Transkript

1 Fremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling.

2 C L O U D S E C U R I T Y A L L I A N C E 9 0, I N D I V I D U A L M E M B E R S 75+ C H A P T E R S C S A F O U N D E D OUR COMMUNITY 300+ C O R P O R A T E M E M B E R S 19 A C T I V E W O R K I N G G R O U P S S E A T T L E / B E L L I N G H A M, W A / / A M E R I C A S H E A D Q U A R T E R S B E R L I N // E M E A H E A D Q U A R T E R S Strategic partnerships with governments, research institutions, professional associations and industry CSA research is FREE! S I N G A P O R E / / A S I A P A C I F I C H E A D Q U A R T E R S

3 C L O U D S E C U R I T Y A L L I A N C E

4 C L O U D S E C U R I T Y A L L I A N C E BPaaS - Business Process as a Service Lønn/personal, HR, Reiserbestilling/reiseregning, industriprosesser, anskaffelser, Linkedin SAAS = Office 365 PAAS = Azure Web Services IAAS = Azure VMs

5 C L O U D S E C U R I T Y A L L I A N C E

6 C L O U D S E C U R I T Y A L L I A N C E

7 1. Data Breaches 2. Insufficient Identity, Credential and Access mgt 3. Insecure Interfaces and APIs 4. System Vulnerabilities 5. Account Hijacking 6. Malicious Insiders 7. Advanced Persistent Threats 8. Data Loss 9. Insufficient Due Diligence 10. Abuse and Nefarious Use of Cloud Services 11. Denial of Service 12. Shared Technology Vulnerabilities Nefarious: wicked, evil, sinful, iniquitous, egregious, heinous, atrocious, vile, foul, abominable...

8

9 Security Guidance, CCM & CAIQ C L O U D S E C U R I T Y A L L I A N C E Security Guidance Cloud Control Matrix Consensus Assessments Initiative Questionnaire

10

11 S E C U R I T Y G U I D A N C E V. 4 P E E R R E V I E W i s C o m p l e t e RELEASE DATE IS MAY

12 Del I: Generelt Del II: Styring Del III: Drift = DevOps, Big Data, IoT

13 133 kontrollkrav (16 kontrollområder) 295 Ja/Nei-spørsmål (CAIQ)

14 16 kontrollområder AIS Application & Interface Security DSI Data Security & Information Lifecycle Management HRS Human Resources MOS Mobile Security AAC Audit Assurance & Compliance DCS Datacenter Security IAM Identity & Access Management SEF Security Incident Management, E-Discovery, & Cloud Forensics BCR Business Continuity Management & Operational Resilience EKM Encryption & Key Management IVS Infrastructure & Virtualization Security STA Supply Chain Management, Transparency, and Accountability CCC Change Control & Configuration Management GRM Governance and Risk Management IPY Interoperability & Portability TVM Threat and Vulnerability Management

15 DSI Data Security & Information Lifecycle Management Control specification 7 spørsmål DSI-01 DSI-02 DSI-03 DSI-04 DSI-05 DSI-06 DSI-07 Classification Data Inventory / Flows E-commerce Transactions Handling / Labeling / Security Policy Nonproduction Data Ownership / Stewardship Secure Disposal

16 DSI-01 Classification Kontrollspørsmål (CAIQ) DSI-01.4 Can you provide the physical location/geography of storage 7 spørsmål DSI-01.5 of a tenant s data upon request? Can you provide the physical location/geography of storage of a tenant's data in advance?

17

18 16 kontrollområder AIS Application & Interface Security DSI Data Security & Information Lifecycle Management HRS Human Resources MOS Mobile Security AAC Audit Assurance & Compliance DCS Datacenter Security IAM Identity & Access Management SEF Security Incident Management, E-Discovery, & Cloud Forensics BCR Business Continuity Management & Operational Resilience EKM Encryption & Key Management IVS Infrastructure & Virtualization Security STA Supply Chain Management, Transparency, and Accountability CCC Change Control & Configuration Management GRM Governance and Risk Management IPY Interoperability & Portability TVM Threat and Vulnerability Management

19 AAC Audit Assurance & Compliance Control specification 8 spørsmål AAC-01 AAC-02 AAC-03 Audit Planning Independent Audits Information System Regulatory Mapping

20

21 C L O U D S E C U R I T Y A L L I A N C E Anskaffelse av skytjenester sikkerhetskrav i «fri form» Forespørrer: Vil ha a, b, c, d, e, f, g, h. (men glemte x, y og z ) Og trenger vi egentlig c, d og h? Besvarer: Hva mener de med «a»? I hvilken kontekst spør de om «e»? Hvorfor etterspør de ikke «y»? Krav «h» er da ikke relevant for denne forespørselen?

22 C L O U D S E C U R I T Y A L L I A N C E Anskaffelse av skytjenester sikkerhetskrav via CAIQ Forespørrer: Strukturerer krav gjennom CCM, dokumentasjon/dialog via CAIQ Felles begrepsbruk, epler mot epler «Sjekkliste» for å sikre at alt relevant er med Hente ned (kvalifiserte) leverandørers CAIQ/STAR Raskt kvalifisere leverandører (ref. sikkerhet) Besvarer: Store deler av besvarelse er allerede gjort Felles begrepsbruk etablert Redusert tidsbruk; fokus på utfordringer, uklarheter

23 Security, Trust & Assurance Registry (STAR)

24

25

26

27 Cloud Control Matrix (CCM) Oppsummert Er ikke et rammeverk for å gjennomføre risikovurdering kan dokumentere sikkerhetskrav i et standardisert format Er ikke en metode for å identifisere alle dine sikkerhetskrav kunnskap, begreper og konsepter for å identifisere kravene CCM er metode for å raskt sikkerhetsevaluere ulike skytjenester og om det er akseptabelt for din virksomhet å flytte dine data og applikasjoner til skyen.

28 C L O U D S E C U R I T Y A L L I A N C E

29 Certificate of Cloud Security Knowledge (CCSK) C L O U D S E C U R I T Y A L L I A N C E

30 C L O U D S E C U R I T Y A L L I A N C E

31 C L O U D S E C U R I T Y A L L I A N C E CERTIFICATE OF CLOUD SECURITY KNOWLEDGE SIKKERHETSSYMPOSIET 17. OKTOBER OSLO (SOFTWARE 2019)

32 12. OSLO (SOFTWARE 2019) Fremme av god praksis for å sikre skytjenester, og gi opplæring i bruk av skytjenester for å sikre alle andre former for databehandling. info@cloudsecurityalliance.no