Er du sikker i Nettskyen? Marianne Rinde Virtualization & Cloud Computing, EMEA Marianne.Rinde@EMC.COM 1 Enter The Cloud. 2 1
Sikkerhet i Nettskyen: Hemmer eller tilrettelegger? CIOs are concerned related to security aspects surrounding cloud computing 91%adoption. Source: Harris Interactive Study of 200 IT Leaders in Large Enterprises customers will weigh their decisions on whether and how to adopt cloud solutions based on providers security capabilities Source: Security and the Cloud, Forrester Research, October 2010 3 Colt s CIO undersøkelse Kun 16% av bedrifter i Europa har gjennomført en komplett utrulling av Nettsky tjenester 63% mener det er risiko for bedriften relatert til bruk av Nettskyen, hvorav 42% er bekymret for brand relatert skade 45% mener kompromisser innen sikkerhet er største risiko 60% av bedrifter mener at Nettskyen vil være deres viktigste IT drifts metode innen 2014 58% så bevegelse fra gammel til ny infrastruktur som den viktigste utfordringen for å bevege seg inn i Nettskyen 55% kvalitetssikring 55% kost 54% forskrifter om sikkerhet og kontroll av kundedata (Compliance) 4 2
Veien til Nettskyen Offentlig, privat eller hybrid Nettsky løsning? Enterprise IT Private Cloud Public Cloud Virtualisering Integrert Infrastruktur Automatisering Regulatoriske krav Infrastruktur som en tjeneste Infrastruktur Hybrid Cloud 5 Utfordringen med den offentlige Nettskyen Kan din bedrift risikere dette? Er det lovlig/akseptert å ha dine data et sted i Nettskyen? 6 3
Omtalte Pain-points 1. Sikkerhetsteknologier og bedrifter er ikke helt oppdaterte på virtualisering. Må benytte fysisk isolasjon, noe som begrenser server konsolidering 2. Høy kost og vanskelighet med å adressere regulatoriske krav i virtuelle miljøer (Governance, Risk & Compliance) 3. Manglende samsvar mellom fysiske og virtuell sikkerhet øker kost og kompleksitet ved virtualisering 4. Opprettholde skillet mellom plikter og styring av risiko relatert til misbruk fra godkjente brukere, til tross for sammenfallende infrastruktur lag 5. Opplevd sårbarhet ved hyperviser som kan bli det svakeste leddet 6. Feil kan bli forsterket pga raske/enkle endringer i virtuelle miljøer 7 Customer trust-related concerns for Cloud span the full range of traditional IT challenges Monitoring of information and resource usage (e.g., transparency, audit, metrics) Enforcement of corporate standards, policies, processes Operational and organizational maturity (e.g., culture, roles, accountability) Confidentiality of commercial data (e.g., financial, trade secrets) Confidentiality of personal data (e.g., customer and employee records, PII / PHI / PCI) Governance / Management Confidentiality / Privacy Integrity of resources / information (identity / authentication, protection / authorizations, nonrepudiation) Risk Integrity Compliance Availability Availability of resources / information (reliability, resiliency, DR / archive) Uncertainty (e.g., APIs, legal, supplier viability, vendor lock-in) Derived exposures (e.g., liability, direct financial losses, fraud / theft, reputational damage, nefarious use) Compliance to laws (statutory, case law, regulations) Compliance to standards and rules (e.g., GAAP, ISO) Compliance to customer / vendor SLAs (e.g. access time, resources performance) For ytterligere informasjon om Cloud Trust Authority ta kontakt med: Geir.Kurdol@RSA.COM 8 4
Thank you! 9 Efficiency Control Choice 10 5
Oppsummering av dagen 11 Dataforeningen Hvordan det norske lovverket styrer beslutningene relatert til Nettskyen Samarbeide med kontraktsgruppen i DnD Begynner med en veileder for å kartlegge problemstillinger 12 6
Cloud Computing Hva er egentlig Cloud Computing? Ble definert som: Skalerbar kjøp av prosessorkraft, lagrings og databearbeidings kapasitet hos ekstern part med leveranse over eksterne nettverk Formålet er å få stordriftsfordeler Fleksibilitet og lave kostnader, betal kun for bruk Økt tilgjengelighet 13 Sentrale problemstillinger Risikohåntering Ansvar Nasjonale lover og forskrifter Infrastruktur Unilaterale avtaler What you see is what you get Hvem står som garantist for levert sikkerhet? Hvem er egentlig leverandøren? Hvor er egentlig våre data lagret? Verneting hvor og ovenfor hvem håndheves avtale rettslig 14 7
Vurderinger før man går ut i skyen Hvilke applikasjoner/forretningsprosesser kan leveres som cloud tjenester Vurdere leveranse måte Public, Private eller Hybrid Vurdere sikkerheten Behov for tilgjengelighet og oppetid Hvem som har behov for de bestemte tjenestene Ikke alle trenger alt Rollebasert, relatert til Pay-per-Use Opp og nedskalere antall brukere 15 BASIS informasjonssikkerhet Skaff deg oversikt Kategoriser data Vurder data sikring Dagens vs. fremtidig behov Justering av rutiner? Definer hva som er egnet for cloud Etablere, iverksette og håndheve et sikkerhetsregime Inkludert mobile enheter Før kontroll 16 8
