De presentatie wordt gedownload. Even geduld aub

De presentatie wordt gedownload. Even geduld aub

27 januari 2011. Veilig in de Cloud Hoe kunt u uw mensen altijd en overal veilig toegang geven tot bedrijfsinformatie zonder dat u de controle over uw.

Verwante presentaties


Presentatie over: "27 januari 2011. Veilig in de Cloud Hoe kunt u uw mensen altijd en overal veilig toegang geven tot bedrijfsinformatie zonder dat u de controle over uw."— Transcript van de presentatie:

1 27 januari 2011

2 Veilig in de Cloud Hoe kunt u uw mensen altijd en overal veilig toegang geven tot bedrijfsinformatie zonder dat u de controle over uw data verliest? En hoe kunt u voldoen aan wet- en regelgeving? Joris Geertman PSM S&T Microsoft twitter: jorisgee Louis Jonker advocaat Van Doorne Hashtag 360 event: #360graden

3 Alle Cloud Sessies vandaag TijdSessieSpreker(s) 10:15 – 11:00Cloud Scenario’sIrwin Hunter 11:15 – 12:00Cloud StrategieRene van Haaster 12:15 – 13:00Office 365Hans van der Meer 13:15 – 14:00Cloud Confused ?Peter de Haas Cloud Scenario’sIrwin Hunter 14:15 – 15:00Cloud StrategieRene van Haaster Veilig in de CloudLouis Jonker / Joris Geertman 15:15 – 16:00Office 365Hans van der Meer 16:15 – 17:00Veilig in de CloudLouis Jonker / Joris Geertman Cloud Scenario’sIrwin Hunter Gehele dagCloud DeskVoor trial accounts en al uw cloud vragen

4 Cloud Desk voor al uw Cloud vragen U vindt ons op de community area •Trial Accounts •Licentie vragen •Technische vragen •“cloud” vragen

5 Cloud Desk voor al uw Cloud vragen •Trial Accounts •Licentie-vragen •Technische-vragen •Cloud-vragen CLOUD DESK

6 Twee vragen en discussie • Is het veilig? – Welke maatregelen neemt Microsoft om ervoor te zorgen dat online gegevens afdoende beveiligd zijn? • Is het juridisch verantwoord? – Hoe kan ik voldoen aan wet en regelgeving? • Discussie

7 De Microsoft Cloud

8 Microsoft Visie ON-PREMISES CLOUD SERVICES TV / HOMETV / HOME PCMOBIEL

9 Microsoft Cloud Diensten Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Eigen DatacenterEigen Datacenter Private CloudPrivate Cloud PublicCloud

10 Storage Server HW Networking Servers Databases Virtualization Runtimes Applications Security & Integration Storage Server HW Networking Servers Databases Virtualization Runtimes Applications Security & Integration Storage Server HW Networking Servers Databases Virtualization Runtimes Applications Security & Integration Storage Server HW Networking Servers Databases Virtualization Runtimes Applications Security & Integration Eigen beheer Managed door Service Provider Private (On-Premise) Private (On-Premise) Infrastructure (as a Service) Infrastructure (as a Service) Platform (as a Service) Platform (as a Service) Software (as a Service) Software (as a Service) Service Delivery Opties

11 Cloud Services voor Bedrijven BEDRIJFS APPL. SAMENWERKENDATABASEPLATFORMBEHEERPRODUKTIVITEITCOMMUNICATIE Significante Investeringen In Infrastructure Meer dan $2B geinvesteerd in cloud infrastructure Geografische replicatie klantgegevensGeografische replicatie klantgegevens Flexibiliteit door public én private cloudFlexibiliteit door public én private cloud 30,000 engineers werkend aan clouddiensten Commitment voor Services Excellence Financiele SLA garantiesFinanciele SLA garanties SAS 70 en ISO compliantSAS 70 en ISO compliant Continue reductie van de CO2 footprint Innovatie door snelle iteratieve verbetering clouddiensten

12 Is het veilig?

13 Microsoft-cloud lekt bedrijfsdata van klanten

14 Kroes waarschuwt voor privacyrisico's cloud

15 Cloud Security Uitdagingen Cloud security Uitdagingen Toenemende afhankelijkheid tussen diensten, Betrouwbaarheid over Publieke en Private Sector Complexe, wereldwijde wet- en regelgeving en industrie standardaarden Nieuwe technologien, veranderende business modellen, dynamische hosting omgevingen Toenemende complexiteit van aanvallen, grotere bedreigingen en risico’s

16 CSA - Cloud Security Bedreigingen Cloud Security Alliance: 1.Misbruik van Cloud Computing 2.Onveilige API’s 3.Onbetrouwbare / kwaadwillende insiders 4.Kwetsbaarheden door gedeelde technologie 5.Verlies van gegevens 6.Kapen van accounts, dienst, netwerkverkeer 7.Onbekend Risico Profiel

