Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne Ermose, Ole Kjeldsen...
-
Upload
microsoft -
Category
Technology
-
view
59 -
download
0
description
Transcript of Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne Ermose, Ole Kjeldsen...
Cloud i et juridisk og sikkerhedsmæssigtperspektiv for offentlige og private virksomheder
Advokat Anne Ermose
Teknologidirektør Ole Kjeldsen
-
-
-
-
-
Et ekstremt dynamisk teknologilandskab
CloudSocial Big dataMobilitet
57% afenterprises vilhave investeret i enterprise social i 2014
>70% af CIOs viladoptere en cloud-first strategi i 2016
af organisationerøgede public cloud forbrug i 2013
54%
af CIOs ser mobile som den mestdisruptive teknologi de næste 10år
70%
Social networking vilfølge ikke blot mennesker, men også husholdningsenhederdevices og andreprodukter
Forbrugpå Big Data:
af alle ny
applikations-
udvikling havde en
mobil form factor
som mål1/3I 2013
IP enheder:
10 mia
(2020)
400%
(idag)
$10 milliarder 2013 > $20 milliarder 2016
zettabytes i
2013
450% Fra
2012
Totalt
digitalt
indhold
vil gro
=
57% afenterprises vilhave investeret i enterprise social i 2014
>70% af CIOs viladoptere en cloud-first strategi i 2016
af organisationerøgede public cloud forbrug i 2013
54%
af CIOs ser mobile som den mestdisruptive teknologi de næste 10år
70%
Social networking vilfølge ikke blot mennesker, men også husholdningsenhederdevices og andreprodukter
Forbrugpå Big Data:
af alle ny
applikations-
udvikling havde en
mobil form factor
som mål1/3I 2013
IP enheder:
10 mia
(2020)
400%
(idag)
$10 milliarder 2013 > $20 milliarder 2016
zettabytes i
2013
450% Fra
2012
Totalt
digitalt
indhold
vil gro
=
Et ekstremt dynamisk teknologilandskab
CloudSocial Big dataMobilitetCybersikkerhed
Skadelig software AvanceredeTargeted angreb
Data tyveri & insider leaks
Cyber terrorisme & hacktivisme
…. skaber behov for ny risikovurdering
'Risks and rewards' ved cloud adoption
FOR
DEL
complianceprivacysikkerhedpålidelighed
skalerbarhedmere omstillingsparat
fleksibilitetIT infrastruktur omkostning
BEKYM
RIN
G
Bekymring før adoption
60%Udtrykte bekymringer
omkring data sikkerhed
som en barrier for at
flytte til cloud
45%Bekymrede for at det
ville betyde tab af
control hvis man
flyttede til skyen
Faktisk realiserede fordele
94%Oplevede
sikkerhedsfordele de
ikke tidligere havde
on-premise
62%sagde at privacy
beskyttelsen faktisk
blevet øget som følge at
at adoptere en cloud
strategi
Cloud innovation MULIGHED FOR AT HØSTE SIKKERHEDS & COMPLIANCE FORDELE
Barriers to Cloud Adoption study, ComScore, September 2013
tillidsvækkende fundament
BYGGET PÅ Microsoft ERFARING MED DRIFT OG UDVIKLING
Trustworthy Computing
Initiative
Security Development
LifecycleGlobal Data Center
Services
Malware Protection
Center
Microsoft SecurityResponse Center
Windows Update
1st
Microsoft Data
CenterActive
DirectorySOC 1
CSA Cloud Controls Matrix
PCI DSS Level 1
FedRAMP/FISMA
UK G-Cloud Level 2
ISO/IEC 27001:2005
HIPAA/HITECH
Digital Crimes
Unit
SOC 2
E.U. Data Protection Directive
Sikkerhed bygger på tillid og partnerskabKunder er ultimativt ansvarlige for at sikre compliance (citat: DPA, CfCS og DigiStyr)
Microsoft er gennemsigtige om certificeringer, revisionsrapporter etc.
