27 januari 2011.

Slides:



Advertisements
Verwante presentaties
Aan de slag met Cloud Computing
Advertisements

Digitale leermiddelen
Cloud Computing Seminar 28 juni Automatisering Systeembeheer Bekabelde netwerken Draadloze netwerken ICT beveiliging Zakelijk internet Online back-up.
mr. J.J. Braat Advocaat IT, privacy en contracten Legaltree
#Exactlive12 / #livesessie8 Wel of niet naar de cloud?
De zin en onzin van escrow
SEPA Wat verwacht de toezichthouder van u? NFS SEPA-voorlichtingsmiddag, 30 mei 2012 Prof. Dr. Olaf C.H.M. Sleijpen Divisiedirecteur, Toezicht pensioenfondsen.
Informatiebeveiliging
PSO for Microsoft Dynamics 2013
Agenda Blok 1 - Evolutie van Cloud Computing
Testdata Management Ketentest
01 van 06 Portal4U Loe Hameleers Twan Saleming Klanten: Wat kost dat artikel? Wanneer wordt geleverd? Die werkt hier niet meer.. Die factuur ken ik niet.
Windows Server 2012 Optimaliseer uw IT. Ready for the Future.
Kennis Sessie PSO 2013.
PRISM FY11 Hans van der Meer Microsoft Nederland
Accreditatierichtlijn beveiliging van bestanden
Financials durven niet in de Cloud
Het. Het Nieuwe Werken De optimale werkplek.
VERA iVPN ICT-forum 5 en 8 mei 2003 Asse en Lubbeek Carl Possemiers.
Inkomensverzorger voor de sector zorg en welzijn
1 Cloud Computing & SaaS boodschap and werkgroep Educatie & PR February © EuroCloud –
Utility Business Infrastructure
Dag van de lokale overheid. March 9th Microsoft Belux Paul Faes Business Development Manager Lokale Overheid.
27 januari 2011 Sessie: Cloud scenario’s. Hoe te starten met cloud bij uw organsiatie? Irwin Hunter Solution Specialist UC en Cloud Computing
27 januari 2011.
Cloud / hosted citrix / virtualisatie
Het nieuwe werken Effectiever werken in een stimulerende omgeving.
SURF Normenkader HO Geert Eenink Teammanager Software & Cloud.
Startbijeenkomst benchmarking Publiekszaken
Introductie OHSAS
Geluk is een sirene die niet onderweg is naar jou Ingmar Heytze, 2011.
Van beheer naar regie “Als IT bijdragen aan de continuïteit van het bedrijf en meer toegevoegde waarde leveren.” Peter Henssen Harry Boers Bart Feenstra.
Student Advantage SLBdiensten & APS IT-diensten Charles Stork
Onsight Managed Security Services
Edukoppeling certificering
Risk Based Testing van pakketsoftware
september 2009 Aanbevelingen van Compliance professionals
Het recht om vergeten te worden Marens Engelhard Charles Jeurgens.
Delivering Value for Less A cceleration C enter for E ngagements Templates Oubollig of Agile Maurice Siteur ACE Service Manager Testing.
Informatieveiligheid bij een dienstverlener Ervaringen uit de markt.
What’s in the cloud for testing de mogelijkheden voor het testvak 12 mei 2010.
/ MAXIMAAL DRIE WOORDEN 0 For internal use GETRONICS / KPN acquisitie en samenwerking Roelof Mulder BUSINESS UNIT DIRECTOR GETRONICS ICS 6 APRIL 2010.
©2010 Hewlett-Packard Development Company, L.P. The information contained herein is subject to change without notice 1 Dick van Gaalen Program Manager.
SURF Juridisch normenkader cloudservices
APP Platform Rivium, 5 maart 2013 Rik Vietsch.
Presentatie titel BIMBDK01 Bedrijfskundige thema’s Week 2
De inzet van BPM en SOA in een organisatie
Persoonsgegevens en de Wbp
Privacy-AO voor een beveiliger Martin Romijn Functionaris voor de Gegevensbescherming Security Officer.
HET CENTRALE SECURITY PLATFORM GUARDIAN360 IS EEN ONDERDEEL VAN DE INTERMAX GROEP.
SOA en Business Process Management Hoofdstuk 5 uit Web Services van Manes, blz. 122 t/m blz. 129.
We Support Your Success!.
WirelessCity Ontdek de mogelijkheden van HP Wireless
Datacenter versus Cloud
Standaarden en spelregels voor de Slimme Stad
WirelessEnterprise Ontdek de mogelijkheden van HP Wireless
WirelessEducation Ontdek de mogelijkheden van HP Wireless
Privacy binnen de Drechtsteden
Privacy binnen de Drechtsteden
Microsoft vs de rest “Wat biedt het Microsoft Cloudplatform en hoe kan dit bijdragen aan veilig, snel en schaalbaar werken binnen elke organisatie.” Thomas.
The Hybrid Workspace Gino van Essen Technical Consultant.
2tCloud Connectivity propositie
Agenda AVG, wat is er aan de hand? Oefening: register van verwerkingen
True & Dell: Landscaping a smarter digital world.
Mr. I.W. van Osch 360|Advocaten
Gemeente Nieuwkoop - Bechtle
Privacy Wat moet je weten van de nieuwe privacyverordening
Microsoft Operations Management Suite (MOMS)
Welkom MKB Groeit! 1 August 2019.
Transcript van de presentatie:

