Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Størrelse: px

Begynne med side:

Download "Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester"

Kaja Bø
5 år siden
Visninger:

1 Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester Inge Os, Sales Consulting Director, Oracle Norway 31/

3 Oracle 18.4 SaaS PaaS ERP HR CX EPM DATA SCM INDUSTRY DATA MGMT APP DEV INTEGRATION SECURITY ANALYTICS IT OPS MGMT CONTENT & PROCESS BLOCK CHAIN Monitoring Security, Identity IaaS COMPUTE STORAGE COMPUTE NETWORKING STORAGE HPC

4 Personopplysningsloven Innebygd personvern fordrer en systematisk beskrivelse av behandlingen herunder: Art, omfang, formål og hjemmel Tilstrekkelig god informasjonssikkerhet Vurdere personvernkonsekvenser ved all behandling, herunder en risiko analyse forut for design, implementering og produksjonssetting av tjeneste Ved sannsynlighet for høy risiko, full DPIA Komplett tjeneste katalog Full bruker forvaltning Innebygd personvern utviklingsprosess, design, koding, test, forvaltning

5 Aktører ved kjøp av skytjenester Personvern ombud Forretningseier Utvikling Cloud Securiy Innkjøper Kunde team Cloud Operations IT Sikkerhet IT avdelingen Cloud Support Behandlingsansvarlig behandler

6 Leverandøren må understøtte flere prosesser Innkjøpsprosesser RFX Risikoanalyser DPIA, R analyse Audit, sitereview 3. party audit

7 Cloudens DNA Tjenestene er standardiserte Hvor mye rom er det for tilpassing av SLA og DPA? Crash&Burn, fail fast Kategori av tjenester SaaS PaaS DaaS IaaS Funksjonelle krav til en SaaS tjeneste er ikke det same som funksjonelle krav til en IaaS tjeneste

8 Kravliste/spørreskjema SLA og kontrakt behandleravatale Tjeneste katalog/tjeneste beskrivelse Fokus på Personell, prosess og teknologi

9 Delingsmodellen for ansvarsdeling Ground IaaS PaaS SaaS Mgmt. Mgmt. Mgmt. Mgmt. Customer/ Controller Oracle (CSP)/ Processor

10 Delingsmodellen for ansvarsdeling Detaljert fokus her Ground IaaS PaaS SaaS Mgmt. Mgmt. Mgmt. Mgmt. Customer/ Controller Oracle (CSP)/ Processor

11 Delingsmodellen for ansvarsdeling Men fokus bør være her Ground IaaS PaaS SaaS Mgmt. Mgmt. Mgmt. Mgmt. Customer/ Controller Oracle (CSP)/ Processor

12 BREAKING NEWS The California based cloud provider Delphi Tech s cloud services is hacked. Cloud giant hacked Stock price drops 24% DHS mandates gov. to pull out of Delphi Cloud FBI warns customers of Delphi Tech CIO Sara resigns

13 Eksempel på krav som presenteres The Solution must store and process all PII in accordance with GDPR. Oracle Skyen skal tilfredsstille personvernforordningens artikkel 25 om innebygget personvern. Leverandør bes redegjøre for hvordan tilbudt løsning sikrer at bestemmelsens krav oppfylles, og hvordan artikkel 25 er tolket. Oracle Skyen skal overholde personvernregelverket Norge er forpliktet til å følge. Dette gjelder også for eventuell databehandler. The respondent is kindly requested to describe how it complies with the General Protection Regulation

14 Antagelse De største skurkene er: Oracle Amazon IBM Microsoft Google Den minste skurken er Egne ansatte, og andre behandlingsansvarlig måtte finne det for godt å gi tilgang

15 Realitetsorientering.

16 Mulige utgangspunkt Copy/paste consulting? Scope Klassifisering Tjeneste beskrivelse

17 Et eksempel Oracle Management Cloud, cross vendor monitorering&overvåking Hvilken type data samles inn, hvordan kan data filtreres, hva har kunden behov for å samle inn Hva er sensitivt utover personopplysninger, f. eks. Infrastruktur, IP adresser informasjon, CIS/STIG informasjon? Hvordan samles informasjonen inn, agent/agent less, push/pull? Kontroller for brukeradministrasjon på kundens side av bordet Kontroller for å avdekke, blokkere, rapportere misbruk som kunden kan bruke?

18 De største manglene Krav stilles uten kunnskap om type tjeneste som skal kjøpes inn, scope, sensitivitet, data klassifisering Krav stilles uten at ansvarsdelingen er ivaretatt Urealistiske krav til erstatning Krav om ansvarsovertakelse Fokus på tekniske krav, lite fokus på prosess og personell og hvordan prosessene kan samspille Liten eller ingen interesse for hvordan leverandøren, med kunnskap om tjenesten og tilleggstjenester kan hjelpe behandlingsansvarlig med dennes forpliktelser

19 Oppsummering En risikovurdering er ikke en øvelse for «compliance», bør være en del av organisasjonens DNA Risiko vurdering bør speile data sensitivitet og klassifisering Risiko vurdering bør være relevant for den aktuelle tjeneste leveransen Risiko vurdering bør være en reell vurdering, og omfatte hele løsningen med alle aktører

Like dokumenter

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober

INFORMASJONSSIKKERHET & GDPR. Kundeforum 18.oktober INFORMASJONSSIKKERHET & GDPR Kundeforum 18.oktober Den nye personvernforordningen GDPR (General Data Protection Regulation) Hvem gjelder den for? Lovverket gjelder for alle EU- og EØS-land og alle bransjer