har det en værdi og hvordan kommer du i gang?

KLAR, PARAT, CLOUD? 27. september 2018

Kursus: Ledelse af it- sikkerhed

Standardiseret tilgang til Software Asset Management. ISACA Medlemsmøde 2013 Jan Øberg ØBERG Partners

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Roadshow: ITIL V3 hvordan træder man ud af børneskoene?

Arkitektur, der understøtter risikostyring i den digitaliserede virksomhed. Jan Johannsen SE Manager Nordics

Velkomst og praktiske informationer

Security & Risk Management Summit 2016

Brugen af personoplysninger

Persondataforordningen. Konsekvenser for virksomheder

Sikkerhed i skyen Cloud-baserede løsninger udfordringer, krav og risici

EU S PERSONDATAFORORDNING & CLOUD COMPUTING

PEMS RDE Workshop. AVL M.O.V.E Integrative Mobile Vehicle Evaluation

Lovkrav vs. udvikling af sundhedsapps

Enterprise Strategy Program

CONNECTING PEOPLE AUTOMATION & IT

Hvad kommer ITIL V3 og Cobit til at betyde for IT-supporten? Ole Westergaard Westergaard CSM

Få en globalt anerkendt persondatacertificering

Bliv klar til Persondataforordningen

Outsource bekymringerne: - men hvordan gør du det? København, den 4. november 2014

Teknologispredning i sundhedsvæsenet DK ITEK: Sundhedsteknologi som grundlag for samarbejde og forretningsudvikling

Proces til vurdering af cloud løsning og risici

Erhvervsleder i Praktik og IBM

Få en globalt anerkendt persondatacertificering

Microservices. Hvad er det og hvordan kommer du i gang?

Semco Maritime - Vækst under vanskelige vilkår. Offshoredag 2009 Vice President Hans-Peter Jørgensen

Systematisk Innovation med Enterprise Arkitektur

Implementering af EU Persondataforordningen

Velkommen VI BYGGER DANMARK MED IT

Prioriter IT-budgettet Microsofts model til sikring af at investeringerne understøtter forretningsstrategien optimalt

Vi bygger Danmark med it

Sikkerhed i cloud computing

RÅDET FOR DIGITAL SIKKERHED

Dagens tema. Kompetencemæssigt begiver vi os ud i de teknologiske forventninger fra Cloud computing til Robotteknologi og programmering

Integrated Total Facility Management for Real Estate, Infrastructure & Facility Management

SIEM hvilken løsning skal du vælge? Claus Løppenthien, Dubex A/S, 12. maj 2015

Rammer og vilkår for brug af data. 25. oktober 2016 Afdelingschef Birgitte Drewes,

Roadshow: ITIL V3. hvordan træder man ud af børneskoene?

Præsentation af Curanets sikringsmiljø

Databeskyttelse: Afrunding. Jacob Herbst, CTO, Dubex A/S Dubex A/S, den 11. juni 2015

One Step Ahead 2011: Fremsyn

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013

Forordningens sikkerhedskrav

Cloud jura hvilke regler gælder I skyen? DeiC konferencen, 1. oktober 2014 Pia Ullum, Legal Director, CSC Danmark A/S

BPO og it-outsourcing. Ved partner Niels M. Andersen og persondataspecialist Charlotte Bagger Tranberg, Bech-Bruun

- Teknologiske Trends - Cases - Opsummering

To Cloud or not. Myndigheder og virksomheders valg af cloud computing. To Cloud or Not

Ole Westergaard, partner

Konference om Cloud Computing 18. maj Proof of Concept for transition til Cloud Lars Ravndrup Thomsen, Solutions Architect, KMD

Episerver Digital Experience Cloud

Dell Cloud Client Computing Hvordan virtualisere vi de tunge grafisk applikationer?

RFID teknologien 4 Privacy & Sikkerhed. Henrik B. Granau

From innovation to market

Lancering af Exchange Server November 2009

En praktisk tilgang til at skabe en langvarig og levedygtig praksis

SISCON efterårskonference 19. september 2019

Introduktion til NNIT

Introduktion Cybersikkerhed - en fremtidstrussel allerede i dag

Transkript:

Mulighederne for at få en sikker sky Lars Neupart DI ITEK: It-sikkerhedsudvalg og bestyrelse Cloud Security Alliance medlem Neupart A/S: Direktør og stifter LN@neupart.com DI ITEK s sikkerhedsarbejde Siden 2001 Uafhængig af enkeltinteresser Brugere (600) og leverandører (35) i fællesskab giver afbalancerede anbefalinger Vejledning om informationssikkerhed til erhvervslivet - f.eks.: Ledelse, Trusler, Standarder, Spam, Spyware, Phishing, Privacy, Cloud Politisk indsats på området Offentlig awareness om emnet Repræsentation i mange sammenhænge

Cloud Security Alliance En non profit organisation, startet i USA, med chapters i flere lande http://cloudsecurityalliance.org The Cloud Security Alliance is a non-profit organization formed to promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing. Om Neupart Vi hjælper jer med at leve op til itsikkerhedskrav på en tryg og effektiv måde Krav fra kunder, samarbejdspartnere, danske og internationale standarder, almindelig god skik, lovgivning m.m. ISO27001-certificeret Første it-virksomhed og eneste itsikkerhedsleverandør i DK Gazelle 2009 198% vækst i bruttofortjeneste 2005-2008

Anbefalede vejledninger: DI ITEK Opsummering 1. Cloud computing er ikke revolutionerende! Det er bare outsourcing på en anden måde, end vi er vant til. 2. Cloud Computing kan være en udmærket ting for mindre virksomheder. Det gør det let at starte op, og har man ikke fokus på sikkerhed, kan det ofte give en bedre sikkerhed, end man selv er i stand til at præstere. Små virksomheder bør absolut overveje at kigge på cloud computing. 3. Har man sin egen sikkerhedsafdeling og god styr på sikkerheden, er cloud computing nok ikke så interessant, men kan måske bruges på delområder i lighed med andre former for outsourcing. 4. Bruger man cloud computing skal man være opmærksom på, hvordan ens data og applikationer er beskyttet hos serviceudbyderen, hvad der sker hvis udbyderen går fallit, hvilket land data hostes i m.v. Der er altså behov for en særlig sikkerheds- og kontrolindsats.

