SlideShare una empresa de Scribd logo

Muligheder for sikker cloud computing

Descargar como PPTX, PDF
Lars Neupart
Lars Neupart

Præsentation hos hos ITST 22 juni 2010 på seminaret: "Kan jeg få en sikker sky?".

TecnologíaEmpresariales
1 de 20
Mulighederne for at få en sikker sky Lars Neupart DI ITEK: It-sikkerhedsudvalg og bestyrelse Cloud Security Alliance medlem Neupart A/S: Direktør og stifter LN@neupart.com
DI ITEK’s sikkerhedsarbejde Siden 2001 Uafhængig af enkeltinteresser Brugere (600) og leverandører (35) i fællesskab giver afbalancerede anbefalinger Vejledning om informationssikkerhed til erhvervslivet - f.eks.: Ledelse, Trusler, Standarder, Spam, Spyware, Phishing, Privacy, Cloud Politisk indsats på området Offentlig awareness om emnet Repræsentation i mange sammenhænge
Cloud Security Alliance En non profit organisation, startet i USA, med chapters i flere lande http://cloudsecurityalliance.org The Cloud Security Alliance is a non-profit organization formed to promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.
Om Neupart Vi hjælper jer med at leve op til it-sikkerhedskrav på en tryg og effektiv måde Krav fra kunder, samarbejdspartnere, danske og internationale standarder, ”almindelig god skik”, lovgivning m.m. ISO27001-certificeret Første it-virksomhed og eneste it-sikkerhedsleverandør i DK Gazelle 2009 198% vækst i bruttofortjeneste 2005 - 2008
Anbefalede vejledninger:
DI ITEK Opsummering Cloud computing er ikke revolutionerende! Det er bare outsourcing på en anden måde, end vi er vant til. Cloud Computing kan være en udmærket ting for mindre virksomheder. Det gør det let at starte op, og har man ikke fokus på sikkerhed, kan det ofte give en bedre sikkerhed, end man selv er i stand til at præstere. Små virksomheder bør absolut overveje at kigge på cloud computing. Har man sin egen sikkerhedsafdeling og god styr på sikkerheden, er cloud computing nok ikke så interessant, men kan måske bruges på delområderi lighed med andre former for outsourcing. Bruger man cloud computing skal man være opmærksom på, hvordan ens data og applikationer er beskyttet hos serviceudbyderen, hvad der sker hvis udbyderen går fallit, hvilket land data hostes i m.v. Der er altså behov for en særlig sikkerheds- og kontrolindsats.
IDC IDC’s worldwide forecast for cloud services : 2009 2013 Verden $17 MIA. $44 MIA EU €971m €6,005m KildeEnisa, dec ´09
What is Cloud Computing? Compute as a utility: third major era of computing Mainframe PC Client/Server Cloud computing: On demand model for allocation and consumption of computing Cloud enabled by Moore’s Law: Costs of compute & storage approaching zero Hyperconnectivity: Robust bandwidth from dotcom investments Service Oriented Architecture (SOA) Scale: Major providers create massive IT capabilities
Defining Cloud On demand provisioning Elasticity Multi-tenancy Key types Infrastructure as a Service (IaaS): basic O/S & storage Platform as a Service (PaaS): IaaS + rapid dev Software as a Service (SaaS): complete application Public, Private, Community & Hybrid Cloud deployments
S-P-I Framework You “RFP” security in SaaS Software as a Service You build security in PaaS Platform as a Service IaaS Infrastructure as a Service
Is Cloud Computing Working? Eli Lilly New drug research project IT promised system in 3 months, > $100,000 USD Scientist completed in one day in cloud, < $500 USD Japanese government agencies RFP for custom software development Chose PaaS for 25% of cost and deployment time over traditional software house
How will Cloud Computing play out? Much investment in private clouds for 3-5 years Compliance use cases being developed Cloud assurance ecosystem being built Public clouds will eventually dominate Virtual private clouds compromise between public and private All IT professions impacted
CSA Guidance Domains I : 1:Understand Cloud Architecture II: Governing in the Cloud 2: Governance and Enterprise Risk Management 3: Legal and Electronic Discovery 4: Compliance and Audit 5: Information Lifecycle Management 6: Portability and Interoperability III: Operating in the Cloud. 7: Traditional Security, Business Continuity, and Disaster Recovery 8: Data Center Operations. 9: Incident Response, Notification, and Remediation 10: Application Security 11: Encryption and Key Management 12: Identity and Access Management 13: Virtualization
Survey Results
Cloud Controls Matrix Tool Controls derived from guidance Rated as applicable to S-P-I Customer vs Provider role Mapped to ISO 27001, COBIT, PCI, HIPAA Help bridge the gap for IT & IT auditors
Masser af problemer Cloud-leverandørkonkurs – dine data og din forretning? Leverandør lever ikke op tilSLA’er Leverandør med ringe “business continuity planning” Datacentreilande med “uvenlig” lovgivning Leverandør-lock-in med proprietæreteknologierog data formater Ressourcer deles med andrekunder– måskeenddakonkurrenter Leverandør-fejlfårmegetstørrekonsekvenser end fejl I intern-it-afdeling. Ogmeget, meget mere……
Persondata i skyen? EU betragtes sikkert. Sikre 3. lande: Schweiz Canada (begrænset anvendelsesområde - se Kommissionens) Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey Safe Harbor – ca. 2.000 virksomheder Liste hos Export.gov Datatilsynet Udtalelse hvis data omfattet af persondatalovens §§ 7-8 Datatilsynets vejledning
Persondata i skyen? Bolig, bil, eksamen, ansøgning, CV ansættelsesdato, stilling, arbejdsområde, arbejdstelefon CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet, personlighedstest Stamoplysninger: Navn, adresse, fødselsdato
Summary Cloud Computing is real and transformational Challenges for People, Process, Technology, Organizations and Countries Broad governance approach needed Tactical fixes needed Combination of updating existing best practices and creating completely new best practices Common sense not optional
Anbefalinger

