Indlæg mærket med: Sikkerhed

Få bevis på ISO 27001 og bliv klogere på cloud-sikkerhed

Denne blogs modervirksomhed, PACTOR A/S, har gennem længere tid samarbejdet med BSI, British Standards Institution, som er ophav til og ejer af bl.a. ISO 27000-standarden, om at udbyde undervisning og afholde eksamen i ISO 27001 i Danmark.

ISO 27000 er en it-sikkerhedstandard med to underliggende standarder, en forretnings-/procesrettet og en mere regulært it-rettet, nemlig ISO 27001. Netop ISO 27001 blev af den nu hedengangne IT- og Telestyrelsen valgt som afløser for DS484 som krævet mindsteniveau for it-sikkerheden i det offentlige i Danmark.

Grunden til, at dette er særligt relevant i cloud-sammenhæng er, at det normale to-dages kursus er blevet udvidet med ½ dag om cloud computing-sikkerhed – både om lovgivningen, der skal iagttages, og om de muligheder og udfordringer, cloud computing giver på it-sikkerhedsområdet.

Her er der altså anledning til at blive klædt på om ISO 27001, endda med eksamensbevis, og i tillæg få opdateret viden om cloud-sikkerhed.

Læs mere om kurset her: http://pactor.dk/?page_id=518

Interessante links, februar 2011

Informationer kommer og (sjældnere) går på internettet, og samtidig er der ofte en ’sidste holdbarhedsdato’ for informationernes relevans, der kun sjældent står mål med, hvor længe, informationerne ligger tilgængeligt. Derfor er denne lille oversigt over nogle relevante links da også dateret allerede i overskriften – går der mange måneder herfra, før du ser oversigten, kan det meget vel være, der er andre og mere relevante links, du skal lede efter…

Læs mere »

Ny udtalelse fra Datarådet om Google Apps

Hvor ER det ironisk… Præcis som vi i går den 3. februar 2011 står og taler om, hvor meget, vi længes efter yderligere udtalelser fra Datatilsynet om anvendelsen af cloud-services som f.eks. Google Apps, sender lige præcist Datatilsynet endnu et svar til Odense Kommune i forbindelse med kommunens ønske om netop at bruge Google Apps til en række administrative og informative aktiviteter indenfor skolevæsenet i kommunen…

Er vi så kommet videre med Datatilsynets udtalelse? Både-og, ser det ud til. Datatilsynet har en række indvendinger imod måden, Odense Kommune påtænker at opfylde kravene i persondataloven og sikkerhedsbekendtgørelsen på. Nogle af indvendingerne er lidt ærgerlige, fordi det kunne have været imødekommet fra kommunens side ved lidt bedre forberedelse. Men der rejses også mere principielle spørgsmål om f.eks. overførsel af data til tredjepart uden for EU/EØS og andre sikre lande.

Læs mere »

Indlæg om cloud-sikkerhed 3. februar 2011

Torsdag den 3. februar 2011 havde jeg fornøjelsen af at holde oplæg på et meget velbesøgt breakfastclub-møde, arrangeret af ComputerWorld. Temaet for mødet var cloud computing-sikkerhed, og oplægsholderne repræsenterede nogle af de stærkeste ‘brands’ i branchen: Google, Symantec, IBM og Microsoft – og så lige CloudWatch.dk…

Læs mere »

Danmark – det sikreste sted til cloud services i verden …?

Transparency.org – en organisation, der bekæmper korruption i hele verden – publicerede for nyligt korruptionsindexet for 2010. Danmark ligger på en flot førsteplads med 9,3 ud af 10 som score. Pladsen deler vi med Singapore og New Zealand – ikke noget dårligt selskab.

