Security & Risk Management Summit 2016

Relaterede dokumenter
Proces til vurdering af cloud løsning og risici

Test af Cloud-baserede løsninger DSTB Ole Chr. Hansen Managing Consultant

Business Continuity og Cloud

Go Digital slide her

Kursus: Ledelse af it- sikkerhed

Cloud og it-sikkerhedsudfordringerne: Dansk Automationsselskab

MedComs informationssikkerhedspolitik. Version 2.2

GDPR Leverandørstyring og revisionserklæringer EU-persondatakonferencen 2017

ISO Ledelsesværktøj til digital risikostyring

VEJLEDNING Sikkerhedsmæssige overvejelser ved cloud computing og outsourcing

Cloud Computing i GxP miljø

Plesner Certifikat i Persondataret

Persondataforordningen...den nye erklæringsstandard

ISO/IEC 27001:2013. Ledelsessystem for informationssikkerhed (ISMS) Niels Madelung, Chefkonsulent

Struktureret compliance. 9 måneder med GDPR-compliance krav hvordan er det gået?

GDPR erklæringer - nu er det nu Claus Hartmann Lund september 2018

Lars Neupart Director GRC Stifter, Neupart

Plesner Certifikat i Persondataret

PERSONDATAFORORDNINGEN - TOPDANMARKS ARBEJDE MED AT SKABE COMPLIANCE. DI ITEK 14. juni 2016 Koncern IT-sikkerhedschef Brian Lind

Security as a Service hvorfor, hvornår og hvordan. Gorm Mandsberg, gma@dubex.dk Aarhus,

Leverandørstyring: Stil krav du kan måle på

Security & Risk Management Summit

Agenda. Introduktion: Rasmus & CyberPilot. Eksempler fra det virkelig verden. Persondataforordningen & IT-sikkerhed (hint: ISO27001)

ISO27001 som ledelsesværktøj en pragmatisk tilgang. Lars Boye, Søborg, den 6. november 2014

Systemforvaltning for SDN Temadag om SDN og VDX den 9. november Peder Illum, konsulent,

Sådan kan I leve op til Finanstilsynets ledelsesbekendtgørelse om it-sikkerhed

Modenhed og sikkerhed hos databehandlere Charlotte Pedersen

Præsentation af Curanets sikringsmiljø

Hvis I vil vide mere. Kom godt i gang med standarder. Hvordan arbejder I med et fælles ledelsessystem og skaber synergi?

Vejledning i informationssikkerhedspolitik. Februar 2015

Når Compliance Bliver Kultur

Region Hovedstadens Ramme for Informationssikkerhed

Hjørring Kommune. Overordnet I-sikkerhedspolitik for Hjørring Kommune

Copyright SaaS-it Consult Er Cloud Computing blot en hype eller repræsenterer det virkelig værdi? Teknologisk Institut 13.

IT-sikkerhedspolitik S i d e 1 9

Cloud jura hvilke regler gælder I skyen? IT Driftskonferencen, 29. januar 2014

Risikostyring ifølge ISO27005 v. Klaus Kongsted

Managing Risk Enabling Growth Through Compliance! Alex Sinvani Copenhagen,

Status for ændringer. Informationssikkerhedspolitik for Region Hovedstaden. Version 1.2

Persondataforordningen. Konsekvenser for virksomheder

Procedure for tilsyn af databehandleraftale

NORDISK SAMARBEJDE OM INFORMATIONSSIKKERHED I KOMMUNER OG REGIONER

Tilsyn med Databehandlere

Mobility-strategi Hvordan kommer du i gang? Kenneth Rosenkrantz Søborg, 7. november 2013

28 August Data privacy i SAP Lyngby 27/8 2015

Årshjul. Kort sagt beskrives og planlægges mange af de opgaver, der efterfølgende kontrolleres/følges op på i årshjulet, i årsplanen.

KLAR, PARAT, CLOUD? 27. september 2018

Vi har etableret et brancheledende informationssikkerhedsprogram. vores kunder den bedste beskyttelse og højeste grad af tillid.

Security & Risk Management Summit 2016

Sikkerhed i cloud computing

Sikkerhed og Revision 2013 Finansiel revisors ønsker til it-revisor. 5. september 2013

Introduktion Cybersikkerhed - en fremtidstrussel allerede i dag

Bilag 6.2 IT-Revision

Forordningens sikkerhedskrav

Konference om Cloud Computing 18. maj Proof of Concept for transition til Cloud Lars Ravndrup Thomsen, Solutions Architect, KMD

It-sikkerhedspolitik for Farsø Varmeværk

Rollen som DPO. September 2016

Sådan udvikler I en Statement of Applicability i henhold til ISO 27001:2013

IT risici og compliance. Hvad driver mig? Det gode råd med på vejen?

