Vurdering av risiko og sikkerhet i skytjenester. Håvard Reknes

Størrelse: px

Begynne med side:

Download "Vurdering av risiko og sikkerhet i skytjenester. Håvard Reknes"

Morten Thorvaldsen
5 år siden
Visninger:

1 Vurdering av risiko og sikkerhet i skytjenester Håvard Reknes hmr@difi.no

2 LinkedIn Password Hack 2012 Hva skjedde? ENISA - Top security risks CSA - En praktisk veiledning for vurdering av sikkerhet i skytjenester Gruppeoppgaver LinkedIn Password Hack 2012 Hvilke tiltak ble iverksatt?

7 Top Security Risks

8 Tap av styring og kontroll vs.

12 =

14 Usikker eller ufullstendig sletting av data

org/guidance/#_overview * CIO June 28, 2018 https://www.cio.

16 The mother of all cloud computing security certifications * * CIO June 28,

17 En praktisk veiledning for vurdering av sikkerhet i skytjenester

18 Del I: Generelt Del II: Styring Del III: Drift

19 133 kontrollkrav (16 kontrollområder) 295 Ja/Nei-spørsmål (CAIQ)

20 Security, Trust & Assurance Registry (STAR)

21 16 kontrollområder AIS Application & Interface Security DSI Data Security & Information Lifecycle Management HRS Human Resources MOS Mobile Security AAC Audit Assurance & Compliance DCS Datacenter Security IAM Identity & Access Management SEF Security Incident Management, E-Discovery, & Cloud Forensics BCR Business Continuity Management & Operational Resilience EKM Encryption & Key Management IVS Infrastructure & Virtualization Security STA Supply Chain Management, Transparency, and Accountability CCC Change Control & Configuration Management GRM Governance and Risk Management IPY Interoperability & Portability TVM Threat and Vulnerability Management

22 DSI Data Security & Information Lifecycle Management 7 spørsmål Control specification DSI-01 Classification DSI-02 Data Inventory / Flows DSI-03 E-commerce Transactions DSI-04 Handling / Labeling / Security Policy DSI-05 Nonproduction Data DSI-06 Ownership / Stewardship DSI-07 Secure Disposal

23 DSI-01 Classification Kontrollspørsmål (CAIQ) DSI-01.4 Can you provide the physical location/geography of storage of a tenant s data upon request? DSI-01.5 Can you provide the physical location/geography of storage of a tenant's data in advance?

30 16 kontrollområder AIS Application & Interface Security DSI Data Security & Information Lifecycle Management HRS Human Resources MOS Mobile Security AAC Audit Assurance & Compliance DCS Datacenter Security IAM Identity & Access Management SEF Security Incident Management, E-Discovery, & Cloud Forensics BCR Business Continuity Management & Operational Resilience EKM Encryption & Key Management IVS Infrastructure & Virtualization Security STA Supply Chain Management, Transparency, and Accountability CCC Change Control & Configuration Management GRM Governance and Risk Management IPY Interoperability & Portability TVM Threat and Vulnerability Management

31 AAC Audit Assurance & Compliance 8 spørsmål Control specification AAC-01 Audit Planning AAC-02 Independent Audits AAC-03 Information System Regulatory Mapping

34 Gruppearbeid - Datacenter Security Kontrollområdet «DCS Datacenter Security» har 9 kontrollkrav: DCS-01 - Asset Management DCS-02 - Controlled Access Points DCS-03 - Equipment Identification DCS-04 - Offsite Authorization DCS-05 - Offsite Equipment DCS-06 - Policy DCS-07 - Secure Area Authorization DCS-08 - Unauthorized Persons Entry DCS-09 - User Access Krav DCS-07 har følgende spørsmål: Do you allow tenants to specify which of your geographic locations their data is allowed to move into/out of (to address legal jurisdictional considerations based on where data is stored vs. accessed)? Oppgave: Vurder svaret på kontrollkrav DCS-07 på et par utvalgte tjenester som du finner i STAR-registeret

35 Gruppearbeid Threat and Vulnerability Management Kontrollområdet «TVM Threat and Vulnerability Management» har 3 kontrollkrav: TVM-01 - Antivirus / Malicious Software TVM-02 - Vulnerability / Patch Management TVM-03 - Mobile Code Krav TVM-01 har to spørsmål: TVM-01.1 Do you have anti-malware programs that support or connect to your cloud service offerings installed on all of your systems? TVM-01.2 Do you ensure that security threat detection systems using signatures, lists, or behavioral patterns are updated across all infrastructure components within industry accepted time frames? Oppgave: Vurder svaret på kontrollkrav TVM-01 på et par utvalgte tjenester som du finner i STAR-registeret

36 Preventative Detective Corrective EKM-02 IVS-01 GRM-07 IAM-12 IVS-06 GRM-08 GRM-03 SEF-04 GRM-09 GRM-06 GRM-05 SEF-01 GRM-10 SEF-05 TVM-02

42 CCM Oppsummert Er ikke et rammeverk for risikovurdering Er ikke en metode for å identifisere alle dine sikkerhetskrav CCM er metode for å raskt evaluere ulike skytjenester og om det er akseptabelt for din virksomhet å flytte dine data og applikasjoner til skyen.

43 Sikkerhetsvurdering steg-for-steg 1. Hvilke data og applikasjoner/prosesser er aktuelt å flytte til skyen? 2. Hvor viktig er disse dataene eller denne funksjonen for din virksomhet? Hva vil konsekvensen være om våre data blir gjort tilgjengelig og distribuert offentlig? Hva vil konsekvensen være om skyleverandørens ansatte får tilgang til våre data? Hva vil konsekvensen være om våre prosesser eller funksjoner blir manipulert av en utenforstående? Hva vil konsekvensen være om våre prosesser eller funksjoner ikke leverer forventet resultat? Hva vil konsekvensen være om våre data plutselig blir endret? Hva vil konsekvensen være om våre data og systemer ikke er tilgjengelig over tid?

44 3. Vurder hvilken leveransemodell som passer best Public cloud Private, internal/on-premises Private, external (both dedicated or shared infrastructure) Community Hybrid

45 4. Vurder leveransemodell og evaluer aktuelle leverandører Hvilken grad av kontroll vil du ha hos den enkelte skyintegrator? Vurder å gjennomføre en full risk assessment.

46 5. Få oversikt over dataflyten Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder og/eller andre noder? 6. Konkluder For å kunne ta beslutning må du forstå: - hvor viktig de aktuelle data eller funksjonen er for din virksomhet - hvor stor risiko du er villig til å ta - hvilke kombinasjoner av leveransemodell og tjenestemodell er akseptable - potensiell risiko for sensitiv informasjon og drift

Like dokumenter

C L O U D S E C U R I T Y A L L I A N C E

C L O U D S E C U R I T Y A L L I A N C E Fremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. www.cloudsecurityalliance.no