Recomendados

Sådan bygger vi fremtidens netværk - Asbjørn Højmark, Conscia / Zitcom
Sådan bygger vi fremtidens netværk - Asbjørn Højmark, Conscia / ZitcomSådan bygger vi fremtidens netværk - Asbjørn Højmark, Conscia / Zitcom
Sådan bygger vi fremtidens netværk - Asbjørn Højmark, Conscia / ZitcomMediehuset Ingeniøren Live
 
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft
 
DI ITEK elektronik økosystem
DI ITEK elektronik økosystemDI ITEK elektronik økosystem
DI ITEK elektronik økosystemDIITEK
 
Keynote
KeynoteKeynote
KeynoteMicrosoft
 
Dansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed RisikovurderingDansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed RisikovurderingLars Neupart
 
TDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedTDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedJonas de Place
 
GDPR og Cloud - Infowise
GDPR og Cloud - InfowiseGDPR og Cloud - Infowise
GDPR og Cloud - InfowiseOliver O'loughlin
 
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"Alexandra Instituttet
 

Recomendados

Sådan bygger vi fremtidens netværk - Asbjørn Højmark, Conscia / Zitcom
Sådan bygger vi fremtidens netværk - Asbjørn Højmark, Conscia / ZitcomSådan bygger vi fremtidens netværk - Asbjørn Højmark, Conscia / Zitcom
Sådan bygger vi fremtidens netværk - Asbjørn Højmark, Conscia / ZitcomMediehuset Ingeniøren Live
 
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne...Microsoft
 
DI ITEK elektronik økosystem
DI ITEK elektronik økosystemDI ITEK elektronik økosystem
DI ITEK elektronik økosystemDIITEK
 
Keynote
KeynoteKeynote
KeynoteMicrosoft
 
Dansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed RisikovurderingDansk It Neupart Cloud Sikkerhed Risikovurdering
Dansk It Neupart Cloud Sikkerhed RisikovurderingLars Neupart
 
TDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedTDC Perspektiv - Tema om IT-Sikkerhed
TDC Perspektiv - Tema om IT-SikkerhedJonas de Place
 
GDPR og Cloud - Infowise
GDPR og Cloud - InfowiseGDPR og Cloud - Infowise
GDPR og Cloud - InfowiseOliver O'loughlin
 
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"Alexandra Instituttet
 
KMD_sikkerhedbrochure
KMD_sikkerhedbrochureKMD_sikkerhedbrochure
KMD_sikkerhedbrochureClaus Lavdal
 
Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Kim Jensen
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
Planlæg en sikker fremtid for din virksomhed
Planlæg en sikker fremtid for din virksomhedPlanlæg en sikker fremtid for din virksomhed
Planlæg en sikker fremtid for din virksomhedEdutasia
 
Sikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystemSikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystemLakeside A/S
 
Sikkert i Skyen.pptx
Sikkert i Skyen.pptxSikkert i Skyen.pptx
Sikkert i Skyen.pptxNiels Peter Martin Pedersen
 
DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012Kim Jensen
 
Dk cert trendrapport2012.web
Dk cert trendrapport2012.webDk cert trendrapport2012.web
Dk cert trendrapport2012.webKim Rene Jensen
 
Internet of Things
Internet of ThingsInternet of Things
Internet of ThingsAlexandra Instituttet
 
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejdeHenrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejdeIBM Danmark
 
Databeskyttelse gennem design
Databeskyttelse gennem designDatabeskyttelse gennem design
Databeskyttelse gennem designInfinIT - Innovationsnetværket for it
 
Gartner analytics session
Gartner analytics sessionGartner analytics session
Gartner analytics sessionSik Cambon Jensen
 
Invitation til seminar
Invitation til seminarInvitation til seminar
Invitation til seminarJørgen Østergaard
 
EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdePeytz & Co
 
Atea og ibm telemedicin - digitaliseringsmessen 2015 - as presented
Atea og ibm telemedicin - digitaliseringsmessen 2015 - as presentedAtea og ibm telemedicin - digitaliseringsmessen 2015 - as presented
Atea og ibm telemedicin - digitaliseringsmessen 2015 - as presentedPeter B. Lange
 
Forretningsudvikling og transformation i Alm. Brand
Forretningsudvikling og transformation i Alm. BrandForretningsudvikling og transformation i Alm. Brand
Forretningsudvikling og transformation i Alm. BrandKristian Hjort-Madsen
 
RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017J Hartig
 
Skyerne er endnu ikke lettet over finans - men det lysner for de modige
Skyerne er endnu ikke lettet over finans - men det lysner for de modigeSkyerne er endnu ikke lettet over finans - men det lysner for de modige
Skyerne er endnu ikke lettet over finans - men det lysner for de modigeKristian Hjort-Madsen
 
DK CERT Trendrapport 2008
DK CERT Trendrapport 2008DK CERT Trendrapport 2008
DK CERT Trendrapport 2008Kim Jensen
 
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...Microsoft
 
Neupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsNeupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsLars Neupart
 
How the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementHow the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementLars Neupart
 

Más contenido relacionado

Similar a Muligheder for sikker cloud computing

KMD_sikkerhedbrochure
KMD_sikkerhedbrochureKMD_sikkerhedbrochure
KMD_sikkerhedbrochureClaus Lavdal
 
Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Kim Jensen
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceMicrosoft
 
Planlæg en sikker fremtid for din virksomhed
Planlæg en sikker fremtid for din virksomhedPlanlæg en sikker fremtid for din virksomhed
Planlæg en sikker fremtid for din virksomhedEdutasia
 
Sikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystemSikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystemLakeside A/S
 
DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012Kim Jensen
 
Dk cert trendrapport2012.web
Dk cert trendrapport2012.webDk cert trendrapport2012.web
Dk cert trendrapport2012.webKim Rene Jensen
 
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejdeHenrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejdeIBM Danmark
 
EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdePeytz & Co
 
Atea og ibm telemedicin - digitaliseringsmessen 2015 - as presented
Atea og ibm telemedicin - digitaliseringsmessen 2015 - as presentedAtea og ibm telemedicin - digitaliseringsmessen 2015 - as presented
Atea og ibm telemedicin - digitaliseringsmessen 2015 - as presentedPeter B. Lange
 
Forretningsudvikling og transformation i Alm. Brand
Forretningsudvikling og transformation i Alm. BrandForretningsudvikling og transformation i Alm. Brand
Forretningsudvikling og transformation i Alm. BrandKristian Hjort-Madsen
 
RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017J Hartig
 
Skyerne er endnu ikke lettet over finans - men det lysner for de modige
Skyerne er endnu ikke lettet over finans - men det lysner for de modigeSkyerne er endnu ikke lettet over finans - men det lysner for de modige
Skyerne er endnu ikke lettet over finans - men det lysner for de modigeKristian Hjort-Madsen
 
