IT-säkerhet och Juridik

Transkript

1 IT-säkerhet och Juridik Agne Lindberg, Advokat och Partner Advokatfirman Delphi

2 Vad handlar det om Regler för Vad måste vi göra för att säkerställa ITsäkerhet krav på den egna organisationen Hur säkerställer vi IT säkerhet genom juridik Skydd för informationen och de tekniska lösningarna Krav på leverantören hur använder vi avtalet som verktyg för IT säkerhet Molntjänster vad är nytt under solen?

3 8 oktober 2015 Lagstiftning att tänka på Data privacy - GDPR (Caroline går igenom) Exempel: Säkerhetskrav Incidenter och informationsplikt Privacy by design Skydd mot angrepp Dataintrång (bedrägeri, utpressning etc) Myndigheter förordning om krisberedskap och höjd beredskap. MSB kräver rapportering av IT incidenter Företagshemligheter skydd mot obehöriga angrepp / bereder sig tillgång Informationen måste hållas hemligt! 3

4 Immaterialrätten Två sidor: Vad får du göra? Vilket skydd får du? Upphovsrätt formskydd (kod, texter, bilder, ljud) Ensamrätt till att framställa exemplar och göra det tillgängligt för allmänheten Skyddar information och teknik (ej metoder och fakta) Vem äger? Säkerställ ägandet. Endast programkod som utvecklas av anställda är reglerat! Big Data Stora datormängder eller stora investeringar för att samla in information Skyddar helheten inte mindre delar 4

5 Avtalet ett verktyg för att säkerställa IT-säkerhet i leveranser Leverans av IT-tjänster (drift, förvaltning m m) VAD ska levereras = Vem ansvarar för vad? Vad händer om leverantören INTE levererar = Vad betyder ansvaret? Vad händer när vi lämnar leverantören? 5

6 Tjänstebeskrivning Nr 1 på listan av vanliga diskussionspunkter: Scopet Konstruera tjänstebeskrivningen smart Funktionskrav RACI tabeller Koppling till Policies och regulatoriska krav Utveckling Utveckling av Leverantörens standardtjänst / Best Industry Practice Kundens policies & Regulatoriska krav 6

7 Tjänsteinnehållet, forts Kontroll på underleverantörer Godkännande / information Flow-down / Flow-up klausuler Business continuity och disaster recovery Ansvaret för förlust av data ska regleras ofta undantaget från leverantörens ansvar 7

8 Att mäta kvalitet och relation Servicenivåer mätning av kvalitet på tjänsterna: Mätbara och tydlighet i hur man mäter Mätperiod Rapporteringskrav Typiska områden för Servicenivåer: Tillgänglighet Säkerhet/integritetsskydd (ex vis att 100% av lagrad och överförd data är krypterad) Incidenthantering (Response time, resolution time) Problemhantering hur undviker vi att nya incidenter uppstår

9 Trender kring servicenivåer Flexibilitet Modeller för nya servicenivåer Viktning mellan servicenivåer i vitesmodeller Mät även proaktivt Riskelement i leveransen före avbrott! Bredd på konsekvenser: Viten på väsentliga servicenivåer OBS Ej exklusivitet Ekonomiskt incitament, längre avtalstid, exklusivitet Earnback

10 Avtalstid och Exit Avtalets löptid undvik exit Business Continuity krav test och verifieringsmöjligheter Step in Observatör Avtalstider Kortare med option på förlängning Termination for cause/convenience ska finnas men teoretiska? Säkerställ Exit Management i avtalet Assistans Överföring av data. Migrering? Radera data 10

11 Särskilt om molntjänster Risk utvärdering kompletteras med avtalskontroll Hur vet man vad man köper? Hjärtat i avtalet. I en bra tjänstebeskrivning bör det tydligt framgå vilka tjänster som ska utföras. men hur tydligt är det när man köper molntjänster? Off the shelf -krav på att kunden noggrant har kontrollerat att tjänsten uppfyller behoven. Vanligt med länkar till mer eller mindre luddiga beskrivningar av tjänsternas innehåll. Komplettera med: Grundkrav Exit möjlighet 11

12

13 Levande tjänster, ändringshantering Naturlig del av molntjänster (delvis det man köper), men hur undvika försämring? Överenskommen ändring vs leverantörens ensidiga Ensidig ändring vanligast och kanske omöjligt att förhindra till viss del Försök få till en baseline från vilken det inte får bli sämre särskilt med tanke på säkerhet. Materially? Exit rätt? 13

14 Tre saker att ta med hem! Säkerställ flexibilitet i avtalet (tjänsteinnehåll, servicenivåer och incitament) för Kundens verksamhetsförändring och marknadsutveckling Molntjänster Riskassesment + avtalskoll (minimikrav och kontroll på förändringar) Reglera vad som händer när avtalet upphör flytt av data, assistans, licens/immaterialrättigheter

15 Agne Lindberg Advokat/ Partner Mobil +46 (0) Advokatfirman Delphi Mäster Samuelsgatan 17 / Box 1432 / Stockholm / Sweden Tel: / 15

16