Rätt säkerhet Outsourcing

Storlek: px

Starta visningen från sidan:

Download "Rätt säkerhet Outsourcing"

Lena Nyström
för 7 år sedan
Visningar:

3 Rätt säkerhet Outsourcing

4 Plan del Outsourcing Varför finns standarden Vad karaktäriserar outsourcing och leverantörsrelationer? Struktur på standarden Skillnader del 2/3/4 Hur kan man använda den?

5 Varför finns ISO/IEC 27036? Syftade från början att reglera bättre ICT förhållanden mellan beställare och leverantör Men finns ju en koppling till Annex A och så inriktningen breddades till alla typer av outsourcing som påverkar informationssäkerhet Ska kunna användas av både beställare och leverantör Jobba med gemensam begreppsapparat - grunden för samverkan I princip alla organisationer kan ha nytta av standarden Tre delar klara och under svensk översättning Del 4 om moln kommer tidigast sent 2016

6 Säkerhetsåtgärder och fördjuping Två säkerhetsåtgärder mot ett tufft mål!

7 Vad är outsourcing, vad är leverantörsrelation? 3.6 outsourcing acquisition of services (with or without products) in support of a business function for performing activities using supplier s resources rather than the acquirer s supplier relationship agreement or agreements between acquirers and suppliers to conduct business, deliver products or services, and realize business benefit

8 ISO/IEC 27036:2014 Basic structure

9 De olika delarna Del 1: Overview and concepts informativt översikt och begrepp Del 2: Requirements normativt kan användas för att dra upp ramarna i avtal gällande informationssäkerhet mellan beställare och leverantör Del 3: Guidelines for ICT supply chain security vägledande riktar sig till både beställare och leverantörer för att ge råd om hantering av informationssäkerhetrisker Del 4: Guidelines for security of cloud services vägledande bygger vidare på del 2 och del 3, men riktar sig särskilt till användare och leverantörer av molntjänster. KOMMER SENT HÖSTEN 2016

10 Fyra olika fokusområden Leverantörsrelation produkter Leverantörsrelation tjänster ICT leveranskedja Cloud computing

11 Leverantörsrelation - produkter Risker framför allt inom Missade krav i kravspecifikationen Sårbarheter i mjukvaran Fel i programvaran Ömsesidig åtkomst till den andra partens information

12 Leverantörsrelation - tjänster Risker framför allt inom: Beställarens kritiska information kan hanteras helt eller delvis av leverantören Fjärråtkomst till beställarens information eller förvaring av beställarens information hos leverantören (var?)

13 ISO/IEC fundamentals

14 ISO/IEC vänder sig till både beställare och leverantör för riskerna finns ju på båda sidor!

15 ISO/IEC täcker in hela livscykeln från uppköp av tjänst eller produkt till utrangering eller avslut och tar också upp allt som måste fungera runt omkring, såsom; processerna omkring urval av leverantör avtalsförhandlingar med rekommenderade områden för kravställningar nödvändiga ledningsprocesser (ex. livscykelprocesser, HR, kvalitet, etc.) projektprocesser (ex. planeringsprocesser, riskhantering) tekniska processer (arkitektur)

16 ICT leveranskedjan del 3 Hur får vi samma nivå av säkerhet genom hela kedjan?

17 Del 4 Cloud computing Cloud computing är att tillhandahålla ex. användning av programvaror (SaaS) och lagringstjänster (IaaS). Tjänsterna innebär goda möjligheter till skalbarhet, flexibilitet och minskade kostnader för intern IT. Många gånger delas miljöer av olika kunder (multi tenant cloud environment). Risker framför allt inom osäkerhet gällande allmän ITsäkerhet hos molnleverantören och okunskap hos kunden

18 Acquirer Party Relationship Supplier Party Service Acquirer Organization Set information security requirements Communicates requirements Negotiates fulfillment in agreement Determine and accept residual risk Sign agreement Outsourcing Negotiation Both parties accepted Agreement Supplier Organization Offer fulfillment of information security requirements based on communicated Acquirer requirements Offer price Negotiate terms and fulfillment Determine and accept supply risks with the agreement Sign agreement NOT: Principbild som ligger till grund för vad är molnet specifikt. (Anpassas nu för att följa ISO/IEC Outsourcing General Outsourcing ICT Cloud Service Consumer Cloud Service Outsourcing Non negotiable offer Cloud Service Provider Determines security requirements for information applicable to the service Evaluate risk Risk acceptance Accept service Yes/No Acceptance Accepted As Is Agreement Input till Säkerhet vid outsourcing - Molntjänster Determine information security requirements based on service business model Public Cloud Private Cloud* Hybrid Cloud SaaS PaaS IaaS *) If a private cloud service is negotiated the relationship is as outsourcing above

19 27036 kan vara ett klart stöd Båda parter kan följa samma frågeställningar och därmed så skapas bättre förutsättningar för bättre balanserade avtal när det informationssäkerhet

Relevanta dokument

Molnet ett laglöst land?

Molnet ett laglöst land? 31 januari 2012 Pernilla Borg, CISA Magnus Ahlberg Om Ernst & Young IT Risk and Assurance Inom IT Risk and Assurance hjälper vi organisationer att hantera IT-risker på ett sätt