27 januari 2011

Veilig in de Cloud Hoe kunt u uw mensen altijd en overal veilig toegang geven tot bedrijfsinformatie zonder dat u de controle over uw data verliest? En hoe kunt u voldoen aan wet- en regelgeving? Joris Geertman PSM S&T Microsoft jorisgee@microsoft.com twitter: jorisgee Louis Jonker advocaat Van Doorne jonker@vandoorne.com Hashtag 360 event: #360graden

Alle Cloud Sessies vandaag Tijd Sessie Spreker(s) 10:15 – 11:00 Cloud Scenario’s Irwin Hunter 11:15 – 12:00 Cloud Strategie Rene van Haaster 12:15 – 13:00 Office 365 Hans van der Meer 13:15 – 14:00 Cloud Confused ? Peter de Haas 14:15 – 15:00 Veilig in de Cloud Louis Jonker / Joris Geertman 15:15 – 16:00 Hans van der Meer 16:15 – 17:00 Gehele dag Cloud Desk Voor trial accounts en al uw cloud vragen

Cloud Desk voor al uw Cloud vragen Trial Accounts Licentie vragen Technische vragen “cloud” vragen U vindt ons op de community area

Cloud Desk voor al uw Cloud vragen Trial Accounts Licentie-vragen Technische-vragen Cloud-vragen CLOUD DESK

Twee vragen en discussie Is het veilig? Welke maatregelen neemt Microsoft om ervoor te zorgen dat online gegevens afdoende beveiligd zijn? Is het juridisch verantwoord? Hoe kan ik voldoen aan wet en regelgeving? Discussie

De Microsoft Cloud

CONFIDENTIAL – FOR MICROSOFT INTERNAL USE ONLY 4/2/2017 Microsoft Visie TV / HOME PC MOBIEL CLOUD SERVICES ON-PREMISES © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Microsoft Cloud Diensten Eigen Datacenter Private Cloud Public Cloud Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS)

Service Delivery Opties Private (On-Premise) Infrastructure (as a Service) Platform (as a Service) Software (as a Service) Applications Applications Applications Applications Runtimes Runtimes Runtimes Runtimes Security & Integration Security & Integration Security & Integration Security & Integration Databases Databases Databases Databases Servers Servers Servers Servers Virtualization Virtualization Virtualization Virtualization Server HW Server HW Server HW Server HW Managed door Service Provider Storage Storage Storage Storage Networking Networking Networking Networking Eigen beheer

Cloud Services voor Bedrijven PRISM FY11 4/2/2017 Cloud Services voor Bedrijven Significante Investeringen In Infrastructure Commitment voor Services Excellence Meer dan $2B geinvesteerd in cloud infrastructure Geografische replicatie klantgegevens Flexibiliteit door public én private cloud 30,000 engineers werkend aan clouddiensten Financiele SLA garanties SAS 70 en ISO 27001 compliant Continue reductie van de CO2 footprint Innovatie door snelle iteratieve verbetering clouddiensten PRODUKTIVITEIT COMMUNICATIE SAMENWERKEN BEDRIJFS APPL. BEHEER DATABASE PLATFORM © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Is het veilig?

