Security & Risk Management Summit 2016 DGI Byen, den 3. november 2016 Premium partner: Partnere: skal
Compliance og risikostyring John Wiingaard, Senior GRC-konsulent/BSI-Exam. ISO27001 Lead Implementor, Dubex DGI-byen, København, 2. november 2016
Agenda 1. Målsætning for indlæg 2. Cloud og cloudprocessen for risikostyring og compliance 3. Metoder til compliance assurance ved cloud 4. Hvordan er ISO270XX-serien relevant for cloud? 5. ISO270XX + COSO = All inclusive 6. Opbygning af Complianceprogram 7. Husk den nye EU forordning 8. Efter i dag.
Hvad skal vi have ud af dette indlæg? Mål for dette indlæg: Inspirere til håndtering af compliance og risikostyring for cloudbaserede løsninger Hvordan påvirkes risikostyringen i virksomheden, når der anvendes cloud-løsninger? Hvordan kommer man i gang med at sikre compliance? Generelt om EU-persondataforordningens betydning for brugen af cloud? Disclaimer: Sikkerhed er et meget stort emneområde som er i konstant forandring. I løbet af de næste 30 minutter når vi højst at skrabe en lille smule i overfladen.
Cloud er defineret individuelt. Fælles gælder dog, at. ENISA - Europæiske agentur for Netværks og Informationssikkerhed: Cloud computing er en servicemodel for efterspørgsel af it-løsninger, hvori der indgår distribuerede it-teknologier og mulighed for virtualisering. Definitionen iflg. amerikanske NIST er mere detaljeret. Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models. Fælles for ENISA og NIST definitioner gælder, at cloudløsninger bygger på elementer af IT-outsourcing..
Procesovervejelser ved brug af cloud-baserede løsninger Cloudløsning Nye arbejdsopgaver ved cloud Mistes nøglemedarbejdere i IT Berørte forretningsprocesser Tænk Going- Concern ved worst case Er der garanteret adgang selv ved krig? Bevarer vi kontrollen over patchning af gamle løsninger Afhængighed af cloudleverandør (Lock-in) Identificer risici Opfølgning på Cloudleverancer Exponering af systemer/data ved fejl hos Cloud Vurder business impact Håndter cloudrisici
Metoder til compliance assurance ved cloud ISO27001, ISO27002, ISO27005, ISO2017/20018 Inspiration fra COSO til Best Practice for en procesmæssig tilgang Cloud Security Alliance (Version 4 udgave undervejs) NIST-8xx serien (Amerikansk, dvs. Minder lidt om SOX-approach=Omfattende) Er klassiske revisorerklæringer er gode nok (SOC1/2/ISAE3402/ISAE3000)? Udfordring kan bl.a. være: Applikationsprocesser/Forretningsgange er begrænset dækket i ISO og ISAE3402. Detaljerede best practice guides for konfigurering af sikkerhed findes ikke i ISO. HUSK!! - Ansvaret forbliver stadig hos egen ledelse ved brug af cloud-baserede løsninger.
Hvorfor en cloud løsning? Simple eksempler på fordele/svagheder FORDELE Ingen direkte investering i servere Mulighed for at skalere ydelse ud fra behovet Klassiske datacenterfordele Større it-organisation = Større specialistbredde Mindre afhængighed af enkeltpersoner + bedre 24/7/365 -------------------------------------------------- = Bedre TILGÆNGELIGHED ============================= SVAGHEDER Afhængighed af dataforbindelse Manglende fysisk kontrol over data/systemer Potentiel risiko for latenstid/qos Fysik placering af data. Adgang til systemer/data udvides Færre direkte handlemuligheder -------------------------------------------------- = Egen kontrol med FORTROLIGHED og PÅLIDELIGHED. =============================
Cloud s svæver rundt og forekommer let og udbesværet Clouds findes i mange størrelser og former. SaaS PaaS IaaS Hybrid
Hvordan er ISO270XX-serien relevant for cloud? ISO27001 Velegnet til at opbygge et system for generel ledelsesmæssig håndtering af cloud risici ISO27002 Velegnet til at forankre og implementere ledelsessystemet i ISO27001 gennem 114 forslag til kontroller. ISO2005 Vejledningen har fokus på gennemførelse af risikostyringen. ISO2017 Udbygning af ISO27002 med tilpassede sikkerhedsforanstaltninger målrettet cloud ISO2018 Velegnet særligt til behandling af persondata i cloud. ISO27000-serien fremstår omfattende, fordi standarden har et stort anvendelsesområde. Fordelen er, at man kun skal vælge det, der er behov for.
Processen for risikostyring ved cloud-baseret løsning 1. Forretningsprocesser Kortlæg hvilke data og forretningsprocesser der håndteres i en Cloud løsning? 2. Rammer/Krav Kortlæg hvilke eksterne (bl.a. Lovkrav) og interne krav, som skal opfyldes ved brug af Cloud. 3. Gennemfør risikoworkshops Identificér Cloud-risici i forhold til klassisk CIA+I 4. Mitigeringstiltag Fastlæg ønskede kontroltiltag til mitigering af risici ved Cloud løsning (SaaS, PaaS, IaaS) 5. D I E -test af kontroller Uvildig 2. opinion/sanity check af kontroller. 6. DRP/BCP Planlæg tests inklusiv sikring af at Cloud-leverandørens RPO og RTO passer til virksomhedens behov 7. Plan B/C/D Re-tænk/tilpas beredskabssituation på baggrund af resultater af risikostyringen. Vær opmærksom på, at frameworks for Cybertrusler har isoleret fokus på angrebsvektoren Cyber. HUSK at vurdere strategisk risiko for lock-in (Afhængighed/Ejerskab til data & processer)
COSO Supplement til ISO omkring risikostyring mm.