Ansvar:
Data Klassifikation & Accountability
Kontroller på applikationsniveau
Kontroller på OS niveau
Kontroller på Host niveau
Identitets & Adgangsstyring
Netværkskontroller
Fysisk Sikkerhed
CLOUD UDBYDER
CLOUD KUNDE
PublicPrivate
compliance & gennemsigtighed
Datacenter drift
Grundlæggende persondataretlig ramme
Principper for persondatalovgivningen
Principper for persondatalovgivningen
Typisk en cloud kundes
ansatte eller kundeCloud kunde og/eller cloud
partner
Microsoft og/eller cloud
partner
Overførsel af persondata ud af EU/EØS
http://export.gov/safeharbor/
Overførsel af PII to et land
uden for EU/EØS er forbudt
medmindre behandlingen
dér er tilstrækkelig sikker
(EU
databeskyttelsesdirektivet)
En modelaftale mellem en dataansvarlig og en (tredjeplands)
databehandler, som er forhåndsgodkendt af EU Kommissionen
Skal ikke anmeldes til Datatilsynet
Datatilsynets udtalelser om cloud og jura
Datatilsynets konkrete afgørelse af 10. juli 2012 om IT-
Universitetets anmeldelse af brug af Office 365 til
lønadministration og administration af medarbejdere og
studerende
Datatilsynets udtalelse af 6. juni 2012 til Microsoft Danmark om
Office 365
e
Datatilsynets udtalelse af 15. januar 2014 om brug af dansk
databehandler og cloudbaseret underdatabehandler (samt
tredjelandsoverførsel)
Generel validering fra EUs datatilsyn
• 28 medlemsstater repræsenteret i Artikel 29
Arbejdsgruppen er alle enige
• Microsoft er den første og eneste cloud
leverandør der modtager denne form for
validering
• Dette understreges af, at EUs
databeskyttelsesdirektiv sætter “den højeste
barre” for databeskyttelses
• Gælder for Microsoft Azure, Office 365,
Dynamics CRM Online, og Windows Intune
Microsoft’s kontraktsfastsatte
databeskyttelsebestemmelser
opfylder EUs krav til overførsel af
data ud af EU/EØS
Områder med mulige særregler
Privacy og Gennemsigtighed
Microsoft Online Services Trust Center & Uafhængige certificeringer –
Gennemsigtighed om up-to-date cloud infrastruktur og ops infomation
Safe Harbor Certification – Overførsel til og adgang fra certificerede selskaber
EU Model Clauses – Overførsel til og adgang fra tredjelande
Microsoft Online Services Terms eller Databehandleraftale – Skriftlig, fuld
instruktion mellem dataansvarlig og databehandler
“In short, when governments
seek information from Microsoft
relating to customers, we strive
to be principled, limited in what
we disclose, and committed to
transparency.”
Myndigheders adgang til data
Myndigheders adgang til data
- Law Enforcement Requests Reports
- US National Security Orders Reports
http://www.microsoft.com/about/corporatecitizenship/en-
us/reporting/transparency/
Myndigheders adgang til data
Microsoft fører aktuelt retssager mod navnlig amerikanske
myndigheder for at beskytte kunders data
Microsoft sætter handling bag ord for at beskytte kunders data veddomstolene:
• Microsoft - Warrant Sag
• National Security Letters
• Government Requests Transparency
Microsoft Cloud … opsummering”…begrundet tillid til Cloud”
Det er jeres dataI ejer dem, I kontrollerer dem
Vi kører tjenesten for jer
Vi er ansvarlige overfor jer
OpsummeringTrustworthy Cloud for Business
Anne Ermose
Ole Kjeldsen
TAK!
yderligere ressourcer
Generelt: http://aka.ms/danmark-skyen
Cloud Security Readiness Tool: http://www.microsoft.com/trustedcloud
Microsoft Azure Cloud Security Infographic: http://info.windowsazure.com/rs/microsoft/images/WindowsAzureCloudSecurity-Infographic.pdf
Microsoft Azure Security, Privacy, and Compliance Whitepaper: http://www.windowsazure.com/en-us/support/trust-center/
Windows Azure Cloud Security Infographic: http://info.windowsazure.com/rs/microsoft/images/WindowsAzureCloudSecurity-Infographic.pdf
Windows Azure Security, Privacy, and Compliance Whitepaper: http://go.microsoft.com/fwlink/?LinkId=392408
Windows Azure Trust Center: http://www.windowsazure.com/en-us/support/trust-center/
10 ting om Azure Sikkerhed: http:/technet.microsoft.com/en%20-us/cloud/gg663906.aspx
Officiel Blog om Article 29 Working Group – post
Microsoft Azure
Establish release criteria & sign-off as part of FSR
IncidentResponse (MSRC)
Guide product teams to meet SDL requirementsAdminister and track security training
Training Requirements Design Implementation Verification Release Response
Education Process Accountability
Ongoing Process Improvements
security development lifecycle model
Microsoft Azure
fysisk, ID & adgang
Perimeter mm.
Microsoft Azure 32
service sikkerhed starter med fysisk DC
Cameras
24X7 security staff
Barriers
Fencing
Alarms
Two-factor access control: Biometric readers & card readers
Security operations center
Days of backup power
Seismic bracing
BygningerPerimeter ‘rummene’
Microsoft Azure
netværks sikkerhed
Microsoft Azure
data beskyttelse
Microsoft Azure
threat defense
Microsoft Azure 36
Event Detected
Security TeamEngaged
Security Event Confirmed
EventStart
DevOps Engaged
Incident Assessment
Determine Customer Impact
Azure CustomerNotification
Customer ProcessStep 1
Determine Affected
Customers
Customer Notification
• 9-trins incident response proces
• Fokus på afgrænsning & genskabelse
• & giver kontraktuelle forpligtelser omkring kunde
notifikation
Incident response
www.microsoft.com/trustedcloud.