Det får John Pescatore fra Gartner til at spørge, om det også betyder, at de sikreste cloud services findes her, altså i Danmark, New Zealand og Singapore? Men hvis man kigger på de internationale udbydere af cloud services, er det jo ikke lige i de lande, de har valgt at lægge deres services… Ser vi bare på de lande indenfor EU, som huser de internationale cloududbyderes driftcentre, finder vi Irland på en 14.-plads på Transparency.com’s liste med en score på 8,0, mens Holland ligger som nummer 7 med en score på 8,8.

OK, hverken Irland eller Holland scorer dårligt, og faktisk ligger de som nogle af de højest scorende indenfor EU. Men Johns pointe er, at hvis vi ser ‘world wide’, er der mange lande på listen med bekymrende lave scores, der faktisk er populære steder til cloud data centre, og da cloud services pr. definition er globale, er kundernes sikkerhed for sikker opbevaring af data nu og i fremtiden ikke højere, end sikkerheden er i det mest usikre af de lande, en leverandør anvender. “Det svageste led i kæden” er også aktuel her…

Dette understreger betydningen af, at kunder, for hvem det er vitalt, at data omgæres med en høj grad af sikkerhed mod uautoriseret adgang, får lavet solide aftaler om dataopbevaring i alle led af systemernes og datas livscykler. Se blot på Italien, der ligger som nr. 67 med en score på 3,9. Eller Grækenland, der er nr. 78 med sølle 3,5. Ville det være lykken at have sine data opbevaret i et land, hvor korruption er så meget mere sandsynlig, end i f.eks. Danmark?

Men se så her: CSC bygger deres driftscenter i Valby om til et cloud-center for hele Norden. OK, CSC er ikke en af sværvægterne eller frontløberne indenfor cloud computing, men de er bestemt med i den tunge ende, og falder talen på traditionel hosting er de mega. Måske kan dette være CSCs vej tilbage i kampen efter de mange tyngende skandaleprojekter og datterselskabernes dårlige regnskaber? Og måske kan de med en sådan satsning være med til at bane vej for mere public cloud computing af den sikre slags i andedammen selv – lille Danmark?

Læser Gartner danske arbejdsprogrammer?

I et – som sædvanligt – oplyst og læsevenligt indlæg på Gartners blogsite, skriver Andrea Di Maio om et land, han har hørt om, der er i færd med at undersøge, om det giver mening at lave en ‘government cloud’ for egen og andre landes offentlige forvaltninger. Det er præcist det, Videnskabsministeriet skriver i kapitel 3 om cloud computing i dets digitale arbejdsprogram, der udkom i går!

Uanset om dette er en tilfældighed eller Andreas indlæg faktisk tager afsæt i den danske idé, er hans pointe i bloggen vigtig at holde sig for øje: det er ikke sikkert, en ‘government cloud’ er den billigste løsning for den enkelte styrelse eller statslige institution, sammenlignet med at købe ydelser på det ‘åbne’ cloud marked. Javel, der er spørgsmål om sikkerhed, dataopbevaring jf. Datatilsynets seneste afgørelse fra i fredags, integration med eksisterende systemer og mange andre overvejelser, der kan ende med at koste penge.

Men en government cloud vil ofte være ‘klip-en-tå-skær-en-hæl’ i forsøget på at finde en ‘one-size-fits-all’ til de offentlige kunder; selv den amerikanske forbundsregerings cloud vil være mindre end Amazons, og vil derfor alt andet lige have højere driftsomkostninger. Og for at reducere disse driftsomkostninger, kan der ikke nødvendigvis udbydes den samme fleksibilitet, som en stor privat leverandør vil kunne.

Ser vi på software-as-a-service kan der f.eks. være begrænsninger i muligheden for at integrere med eksisterende systemer, begrænset valgfrihed i autentificeringsmetoder eller forsinket softwareopdatering i forhold til markedet i øvrigt. Er der tale om infrastructure- eller platform-as-a-service er det klart, at når en kunde på det ‘åbne’ marked har hele spektret til rådighed, er det svært som udbyder af en government cloud at matche valgmulighederne.