Persondataforordningen og ISO 27001

Security & Risk Management Summit 2016

EU-Persondataforordningen. Steen Okkels Nørby, Supply Chain Manager/Projektleder hos NOVAX, IT-branchen 20 år,

It-revision af selvejende institutioner Seminar i Rigsrevisionen den 5. maj 2015

Datatilsynet er den centrale uafhængige myndighed, der fører tilsyn med, at reglerne i persondataloven overholdes. Kort om Datatilsynet.

Kl Indledning v. Lone Strøm, Rigsrevisor

HVORDAN KAN CONTROLMANAGER UNDERSTØTTE LEDELSESRAPPORTERING

DUBEX SECURITY & RISK MANAGEMENT SUMMIT Søren Kromann, Forvaltningsdirektør, KOMBIT

Security & Risk Management Update 2017

SURFTOWNS SIKRINGSMILJØ. Databehandleraftalen - Bilag 1

Velkomst og praktiske informationer

ISO som ledelsesværktøj til risikostyring i den digitaliserede virksomhed. Lars Boye, lab@dubex.dk Dubex A/S, 11. juni 2015

Når compliance bliver kultur

Målrettet arbejde med persondataforordningen for

Mobility-strategi Hvordan kommer du i gang?

IT-SIKKERHED SET FRA LEVERANDØRENS SIDE

Udkast til svar på Rigsrevisionens rapport om it-sikkerheden på SDN [Godkendt af MedComs styregruppe den 12. februar 2016]

Cloud med omtanke! 10 gode råd

Databeskyttelsesdagen

LinkGRC GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK GOD SKIK FOR INFORMATIONSSIKKERHEDSPOLITIK

Notat om Privacy Impact Analyze, Persondata analyse eller blot PIA

Sikkerhed og Revision 2015

General Data Protection Regulation

IT- og informationssikkerheds- politik (GDPR) For. Kontrapunkt Group

Mulighederne for at få en sikker sky

DATABEHANDLERAFTALE. Mellem. [XXXX] Kommune [adresse] [postnr. og by] CVR. nr.: [XXXX] (herefter Kommunen )

Hvordan griber du moderniseringsprocessen an? Peter Janum Sode Senior Security Consultant

Databehandler aftale Bilag til Aftale om MemberLink

Vejledning om evaluering af beredskab. April 2015

Skanderborg Kommune. ISMS-regler. Informationssikkerhedsregler for hvert krav i ISO. Udkast 27001:2017

Cloud Computing De juridiske aspekter

1 Informationssikkerhedspolitik Hvorfor vil vi sikre vores informationer? Hvad dækker begrebet "informationer"? 2

CYBERFORSIKRING OFFENTLIG KONFERENCE

1. Introduktion til SoA Indhold og krav til SoA 4

Hvad er Informationssikkerhed

EU GDPR Endnu en Guide

Må lrettet årbejde med persondåtåforordningen for Gl. Rye Våndværk

Fællesregional Informationssikkerhedspolitik

Årshjul for persondata. v/henrik Pors

Hvor sikker er organisationen*? Hvad er de største risici? Er organisationen sikker nok? Hvor sikker skal organisationen være? Hvordan bliver vi det?

Rapport. Anbefaling. Sikkerhedstjekket 2016 Rådet for Digital Sikkerhed

Transkript:

Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere: skal

Compliance og risikostyring John Wiingaard, Senior GRC-konsulent/BSI-Exam. ISO27001 Lead Implementor, Dubex DGI-byen, København, 2. november 2016

Agenda 1. Målsætning for indlæg 2. Cloud og cloudprocessen for risikostyring og compliance 3. Metoder til compliance assurance ved cloud 4. Hvordan er ISO270XX-serien relevant for cloud? 5. ISO270XX + COSO = All inclusive 6. Opbygning af Complianceprogram 7. Husk den nye EU forordning 8. Efter i dag.

Hvad skal vi have ud af dette indlæg? Mål for dette indlæg: Inspirere til håndtering af compliance og risikostyring for cloudbaserede løsninger Hvordan påvirkes risikostyringen i virksomheden, når der anvendes cloud-løsninger? Hvordan kommer man i gang med at sikre compliance? Generelt om EU-persondataforordningens betydning for brugen af cloud? Disclaimer: Sikkerhed er et meget stort emneområde som er i konstant forandring. I løbet af de næste 30 minutter når vi højst at skrabe en lille smule i overfladen.

Cloud er defineret individuelt. Fælles gælder dog, at. ENISA - Europæiske agentur for Netværks og Informationssikkerhed: Cloud computing er en servicemodel for efterspørgsel af it-løsninger, hvori der indgår distribuerede it-teknologier og mulighed for virtualisering. Definitionen iflg. amerikanske NIST er mere detaljeret. Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models. Fælles for ENISA og NIST definitioner gælder, at cloudløsninger bygger på elementer af IT-outsourcing..