Cloud Security Readiness Tool
The Cloud Security Readiness Tool• Was released in October 2012 by Microsoft
Trustworthy Computing
• Is based on the Cloud Security Alliance’s (CSA) Cloud Control Matrix (CCM)
• Is used to help organizations assess their current IT environment with regard to systems, processes, and productivity so you can improve your IT investment and realize the potential of cloud computing
• Includes 27 survey questions designed to identify the maturity level of a surveyee’scurrent IT infrastructure.
Federal Office for Information Security
European Network and Information Security Agency
• Getting Started.
• Making Progress.
• Almost There.
• Streamlined.
• Q5. Legal. Nondisclosure Agreements
• Q9. Operations Management. Equipment Maintenance
• Q10. Data Governance. Classification
• Q16. Facility Security. Asset Management
• Q18. Risk Management. Program
• Q19. Information Security. Incident Reporting
• Q20. Resiliency. Management Program
• Q22. Resiliency. Equipment Location
40,1% 43,2% 47,2%41,3% 42,1% 45,1% 41,1% 41,4%
0%
20%
40%
60%
80%
100%
1 2 3 4 5 6 7 8
Serie1 Serie2 Serie3 Serie4
There is potential benefit in adopting a cloud computing solution from a vendor who has implemented best practices across the CSA’s CCM.
-26,9%-26,5%
-22,8%
-15,7%
-41,0%
-5,8%
-24,0%-24,2%
-39,4%
-34,9%
-52,4%
-12,7%
-31,6%
-25,3%
-9,0%
-31,7%-30,6%
-35,6%
-42,8%
-25,7%
-44,3%
-28,7%
-32,8%
-16,4%
14,7%
-12,6%
-0,4%
-60%
-50%
-40%
-30%
-20%
-10%
0%
10%
20%
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27
The data shows that most organizations are relatively immature across almost all of the control areas represented in the CSRT.
• Information security through deployment ofantivirus/antimalware software
• Security architecture through clock synchronization of networked PCs
• Facility security through controlling user access to data
INFORMATION SECURITY
antivirus/antimalware software
clocksynchronizationSECURITY ARCHITECTURE
FACILITY SECURITY
controlled user access to data
• Human resources security through prudent hiring practices
• Operations management through effective capacity planning
• Information security through consistent incident reporting
• Legal protection through use of nondisclosure agreements (NDA)
• Operations management through effective equipment maintenance
HUMAN RESOURCES SECURITY
prudent hiring practices
OPERATIONS MANAGEMENT
effective capacityplanning
OPERATIONS MANAGEMENT
effective equipment maintenance
INFORMATION SECURITY
consistent incidentreporting
LEGAL PROTECTION
nondisclosureagreements
Microsoft Azure 47
Anerkendt for vore commitments
https://www.eff.org/who-has-your-back-government-data-requests-2014
1. Begrænse statens autorisation til at indsamle
borgeres data
2. Sikre tilsyn & rettidig gennemsigtighed
3. Skabe gennemsigtighed om statens krav om data
4. Respektere fri bevægelighed for lovlige digitale data
5. Sikre internationale rammer for løsning af juridiske
konflikter
giver ikke blanco adgang til hverken
egne eller kunders data
udleverer ikke krypteringsnøgler og
assisterer ikke myndigheder med at
bryde krypteringer
udleverer ikke data på baggrund af ‘bulk’
forespørgsler
bruger ikke & tillader ikke bagdøre i
vores software eller software vi anvender
er ikke en del af nogen form for
overvågnings- eller efterretnings-
netværk i USA eller andre lande
Øger konstant kryptering af data både i transport og i lagring
& driver derudover alle vores Datacentre med ISO27001
certificering
Fortsætter juridisk arbejde. Udfordrer
bl.a.lovligheden i forespørgsler med såkaldte ‘gag
orders’
Fortsætter lovligt & reguleret
efterforskningssamarbejde rettet mod pirateri,
pædofili, ID tyveri etc.
Øger gennemsigtigheden ved at• involvere ejeren af data som efterspørges af myndigheden
•oprette flere code Review Centers
•udgive Law Enforcement Request Reports
•dele guidance baseret på sikker drift og udviklingserfaringer
Tager initiativ til industrisamarbejde på området for
at sikre bedst muligt fundament for ‘Cloud Trust’