17 Identity en Access Mgt HostApplicatiesDataNetwerk Defense-in-Depth Fysiek Security Foundation: TWC / SDL / Transparency / Audits Security Foundation: TWC / SDL / Transparency / Audits

18 Security Controls… shared responsibility IaaS Physical Security Network ACLs Virtual FW Cloud Health Monitoring …. PaaS Data TaggingApp AuthN Service Desc. …. SaaS Application Logging App AuthZ Encryption Implementatio n …. 18 “With more control, comes more responsibility”

19 Uitgebreid Compliance Framework ISO/IEC 27001:2005 certification SAS70 Type I and Type II attestations PCI DSS certification FISMA certification & accreditation Certification and Attestations Predictable Audit Schedule Test effectiveness and assess risk Attain certifications and attestations Improve and optimize Examine root cause of non-compliance Track until fully remediated Predictable Audit Schedule Test effectiveness and assess risk Attain certifications and attestations Improve and optimize Examine root cause of non-compliance Track until fully remediated Controls Framework Identify and integrate Regulatory requirements Customer requirements Assess and remediate Eliminate or mitigate gaps in control design Controls Framework Identify and integrate Regulatory requirements Customer requirements Assess and remediate Eliminate or mitigate gaps in control design Payment card industry data security standard Health Insurance Portability and Accountability Act Industry Standards and Regulations FISMA (NIST ) Privacy laws, Sarbanes-Oxley, etc.

20 De Evolutie van Security van onze Online Services First ISO cert 1st Data Center Security Development Lifecycle First SAS-70 cert Trustworthy Computing Directive 2010 FISMA Cert 2012

21 Control Modules

22 Transparency: Control Modules

23 Regionale Zonering Microsoft Datacenters Chicago Quincy Dublin Amsterdam Hong Kong Singapore Japan "Datacenters have become as vital to the functioning of society as power stations." The Economist San Antonio Microsoft has more than 10 and less than 100 DCs worldwide Boydton Des Moines

24 Google weigert data in Europa te houden

25 Relevante Bronnen • Microsoft Global Foundation Services: • Microsoft Compliance Framework: ework1009.pdf • Securing Microsoft’s Cloud Infrastructure: oudMay09.pdf • Cloud security Alliance •

26 27 januari 2011

27 Is het juridisch verantwoord?

28 Veilig in de cloud Hoe kunt u voldoen aan wet- en regelgeving? Louis Jonker advocaat Van Doorne *** zonder hashcode #360graden wordt uw tweet niet serieus genomen ***

29 ONTWIKKELINGEN IN SOURCING: • In-house • Facilities management • Hosting • ASP • Outsourcing/outtasking/BPO • SaaS/PaaS/IaaS • Cloud computing •

30 HOE PAST CLOUD COMPUTING BINNEN HET JURIDISCHE KADER? • Geen nieuwe juridische aandachtspunten ten opzichte van andere uitbestedingsvormen, maar wel deels een andere focus vanwege dynamisch en grensoverschrijdend karakter van cloud computing • Grosso modo juridisch: cloud computing = uitbesteding+ DUS AANDACHT VOOR JURIDISCHE ASPECTEN ALS: • Dienstverlening (service levels, garanties) en sancties (boete, aansprakelijkheid) • Regie (communicatie, rapportage) en controle (audit, TPM) • Continuïteit (back-up, uitwijk, escrow) • Intellectuele eigendom en gegevensbescherming (geheimhouding, beveiliging en privacy) • Toepasselijk recht en geschiloplossing

31 JURIDISCHE UITDAGINGEN BIJ CLOUD COMPUTING: • Toepasselijk recht • ‘Control’ • Continuïteit • Gegevensbescherming

32 UITDAGING #1: TOEPASSELIJK RECHT Uitdaging • Wet- en regelgeving bevat verschillende aanknopingspunten om te bepalen welk recht van toepassing is: - vestiging klant of locatie middelen/cloud (EU-privacyregelgeving) - plaats van kenmerkende prestatie (wanprestatie) - plaats waar schade zich voordoet (onrechtmatige daad) • Gebrekkige harmonisatie van lokale regelgeving Uitdaging oplosbaar/beheersbaar • Contractuele afspraken (tenzij dwingend recht) • Regionale zonering • LET OP: geschiloplossing (gelijk hebben ≠ gelijk krijgen)