Cloud leverandører LES SLA bestemmelsene Vurder disse mot deres krav Sørg for å vite vedlikeholds policy til leverandøren 17 Personvern og Datasikkerhet Internett utgjør en sårbarhet for sikkerheten Diverse lover å ta hensyn til Personopplysningslover, bokføringsloven, helseregisterloven, Skatteopplysninger, Arkivloven Lovgivningens krav til oppbevaring kan representere hindringer for overføring av opplysninger til utlandet Strengere krav til offentlig sektor 18 9
Cloud leverandører kan ha underleverandører som ikke oppfyller kravs Det er viktig å sikre at leverandøren ivaretar dine data, også i fht leverandørens underleverandører Anskaffelsesrettslige problemstillinger Kravspesifikasjon, avtaletype, SLA krav, Prisstruktur Avtalehensyn Du eier dataene, og har ansvaret! Du må vite hvor dataene er lagret! 19 Prising og prisstruktur Partene må avtale sikkerhetsnivå Ditt ansvar at sikkerhet er ivaretatt som eier av data Vurdere behov Kontrollmuligheter for dataene Sletting Endring Må ivaretaes via avtalen 20 10
Lovvalg og jurisdiksjon Dersom du har mulighet til å velge, velg alltid norsk Sørg for at dine rettigheter er ivaretatt 21 Holdning Ha en bevisst holdning i virksomheten hvordan man bruker nettskyen Personvern: Informasjon om håndtering Rettslig grunnlag for behandling normalt samtykke eller etter avtale I deres tilfelle Bruk kun relevante data Sikring av data Sletting av data 22 11
Ansvaret Viler på egen virksomhet det er ditt Ansvaret kan ikke flyttes ut i skyen Må forvisse seg om tilstrekkelig sikkerhet I produktet som kjøpes 23 Sikkerhetskonsept for et Nettverksbasert Forsvar (NBF) Målsetning: Bruke de resurser som allerede er i Forsvaret, som er begrenset GJØRE MER MED MINDRE PENGER Gjøres ved å Nettverksorganisere organisasjonen I dag er situasjonen Afghanistan og Libya I fremtiden kan bildet være totalt annerledes 24 12
Oppgaver Trener avdelingene for å håndtere konflikter, og tilpasse IT systemene i forhold til status Kravet til IT systemene er tilgjengelighet og informasjonsdelig Kvalitet på data Samhandling Alle må ha felles situasjonsbilde Paradigme skifte for forsvaret, fra Need to know til Responsibility to Share Deling av informasjon Vesentlig skifte i en organisasjon som Forsvaret 25 Målsetning Informasjonsoverlegenhet For raskere og bedre beslutninger til rett tid og rett kvalitet Raskere enn motstanderne Tidligere var IT et rasjonaliserings tiltak Kun administrativ støtte I dag er IT er en del av de militære operasjonene Selv i flyene er det IT systemene som gjør at man er bedre enn tidligere, inkludert samhandling 26 13
Endring i trusselbildet IT systemene er nå et mål for motstanderne Ved å påvirke tyngdepunktet, påvirker man fortrinnet Man skaper sårbarheter ved bruk av IT Cyberangrep som del av sikkerhetspolitiske kriser og konflikter Trusselen øker men blir mer målrettet etter hvert som grupperinger, stater, organisasjoner tilpasser seg 27 Dagens konsept for risikohåndtering Basert på en tro på at sikkerhet er en ideell tilstand som man skal komme lengst mulig mot Fokus på forebyggende tekniske tiltak og administrative rutiner Kartlegger og synliggjør sårbarhet for å kunne adressere ved behov 28 14
Nettverksbasert Forsvar Må kunne mobilisere seg på kort varsel Viktig å vite noe om trusselen Den sjefen som har oversikt over hele risikobildet er den eneste som kan ta beslutninger Informasjonsdeling blir kritisk Investeringen er grunnlaget for ønske om en gevinst For Forsvaret er dette økt militær effekt Er i stand til å møte de krav som blir pålagt fra stat og regjering Unngå tap av liv Feil investeringer gir risiko for tap Men om man er jobber for å redusere sjansen for tap, så gir det også risiko for minsket gevinst 29 Tap/Gevinst Når sikkerheten feiler, tar man tap Det å ikke dele informasjon i stor nok grad, eller kommuniserer godt mellom avdelinger gir økt risiko for tap (uten å få gevinst) Resultat kan være Friendly fire som kunne vært unngått ved informasjonsdeling 30 15
VIKTIG Få på plass ordentlig prosesser for sikkerhetsledelse Må ha fleksible og hensiktsmessige tiltak som gjør en i stand til å håndtere trusselen der den er Ta unna den forutsigbare trusselen, men balanser mot de tiltak som gir gevinst 31 Organisasjon, mennesker og sikkerhetskultur Delegering av ansvar og myndighet Dele informasjon med alle relevante aktører For å ta beslutninger på best mulig grunnlag Bygg en god sikkerhetskultur med kompetanse 32 16
Sikkerhet Incident response er nær og kjær filosofien av sikkerhet, og det er umulig å hindre alt. Du må være forberedt på å håndtere utfordringene som kommer. Faktum er du vil erfare sikkerhets brudd. Kanskje ikke i dag eller i morgen, men det vil garantert skje. 33 Takk for meg 34 17
SaaS software er ikke lenger omfattet av kjøpsloven Levert som en tjeneste Utfordringer til offentlig sektor Anbud Kompleksitet kan gi utfordringer og konsekvenser i fht forbehold fra leverandører som kan gi større risiko for at anbud må avvises 35 18