Nettskyen, kontroll med data og ledelsens ansvar SUHS-konferansen 2011 Per Arne Enstad, CISA,CISM
2
Hva kjennetegner en nettsky? Behovsbasert selvbetjening Høy konnektivitet Deling av ressurser Kapasitet etter behov elastisk! Betaler for faktisk bruk 3
Nettsky - tjenestemodeller SaaS Software as a Service 4 PaaS Platform as a Service IaaS Infrastructure as a Service
Tjenestemodeller - ansvarsforhold 5
Nettsky - distribusjonsmodeller Offentlig + Stort innsparingspotensiale - Høy sikkerhetsrisiko Privat + Lavere sikkerhetsrisiko - Redusert innsparingspotensiale Brukergrupper En privat sky delt av beslektede grupper i hensikt å oppnå det beste fra de to ovennevnte modellene Hybrid Kombinerer offentlig og privat. 6
Drivkrefter for å velge nettskyen Utforske muligheter for nye forretningsområder Redusere investeringer Frigjør kapital til bedriftens kjernevirksomhet Redusere driftskostnader Forutsigbarhet Frigjøre IT-personell til andre oppgaver Trangt arbeidsmarked, kan kjøpe kompetanse i stedet Muligheter for å bedre driftsstabilitet og katastrofeberedskap Grønn IT kjør kollektivt! 7
8
Er det så fritt fram? 9
10
Er det så fritt fram? Sett fra et sikkerhetsmessig ståsted: -> I det man flytter data ut i skyen gir man samtidig fra seg kontrollen! 11 -> Man må finne ut hva som er den egentlige risikoen for å kunne ha et noenlunde trygt utgangspunkt for å vurdere hvorvidt man bør flytte data ut i skyen eller ei
Rammebetingelser Hvilken risiko er virksomheten villig til å akseptere? 12 Regulatoriske krav Tjenestenivå (SLA)
Repetisjon av grunnpilarene i informasjonssikkerhet Konfidensialitet Sikkerhet for at informasjon kun er tilgjengelig for autorisert personell og at den ikke avsløres til uvedkommende Integritet Sikkerhet for at informasjon og behandling av denne er fullstendig, nøyaktig, gyldig og et resultat av autoriserte og kontrollerte aktiviteter Tilgjengelig Sikkerhet for at en tjeneste oppfyller bestemte krav til stabilitet slik at aktuell informasjon er tilgjengelig for autoriserte personer ved behov 13
Grunnleggende kartlegging Skaffe seg oversikt over hvilke informasjonseiendeler som finnes i virksomheten Klassifisere informasjonseiendelene 14 Tilordne eierskap All informasjon skal ha en definert eier, og eier tilordner rettigheter Dette gjelder for all informasjon i virksomheten og det er ledelsens ansvar at dette blir utført!
Klassifisering Med hensyn til sensitivitet: Sensitiv Intern Åpen 15 Med hensyn til viktighet ( kritikalitet ): Høy Middels Lav
Akseptkriteria for risiko Ledelsens toleransegrense for hva virksomheten kan tåle av uønskede hendelser og skadevirkninger Dette gir føringer for hvilke beskyttelsestiltak man må sette i verk Separate sett av akseptkriteria for ulike klassifiseringer Risiko = sannsynlighet * konsekvens 16
17
Eksempel på hva som kan skje ved mangelfull styring SaaS type skyløsninger har ingen eller svært små oppstartskostnader Enkeltpersoner og miljøer tar i bruk skytjenester på eget initiativ uten å koordinere dette med resten av virksomheten Viktig informasjon kan bli plassert utenfor rekkevidde av virksomhetens internkontroll Medfører betydelig risiko for at viktig informasjon kan forsvinne når enkeltpersoner slutter, og en uoversiktlig situasjon mht hvem som kan lese eller endre informasjonen 18
Regulatoriske krav Virksomheten til UH er omfattet av en rekke lover og forskrifter Et av våre hovedprodukter er uteksaminerte kandidater Mye av den informasjonen vi håndterer inneholder personopplysninger Personopplysningsloven med forskrift blir følgelig en sentral rammebetingelse 19
Behandling av personopplysninger Behandlingsansvarlig: Den som bestemmer formålet med behandlingen av personopplysninger og hvilke hjelpemidler som skal brukes (POL 2 nr 4.) Datatilsynets fortolkning er at den behandlingsansvarlige er identisk med virksomhetens leder Hvis man som behandlingsansvarlig ønsker å sette ut oppgaver til en tredjepart, så er denne å betrakte som en databehandler (POL 2 nr. 5) 20
Databehandleravtale En databehandler kan ikke behandle personopplysninger på annen måte enn avtalt med behandlingsansvarlig (Databehandleravtale, POL 15) 21 Databehandleravtalen skal blant annet gjenspeile hvor personopplysningene blir behandlet. Dette gjelder også for eventuelle underleverandører
Databehandleravtale (2) Andre viktige punkter i en slik avtale: Sikkerhet i løsningen Sikkerhetsrevisjoner Segmentering Tilgangsstyring Autorisert og uautorisert bruk Dokumentasjon Opphør av avtale 22
Myggen og elefanten? Vil man kunne få gjennomslag for å få etablert en skreddersydd databehandleravtale, eller vil man bli møtt med leverandørens standardvilkår? 23 I det siste tilfellet er det grunn til å tenke seg godt om..
Personopplysninger og nettskyen Det danske datatilsynet har nedlagt foreløpig forbud mot å bruke Google Apps i Odense kommune 24 Datatilsynet oppfordrer til forsiktighet med hensyn til å flytte personopplysninger ut i skyen: Vurderer også forbud mot enkelte skyløsninger Narvik kommune
Tjenestenivå (SLA) De store leverandørene tilbyr standardvilkår og forbeholder seg ofte rett til å endre disse Man har i utgangspunktet liten kontroll med leverandøren. Virksomheten kan selges, gå konkurs eller de kan endre strategi Vær OBS på kundebinding ( Lock-in ) problemer med å få tilbake sine data ved opphør av avtalen 25
5 viktige spørsmål til potensielle leverandører Hvilken grad av innsyn i tilbudt løsning er dere villig til å gi meg som kunde? Hvilke tilgjengelighetsgarantier har dere, og hvordan bygger dere høytilgjengelighet? Hvilke garantier for risikohåndtering og sikkerhet er dere villig til å yte? Hvordan beskytter dere tilbudt løsning og mine tjenester fra tjenestenektangrep? Hvor omfattende og moden er sikkerhetsprogrammene og risikostyringen i din organisasjon? 26
Kontrakt Sørg for å forhandle fram en kontrakt som ivaretar virksomhetens interesser i alle faser av engasjementet 27 Vurder å trekke inn juridisk kompetanse i dette arbeidet
Oppsummering Nettskyen er kommet for å bli! En rekke anvendelser kan antakelig settes ut i skyen med godt resultat 28 Men IKKE uten å ha gjort hjemmeleksa først!
Seier venter den, som på forhånd har alle sakene i orden, folk kaller det flaks. 29 Nederlag er sikret den, som ikke i tide har truffet de nødvendige forholdsregler, folk kaller det uflaks Roald Amundsen
Takk for oppmerksomheten! Spørsmål? 30 per.a.enstad@uninett.no
Referanser Cloud Computing Security Considerations http://www.dsd.gov.au/publications/cloud_computing_security_considerations.pdf Cloud Computing en veileder i bruk av nettskytjenester http://www.datatilsynet.no/templates/article 3829.aspx 31 Databehandleravtaler etter personopplysningsloven og helseregisterloven http://www.datatilsynet.no/upload/dokumenter/veiledere/databehandleravtale/veileder_databehandleravtaler- 26052009.pdf