![Page 1: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/1.jpg)
Velkommen til webinar
med Dansk IT og Neupart:
Risikostyring - også i skyen!
Lars Neupart
![Page 2: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/2.jpg)
© Neupart A/S
De største forhindringer?
Uvished om sikkerhed og
persondata
![Page 3: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/3.jpg)
Hvad betyder
sky?
Bange, undseelig, benovet, blufærdig, bly, forlegen, genert, skamfuld
og så er der……de der hvide, luftige,
uigennemsigtige tingester på himlen….
![Page 4: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/4.jpg)
![Page 5: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/5.jpg)
hvem regnede med, at nogen skulle forbinde
skyer eller ”cloud” med noget sikkert ?
![Page 6: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/6.jpg)
Masser af trusler
Cloud-leverandør konkurs – dine data og din forretning?Leverandør lever ikke op til SLA’erLeverandør med ringe “business continuity planning”Datacentre i lande med “uvenlig” lovgivningLeverandør-lock-in med proprietære teknologier og data formaterRessourcer deles med andre kunder– måske endda konkurrenterLeverandør-fejl får meget større konsekvenser end fejl I intern-it-afdeling.Og meget, meget mere……
![Page 7: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/7.jpg)
www.cloudsecurityalliance.orgCopyright © 2010 Cloud Security Alliance
Survey ResultsTop Ranked ThreatsRANK PERCENT
1) Data Loss/Leakage 28.8%
2) Abuse and Nefarious use of Cloud Computing
17.8%
3) Insecure API’s 15.1%
4) Malicious Insiders 11.0%
5) Account/Service and Traffic Hijacking
9.6%
6) Unknown Risk Profile 9.6%
7) Shared Technology Vulnerabilities 8.2%
![Page 8: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/8.jpg)
www.cloudsecurityalliance.orgCopyright © 2010 Cloud Security Alliance
Defining Cloud• On demand provisioning
• Elasticity
• Multi-tenancy
• Key types• Infrastructure as a Service
(IaaS): basic O/S & storage
• Platform as a Service (PaaS): IaaS + rapid dev
• Software as a Service (SaaS): complete application
• Public, Private, Community & Hybrid Cloud deployments
![Page 9: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/9.jpg)
www.cloudsecurityalliance.orgCopyright © 2010 Cloud Security Alliance
PaaSPlatform as a Service
You buildsecurity in
You “RFP”security in
S-P-I Framework
PaaSPlatform as a Service
IaaSInfrastructure as a Service
SaaSSoftware as a Service
![Page 10: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/10.jpg)
© Neupart A/S
Eksempler på SaaS
Salesforce.comGoogle Apps og Google DocsMS Office 365Gmail & HotmailE-conomic (dansk)
DEMO af SalesForce.comSådan kan et CRM i skyen se ud
![Page 11: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/11.jpg)
© Neupart A/S
Eksempler på PaaS
Google Apps EngineMicrosoft AzureForce.com (platform for Salesforce.com)Amazon Beanstalk
DEMO af Force.com
![Page 12: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/12.jpg)
© Neupart A/S
Eksempler på IaaS
Amazon EC2Rackspace CloudMicrosoft Azure
DEMO af EC2:Sådan opretter du en server i skyen
![Page 13: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/13.jpg)
Top 5 ”hæmmere” ifølge Gartner
Risk testingData locationData and code portabilityData lossData securityVendor viabilitySikkerhed
!
![Page 14: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/14.jpg)
CSA GRC stack
CloudAuditAPI til ”audit”
Cloud Controls MatrixBest practice kontrolmål for kunder såvel som udbydere af cloud
Consensus Assesment InitiativeSpørgeskema
![Page 15: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/15.jpg)
Cloud Security Alliance STAR
Cloud-leverandører offentliggør deres “self-assessment”.Baseret på CSA’s Control Matrix.Muligt grundlag for fremtidig certificering
https://cloudsecurityalliance.org/STAR
![Page 16: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/16.jpg)
© Neupart A/S
Undgå denne situation…
• http://www.youtube.com/watch?v=VjfaCoA2sQk
![Page 17: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/17.jpg)
Dit eget ansvar som cloud-kunde
Administrativetiltag
Fysiske / teknisketiltag
Forebyggendetiltag
Udbedrendetiltag
Firewall Antivirus
Server-cluster
RAIDBackup
Standby-udstyr
Virtualisering
Sikkerheds-politik
System-dokumentation
Awareness
Compliancechecks
Alarm-system
Brandslukning
Logning
Ændrings-styring
It-beredskabsplan
Disaster Recoveryprocedurer
Beredskabs-strategi
Redundans
Adgangskontrol-system
Standby-driftscenter
Server-snapshots
Vanskeligere at overlade til cloud-leverandører
Lettere at overlade til cloud-leverandører
![Page 18: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/18.jpg)
Persondata i skyen?
