Sig security fokusdag 2011 CIO & Molnsäkerhet
-
Upload
predrag-mitrovic -
Category
Documents
-
view
1.701 -
download
1
description
Transcript of Sig security fokusdag 2011 CIO & Molnsäkerhet
http://cloudsweden.sehttp://cloudsweden.se
http://cloudsweden.sehttp://cloudsweden.se
20+ år i IT-branschenADB-teknikerTest- & Chefredaktör; Nätverk & Kommunikation (IDG)Eget konsultföretagNordic Consulting Manager, NovellCSA/NTO, MicrosoftGeneral Manager, LabCenterDriver nu MyNethouse, medgrundare Cloud Sweden och talesperson för molnfrågor Dataföreningen Stockholm
Predrag MitrovicCloud Advisor
Molnsäkerhet – ett dilemma?
• Det här arbetet är licensierat enligt Creative Commons Attribution-ShareAlike 3.0 Unported License. creativecommons.org/licenses/by-sa/3.0/
Attribuera till: Predrag Mitrovic på http://cloudadvisor.se
http://cloudsweden.sehttp://cloudsweden.se
By David Fletcher
http://cloudsweden.sehttp://cloudsweden.se
Molnet existerar inte…Som enhetligt begrepp
http://cloudsweden.sehttp://cloudsweden.se
Molnet är flerdimensionellt:
- Främst en beskrivning av ett skifte där IT-kraft, applikationslogik och information separeras från infrastrukturmekanismer som vi känner dem.
- Kännetecknande för omstruktureringen är storskalighet, tjänstemodellering, flexibilitet i skalbarhet/betalning och med Internet som en form av “dator”.
- Affärsmodellerna utvecklas och växer fram.
http://cloudsweden.sehttp://cloudsweden.se
Tre(o)enighet
http://cloudsweden.sehttp://cloudsweden.se
1. Institutionell kunskap saknas
http://cloudsweden.sehttp://cloudsweden.se
2. Faktabaserad erfarenhet av brister och utnyttjande saknas
http://cloudsweden.sehttp://cloudsweden.se
3. Paradigmskifte, evolution eller platt fall?
(eller: Fågel, fisk, mitt emellan?)
http://cloudsweden.sehttp://cloudsweden.se
“An amazing invention – but who would ever want to use
one?”*
* Sagt om telefonen av den 19:e presidenten i USA, Rutheford Hayes. De hade ett väl utbyggt telegrafnät vid tidpunkten för kommentaren.
http://cloudsweden.sehttp://cloudsweden.se
SÄKERHETSSTRATEGIERLedarskap, Riskhantering, Kontroll
http://cloudsweden.sehttp://cloudsweden.se
• Ramverk för mappning av leverantörer och för vidare hantering av risker.
http://cloudsweden.sehttp://cloudsweden.se
Tre huvudområden
• Organisationsrisker• Tekniska risker• Legala risker
http://cloudsweden.sehttp://cloudsweden.se
Organisationsrisker
• Avhändning av kontroll• Inlåsning• Efterlevnadsutmaningar• Leverantörsobestånd• Uppköp• Överföring av KPIer och uppföljning
http://cloudsweden.sehttp://cloudsweden.se
Tekniska risker
• Ond insider• Bristfällig isolering• Obehörig datafångst• Dataläckage vid överföringar• Överbelastningsattacker• Data fortsätter leva efter ”bäst-före-datum”
http://cloudsweden.sehttp://cloudsweden.se
Legala risker
• Jurisdiktioner – byten vid uppköp• Dataskydd• Licensiering
http://cloudsweden.sehttp://cloudsweden.se
http://cloudsweden.sehttp://cloudsweden.se
• SW-uppgradering = ny licens• Användarna klagar jämt• Molnet = bättre & billigare• Användarna använder molntjänster privat
• Du måste leverera affärsvärde• IT kostar för mycket• Är intern IT säker?• IT för tungrott• Förändringsprojekt tar evigheter
• Mitt jobb• #@% SW licenser• Jag måste kapa kostnader• Rättfärdiga investeringar• Hur får jag bandbredd hos VD/GD?