IDC IDC s worldwide forecast for cloud services : 2009 2013 Verden $17 MIA. $44 MIA EU 971m 6,005m Kilde Enisa, dec 09 What is Cloud Computing? Compute as a utility: third major era of computing Mainframe PC Client/Server Cloud computing: On demand model for allocation and consumption of computing Cloud enabled by Moore s Law: Costs of compute & storage approaching zero Hyperconnectivity: Robust bandwidth from dotcom investments Service Oriented Architecture (SOA) Scale: Major providers create massive IT capabilities

Defining Cloud On demand provisioning Elasticity Multi-tenancy Key types Infrastructure as a Service (IaaS): basic O/S & storage Platform as a Service (PaaS): IaaS + rapid dev Software as a Service (SaaS): complete application Public, Private, Community & Hybrid Cloud deployments S-P-I Framework You RFP security in SaaS Software as a Service You build security in IaaS Infrastructure as a Service PaaS Platform as a Service

Is Cloud Computing Working? Eli Lilly New drug research project IT promised system in 3 months, > $100,000 USD Scientist completed in one day in cloud, < $500 USD Japanese government agencies RFP for custom software development Chose PaaS for 25% of cost and deployment time over traditional software house How will Cloud Computing play out? Much investment in private clouds for 3-5 years Compliance use cases being developed Cloud assurance ecosystem being built Public clouds will eventually dominate Virtual private clouds compromise between public and private All IT professions impacted

CSA Guidance Domains I : 1: Understand Cloud Architecture II: Governing in the Cloud 2: Governance and Enterprise Risk Management 3: Legal and Electronic Discovery 4: Compliance and Audit 5: Information Lifecycle Management 6: Portability and Interoperability III: Operating in the Cloud. 7: Traditional Security, Business Continuity, and Disaster Recovery 8: Data Center Operations. 9: Incident Response, Notification, and Remediation 10: Application Security 11: Encryption and Key Management 12: Identity and Access Management 13: Virtualization Survey Results RANK THREAT PERCENT 1) Data Loss/Leakage 28.8% 2) Abuse and Nefarious use of Cloud Computing 17.8% 3) Insecure API s 15.1% 4) Malicious Insiders 11.0% 5) Account/Service and Traffic Hijacking 9.6% 6) Unknown Risk Profile 9.6% 7) Shared Technology Vulnerabilities 8.2%

Cloud Controls Matrix Tool Controls derived from guidance Rated as applicable to S- P-I Customer vs Provider role Mapped to ISO 27001, COBIT, PCI, HIPAA Help bridge the gap for IT & IT auditors Masser af problemer Cloud-leverandør konkurs dine data og din forretning? Leverandør lever ikke op til SLA er Leverandør med ringe business continuity planning Datacentre i lande med uvenlig lovgivning Leverandør-lock-in med proprietære teknologier og data formater Ressourcer deles med andre kunder måske endda konkurrenter Leverandør-fejl får meget større konsekvenser end fejl I intern-it-afdeling. Og meget, meget mere

Persondata i skyen? EU betragtes sikkert. Sikre 3. lande: Schweiz Canada (begrænset anvendelsesområde - se Kommissionens) Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey Safe Harbor ca. 2.000 virksomheder Liste hos Export.gov Datatilsynet Udtalelse hvis data omfattet af persondatalovens 7-8 Datatilsynets vejledning Persondata i skyen? Bolig, bil, eksamen, ansøgning, CV ansættelsesdato, stilling, arbejdsområde, arbejdstelefon CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet, personlighedstest Stamoplysninger: Navn, adresse, fødselsdato

Summary Cloud Computing is real and transformational Challenges for People, Process, Technology, Organizations and Countries Broad governance approach needed Tactical fixes needed Combination of updating existing best practices and creating completely new best practices Common sense not optional Anbefalinger

Tak og mere info: http://itek.di.dk/shop/produktsi de/pages/produktside.aspx?pro ductid=8036 http://cloudsecurity.org/2009/11/ 20/enisa-cloud-security-riskassessment/ www.cloudsecurityalliance.org www.linkedin.com/groups?gid= 1864210 www.neupart.dk Extra

DI ITEK: Sikkerhedsovervejelser 1. Risikobilledet ændres 2. Behov for dataklassifikation øges 3. Omkostninger (spar, spredt, kontrol) 4. Specialister og nye muligheder 5. Døgnservice 6. Egenkontrol mistes 7. Tilgængelighed, fortrolighed og integritet 8. Business continuity / disaster recovery DI ITEK Kontrolovervejelser 1. Kontrol med leverandøren (certificeringer politikker, procedurer, økonomi hos leverandør) 2. Kontrol med data og compliance med lovgivning samt logning 3. Risikostyring (risici hos leverandør og underleverandør) 4. Funktionsadskillelse, backup og datasletning hos leverandør 5. Kontrol med håndtering af sikkerhedshændelser 6. Krypteringskontrol 7. Adgangskontrol 8. Lagring

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback