Om fem år er hele NAV i skyen. 18. juni 2019 // Petter Hafskjold, sjefarkitekt IT

Like dokumenter
Skytjenester (Cloud computing)

Arkivforskriften og skytjenester eller Kanskje vi åpner for arkivering i skyen snart?

En monopolvirksomhets sikkerhetsferd mot den offentlige skyen

Agenda. Mulige gevinster ved å samarbeide om løsninger. Tjenesteorientert arkitektur for UH sektoren. Kontekst for arkitekturarbeid

Digital samhandling i praksis med. Kort om DSS. Departementenes bruk av felles samhandlingsrom og skytjenester

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

SIKKERHETSFAGLIGE ANBEFALINGER VED TJENESTEUTSETTING. En utdyping av området «Beslutt leveransemodell» i NSMs grunnprinsipper for IKT-sikkerhet

Skyløsninger. Sikkerhet og leveransemodell

Sammendrag - Utredning av juridiske forhold ved bruk av nettsky i kommunal sektor en mulighetsstudie

Cloud computing. Bruk av skytjenester krever en klar strategi

PRAKTISKE ERFARINGER MED DATAFORENINGENS SKYTJENESTEAVTALE. IT-kontraktsdagen 2017

Azure Stack. - når skyen blir lokal. Foredragsholder: Odd Egil Bergaust

Digitaliseringsstrategi for Buskerud fylkeskommune. Revidert

Skytjenester og informasjonssikkerhet - en selvmotsigelse?

Digitalisering av innbyggertjenester i Oslo. Velferdsteknologi Dialogkonferanse, 28. april 2016

Dumme spørsmål gir ubrukelige svar Om kvalitet på risikovurderinger knyttet til personvern og cloud tjenester

Kontraktsstrategi. DNDs IT-kontraktsdag 10. september Thor Jusnes Haavinds IT & Outsourcing praksis T: E: t.jusnes@haavind.

Sykehuspartner skal bygge en digital motorvei for Helse Sør-Øst. Morten Thorkildsen Styreleder, Sykehuspartner HF 11. oktober 2018

NOKIOS WS 6 lyntale 2 Utfordringer digital samhandlingsevne. 23. Oktober 2018 // IT-arkitektur // Håkon Jendal

HVILKE RISIKOER LØPER VI NÅR ALLE DATAENE VÅRE ER I NETTSKYEN?

Arkivloven og skyen. Senioradvokat, Malin Tønseth 17. Mars

Felles. Telefonistrategi

Velkommen til Kick-off

Nettskyen, kontroll med data og ledelsens ansvar

NiSec Network Integrator & Security AS ALT UNDER KONTROLL

DATAFORENINGENS NYE AVTALE FOR SKYTJENESTER

Ekte versus hybride skyløsninger. IT-puls Trondheim 12.mai 2016 Helge Strømme

IT - Drift. Formannskapets strategiseminar juni Gyrid Løvli

Veiledning om skytjenester

Digitaliseringsstrategi for Buskerud fylkeskommune Buskerud fylkeskommune Vedtatt av administrasjonsutvalget 14.

Digitalisering i Oppegård kommune

Nye kontraktsreguleringer i vår digitale virkelighet - et innblikk i utviklingen som skjer med Statens standardavtaler

Kapittel 1 Hva er datasikkerhet? Dagens situasjon Datasikkerhet Ledelse... 27

Spranget fra store IKT prosjekter til forretningsdrevet og smidig utvikling

Ny sikkerhetslov og forskrifter

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen v/bjarne I. Blom

Innkjøpsordning/markedsplass for skytjenester

Systemleverandører anno 2011

Skytjenester. - Gevinster og utfordringer. Petter Kongshaug, UNINETT

Prosjektmandat. IT i nye Moss kommune. Delprosjektleder: Skal rekrutteres. Planlagt startdato: Planlagt sluttdato:

Olje- og energidepartementet

Software Innovation med Public 360 Online. Odd-Henrik Hansen, Salgsdirektør og partneransvarlig Oktober 2014

Hva må jeg tenke på for å være sikker på at data er trygt lagret i skyen? Marius Sandbu

CYBERSIKKERHET PÅ STYREROMMET HVILKE LOVVERK MÅ LEDELSEN FORHOLDE SEG TIL?

SIKKER SKY. Skyseminar Difi Lars Strand Dag Sandham NSM

Innhold. Fokuset er: Forhold til cloud leverandør Partsforhold Kunde perspektiv Leverandør perspektiv

Er du trygg i nettskyen 31. Mai 2011 Advokat Herman Valen

Drifte selv eller sette bort - pro et contra.

DATAFORENINGENS NYE AVTALE FOR SKYTJENESTER

IT Operations Cisco Partner Day, Fornebu

Sentrale krav til IKT-anskaffelser. Gardermoen, 16. januar 2014 Kristian Bergem, Difi

Departementenes oppfølging av informasjonssikkerheten i underliggende virksomheter

Dataforeningens nye Avtale for Skytjenester

Skytjenester NOTAT. Flere ting å passe på: Tjenestespesifikasjon og driftsgarantier. Hvor mye arbeid mister du dersom leverandøren blir borte?

Vedlegg 3 STRATEGIDOKUMENT

En monopolvirksomhets ferd mot skyen Hvordan Lånekassen rigger seg for ytterligere effektivisering og innovasjon

IKT-sårbarhet i norsk kraftforsyning. Janne Hagen Forsker (PhD) og medlem av Lysne-utvalget

«SKJØNNER VANNBRANSJEN FORTSATT IKKE AT DEN IKKE FORSTÅR SEG PÅ INFORMASJONSSIKKERHET?» Jon Røstum, sjefstrateg Powel

Strategi for bruk av skytjenester

Moderne integrasjonsarkitektur for B2C og B2E. Steinar Kolnes, Senior utvikler

Felles StudieAdministrativt Tjenestesenter - FSAT

SKYTJENESTER ELLER EGNE SYSTEMER ENTEN ELLER I FREMTIDENS IT-ARKITEKTUR?

Løsningsarkitektur i og rundt Altinn. 31. august 2009 Wilfred Østgulen

Skytjenester utviklingstrekk, krav og forventninger. Frank Skapalen NVE

Case: Behov, risikovurderinger, informasjonssikkerhet

SUHS-2014 Med UNINETT i en digital fremtid. Petter Kongshaug, Adm. Dir.

Fleksible og fremtidsrettede it-løsninger for Moss Kommune. Veien til nettskyen v/bjarne I. Blom

Get IT as a Service IT-PULS TRONDHEIM 2016

Digital styringsmodell og prioriteringsprosess for prosjekter Alstahaug digital strategi Oktober 2017

Partene: Sporveien AS. Org Heretter kalt Behandlingsansvarlig (kunden) Databehandler (Leverandør) Org. Nr. Heretter kalt Databehandler

05/ / /MB Erik Hansen,

Bak skyen: Behandling av personopplysninger. Tommy Tranvik, Senter for rettsinformatikk NOIKOS,

STRATEGISK PLAN

Digitaliseringsstrategi

3-1 DIGITALISERINGSSTRATEGI

Grunnmur. Velferdsteknologi Felles grunnmur. Midt-Buskerud

Software, hardware, elsewhere or vaporware?

Prioriteringer for USIT i IT-direktør Lars Oftedal

Strategi Samarbeidstiltaket og systemet FS (Felles studentsystem)

einnsyn og meldingsutveksling Gloppen Rune Kjørlaug

Forstudie digitalisering nye Moss kommune

Innkjøpsordning/markedsplass for skytjenester Forslag til løsning

Informasjonssikkerhet ved bruk av private leverandører Tillegg til tildelingsbrev nr. 4

Gir nye digitale løsninger økt effektivitet i fylkeskommunene?

IKT-SIKKERHET I ALLE LEDD ORGANISERING OG REGULERING AV NASJONAL IKT SIKKERHET

Avmystifisere internkontroll/styringssystem - informasjonssikkerhet

IKT-sikkerhetsutvalget. NOU 2018: 14 IKT-sikkerhet i alle ledd

Samspill standarder og regelverk i helsesektoren synspunkter fra helseindustrien

Digitaliseringsstrategi

TRUST-IKT: Først i Norge med felles pasientjournal Hva har vi gjort? Erling Høyem Leder prosjekt og rådgiving

Tilsyn med IKT-sikkerhet i finansnæringen. Finanstilsynsdirektør Morten Baltzersen Dataforeningens seminar 14. november 2017

BASEFARM. Dato Author: Sven Ole Skrivervik CTO & Produkt-direktør

PROSJEKTPLAN PROSJEKTINFORMASJON NØKKELINFORMASJON. * Prosjektnavn * Prosjektnummer

Arkivsystemer med skyløsninger

Mål og prioriteringer i USITs årsplan for

Digitalisering i skolen Hva skal til for å lykkes? Workshop Harald Torbjørnsen 2017

3-1 Digitaliseringsstrategi

På veg mot skyene. Office Lånekassens arbeid med risikovurderinger og piloteringer. Jostein Jensen / Sikkerhetsansvarlig Oslo

Virksomheter som tar i bruk skytjenester er juridisk ansvarlige, og må sørge for at personopplysningene behandles i tråd med personvernregelverket.

Transkript:

Om fem år er hele NAV i skyen 18. juni 2019 // Petter Hafskjold, sjefarkitekt IT

Bakgrunn Innovasjon Sikkerhet Fleksibilitet og skalerbarhet Kostnadseffektivt 2

Bakgrunn Skytjenester har funksjonalitet og innovasjonstakt som langt overgår hva NAV selv kan levere Standardløsninger leveres i større og større grad som skytjenester og leverandørene prioriterer skytjenester foran programvare som installeres hos kundene Plattform- og infrastrukturtjenester leveres som skytjenester i stor skala og til lav kostnad Sikkerhet er kritisk for skyleverandørene og de bruker mye ressurser på dette Strategi for offentlig sektor og i NAV tilsier skytjenester 3

Målbilde Løsninger underlagt sikkerhetslov Egenutviklede løsninger Standard løsning Standard løsning Standard løsning PaaS Nasjonal sky PaaS SaaS SaaS SaaS Allmenn sky Sikkerhetsloven vil stille krav om at noen av NAVs systemer må være plassert i Norge, men det antas at det kun vil gjelde noen få systemer.

Overgangsarkitektur NAV Arena Infotrygd OS/UR Ditt NAV Pesys Nye systemer Nye standardløsninger Aura NAIS SaaS Legacy Skya PaaS Egen infrastruktur IaaS

Sikkerhet og skytjenester NOU 2015:13 Digital sårbarhet sikkert samfunn Nasjonal strategi for bruk av skytenester «Tjenesteutsetting av IKT-tjenester til profesjonelle aktører kan gi bedre sikkerhet og mer stabile og tilgjengelige tjenester. Tilgang til ekspertkompetanse og verktøy man ikke selv besitter kan bedres, kostnader kan bli lavere og mer forutsigbare og det kan i større grad bidra til bedre fokus på virksomhetens kjerneaktivitet. Samtidig må virksomheter være bevisst hvilken risiko en tjenesteutsetting medfører. Tilsvarende eller høyere nivå på Målet både er tjenestekvalitet at dette skal gi: og IKTsikkerhet bør være meir en kostnadseffektiv målsetning ved IKT tjenesteutsetting» auka merksemd på kjerneverksemda auka fleksibilitet betre tryggleik gjennom meir profesjonalisert og standardisert IKT lågare terskel for innovasjon og nyetablering redusert klimaavtrykk frå IKT-drift Sikkerhetsfaglige anbefalinger ved tjenesteutsetting, NSM 2018 Meld.St. 38 IKT-sikkerhet Et felles ansvar Sikkerhet kan også være en driver for tjenesteutsetting, særlig med fremveksten av skytjenester fra store, anerkjente IT-selskaper. Gitt at virksomheten har vurdert risiko og gjennomført tiltak for å bøte på risiko, vil tilgangen til store, profesjonelle sikkerhetsmiljø hos driftsleverandøren erfaringsmessig gi bedre sikkerhet, fordi kompetansen er større, sikringstiltakene er flere, og tjenester og løsninger i bruk er oppdatert til siste versjoner Selv om utkontraktering og bruk av skytjenester kan bidra til økt teknisk IKT-sikkerhet, fritas ikke virksomheten for IKTsikkerhetsansvaret og -arbeidet.

Modell fra NOU 2015:13 Skytjenester er standardiserte Standard avtaler og vilkår «Take it or leave it security»

Personvern, informasjonssikkerhet og IT-sikkerhet Sky er sikkert De store skyleverandørene har betydelig kapasitet og kompetanse innen IT-sikkerhet Skyleverandørene leverer omfattende sikkerhetsfunksjonalitet og har omfattende sikkerhetsovervåkning NAV må ha tilstrekkelig kompetanse og ta i bruk skytjenester kontrollert Kompleksiteten øker og det er stadig nye trusler NAV må forstå (og dokumentere) hvordan sikkerheten ivaretas hos våre skyleverandører, hvordan egenutviklede løsninger kan leveres med nødvendig sikkerhet og hvordan den totale sikkerheten ivaretas Kompetanse og kapasitet hos både fag og IT til å gjøre vurdering av personvern, informasjonssikkerhet og IT-sikkerhet er en kritisk forutsetning 9

Leverandører og sikkerhet How to Evaluate Cloud Service Provider Security, Gartner 2017

Overordnet prosess for anskaffelse Personvernkonsekvensvurdering Beslutningsnotat Risikovurdering sikkerhet Risikovurdering databehandleravtaler Krav til leverandør Krav til sikkerhet Krav til personvern Andre avtalekrav Databehandleravtale Forretningsmessig avtale Behov og hjemmel Anskaffelse Avtaleforvaltning Nye tjenester i bruk Endring av avtale 11

Oppsummering Skytjenester vil bli en viktig del av NAVs systemportefølje Kostnadseffektiv tilgang til standardfunksjonalitet som stadig videreutvikles Nye, innovative løsninger som integreres med løsningene / skytjenestene Omfattende sikkerhetsfunksjonalitet vi ikke kan lage selv Nødvendig sikkerhet kan ivaretas i skytjenester Vi må ha kontroll på informasjonen som behandles, vurdere risiko og dokumentere hvordan sikkerheten ivaretas Vi må gjøre endringer på dagens løsninger før de legges ut i skyen Vi tar i bruk skytjenester kontrollert, stegvis og over tid 12

Spørsmål?

Elementer i Personvernvurderinger Skytjenester Saksbehandler PVK Fagsystem Beh. oversikt DittNAV Arena Print Generell DBA Generell DBA PaaS PaaS Risikoanalyse SaaS Beh. oversikt PVK Generell DBA Risikoanalyse Risikoanalyse Risikoanalyse 15

YTELSE YTELSE KVALITET ENDRINGS- EVNE ENDRINGS- EVNE KVALITET VERDI VERDI HVOR VI KOMMER FRA Effekten er på alle nivåer HVOR VI SKAL IDEELL Brukernes forventninger drives også av andre. Vi slutter å utvikle på det tidspunktet vi vet minst om bruken av systemet. #MENNESKER FAKTISK FAG FORVALTNING UTVIKLING DRIFT PRODUKTOMRÅDE IDEELL Endringsevnen bevares gjennom å utvikle mindre komponenter som kjører i egne containere. Optimalisert for endring #MENNESKER KOORDIN- ERINGSTAP KOORDIN- ERINGSTAP FAKTISK Påslagsfaktoren i IT-prosjekt i NAV var 5-6. McKinsey påpekte at IT-ressurser «koordinerte», «sørget for» etc. FORVENTNINGER DÅRLIG BRUKER- OPPLEVELSE FAKTISK FAKTISK IDEELL TEKNISK GJELD MONOLITTER PESYS, ARENA, INFOTRYGD ETC MIKROTJENESTER SaaS HYLLEVARER DATAPLATTFORM Vi samler ende-til-ende ansvar FAKTISKi tverrfaglige IDEELL produktteam. FAKTISK Vi organiserer disse i forhold til naturlige domener hører sammen. Vi skaper rammebetingelser for autonomi. FORVENTNINGER GOD BRUKER- OPPLEVELSE TID TID TID TID UNDERKAPASITET (DRIFTSHENDELSER) BEHOV KAPASITET Monolitter øker i kompleksitet over tid. FAKTISK Teknologien KAPASITET blir utdatert. Endringsevnen svekkes og forvaltning nedprioriteres. TID OVERKAPASITET (FOR HØY KOST) PLATTFORMTJENESTER DATASENTER PRIVAT SKY ALLMENN SKY NAIS PaaS IaaS BEHOV KAPASITET Løsningene settes i produksjon og utvikles deretter FAKTISK kontinuerlig. Det gjør at vi KAPASITET kan lære kontinuerlig hvordan brukerne jobber med løsningen og tilpasse fortløpende. TID 16

2024 © DocPlayer.me Konfidensialitetspolitikk | Servicebetingelser | Tilbakemelding