Procesovervejelser ved brug af cloud-baserede løsninger Cloudløsning Nye arbejdsopgaver ved cloud Mistes nøglemedarbejdere i IT Berørte forretningsprocesser Tænk Going- Concern ved worst case Er der garanteret adgang selv ved krig? Bevarer vi kontrollen over patchning af gamle løsninger Afhængighed af cloudleverandør (Lock-in) Identificer risici Opfølgning på Cloudleverancer Exponering af systemer/data ved fejl hos Cloud Vurder business impact Håndter cloudrisici

Metoder til compliance assurance ved cloud ISO27001, ISO27002, ISO27005, ISO2017/20018 Inspiration fra COSO til Best Practice for en procesmæssig tilgang Cloud Security Alliance (Version 4 udgave undervejs) NIST-8xx serien (Amerikansk, dvs. Minder lidt om SOX-approach=Omfattende) Er klassiske revisorerklæringer er gode nok (SOC1/2/ISAE3402/ISAE3000)? Udfordring kan bl.a. være: Applikationsprocesser/Forretningsgange er begrænset dækket i ISO og ISAE3402. Detaljerede best practice guides for konfigurering af sikkerhed findes ikke i ISO. HUSK!! - Ansvaret forbliver stadig hos egen ledelse ved brug af cloud-baserede løsninger.

Hvorfor en cloud løsning? Simple eksempler på fordele/svagheder FORDELE Ingen direkte investering i servere Mulighed for at skalere ydelse ud fra behovet Klassiske datacenterfordele Større it-organisation = Større specialistbredde Mindre afhængighed af enkeltpersoner + bedre 24/7/365 -------------------------------------------------- = Bedre TILGÆNGELIGHED ============================= SVAGHEDER Afhængighed af dataforbindelse Manglende fysisk kontrol over data/systemer Potentiel risiko for latenstid/qos Fysik placering af data. Adgang til systemer/data udvides Færre direkte handlemuligheder -------------------------------------------------- = Egen kontrol med FORTROLIGHED og PÅLIDELIGHED. =============================

Cloud s svæver rundt og forekommer let og udbesværet Clouds findes i mange størrelser og former. SaaS PaaS IaaS Hybrid

Hvordan er ISO270XX-serien relevant for cloud? ISO27001 Velegnet til at opbygge et system for generel ledelsesmæssig håndtering af cloud risici ISO27002 Velegnet til at forankre og implementere ledelsessystemet i ISO27001 gennem 114 forslag til kontroller. ISO2005 Vejledningen har fokus på gennemførelse af risikostyringen. ISO2017 Udbygning af ISO27002 med tilpassede sikkerhedsforanstaltninger målrettet cloud ISO2018 Velegnet særligt til behandling af persondata i cloud. ISO27000-serien fremstår omfattende, fordi standarden har et stort anvendelsesområde. Fordelen er, at man kun skal vælge det, der er behov for.

Processen for risikostyring ved cloud-baseret løsning 1. Forretningsprocesser Kortlæg hvilke data og forretningsprocesser der håndteres i en Cloud løsning? 2. Rammer/Krav Kortlæg hvilke eksterne (bl.a. Lovkrav) og interne krav, som skal opfyldes ved brug af Cloud. 3. Gennemfør risikoworkshops Identificér Cloud-risici i forhold til klassisk CIA+I 4. Mitigeringstiltag Fastlæg ønskede kontroltiltag til mitigering af risici ved Cloud løsning (SaaS, PaaS, IaaS) 5. D I E -test af kontroller Uvildig 2. opinion/sanity check af kontroller. 6. DRP/BCP Planlæg tests inklusiv sikring af at Cloud-leverandørens RPO og RTO passer til virksomhedens behov 7. Plan B/C/D Re-tænk/tilpas beredskabssituation på baggrund af resultater af risikostyringen. Vær opmærksom på, at frameworks for Cybertrusler har isoleret fokus på angrebsvektoren Cyber. HUSK at vurdere strategisk risiko for lock-in (Afhængighed/Ejerskab til data & processer)

COSO Supplement til ISO omkring risikostyring mm.