DK CERT Trendrapport 2008
DK CERT Trendrapport 2008DK CERT Trendrapport 2008
DK CERT Trendrapport 2008Kim Jensen
 
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...Microsoft
 

Similar a Muligheder for sikker cloud computing (20)

KMD_sikkerhedbrochure
KMD_sikkerhedbrochureKMD_sikkerhedbrochure
KMD_sikkerhedbrochure
 
Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)Sådan kommer du i gang med skyen (pdf)
Sådan kommer du i gang med skyen (pdf)
 
Sådan vurderer du Cloud Compliance
Sådan vurderer du Cloud ComplianceSådan vurderer du Cloud Compliance
Sådan vurderer du Cloud Compliance
 
Planlæg en sikker fremtid for din virksomhed
Planlæg en sikker fremtid for din virksomhedPlanlæg en sikker fremtid for din virksomhed
Planlæg en sikker fremtid for din virksomhed
 
Sikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystemSikring af interoperabilitet i et IoT økosystem
Sikring af interoperabilitet i et IoT økosystem
 
Sikkert i Skyen.pptx
Sikkert i Skyen.pptxSikkert i Skyen.pptx
Sikkert i Skyen.pptx
 
DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012DK Cert Trend Rapport 2012
DK Cert Trend Rapport 2012
 
Dk cert trendrapport2012.web
Dk cert trendrapport2012.webDk cert trendrapport2012.web
Dk cert trendrapport2012.web
 
Internet of Things
Internet of ThingsInternet of Things
Internet of Things
 
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejdeHenrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
 
Databeskyttelse gennem design
Databeskyttelse gennem designDatabeskyttelse gennem design
Databeskyttelse gennem design
 
Gartner analytics session
Gartner analytics sessionGartner analytics session
Gartner analytics session
 
Invitation til seminar
Invitation til seminarInvitation til seminar
Invitation til seminar
 
EU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejdeEU's Persondataforordning i det daglige arbejde
EU's Persondataforordning i det daglige arbejde
 
Atea og ibm telemedicin - digitaliseringsmessen 2015 - as presented
Atea og ibm telemedicin - digitaliseringsmessen 2015 - as presentedAtea og ibm telemedicin - digitaliseringsmessen 2015 - as presented
Atea og ibm telemedicin - digitaliseringsmessen 2015 - as presented
 
Forretningsudvikling og transformation i Alm. Brand
Forretningsudvikling og transformation i Alm. BrandForretningsudvikling og transformation i Alm. Brand
Forretningsudvikling og transformation i Alm. Brand
 
RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017RiskPoint præsentatin - CyberForsikring 2017
RiskPoint præsentatin - CyberForsikring 2017
 
Skyerne er endnu ikke lettet over finans - men det lysner for de modige
Skyerne er endnu ikke lettet over finans - men det lysner for de modigeSkyerne er endnu ikke lettet over finans - men det lysner for de modige
Skyerne er endnu ikke lettet over finans - men det lysner for de modige
 
DK CERT Trendrapport 2008
DK CERT Trendrapport 2008DK CERT Trendrapport 2008
DK CERT Trendrapport 2008
 
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
 

Más de Lars Neupart

Neupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsNeupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsLars Neupart
 
How the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementHow the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementLars Neupart
 
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22Lars Neupart
 
How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?Lars Neupart
 
Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen Lars Neupart
 
Neupart Isaca April 2012
Neupart Isaca April 2012Neupart Isaca April 2012
Neupart Isaca April 2012Lars Neupart
 
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Lars Neupart
 

Más de Lars Neupart (7)

Neupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessmentsNeupart webinar 1: Four shortcuts to better risk assessments
Neupart webinar 1: Four shortcuts to better risk assessments
 
How the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk ManagementHow the the 2013 update of ISO 27001 Impacts your Risk Management
How the the 2013 update of ISO 27001 Impacts your Risk Management
 
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
Neupart indlæg om den ny iso 27001 hos dansk it i århus 2013 05-22
 
How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?How Does the New ISO 27001 Impact Your IT Risk Management Processes?
How Does the New ISO 27001 Impact Your IT Risk Management Processes?
 
Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen Til ledelsen it-sikkerhed for forretningen
Til ledelsen it-sikkerhed for forretningen
 
Neupart Isaca April 2012
Neupart Isaca April 2012Neupart Isaca April 2012
Neupart Isaca April 2012
 
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
Tror du stadig du kan sige nej tak til Web 2.0 og skyen?
 

