vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. få oversikt over dataflyten...
TRANSCRIPT
![Page 2: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/2.jpg)
• LinkedIn Password Hack 2012 – Hva skjedde?
• ENISA - Top security risks
• CSA - En praktisk veiledning for vurdering av sikkerheti skytjenester
• Gruppeoppgaver
• LinkedIn Password Hack 2012 – Hvilke tiltak ble iverksatt?
![Page 3: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/3.jpg)
![Page 4: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/4.jpg)
![Page 5: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/5.jpg)
![Page 7: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/7.jpg)
Top Security Risks
![Page 8: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/8.jpg)
vs.
Tap av styring og kontroll
![Page 9: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/9.jpg)
![Page 10: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/10.jpg)
![Page 11: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/11.jpg)
![Page 12: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/12.jpg)
=
![Page 13: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/13.jpg)
![Page 14: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/14.jpg)
Usikker eller ufullstendig sletting av data
![Page 15: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/15.jpg)
![Page 16: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/16.jpg)
“The mother of all cloud computing security certifications” *
* CIO June 28, 2018https://www.cio.com/article/3207553/certifications/the-most-valuable-cloud-computing-certifications-today.html
https://cloudsecurityalliance.org/guidance/#_overview
![Page 17: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/17.jpg)
En praktisk veiledning for vurdering av
sikkerheti skytjenester
https://cloudsecurityalliance.org/download/security-guidance-v4/
![Page 18: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/18.jpg)
Del I: Generelt
Del II: Styring
Del III: Drift
![Page 19: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/19.jpg)
133 kontrollkrav (16 kontrollområder)
295 Ja/Nei-spørsmål (CAIQ)
![Page 20: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/20.jpg)
Security, Trust & Assurance Registry (STAR)
https://cloudsecurityalliance.org/star/#_registry
![Page 21: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/21.jpg)
16 kontrollområder
AISApplication & Interface Security
DSIData Security & Information Lifecycle Management
HRSHuman Resources
MOSMobile Security
AACAudit Assurance & Compliance
DCSDatacenter Security
IAMIdentity & Access Management
SEFSecurity Incident Management, E-Discovery, & Cloud Forensics
BCRBusiness Continuity Management & Operational Resilience
EKMEncryption & Key Management
IVSInfrastructure & Virtualization Security
STASupply Chain Management, Transparency, and Accountability
CCCChange Control & Configuration Management
GRMGovernance and Risk Management
IPYInteroperability & Portability
TVMThreat and VulnerabilityManagement
![Page 22: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/22.jpg)
DSIData Security & Information Lifecycle Management
Control specificationDSI-01 ClassificationDSI-02 Data Inventory / FlowsDSI-03 E-commerce TransactionsDSI-04 Handling / Labeling / Security PolicyDSI-05 Nonproduction DataDSI-06 Ownership / StewardshipDSI-07 Secure Disposal
7 spørsmål
![Page 23: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/23.jpg)
DSI-01Classification
Kontrollspørsmål (CAIQ)DSI-01.4 Can you provide the physical location/geography of storage
of a tenant’s data upon request?DSI-01.5 Can you provide the physical location/geography of storage
of a tenant's data in advance?
![Page 24: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/24.jpg)
![Page 25: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/25.jpg)
![Page 26: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/26.jpg)
![Page 27: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/27.jpg)
![Page 28: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/28.jpg)
![Page 29: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/29.jpg)
![Page 30: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/30.jpg)
16 kontrollområder
AISApplication & Interface Security
DSIData Security & Information Lifecycle Management
HRSHuman Resources
MOSMobile Security
AACAudit Assurance & Compliance
DCSDatacenter Security
IAMIdentity & Access Management
SEFSecurity Incident Management, E-Discovery, & Cloud Forensics
BCRBusiness Continuity Management & Operational Resilience
EKMEncryption & Key Management
IVSInfrastructure & Virtualization Security
STASupply Chain Management, Transparency, and Accountability
CCCChange Control & Configuration Management
GRMGovernance and Risk Management
IPYInteroperability & Portability
TVMThreat and VulnerabilityManagement
![Page 31: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/31.jpg)
AACAudit Assurance & Compliance
Control specificationAAC-01 Audit PlanningAAC-02 Independent AuditsAAC-03 Information System Regulatory Mapping
8 spørsmål
![Page 32: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/32.jpg)
![Page 33: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/33.jpg)
![Page 34: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/34.jpg)
Gruppearbeid - Datacenter SecurityKontrollområdet «DCS Datacenter Security» har 9 kontrollkrav:DCS-01 - Asset ManagementDCS-02 - Controlled Access PointsDCS-03 - Equipment IdentificationDCS-04 - Offsite AuthorizationDCS-05 - Offsite EquipmentDCS-06 - PolicyDCS-07 - Secure Area AuthorizationDCS-08 - Unauthorized Persons EntryDCS-09 - User Access
Krav DCS-07 har følgende spørsmål: Do you allow tenants to specify which of your geographic locations their data isallowed to move into/out of (to address legal jurisdictional considerations basedon where data is stored vs. accessed)?