Derfor kan det alligevel være en rigtigt god idé at oprette en community cloud for staten – i ét eller flere lande i fællesskab. Der kan a priori være taget hånd om krav til dataopbevaring (bl.a. hvilke lande, de opbevares i, hvor længe, backups og logs gemmes osv.) og det kan være sikret, at brugerautentificering lever op til nationale retningslinier. Der kan sågar være direkte kundeindflydelse på den tekniske og forretningsmæssige udvikling af skyen – blot skal de offentlige institutioner ikke nødvendigvis vælge denne vej, fordi de kan spare penge.

Google Apps? Nej, det må I ikke – i hvert fald ikke uden digital signatur…

Datatilsynet har i fredags udsendt sin første afgørelse om cloud computing: Udtalelse i forbindelse med anmeldelse af “Google Apps – online kontorpakke med kalender og dokumenthåndtering”. Dette har virkelig været ventet – både for at se, hvordan lovgivningen på området ville blive fortolket, men også for at få nogle rammer, andre offentlige kunder kan handle cloud computing indenfor. Satte Datatilsynets afgørelse så rammer op? Blev der skabt mere klarhed? Desværre nej.

Odense Kommune ville bruge Google Apps, herunder kalender og dokumenthåndtering, til at lave elevplaner til kommunens skoler.  Var det så det, Datatilsynet sagde ‘nej’ til? Nej, det var det ikke…

Begrundelsen for Datatilsynets afslag er sammenfattet i én sætning: “Datatilsynet lægger således til grund, at der indgår følsomme personoplysninger omfattet af persondatalovens §§ 7 og 8, at oplysningerne tilgås og behandles via internet, samt at der ikke anvendes digital signatur eller lignende.” Med andre ord: I logger ikke på via f.eks. digital signatur, så derfor må I ikke bruge Google Apps. Men hvis de nu gjorde, måtte de så?

Det er dér, afgørelsen for alvor bliver skuffende, for Datatilsynet stopper sin vurdering dér – lige før dørtærsklen… Efter eget udsagn: “Herudover rejser brugen af Google Apps en række yderligere spørgsmål. Da anmeldelsen imidlertid afvises allerede på grund af problemstillingen med digital signatur ved følsomme oplysninger, har tilsynet ikke fundet anledning til at komme ind på de øvrige problemstillinger, som opstår ved en dansk myndigheds eventuelle brug af Google Apps.”

Så: Danmarkshistoriens første afgørelse om cloud computing for offentlige institutioner handler ikke om cloud computing, men om indlogning. Noget, der ville være et problem uanset driftsformen (sharet services, outsourcet eller driftsfællesskaber).

Nå, men Google Apps kan godt håndtere digital signatur, så egentlig burde næste skridt være til at tage for Odense Kommune i dialogen med Datatilsynet, hvilket tilsynet da øjensynligt også efterspørger. Men det orker kommunen ikke, og det er rigtigt ærgerligt. Imens vi venter på næste modige offentlige institution, kan vi så more os med at læse debatten til indlægget i Version2 om Datatilsynets afgørelse; om ikke andet viser den, at der er mange tilgange til og nuancer i nye teknologier og forretningsmodeller.

Cloud computing-sikkerhed i følge Cloud Slam 2010

De 17 indlysende eller overvejende sikkerhedsrelaterede indlæg (og et enkelt eller to med et bredere styringsperspektiv) fordelte sig på nedenstående bidragydere. De enkelte indlæg bliver uddybet hen ad vejen, efterhånden som jeg får set dem!

McAfee. Security From, In And For The Cloud. Hovedtruslerne defineres her som ‘kapring’ af serviceaccounts eller trafik i skyen, svagheder i forbindelse med ‘delt teknologi’, datatab eller datalækager, ondsindede interne medarbejdere hos leverandøren, ondsindet brug af services (spam, cyberangreb), ukendte risikoprofiler og usikre API’er. Løsningen er bl.a. McAfees Software (ups!) Security-as-a-Service management console (del af McAfee Total Protection Service), men samtidig siger de, at f.eks. årlige fornyelser af certifikater ikke er nok; der skal daglige tredjeparts sikkerhedsvalideringer til, sammen med opdaterede definitioner af de ‘nyeste’ sårbarheder, hurtig udbedring, automatiseret efterlevelse af krav og simpel implementering og vedligehold. Bemærk i øvrigt, at McAfee tager aktivt del i arbejdet i Cloud Security Alliance.