Muligheder for sikker cloud computing

  • 1. Mulighederne for at få en sikker sky Lars Neupart DI ITEK: It-sikkerhedsudvalg og bestyrelse Cloud Security Alliance medlem Neupart A/S: Direktør og stifter LN@neupart.com
  • 2. DI ITEK’s sikkerhedsarbejde Siden 2001 Uafhængig af enkeltinteresser Brugere (600) og leverandører (35) i fællesskab giver afbalancerede anbefalinger Vejledning om informationssikkerhed til erhvervslivet - f.eks.: Ledelse, Trusler, Standarder, Spam, Spyware, Phishing, Privacy, Cloud Politisk indsats på området Offentlig awareness om emnet Repræsentation i mange sammenhænge
  • 3. Cloud Security Alliance En non profit organisation, startet i USA, med chapters i flere lande http://cloudsecurityalliance.org The Cloud Security Alliance is a non-profit organization formed to promote the use of best practices for providing security assurance within Cloud Computing, and provide education on the uses of Cloud Computing to help secure all other forms of computing.
  • 4. Om Neupart Vi hjælper jer med at leve op til it-sikkerhedskrav på en tryg og effektiv måde Krav fra kunder, samarbejdspartnere, danske og internationale standarder, ”almindelig god skik”, lovgivning m.m. ISO27001-certificeret Første it-virksomhed og eneste it-sikkerhedsleverandør i DK Gazelle 2009 198% vækst i bruttofortjeneste 2005 - 2008
  • 6. DI ITEK Opsummering Cloud computing er ikke revolutionerende! Det er bare outsourcing på en anden måde, end vi er vant til. Cloud Computing kan være en udmærket ting for mindre virksomheder. Det gør det let at starte op, og har man ikke fokus på sikkerhed, kan det ofte give en bedre sikkerhed, end man selv er i stand til at præstere. Små virksomheder bør absolut overveje at kigge på cloud computing. Har man sin egen sikkerhedsafdeling og god styr på sikkerheden, er cloud computing nok ikke så interessant, men kan måske bruges på delområderi lighed med andre former for outsourcing. Bruger man cloud computing skal man være opmærksom på, hvordan ens data og applikationer er beskyttet hos serviceudbyderen, hvad der sker hvis udbyderen går fallit, hvilket land data hostes i m.v. Der er altså behov for en særlig sikkerheds- og kontrolindsats.
  • 7. IDC IDC’s worldwide forecast for cloud services : 2009 2013 Verden $17 MIA. $44 MIA EU €971m €6,005m KildeEnisa, dec ´09
  • 8. What is Cloud Computing? Compute as a utility: third major era of computing Mainframe PC Client/Server Cloud computing: On demand model for allocation and consumption of computing Cloud enabled by Moore’s Law: Costs of compute & storage approaching zero Hyperconnectivity: Robust bandwidth from dotcom investments Service Oriented Architecture (SOA) Scale: Major providers create massive IT capabilities
  • 9. Defining Cloud On demand provisioning Elasticity Multi-tenancy Key types Infrastructure as a Service (IaaS): basic O/S & storage Platform as a Service (PaaS): IaaS + rapid dev Software as a Service (SaaS): complete application Public, Private, Community & Hybrid Cloud deployments
  • 10. S-P-I Framework You “RFP” security in SaaS Software as a Service You build security in PaaS Platform as a Service IaaS Infrastructure as a Service
  • 11. Is Cloud Computing Working? Eli Lilly New drug research project IT promised system in 3 months, > $100,000 USD Scientist completed in one day in cloud, < $500 USD Japanese government agencies RFP for custom software development Chose PaaS for 25% of cost and deployment time over traditional software house
  • 12. How will Cloud Computing play out? Much investment in private clouds for 3-5 years Compliance use cases being developed Cloud assurance ecosystem being built Public clouds will eventually dominate Virtual private clouds compromise between public and private All IT professions impacted
  • 13. CSA Guidance Domains I : 1:Understand Cloud Architecture II: Governing in the Cloud 2: Governance and Enterprise Risk Management 3: Legal and Electronic Discovery 4: Compliance and Audit 5: Information Lifecycle Management 6: Portability and Interoperability III: Operating in the Cloud. 7: Traditional Security, Business Continuity, and Disaster Recovery 8: Data Center Operations. 9: Incident Response, Notification, and Remediation 10: Application Security 11: Encryption and Key Management 12: Identity and Access Management 13: Virtualization