Microsoft-cloud lekt bedrijfsdata van klanten

Kroes waarschuwt voor privacyrisico's cloud

Cloud Security Uitdagingen Toenemende afhankelijkheid tussen diensten, Betrouwbaarheid over Publieke en Private Sector Complexe, wereldwijde wet- en regelgeving en industrie standardaarden Nieuwe technologien, veranderende business modellen, dynamische hosting omgevingen Toenemende complexiteit van aanvallen, grotere bedreigingen en risico’s Cloud security Uitdagingen

CSA - Cloud Security Bedreigingen Cloud Security Alliance: Misbruik van Cloud Computing Onveilige API’s Onbetrouwbare / kwaadwillende insiders Kwetsbaarheden door gedeelde technologie Verlies van gegevens Kapen van accounts, dienst, netwerkverkeer Onbekend Risico Profiel

TWC / SDL / Transparency / Audits 4/2/2017 Defense-in-Depth Fysiek Netwerk Identity en Access Mgt Host Applicaties Data Security Foundation: TWC / SDL / Transparency / Audits © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Security Controls… shared responsibility IaaS Physical Security Network ACLs Virtual FW Cloud Health Monitoring …. PaaS Data Tagging App AuthN Service Desc. SaaS Application Logging App AuthZ Encryption Implementation “With more control, comes more responsibility”

Uitgebreid Compliance Framework Payment card industry data security standard Health Insurance Portability and Accountability Act Industry Standards and Regulations FISMA (NIST 800-53) Privacy laws, Sarbanes-Oxley, etc. Controls Framework Identify and integrate Regulatory requirements Customer requirements Assess and remediate Eliminate or mitigate gaps in control design Predictable Audit Schedule Test effectiveness and assess risk Attain certifications and attestations Improve and optimize Examine root cause of non-compliance Track until fully remediated ISO/IEC 27001:2005 certification PCI DSS certification SAS70 Type I and Type II attestations FISMA certification & accreditation Certification and Attestations

De Evolutie van Security van onze Online Services 4/2/2017 De Evolutie van Security van onze Online Services Portal Era Online App Era Web Services Era First ISO 27001 cert 1st Data Center 1989 1994-95 1997 2002 2004 2006 2008 Security Development Lifecycle First SAS-70 cert Trustworthy Computing Directive Cloud Computing Era 2010 FISMA Cert 2012 © 2010 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Control Modules

Transparency: Control Modules

Regionale Zonering Microsoft Datacenters Microsoft has more than 10 and less than 100 DCs worldwide Amsterdam Dublin Quincy Chicago Japan Hong Kong Boydton Des Moines San Antonio Singapore "Datacenters have become as vital to the functioning of society as power stations." The Economist 

Google weigert data in Europa te houden

Relevante Bronnen Microsoft Global Foundation Services: http://www.globalfoundationservices.com/ Microsoft Compliance Framework:  http://www.globalfoundationservices.com/documents/MicrosoftComplianceFramework1009.pdf Securing Microsoft’s Cloud Infrastructure: http://www.globalfoundationservices.com/security/documents/SecuringtheMSCloudMay09.pdf Cloud security Alliance http://www.cloudsecurityalliance.org/

27 januari 2011

Is het juridisch verantwoord?

Veilig in de cloud Hoe kunt u voldoen aan wet- en regelgeving? Louis Jonker advocaat Van Doorne jonker@vandoorne.com *** zonder hashcode #360graden wordt uw tweet niet serieus genomen ***

ONTWIKKELINGEN IN SOURCING: In-house Facilities management Hosting ASP Outsourcing/outtasking/BPO SaaS/PaaS/IaaS Cloud computing <…>

HOE PAST CLOUD COMPUTING BINNEN HET JURIDISCHE KADER? Geen nieuwe juridische aandachtspunten ten opzichte van andere uitbestedingsvormen, maar wel deels een andere focus vanwege dynamisch en grensoverschrijdend karakter van cloud computing Grosso modo juridisch: cloud computing = uitbesteding+ DUS AANDACHT VOOR JURIDISCHE ASPECTEN ALS: Dienstverlening (service levels, garanties) en sancties (boete, aansprakelijkheid) Regie (communicatie, rapportage) en controle (audit, TPM) Continuïteit (back-up, uitwijk, escrow) Intellectuele eigendom en gegevensbescherming (geheimhouding, beveiliging en privacy) Toepasselijk recht en geschiloplossing

JURIDISCHE UITDAGINGEN BIJ CLOUD COMPUTING: Toepasselijk recht ‘Control’ Continuïteit Gegevensbescherming

UITDAGING #1: TOEPASSELIJK RECHT Wet- en regelgeving bevat verschillende aanknopingspunten om te bepalen welk recht van toepassing is: - vestiging klant of locatie middelen/cloud (EU-privacyregelgeving) - plaats van kenmerkende prestatie (wanprestatie) - plaats waar schade zich voordoet (onrechtmatige daad) Gebrekkige harmonisatie van lokale regelgeving Uitdaging oplosbaar/beheersbaar Contractuele afspraken (tenzij dwingend recht) Regionale zonering LET OP: geschiloplossing (gelijk hebben ≠ gelijk krijgen)