33 UITDAGING #2: ‘CONTROL’ Uitdaging: kan je aan je wettelijke verplichtingen voldoen? • IFRS, SOx, Tabaksblatt, … (“deugdelijk ondernemingsbestuur”) • Civielrechtelijke en fiscale bewaarplichten • Bestuurdersverantwoordelijkheid (Ceteco-uitspraak) Uitdaging oplosbaar/beheersbaar • Waarborgen van beschikbaarheid van en toegang tot (kritieke) bedrijfsgegevens (zie uitdaging #3) • Waarborgen van continuïteit van bedrijfsvoering (zie uitdaging #3) • Controle (verifiëren van aanwezigheid/effectiviteit van ‘controls’): - Audit (uitdaging: cloud is niet statisch, maar dynamisch) - TPM (SAS70-Type I-II, ISAE3402/SSAE-Type A-B)

34 UITDAGING #3: CONTINUÏTEIT (I) Uitdaging • Potentiële bedreiging: gebrekkige kwaliteit leverancier of diensten (uitvoering diensten in overeenstemming met bepaalde in overeenkomst) • Potentiële bedreiging: uitwerking daarvan op bedrijfsvoering • “FACT: every year, thousands of organizations experience disruption to their operations lasting longer than five working days.” (British Standards Institution)

35 UITDAGING #3: CONTINUÏTEIT (II) Uitdaging oplosbaar/beheersbaar • Afstemming van aan de cloud te stellen eisen en kwaliteitsniveaus op de te ondersteunen bedrijfsvoering • ‘Klassieke’ continuïteitsmaatregelen: - back-up (door leverancier of door klant), uitwijk - dynamische technology escrow? - exitassistentie • ‘Verborgen’ continuïteitsmaatregelen: - “eigendom” van gegevens - hanteren van datastandaarden - concrete invulling van overmachtsbegrip - geclausuleerd opschortingsrecht leverancier bij betalingsgeschillen

36 UITDAGING #3: CONTINUÏTEIT (III) BELANGRIJKSTE CONTINUÏTEITSMAATREGEL = REGIE • Gebrekkige kwaliteit van de leverancier of zijn diensten vormt niet het echte risico. • In de praktijk levert veeleer de gebrekkige bekendheid met gebreken het ware risico op. • Goede regieprocessen (communicatie, rapportage, verwachtingenmanagement) zijn essentieel om continuïteitsrisico’s, danwel de effecten daarvan, beheersbaar te houden. • Dus ook: bekendheid met ketenpartners in cloud (bijv. clausule inzake onderaanneming)

37 UITDAGING #4: GEGEVENSBESCHERMING (I) Uitdaging (I) • Toegang van derden tot data in de cloud - Patriot Act …, maar grootste gevaar komt zeker niet (alleen) uit de VS (met ruim 3 miljoen opvragingen in 2009 is NL Europees koploper) - impact of vertrouwelijkheid, data-integriteit, … Uitdaging oplosbaar/beheersbaar • Contractuele afspraken: - toepasselijk recht? - regie (informatie-/waarschuwingsplicht) - back-up

38 UITDAGING #4: GEGEVENSBESCHERMING (II) Uitdaging (II) • Privacy: - verwerking van persoonsgegevens (HR-gegevens, klantgegevens) - naleving verplichtingen uit hoofde van Wbp: * bekendheid met locatie van persoonsgegevens * passende technische en organisatorische beschermingsmaatregelen * maximale bewaartermijnen  verplichting tot verwijderen * uitvoering controle- en correctierechten betrokkenen Uitdaging oplosbaar/beheersbaar • Bewerkersovereenkomst tussen klant (verantwoordelijke) en cloud computing provider (bewerker) met heldere verdeling van taken en verantwoordelijkheden

39 UITDAGING #4: GEGEVENSBESCHERMING (III) BIJZONDERE PRIVACY-UITDAGING • Grensoverschrijdende datadistributie • Doorgifte van persoonsgegevens buiten EER is verboden, tenzij: - wettelijke uitzondering (toestemming, uitvoering overeenkomst) - passend beschermingsniveau of VS Safe Harbour Uitdaging oplosbaar/beheersbaar • Doorgifteovereenkomst (conform modelcontracten) + vergunning MvJ • Cloud computing provider als verantwoordelijke voor doorgifte • ‘Neutralisatie’ van data (anonimisering, pseudonimisering, encryptie?) • Regionale zonering

40 SLOTOPMERKINGEN • Cloud is nieuw, maar juridisch geen onbeschreven blad. • Cloud brengt geen strakblauwe hemel met zich mee, maar ook geen donkergrijs wolkendek. • Praktische oplossingen zijn voor handen.

41


Download ppt "27 januari 2011. Veilig in de Cloud Hoe kunt u uw mensen altijd en overal veilig toegang geven tot bedrijfsinformatie zonder dat u de controle over uw."

Verwante presentaties


Ads door Google