Ping Identity. Who’s in Your Cloud? Firmaet fokuserer på sikkerheden i forbindelse med internetidentitet. Her præsenteres en af hovedbekymringerne som en stigende kompleksitet sammenlignet med tidligere teknologier. Naturligvis er kompleksiteten størst, hvis vi taler software-as-a-service, og ikke bare sammenligner med at flytte infrastrukturen fra en driftsleverandør til skyen. Deres budskab er i øvrigt, at overholdelse af regulativer, retningslinjer og standarder bliver fremtidens ‘religion’, men at det for mange leverandører er noget ‘tilkøbt’, frem for noget, der opnås ved hårdt arbejde og omtanke (altså mere noget, man skal, end noget, man bare gør). Men frem for alt må risikoen, der følger af utallige passwords, elimineres… Enhver cloud applikation skal opfattes som en ‘black box’ og behandles som sådan sikkerhedsmæssigt, og sikkerhedslogs i cloud management værktøjerne bliver det nye hovedmålepunkt i konkurrencen. Og måske mest interessant hævder de, at sikkerhedsmodellen skal ændres fra pull til push, når det kommer til cloud applikationer – tænk lidt over den…

Læs mere »

It-afdelingens opgaver i en sky-verden

Som tidligere beskrevet er der ingen grund til at tro, at it-afdelingen bliver mere undværlig i en organisation, blot fordi den begynder at anvende cloud computing. Men det vil samtidig være naivt at tro, at opgaverne, der løses i dag, forbliver uændrede. Nogle opgaver vil skifte karakter, f.eks. arbejdet med sikkerhed, mens andre vil vokse i omfang, f.eks. leverandørstyringen, mens andre igen vil falde, f.eks. det praktiske hardwarearbejde – og dog: det kommer an på, hvilken cloudform, man vælger.

I dette indlæg vil vi gå i dybden med nogle af de områder, der berøres mest af en overgang til cloud computing. Som alt andet på it-området, afhænger den faktiske udvikling i en given organisation af mange faktorer, hvoraf de fleste ligger uden for it-området. Det kan være organisationens udviklingsplaner, eksterne krav – hvad enten det er fra en ejerkreds, et moderselskab eller lovgiverne -, interne kompetencer og interesser, personrelationer, typisk på ledelsesniveau, osv. osv. Men grundlæggende vil vi tage udgangspunkt i de forskellige cloudformer.

Læs mere »

Lukker it-afdelingen når det bliver skyet?

Gartner siger, at hver femte virksomhed ikke vil have en it-afdeling i 2012 – så stærkt vil udviklingen med cloud computing gå. I det hele taget lyder dommedagstrommerne massivt over in-house it-afdelinger og it-medarbejdere for tiden – alt sammen med henvisning til cloud computing. Og ja, det kan virke bekymrende, hvis man er intern it-medarbejder i dag, særligt, hvis man har ansvaret for virksomhedens serverdrift: hvad skal man så lave, når afdelinger og divisioner selv blot ved at vifte med Dankortet kan købe sig til it-ressourcer på nettet?

Ældre folk på egnen vil kunne huske ‘hypet’ omkring SOA i slutningen af det sidste årtusinde: nu skal forretningen selv til at bygge sin it-understøttelse, blot ved at vælge den nødvendige funktionalitet fra den store gule ‘telefonbog’ over webservices på nettet – så var der slet ikke brug for at udvikle og vedligeholde egne systemer mere…

Læs mere »

Dansette