• Jag har kostnadskontroll• Jag förstår trender och hype• Vi kan inte göra det nu• Jag är innovativ• Jag har full kontroll
CIO-dilemma
http://cloudsweden.sehttp://cloudsweden.se
• Underbemmand & utarbetad personal (brandkår)• Minskande IT-budget• Hackerattacker & MalWare• Ingen/låg influens på verksamhetsutvecklingen• Nedtider• Hypersnabba teknikskiften• Växande konsultberoenden
CIO ”Pains & Gains”
• Investera i värdedrivande verksamhetsprojekt• Ena IT & verksamhet• Bli av med SW-license • IT = kritisk framgångspartner• Säker IT för alla• Tid för strategiska projekt som driver värde• Nöjda användare
http://cloudsweden.sehttp://cloudsweden.se
Strategisk molngrund (fast mark under fötterna)
Vision, visualisering, förstå terrängen, formulera avsikter
Kontrollerad implementation
”MOLNET””MOLNET”H
ype,
pra
ktikf
all,
best
pra
ctice
s,
bess
erw
isse
rs
Praktikfall, best practice, lärdom
ar
Ledarskap, förändringshantering, beslutskriteria, granskning
http://cloudsweden.sehttp://cloudsweden.se
http://cloudsweden.sehttp://cloudsweden.se
http://cloudsweden.sehttp://cloudsweden.se
HW SW Konsulter Support Underhåll Lagring Överföringar Energi Kommunikation
Flexibilitet Snabbrörlighet Tillgänglighet Teknikstyrning
Test/utveckling/integration/UnderhållLicensutnyttjande
Process & styrning Overhead TTM/TTA
http://cloudsweden.sehttp://cloudsweden.se
http://cloudsweden.sehttp://cloudsweden.se
OperationellPragmatiker
Värdeskapare
Kostnadskapare
IT & Verksamhetsledning
Inspirerarne teknikledare
Driva innovation
Maximera ROI
Driva verksamhet
framåt
Visionär –Sälja visioner
http://cloudsweden.sehttp://cloudsweden.se
Verksamhets-utvecklare
Leverantörer Experter
Cloud Maestro
• Cloudsourcing Vision / Mission
• Inspiration• Marknadsanalyser /
Användningsområden• Riktlinjer• Enterprise Architecture• Upphandlingsstöd
• Verksamhetsbehov• Kravfångst• Intressen• Återmatningar
• Standardkrav• Säkerhetsprocesser• Praktikfall• Driftinsikter• Tjänsteuppföljningar
• Aktivt söka råd och rön• Engagemang• Hållbara relationer
• Tjänster & avtal som följer krav• Input till standardisering• Samverkan utveckling av
standarder och praktikfall
Säkerhet
Standarder
DriftPrestanda
• RFI/RFPs• Definitioner• Säkerhetskrav• Standardkrav • SLAs
Value Creation
Value CreationValue Creation
Workshops
Konsult
Webinars
Seminarier
Analys-tjänster
Labs
Artiklar
http://cloudsweden.sehttp://cloudsweden.se
http://cloudsweden.sehttp://cloudsweden.se
Usage Metering
Usage Metering
Provisioning services
Provisioning services
Authentication
Authorization
Logging
Reporting
Incident manageme
nt
Enterprise Appl. (UI + Logic)
Data
http://cloudsweden.sehttp://cloudsweden.se
Tydligt verksamhets-
värde?
Unik avskiljare (kapacitet)?
Hinder för outsourcing?
Hinder för cloudsourcing?
Objekt redo för molnet?
Lösningen blir en plattform?
Processen isolerad?
IT-baserad differentiering?
Specifik Applikation,
HW, SW?
Behandlar kritiskt data?
JaNej
* Baserat på arbete hos Open Group
Lämplighet för molnet*
http://cloudsweden.sehttp://cloudsweden.se
Efterlevnad
http://cloudsweden.sehttp://cloudsweden.se
Kravuppfyllelse
http://cloudsweden.sehttp://cloudsweden.se
Riskhantering
http://cloudsweden.sehttp://cloudsweden.se
Business continuity
Min
ver
ksam
het Lev. verksam
het
http://cloudsweden.sehttp://cloudsweden.se
Källor (som jag gillar)• Cloud Sweden (LinkedIn: sök Cloud Sweden) eller
cloudsweden.se• Cloud Advisor – cloudadvisor.se (det är jag )• CloudTweaks – www.cloudtweaks.com• NIST –
csrc.nist.gov/groups/SNS/cloud-computing/index.html• ENISA• CloudCamp – www.cloudcamp.com • Cloud Security Alliance –
www.cloudsecurityalliance.com• Open Cloud Manifesto –
www.opencloudmanifesto.org
http://cloudsweden.sehttp://cloudsweden.se
Källor (som jag gillar del2)
• Arbetsgrupp Säkerhet (Cloud Sweden): natverk.dfs.se/node/21320
• Cloud Standards – cloud-standards.org• The Open Group -
www.opengroup.org/cloudcomputing/• IDG Cloud Magazine – cloud.idg.se/• Amazon, Microsoft, Google, IBM, Oracle,
Salesforce, RackSpace och de vanligen misstänkta
http://cloudsweden.sehttp://cloudsweden.se
En funderare:Metodik att utveckla/implementera
• Logisk segregering inför migrering:– Information– Behörigheter– Loggning
• Assimileringsstrategier för omvänd- eller vidaremigrering
http://cloudsweden.sehttp://cloudsweden.se
Predrag [email protected] – 200 350 Skype/Twitter: write4joyMynethouse.se
Tack för trevlig samvaro!