![Page 19: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/19.jpg)
© Neupart A/S
Bolig, bil, eksamen, ansøgning, CVansættelsesdato, stilling, arbejdsområde, arbejdstelefon
Stamoplysninger: Navn, adresse, fødselsdato
Først lidt afgrænsning...
CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold
Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent
private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet,
personlighedstest
![Page 20: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/20.jpg)
© Neupart A/S
Persondata i skyen?
Generelt betragtet:EU betragtes sikre af DatatilsynetSikre 3. lande:
Schweiz Canada (begrænset anvendelsesområde - se Kommissionens)Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey
Safe Harbor – ca. 2.000 virksomhederListe hos Export.gov
![Page 21: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/21.jpg)
En case: Odense Kommune
Et ønske om at bruge Google Docs til elevplaner er ikke muligt i følge Datatilsynet med mindre en række forhold ændres eller dokumenteres
![Page 22: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/22.jpg)
© Neupart A/S
Elevplaner
Kommunikation mellem skole og hjemIndeholder potentielt følsomme oplysninger
Sociale forholdHelbredsoplysningerPsykisk ”profil” af eleverEtc.
![Page 23: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/23.jpg)
© Neupart A/S
Google Analytics
Datatilsynet i Norge siger nejIP numre er personhenførbareCookies
![Page 24: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/24.jpg)
© Neupart A/S
Datatilsynet om Office 365
Kunden har ansvar for sikkerhed I Office 365Microsoft har ansvar for sikkerhedsforanstaltninger mod, at oplysninger hændeligt eller ulovligt tilintetgøres, fortabes eller forringes, samt mod, at de kommer til uvedkommendes kendskab, misbruges eller i øvrigt behandles i strid med loven.
http://www.datatilsynet.dk/afgoerelser/arkiv-over-afgoerelser/artikel/behandling-af-personoplysninger-i-cloud-loesningen-office-365/
![Page 25: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/25.jpg)
© Neupart A/S
It-universitetet
Datatilsynet om Office 365 på ITU:Spørgsmål om tilstrækkelig risikovurdering.DT vil ikke godkende databehandler aftalerITU’s ansvar for sikkerheden hos Microsoft indskærpes (!) ;-)
http://www.datatilsynet.dk/afgoerelser/arkiv-over-afgoerelser/artikel/it-universitetet-i-koebenhavns-brug-af-microsofts-cloud-loesning-office-365/
![Page 26: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/26.jpg)
Ville I være trygge ved at lægge jeres egne persondata ud i skyen?
F.eks. hos Google...
![Page 27: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/27.jpg)
Risikovurdering
![Page 28: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/28.jpg)
© Neupart A/S
Cloud versus egen IT
For cloud• Forretningsfokus (Hvad er
vores egen ekspertise egentlig?)
• Kapacitet, skalerbarhed, ”elasticitet” i servicen
• Forretningen vil have det
For egen IT• Cloud specifikke trusler• Compliance-krav• Vi ved hvad vi har..
![Page 29: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/29.jpg)
© Neupart A/S
Cloud vs. klassisk outsourcing
For cloud• Kapacitet,
skalerbarhed, ”elasticitet” i servicen
• Forretningen vil have det
For klassisk outsourcing• Individuelle
kontraktkrav kan bedre tilgodeses
• Vi ved hvad vi har..
![Page 30: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/30.jpg)
© Neupart A/S
Først en forkortelse: GRC
IT GRC kan være med til at vurdere og sikre jeres anvendelse af skyen
IT GRC =
IT Governance, Risk & Compliance
Management
![Page 31: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/31.jpg)
© Neupart A/S
Sådan kan GRC hjælpe med skyen:
IT Governance:Beslut formål, strategi og operationelle regler for anvendelse af cloud-services. Dvs. opdatér jeres politik/regler/håndbøger
IT Risikovurdering og –styring:Konsekvensvurdér: Kig på de forretningsprocesser der afhænger / skal afhænge af cloud services.Sårbarhedsvurder: Undersøg cloud leverandørens sårbarhed. Gennemgå sikkerhedsdokumentation og vilkår.ISO 27005 er meget velegnet som metode. CSA og ENISA chekclister.