Oppgave: Vurder svaret på kontrollkrav DCS-07 på et par utvalgte tjenester som dufinner i STAR-registeret https://cloudsecurityalliance.org/star/#_registry
![Page 35: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/35.jpg)
Gruppearbeid – Threat and Vulnerability ManagementKontrollområdet «TVM Threat and Vulnerability Management» har 3 kontrollkrav:TVM-01 - Antivirus / Malicious SoftwareTVM-02 - Vulnerability / Patch ManagementTVM-03 - Mobile Code
Krav TVM-01 har to spørsmål: TVM-01.1 Do you have anti-malware programs that support or connect to your cloud service offerings installed on all of your systems?
TVM-01.2 Do you ensure that security threat detection systems using signatures, lists, or behavioral patterns are updated across all infrastructure components within industry accepted time frames?
Oppgave: Vurder svaret på kontrollkrav TVM-01 på et par utvalgte tjenester som dufinner i STAR-registeret https://cloudsecurityalliance.org/star/#_registry
![Page 36: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/36.jpg)
Preventative Detective CorrectiveEKM-02 IVS-01 GRM-07IAM-12 IVS-06 GRM-08
GRM-03 SEF-04 GRM-09GRM-06 GRM-05 SEF-01
GRM-10 SEF-05TVM-02
![Page 37: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/37.jpg)
![Page 38: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/38.jpg)
![Page 39: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/39.jpg)
![Page 40: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/40.jpg)
![Page 41: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/41.jpg)
![Page 42: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/42.jpg)
CCM Oppsummert…
• Er ikke et rammeverk for risikovurdering
• Er ikke en metode for å identifisere alle dine sikkerhetskrav
• CCM er metode for å raskt evaluere ulike skytjenester og om det er akseptabelt for din virksomhet å flytte dine data og applikasjoner til skyen.
![Page 43: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/43.jpg)
Sikkerhetsvurdering steg-for-steg…1. Hvilke data og applikasjoner/prosesser er aktuelt å flytte til skyen?
2. Hvor viktig er disse dataene eller denne funksjonen for din virksomhet?• Hva vil konsekvensen være om våre data blir gjort tilgjengelig og distribuert offentlig?• Hva vil konsekvensen være om skyleverandørens ansatte får tilgang til våre data?• Hva vil konsekvensen være om våre prosesser eller funksjoner blir manipulert av en
utenforstående?• Hva vil konsekvensen være om våre prosesser eller funksjoner ikke leverer forventet
resultat?• Hva vil konsekvensen være om våre data plutselig blir endret?• Hva vil konsekvensen være om våre data og systemer ikke er tilgjengelig over tid?
![Page 44: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/44.jpg)
3. Vurder hvilken leveransemodell som passer best• Public cloud• Private, internal/on-premises• Private, external (both dedicated or shared infrastructure)• Community• Hybrid
![Page 45: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/45.jpg)
4. Vurder leveransemodell og evaluer aktuelle leverandører• Hvilken grad av kontroll vil du ha hos den enkelte skyintegrator?• Vurder å gjennomføre en full risk assessment.
![Page 46: Vurdering av risiko og sikkerhet i skytjenester...2018/11/27 · 5. Få oversikt over dataflyten • Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt. dine kunder](https://reader036.vdocument.in/reader036/viewer/2022071107/5fe1336df8da945a9536a8fe/html5/thumbnails/46.jpg)
5. Få oversikt over dataflyten• Hvordan ser dataflyten ut mellom din virksomhet, skytjenesten og evt.
dine kunder og/eller andre noder?
6. Konkluder• For å kunne ta beslutning må du forstå:
- hvor viktig de aktuelle data eller funksjonen er for din virksomhet- hvor stor risiko du er villig til å ta- hvilke kombinasjoner av leveransemodell og tjenestemodell er akseptable- potensiell risiko for sensitiv informasjon og drift