COSO framework The Committee of Sponsoring Organizations of the Treadway Commission: Hvorfor er COSO framework relevant: Der er reelt blot tale om hvordan interne kontroller i en organisation skal adressere nogle forretningsmæssige risici. COSO indgår i fundamentet for god selskabsledelse, krav til store børsnoterede virksomheder, styrende for hvordan revision skal udføres for at afdække risici. Holistisk tredimensionel model, der er baseret på en forretningsmæssig tilgang til management Mulighed for at koble teknikforhold til ledelsessprog
ISO270XX + COSO = All inclusive COSO I By: COSO.ORG IC I (v2) COSO II (incl. ERM) By: COSO.ORG ERM (v1) ISO270XX - platform
Fælles for metoder ISO27xxx og COSO Opsummér resultat af risikovurderingen, eksempelvis: Konsekvens Konsekvens Sandsynlighed inkl. Sikkerhedsmiljø Sandsynlighed inkl. Sikkerhedsmiljø Sammenlign risikobillede ved nuværende IT-løsning over for Cloud. Ledelsen skal afveje vægtningen mellem typisk Tilgængelighed (Bedre ved Cloud-baserede løsninger dog forudsat kommunikationslinier) Fortrolighed/Pålidelighed (Kan være udfordret af adgangssikkerhed og placering af data)
Compliance i forhold til Cloud
Hvordan udarbejdes et complianceprogram ved Cloudløsninger? Inspirationskilder for udarbejdelse af complianceprogram: Cloud Security Alliance - Cloud audit group Templates i forhold til NIST800-53, ISO27002, PCI, HIPAA, COBIT. Ulempe: Opdateres ikke. Information Systems Audit and Control Association IT Assurance Framework based on COBIT 5.
Succeskrav for et effektivt complianceprogram Complianceopgaven varetages af en, der har tværfaglig viden om IT-systemer og kontroller kombineret med arbejdsproceserfaring samt har erfaring med kontrakthåndteringer. Udgangspunktet for complianceprogrammet er resultatet af risikoprocessen sammen med eventuelle erklæringer fra CSP. Vigtigt ikke at se compliance som Contract management og compliance går videre end driftsrapporter. Områder hvor erklæring er relevant for virksomhedens risici: Erklæringsarbejde vurderes at være tilstrækkelig til at afdække risici. Complianceopgaven inden for Finansiel sektor kan kræve et vist omfang af egne stikprøver Arbejde i erklæring vurderes ikke at være tilstrækkelig til at afdække risici Enten udføres egne supplerende tests, eller Der afklares hvordan virksomheden selv kan kompensere (Modtage periodisk kopier af data)
Succeskrav for et effektivt complianceprogram Særlige udfordringer, når der er tale om brancher med særregler Områder hvor erklæring ikke er relevant for virksomhedens risici: Erklæringsarbejde har ikke undersøgt forhold, fordi der er tale om individuel aftale med CSP Danske regler om brug af databehandleraftaler Efterlevelse af virksomhedens IT-sikkerhedspolitik Arbejde i erklæring bygger primært på undersøgelser og tests på store kunder og har ikke omfattet evidens for at dette også er efterlevet for små kunder (vores virksomhed)
Ny EU-Persondataforordning
Hvad med den nye EU-forordning? Indgåede aftaler om cloud må opdateres med nye krav i EU-persondataforordningen, hvilket kan være en udfordring. Cloud leverandør bliver i nogle tilfælde måske en egentlig databehandler, og skal være i stand til at varetage pligter i denne rolle. Adgangsstyring- og godkendelser bliver centrale i forhold til at til enhver tid, at skulle have kendskab til hvem hos Cloud leverandør, som har eller har haft adgang til data, og som har været i kontrakt med data og med hvilket formål. Alternativt skal overvejes om kryptering af data eller hele applikationsdelen er en bedre løsning Hele området og omfanget af logning skal sammenholdes med de nye krav Vigtigt med et beredskab, som kan sikre overholdelse af rapporteringsfrister ved sikkerhedsbrister til såvel Datatilsynet som til de implicerede. Retten til at blive glemt bliver en udfordring, hvis Cloudleverandøreren tilbageholder data ved konflikter eller hvis data sikkerhedskopieres samlet med andre kunders dataset.
Efter i dag.. I dag: Overvej om der er overblik over cloudrisici og om man påser compliance hos CSP i tilstrækkelig grad I morgen: Afgræns/Udvælg mulige områder, som skal undersøges nærmere. Næste uge: Lav en plan for hvordan gaps skal håndteres/ løses. Næste måned: Vurdér hvordan DRPplaner kan forbedres Næste kvartal: Overvej hvordan nye krav i EU-persondataforordning vil påvirke brug af cloud løsning Næste 1/2-1/1 år: Indarbejd tilpasninger i ledelsessystemer, der afdækker cloudrisici og passende respons på compliancekontroller
Hvad skal vi have ud af dette indlæg? Mål for dette indlæg: Inspirere til håndtering af compliance og risikostyring for cloudbaserede løsninger Hvordan påvirkes risikostyringen i virksomheden, når der anvendes cloud-løsninger? Hvordan kommer man i gang med at sikre compliance? Generelt om EU-persondataforordningens betydning for brugen af cloud? Disclaimer: Sikkerhed er et meget stort emneområde som er i konstant forandring. I løbet af de næste 30 minutter når vi højst at skrabe en lille smule i overfladen.
Tak!