IT Compliance:Data-klassificering hjælper på vej.Aftaler/forpligtelser med kunder, partnere m.fl.Der er forskel på persondata – persondata i skyen er ikke forbudt som udgangspunkt
G R C
![Page 32: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/32.jpg)
© Neupart A/S
Cloud computing og DS 484
DS 484 er relativt system-orienteret Mange detaljerede krav til sikrings-foranstaltninger og implementeringDS 484 udkom før cloud computing
G R C
![Page 33: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/33.jpg)
© Neupart A/S
Cloud computing og ISO 2700127001 beskriver krav til ledelsessystem. Nøgleord:
Plan–>do –>check –> actPolitikRisikovurderingIntern auditLedelsesvurderingLøbende forbedringer
G R C
![Page 34: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/34.jpg)
Konsekvensværdier arves nedad
Sårbarhedsværdierarves opad
Business Product
Business Service
Business Division
Business Function
Business Process
Supporting Process
Key Employee
External Resource
Physical Documents
IT Service
Database
Data Files
Business System
Infrastructure System
Data Storage System
Logical Server
Logical Storage
Logical Network
Software Product
Hardware Unit
Communication Line
Supply System
Data Center
Com. Center
Workspace
Supply Center
Document Archive
Outsourced Service
Aktiv-type-hierarki
Server 01
SQL 01
HP DL380Serial xyz1234567890
Data Center A
Finans-DB
ERP
Dynamics AOS
HP DL380Serial abc0987654321
Server 02
Finans
Aktiv-hierarki
G R
Sådan risikovurderer vi traditionelt
C
![Page 35: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/35.jpg)
© Neupart A/S
Ny afhængighed – men samme metode for vurdering
Forretnings-proces
It-services fra egen it.
Forretnings-proces
It-services fra cloud-
leverandører
Konsekvensværdier arves nedad
Sårbarhedsværdierarves opad
G R C
![Page 36: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/36.jpg)
© Neupart A/S
Input til jeres risikovurdering
Organizational security
Operational security
Physical security
Identity and access
management
Encryption
Asset managemen
t and -security
Business continuity
management
Incident managemen
t
Legal requirement
s and privacy
Portability
G R CClo
ud-r
ele
van
te k
on
trol-
om
råd
er:
Kom
bi af
CS
A o
g E
NIS
A’s
check
liste
r,
anvendt
i N
eupart
s vurd
eri
ng a
f G
oogle
, Fo
rce.c
om
, M
S A
zure
. neupart
.dk/
sky
![Page 37: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/37.jpg)
er skyen sikker?
![Page 38: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/38.jpg)
dumt spørgsmål!
er skyen sikker?
![Page 39: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/39.jpg)
bedre:
er skyen sikker nok?
![Page 40: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/40.jpg)
svar: et rungende
måske!
– kan være bedre, kan være værre…
afhænger af mange forhold, som du (heldigvis) kan risikovurdere
![Page 41: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/41.jpg)
© Neupart A/S
3 trin til skyen
1. Klassificér jeres data2. Vurder relevante trusler3. Vurder
forretningskonsekvens (BIA)
![Page 42: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/42.jpg)
© Neupart A/S
Kursus-nyhed
Neupart introducerer kursus med certificering fra Cloud Security Alliance:
CCSKCertificate of Cloud Security Knowledge
![Page 43: Dansk It Neupart Cloud Sikkerhed Risikovurdering](https://reader038.vdocuments.net/reader038/viewer/2022103109/545673afaf795955758b5993/html5/thumbnails/43.jpg)
© Neupart A/S
Om Neupart
Neupart A/S hjælper virksomheder med it-risikostyring og med at leve op til sikkerhedskrav. Også i skyen!
Cloud-sikkerhedBliv personligt certificeret
CCSK : Certificate of Cloud Security Knowledge
Neupart er Training Partner med Cloud Security Alliance
ISO27001-certificeretEneste it-sikkerhedsleverandør i DK, første it-virksomhed
Certificeret siden 2003 (BS7799 / ISO 27001)
IT GRC =IT Governance, Risk & Compliance Management