  • 15. Cloud Controls Matrix Tool Controls derived from guidance Rated as applicable to S-P-I Customer vs Provider role Mapped to ISO 27001, COBIT, PCI, HIPAA Help bridge the gap for IT & IT auditors
  • 16. Masser af problemer Cloud-leverandørkonkurs – dine data og din forretning? Leverandør lever ikke op tilSLA’er Leverandør med ringe “business continuity planning” Datacentreilande med “uvenlig” lovgivning Leverandør-lock-in med proprietæreteknologierog data formater Ressourcer deles med andrekunder– måskeenddakonkurrenter Leverandør-fejlfårmegetstørrekonsekvenser end fejl I intern-it-afdeling. Ogmeget, meget mere……
  • 17. Persondata i skyen? EU betragtes sikkert. Sikre 3. lande: Schweiz Canada (begrænset anvendelsesområde - se Kommissionens) Argentina Guernsey USA (kun vedr. flypassagerer - se Kommissionens hjemmeside) Isle of Man Jersey Safe Harbor – ca. 2.000 virksomheder Liste hos Export.gov Datatilsynet Udtalelse hvis data omfattet af persondatalovens §§ 7-8 Datatilsynets vejledning
  • 18. Persondata i skyen? Bolig, bil, eksamen, ansøgning, CV ansættelsesdato, stilling, arbejdsområde, arbejdstelefon CPR-nummer, økonomi, skat, gæld, sygedage, tjenstlige forhold, familieforhold Race, religion, helbred, sex, politik, fagforening, strafbare forhold, væsentlige sociale problemer, andre rent private forhold som f.eks. selvmordsforsøg, registreret partner, bortvisning fra jobbet, personlighedstest Stamoplysninger: Navn, adresse, fødselsdato
  • 19. Summary Cloud Computing is real and transformational Challenges for People, Process, Technology, Organizations and Countries Broad governance approach needed Tactical fixes needed Combination of updating existing best practices and creating completely new best practices Common sense not optional
  • 21. Tak – og mere info: http://itek.di.dk/Shop/Produktside/Pages/produktside.aspx?productid=8036 http://cloudsecurity.org/2009/11/20/enisa-cloud-security-risk-assessment/ www.cloudsecurityalliance.org www.linkedin.com/groups?gid=1864210 www.neupart.dk
  • 22. Extra
  • 23. DI ITEK: Sikkerhedsovervejelser Risikobilledet ændres Behov for dataklassifikation øges Omkostninger (spar, spredt, kontrol) Specialister og nye muligheder Døgnservice Egenkontrol mistes Tilgængelighed, fortrolighed og integritet Business continuity / disaster recovery
  • 24. DI ITEK Kontrolovervejelser Kontrol med leverandøren (certificeringer politikker, procedurer, økonomi hos leverandør) Kontrol med data og compliance med lovgivning samt logning Risikostyring (risici hos leverandør og underleverandør) Funktionsadskillelse, backup og datasletning hos leverandør Kontrol med håndtering af sikkerhedshændelser Krypteringskontrol Adgangskontrol Lagring

Notas del editor

  1. Nej det hele forsvinder ikke, men noget af det gør temmeligt sikkert.
  2. Dansk vejledning  Gennemgår bl.a. Fordele og ulemper med CCENISA:In-depth and independent analysis benefits and key security risks of cloud computing. Practical recommendations.Non-profit org for brugere, leverandørerogalle med interesse I at gøreskyen mere sikker
  3. The NIST diagram provides a good visualization of what it is, what types of services are delivered and how it is deployed.
  4. The security approach and role varies depending on the delivery model
  5. Bank stævner Google for at få oplyst Gmail-brugers identitet: Banken havde sendt lånedokument til forkert modtager og ved en fejl vedhæftet et dokument med fortrolige oplysninger om 1.325 virksomheder og personer. Banken bad bruger slette – ingen reaktionBad Google om information om brugeren.Google nægtede uden retskendelse. Dommerkendelse pålagde Google at oplyse, om kontoen var aktiv, og om mailen havde været åbnet. Ville også pålægge at lukke kontoen. Mailen var aldrig blevet åbnetKilde: The Registerflere artikler