COSO framework The Committee of Sponsoring Organizations of the Treadway Commission: Hvorfor er COSO framework relevant: Der er reelt blot tale om hvordan interne kontroller i en organisation skal adressere nogle forretningsmæssige risici. COSO indgår i fundamentet for god selskabsledelse, krav til store børsnoterede virksomheder, styrende for hvordan revision skal udføres for at afdække risici. Holistisk tredimensionel model, der er baseret på en forretningsmæssig tilgang til management Mulighed for at koble teknikforhold til ledelsessprog

ISO270XX + COSO = All inclusive COSO I By: COSO.ORG IC I (v2) COSO II (incl. ERM) By: COSO.ORG ERM (v1) ISO270XX - platform

Fælles for metoder ISO27xxx og COSO Opsummér resultat af risikovurderingen, eksempelvis: Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sammenlign risikobillede ved nuværende IT-løsning over for Cloud. Ledelsen skal afveje vægtningen mellem typisk Tilgængelighed (Bedre ved Cloud-baserede løsninger dog forudsat kommunikationslinier) Fortrolighed/Pålidelighed (Kan være udfordret af adgangssikkerhed og placering af data)

Compliance i forhold til Cloud

Hvordan udarbejdes et complianceprogram ved Cloudløsninger? Inspirationskilder for udarbejdelse af complianceprogram: Cloud Security Alliance - Cloud audit group Templates i forhold til NIST800-53, ISO27002, PCI, HIPAA, COBIT. Ulempe: Opdateres ikke. Information Systems Audit and Control Association IT Assurance Framework based on COBIT 5.

Succeskrav for et effektivt complianceprogram Complianceopgaven varetages af en, der har tværfaglig viden om IT-systemer og kontroller kombineret med arbejdsproceserfaring samt har erfaring med kontrakthåndteringer. Udgangspunktet for complianceprogrammet er resultatet af risikoprocessen sammen med eventuelle erklæringer fra CSP. Vigtigt ikke at se compliance som Contract management og compliance går videre end driftsrapporter. Områder hvor erklæring er relevant for virksomhedens risici: Erklæringsarbejde vurderes at være tilstrækkelig til at afdække risici. Complianceopgaven inden for Finansiel sektor kan kræve et vist omfang af egne stikprøver Arbejde i erklæring vurderes ikke at være tilstrækkelig til at afdække risici Enten udføres egne supplerende tests, eller Der afklares hvordan virksomheden selv kan kompensere (Modtage periodisk kopier af data)

Succeskrav for et effektivt complianceprogram Særlige udfordringer, når der er tale om brancher med særregler Områder hvor erklæring ikke er relevant for virksomhedens risici: Erklæringsarbejde har ikke undersøgt forhold, fordi der er tale om individuel aftale med CSP Danske regler om brug af databehandleraftaler Efterlevelse af virksomhedens IT-sikkerhedspolitik Arbejde i erklæring bygger primært på undersøgelser og tests på store kunder og har ikke omfattet evidens for at dette også er efterlevet for små kunder (vores virksomhed)

Ny EU-Persondataforordning

Hvad med den nye EU-forordning? Indgåede aftaler om cloud må opdateres med nye krav i EU-persondataforordningen, hvilket kan være en udfordring. Cloud leverandør bliver i nogle tilfælde måske en egentlig databehandler, og skal være i stand til at varetage pligter i denne rolle. Adgangsstyring- og godkendelser bliver centrale i forhold til at til enhver tid, at skulle have kendskab til hvem hos Cloud leverandør, som har eller har haft adgang til data, og som har været i kontrakt med data og med hvilket formål. Alternativt skal overvejes om kryptering af data eller hele applikationsdelen er en bedre løsning Hele området og omfanget af logning skal sammenholdes med de nye krav Vigtigt med et beredskab, som kan sikre overholdelse af rapporteringsfrister ved sikkerhedsbrister til såvel Datatilsynet som til de implicerede. Retten til at blive glemt bliver en udfordring, hvis Cloudleverandøreren tilbageholder data ved konflikter eller hvis data sikkerhedskopieres samlet med andre kunders dataset.

Efter i dag.. I dag: Overvej om der er overblik over cloudrisici og om man påser compliance hos CSP i tilstrækkelig grad I morgen: Afgræns/Udvælg mulige områder, som skal undersøges nærmere. Næste uge: Lav en plan for hvordan gaps skal håndteres/ løses. Næste måned: Vurdér hvordan DRPplaner kan forbedres Næste kvartal: Overvej hvordan nye krav i EU-persondataforordning vil påvirke brug af cloud løsning Næste 1/2-1/1 år: Indarbejd tilpasninger i ledelsessystemer, der afdækker cloudrisici og passende respons på compliancekontroller

Hvad skal vi have ud af dette indlæg? Mål for dette indlæg: Inspirere til håndtering af compliance og risikostyring for cloudbaserede løsninger Hvordan påvirkes risikostyringen i virksomheden, når der anvendes cloud-løsninger? Hvordan kommer man i gang med at sikre compliance? Generelt om EU-persondataforordningens betydning for brugen af cloud? Disclaimer: Sikkerhed er et meget stort emneområde som er i konstant forandring. I løbet af de næste 30 minutter når vi højst at skrabe en lille smule i overfladen.

Tak!

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback