370 likes | 552 Views
Er skyen sikker nok ?. Lars Neupart. De største forhindringer?. Uvished om s ikkerhed og persondata. Hvad betyder sky ?. Bange, undseelig, benovet, blufærdig, bly, forlegen, genert, skamfuld. og så er der……de der hvide, luftige, uigennemsigtige tingester på himlen….
E N D
Er skyen sikker nok ? Lars Neupart
De største forhindringer? Uvished om sikkerhed og persondata
Hvad betyder sky? Bange, undseelig, benovet, blufærdig, bly, forlegen, genert, skamfuld og så er der……de der hvide, luftige, uigennemsigtige tingester på himlen….
hvem regnede med at nogen skulle forbinde skyer eller ”cloud” med noget sikkert ?
Masser af trusler • Cloud-leverandør konkurs – dine data og din forretning? • Leverandør lever ikke op til SLA’er • Leverandør med ringe “business continuity planning” • Datacentre i lande med “uvenlig” lovgivning • Leverandør-lock-in med proprietære teknologier og data formater • Ressourcer deles med andre kunder– måske endda konkurrenter • Leverandør-fejl får meget større konsekvenser end fejl I intern-it-afdeling. • Og meget, meget mere……
Defining Cloud On demand provisioning Elasticity Multi-tenancy Key types Infrastructure as a Service (IaaS): basic O/S & storage Platform as a Service (PaaS): IaaS + rapid dev Software as a Service (SaaS): complete application Public, Private, Community & Hybrid Cloud deployments
S-P-I Framework IaaS Infrastructure as a Service You “RFP” security in SaaS Software as a Service You build security in PaaS Platform as a Service
Gennemgang af ny rapport om sikkerheden hos 3 store cloud leverandører Kan hentes gratis på www.neupart.dk/sky
Hvorfor PaaS? • For IaaS står du selv for meget sikkerhed • For SaaS er det svært at finde 3 ens ydelser at sammenligne • PaaS var tilpas komplekst og sammenligneligt på tværs af leverandører
Hvorfor ”vandt” Google? • Fordi de havde et højt sikkerhedsniveau • Fordi de var gode til at dokumentere deres sikkerhedsniveau • Er de andre så dårlige valg? Ikke nødvendigvis... men • Force.com havde meget lidt information om deres sikkerhedsniveau • Microsoft ”gemte” sig lidt bag ved en masse forkortelser og teknik-snak
Først en forkortelse: GRC IT GRC kan være med til at vurdere og sikre jeres anvendelse af skyen IT GRC = IT Governance, Risk & Compliance Management
Sådan kan GRChjælpe medskyen: • IT Governance: • Beslut formål, strategi og operationelle regler for anvendelse af cloud-services. Dvs. opdatér jeres politik/regler/håndbøger • IT Risikovurdering og –styring: • Konsekvensvurdér: Kig på de forretningsprocesser der afhænger / skal afhænge af cloud services. • Sårbarhedsvurder: Undersøg cloud leverandørens sårbarhed. Gennemgå sikkerhedsdokumentation og vilkår. • ISO 27005 er meget velegnet som metode. CSA og ENISA chekclister. • IT Compliance: • Data-klassificering hjælper på vej. • Aftaler/forpligtelser med kunder, partnere m.fl. • Der er forskel på persondata – persondata i skyen er ikke forbudt som udgangspunkt R G C
Cloud computing og DS 484 • DS 484 er relativt system-orienteret • Mange detaljerede krav til sikrings-foranstaltninger og implementering • DS 484 udkom før cloud computing R G C
Cloud computing og ISO 27001 27001 beskriver krav til ledelsessystem. Nøgleord: • Plan–>do –>check –> act • Politik • Risikovurdering • Intern audit • Ledelsesvurdering • Løbende forbedringer R G C
Sådan risikovurderer vi traditionelt Aktiv-type-hierarki Business Product Business Service Business Division Business Function Business Process Supporting Process Key Employee External Resource IT Service Outsourced Service Physical Documents Database Data Files Business System Data Storage System Infrastructure System Logical Server Logical Storage Logical Network Software Product Hardware Unit Communication Line Supply System Data Center Com . Center Supply Center Document Archive Workspace Aktiv-hierarki Finans Konsekvensværdier arves nedad ERP Finans-DB Dynamics AOS SQL 01 Server 01 Server 02 HP DL380 Serial abc0987654321 Sårbarhedsværdierarves opad HP DL380 Serial xyz1234567890 R G C Data Center A
Ny afhængighed – men samme metode for vurdering Konsekvensværdier arves nedad Forretnings-proces Forretnings-proces It-services fra egen it. It-services fra cloud-leverandører Sårbarhedsværdierarves opad R G C
Input til jeres risikovurdering R G C Kombiaf CSA og ENISA’s checklister, anvendt i Neuparts vurdering af Google, Force.com, MS Azure. neupart.dk/sky Cloud-relevante kontrol-områder:
Persondata i skyen? • Odense kommune har fået nej til at bruge Google Apps kontorpakke til følsomme oplysninger fx helbredsforhold, væsentlige sociale problemer og andre rent private forhold. Men generelt: • EU betragtes sikre af Datatilsynet (siger de … hmm….) • Sikre 3. lande: • Schweiz • Canada (begrænset anvendelsesområde - se Kommissionens) • Argentina • Guernsey • USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) • Isle of Man • Jersey • SafeHarbor – ca. 2.000 virksomheder • Liste hos Export.gov R G C
Persondata i skyen? Tjah… Bolig, bil, eksamen, ansøgning, CV ansættelsesdato, stilling, arbejdsområde, arbejdstelefon CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet, personlighedstest Stamoplysninger: Navn, adresse, fødselsdato R G C
er skyen sikker? dumt spørgsmål!
bedre: er skyen sikker nok?
svar: et rungende måske! – kan være bedre, kan være værre… afhænger af mange forhold, som du (heldigvis) kan risikovurdere
Spørgsmål? neupart.dk/SKY Rapport om cloud-leverandør-vurdering, mere om cloud-sikkerhed, gratis-seminarer