Interessante links, februar 2011

Informationer kommer og (sjældnere) går på internettet, og samtidig er der ofte en ’sidste holdbarhedsdato’ for informationernes relevans, der kun sjældent står mål med, hvor længe, informationerne ligger tilgængeligt. Derfor er denne lille oversigt over nogle relevante links da også dateret allerede i overskriften – går der mange måneder herfra, før du ser oversigten, kan det meget vel være, der er andre og mere relevante links, du skal lede efter…

cloudbook.net er som altid en spillevende kilde til opdateret information. Et af de nyeste indlæg, de refererer til, er af en gut, vi tidligere har omtalt her i bloggen, Bernard Golden: “How cloud computing changes IT staffs“. Som nogle måske har opdaget, er det et emne, vi interesserer os en del for…

cloudsecurityalliance.org er altid et besøg værd. Umiddelbart før jul frigav de en opdateret version af deres Cloud Control Matrix (version 1.1), der som et fælles værktøj for kunder og leverandører skal bringe dialogen ind på et fælles sprog. Jeg synes stadig, listen over såvel affilierede organisationer som deciderede virksomhedsmedlemmer lover rigtigt godt… De kan nu f.eks. også tælle Ernst & Young som medlem.

Chefsikkerhedsarkitekten (hvis der er noget, der hedder det…) Tim Brown hos CA har lavet en fin lille ti-punktsliste med spørgsmål, man bør stille sig selv, inden man begiver sig ud i cloud computing. De kommer lige her i overskriftform:

  1. How does a cloud deployment change my risk profile?
  2. What do I need to do to ensure my existing security policy accommodates the cloud model?
  3. Will a cloud deployment compromise my ability to meet regulatory mandates?
  4. Are the cloud providers using any security standards or best practices (SAML, WS-Trust, ISO or otherwise)?
  5. What happens if a breach occurs? How are incidents handled?
  6. Who is liable or will be viewed as the responsible entity for securing my data?
  7. How do I ensure only appropriate data is moved into the cloud?
  8. How do I ensure only authorized employees, partners and customers can access data and applications?
  9. How are my data and applications hosted, and what security technologies are in place?
  10. What are the factors that tell me I can trust this provider?

Der er nogenlunde bred enighed om, at cloud computing ikke giver mening med mindre, der eksisterer et vist mål af tillid mellem leverandør og kunde. Derfor er Tim Browns sidste spørgsmål måske i virkeligheden det mest interessante: hvad er det egentlig, der gør, at jeg stoler på min leverandør? Det spørgsmål kan man med god ret stille sig i alle indkøb/anskaffelser – arbejdsmæssigt som privat, og hvis man dybest set ikke kan svare tilstrækkeligt godt på det, er det måske på tide at skifte?

It-sikkerhedskomitéen, der var så omstridt for et par år siden, fordi den afløste et mere kritisk forum og var sammensat af den daværende minister med måske efter nogles mening lidt vel lidt it-kompetente medlemmer, har udarbejdet en fin lille publikation (pdf), der meget godt sammenfatter de fundamentale træk ved cloud computing og sikkerheden i den forbindelse.

IT- og Telestyrelsen tager også sikkerheden i cloud computing meget alvorligt. De har for kun et par uger siden lanceret en debat om, hvordan vi bygger de rigtige sikkerhedsstrukturer op i forbindelse med cloud services, så brugernes ret til beskyttelse af privatlivet ikke kompromitteres. Tankerne er noget tekniske, men dokumenterer i hvert fald, at der ikke nødvendigvis behøver at blive overført personfølsomme oplysninger til en serviceudbyder for at skabe sikker autentificeringen. OK, det kan vi godt i forvejen med gængse løsninger som certifikater, men disse løsninger er tunge at implementere og ikke nødvendigvis nok for alle. Selve debatten forsøges afviklet på digitaliser.dk – en af de første rent cloud-baserede løsninger i det offentlige i Danmark, by the way.

Dansette