UITDAGING #2: ‘CONTROL’ Uitdaging: kan je aan je wettelijke verplichtingen voldoen? IFRS, SOx, Tabaksblatt, … (“deugdelijk ondernemingsbestuur”) Civielrechtelijke en fiscale bewaarplichten Bestuurdersverantwoordelijkheid (Ceteco-uitspraak) Uitdaging oplosbaar/beheersbaar Waarborgen van beschikbaarheid van en toegang tot (kritieke) bedrijfsgegevens (zie uitdaging #3) Waarborgen van continuïteit van bedrijfsvoering (zie uitdaging #3) Controle (verifiëren van aanwezigheid/effectiviteit van ‘controls’): - Audit (uitdaging: cloud is niet statisch, maar dynamisch) - TPM (SAS70-Type I-II, ISAE3402/SSAE-Type A-B)

UITDAGING #3: CONTINUÏTEIT (I) Potentiële bedreiging: gebrekkige kwaliteit leverancier of diensten (uitvoering diensten in overeenstemming met bepaalde in overeenkomst) Potentiële bedreiging: uitwerking daarvan op bedrijfsvoering “FACT: every year, thousands of organizations experience disruption to their operations lasting longer than five working days.” (British Standards Institution)

UITDAGING #3: CONTINUÏTEIT (II) Uitdaging oplosbaar/beheersbaar Afstemming van aan de cloud te stellen eisen en kwaliteitsniveaus op de te ondersteunen bedrijfsvoering ‘Klassieke’ continuïteitsmaatregelen: - back-up (door leverancier of door klant), uitwijk - dynamische technology escrow? - exitassistentie ‘Verborgen’ continuïteitsmaatregelen: - “eigendom” van gegevens - hanteren van datastandaarden - concrete invulling van overmachtsbegrip - geclausuleerd opschortingsrecht leverancier bij betalingsgeschillen

UITDAGING #3: CONTINUÏTEIT (III) BELANGRIJKSTE CONTINUÏTEITSMAATREGEL = REGIE Gebrekkige kwaliteit van de leverancier of zijn diensten vormt niet het echte risico. In de praktijk levert veeleer de gebrekkige bekendheid met gebreken het ware risico op. Goede regieprocessen (communicatie, rapportage, verwachtingenmanagement) zijn essentieel om continuïteitsrisico’s, danwel de effecten daarvan, beheersbaar te houden. Dus ook: bekendheid met ketenpartners in cloud (bijv. clausule inzake onderaanneming)

UITDAGING #4: GEGEVENSBESCHERMING (I) Uitdaging (I) Toegang van derden tot data in de cloud - Patriot Act …, maar grootste gevaar komt zeker niet (alleen) uit de VS (met ruim 3 miljoen opvragingen in 2009 is NL Europees koploper) - impact of vertrouwelijkheid, data-integriteit, … Uitdaging oplosbaar/beheersbaar Contractuele afspraken: - toepasselijk recht? - regie (informatie-/waarschuwingsplicht) - back-up

UITDAGING #4: GEGEVENSBESCHERMING (II) Uitdaging (II) Privacy: - verwerking van persoonsgegevens (HR-gegevens, klantgegevens) - naleving verplichtingen uit hoofde van Wbp: * bekendheid met locatie van persoonsgegevens * passende technische en organisatorische beschermingsmaatregelen * maximale bewaartermijnen  verplichting tot verwijderen * uitvoering controle- en correctierechten betrokkenen Uitdaging oplosbaar/beheersbaar Bewerkersovereenkomst tussen klant (verantwoordelijke) en cloud computing provider (bewerker) met heldere verdeling van taken en verantwoordelijkheden

UITDAGING #4: GEGEVENSBESCHERMING (III) BIJZONDERE PRIVACY-UITDAGING Grensoverschrijdende datadistributie Doorgifte van persoonsgegevens buiten EER is verboden, tenzij: - wettelijke uitzondering (toestemming, uitvoering overeenkomst) - passend beschermingsniveau of VS Safe Harbour Uitdaging oplosbaar/beheersbaar Doorgifteovereenkomst (conform modelcontracten) + vergunning MvJ Cloud computing provider als verantwoordelijke voor doorgifte ‘Neutralisatie’ van data (anonimisering, pseudonimisering, encryptie?) Regionale zonering

SLOTOPMERKINGEN Cloud is nieuw, maar juridisch geen onbeschreven blad. Cloud brengt geen strakblauwe hemel met zich mee, maar ook geen donkergrijs wolkendek. Praktische oplossingen zijn voor handen.