Vem äger informationen outsourcad IT och ändrade säkerhetspolitiska förutsättningar

Relevanta dokument
Rubrik. LIS + GDPR = Sant! Anne-Marie Eklund Löwinder, CISO Internetstiftelsen i

Digitalisering först till vilket pris?

Välkommen! Bakgrund Cloud Sweden Vad är molnet? Legala aspekter på molntjänster.

Detta är en dokumentmall för examensarbeten. Dokumentmallen har följande egenskaper:

Innehåll. Inledning... 3 Typsnitt & färg... 4 Logotyp... 5 Visitkort... 6 Brevpapper... 7 Kuvert... 8 Produkter... 9 Hemsida... 10

En mötesplats i centrum

Rubriktexten. Tilläggsrubrik. Upphovsperson Avdelning 2012

Manual Manual 1 Senaste uppdatering: 2015/03/26 Olsson & Gerthel

Svenska listan Svenskt register över vetenskapliga publiceringskanaler

GRAFISKA ANVISNINGAR BUSSPOOLEN - VÄSTERBOTTEN

Inbjudan till professor Nome Neskens installation

RIKSUTSTÄLLNINGARS BARN- & UNGDOMSSTRATEGI

Frågan om typsnitt för HT sönderfaller

Bildspel (Fokus på produkter) Nyheter/Kampanjer Nyheter/Kampanjer Nyheter/Kampanjer

Framgångsfaktorer i molnet!

Status för.se:s kvalitets- och säkerhetsarbete. Anne-Marie Eklund Löwinder

Informationssäkerhet vid upphandling och inköp av IT-system och tjänster

VISUELL IDENTITET FÖR TELTEK

Utmaningar vid molnupphandlingar

DIG IN TO Nätverksadministration

Årsräkning/Sluträkning Period:

Molntjänster. Översikt. Lektion 1: Introduktion till molntjänst. Introduktion till molntjänst. Vilka tjänster finns? Säkerhet.

Grafisk manual för Göteborgs rättighetscenter. Regler och ramar för användande av logotyp, färger, typsnitt m.m både inom webb och tryck.

Bilaga 3c Informationssäkerhet

Riktlinjer och inspiration till dig som gör annonser

kontorsmaterial/visitkort

En oas för trädgårds- och inredningsintresserade som söker efter något fint eller bara vill få inspiration och avkoppling.

Utvärdering av Turistbyrå

Rätt informationssäkerhet är A&O vid införande av välfärdsteknologi. Jeanna Thorslund, Sveriges Kommuner och Landsting Thomas Nilsson, Certezza

brandbook blågrön innovation

Lean Interior. Style guide. version 1.0

Välkomna till SJÖLOG 2017! Denna blankett är till för er som skall medverka på SJÖLOG 2017 och som skall presenteras i dess katalog.

Bilaga 3c Informationssäkerhet

Grafisk Profil. Northai

Remissutgåva. Program för informationssäkerhet

Personas och scenarios i webbutveckling - möjligheter och fallgropar. Rósa Guðjónsdóttir - PinkPuffin

Molnet ett laglöst land?

Årsräkning/Sluträkning Period:

Innehåll Molntjänster... 4 Vad är detta?... 5 Cirkeln sluts... 6 The Cloud... 7 The Cloud (forts.)... 8 Definition av molntjänster...

Molntjänster och integritet vad gäller enligt PuL?

Välkomna! till e-butik.se

EBITS Arbetsgruppen för Energibranschens Reviderad Informationssäkerhet

Bilaga 3a. Ickefunktionella krav. Upphandling av ett helhetsåtagande avseende IT-stöd för pedagogiskt material inom Skolplattform Stockholm

Glimåkra folkhögskola

SNITS-Lunch. Säkerhet & webb

Molnets möjligheter och utmaningar. IT Asset Management Summit 24 januari 2017 Peter Nordbeck/Partner/Advokat

Bilaga 3a Ickefunktionella

Hot eller möjlighet? Datormolnet och SMHI. Lisa Hammar, IT-arkivarie, SMHI. Mallversion

Regular expressions. "regexps" "grep" Jan Erik Moström,

Allmänna råd. Datainspektionen informerar Nr 2/2014. om användning av molntjänster (Cloud Computing) i den offentliga sektorn.

Bilaga 3c Informationssäkerhet

Nuläget kring säkerhet och internet

UTKAST. Riktlinjer vid val av molntjänst

Informationssäkerhet och earkiv Rimforsa 14 april 2016

Vår grafiska profil. Antagen av direktionen

Molntjänster - vilka är riskerna och vad säger PUL? ADVOKAT HANS NICANDER

KAMPANJPLATS XX Projektplan

Grafiska riktlinjer 1.2

Risk, security, and legal analysis for migration to cloud. PART 3: Privacy and security management

Grafisk manual 2010/2011 1

Bedrägerier på nätet hur undviker du att bli blåst? Anne-Marie Eklund Löwinder Säkerhetschef,.SE E-post:

MOLNTJÄNSTER ÄR DET NÅGOT FÖR OSS?

Grafisk manual. En grafisk guide till vår identitet.

Molntjänster och utkontraktering av kritisk verksamhet lagar och regler. Alireza Hafezi

GRAFISK MANUAL Visuell identitet, logotyp och riktlinjer NOVEMBER 2013

Säkerhet och förtroende

Titel. kurs uppgift. Författare A & Författare B cid@student.chalmers.se

DNSSEC hos.se. Anne-Marie Eklund Löwinder

GRAFISK MANUAL LATHUND

Strategisk informationsförsörjning

AKTIVITETER I JUNI JUNI MÅN

Policy för tekniska och organisatoriska åtgärder för dataskydd. 14 juni 2018 Peter Dickson

Molntjänster för administration, utbildning och forskning. Projektplan för 2017

LÖNEREVISION BEDÖMNINGSKRITERIER & UNDERLAG FÖR DIG SOM MEDARBETARE ZOO

Visuell identitet garant

Wireframes Arla - Naturens egen sportdryck Christoffer Du Rietz GreatWorks

VÄGLEDNING ATT UPPHANDLA PÅ ETT SÄKERT SÄTT

Tekniska lösningar som stödjer GDPR

AFFISCHER ANNONSER & FLYERS GRAFISKA RIKTLINJER

Riktlinjer avseende Informationssäkerheten för Götene, Lidköping och Skara kommuner

Logotyp. Så här kan pilen användas i en punktlist. Frizon för logotyp. Minsta tillåtna bredd är 15 mm

Acetec EvoDry svensktillverkade adsorptionsavfuktare

Chefer och Ledare grafisk manual

Välkommen till ett seminarium om hållbart markbyggande. Göteborg 28 november 2018

Revision av den interna kontrollen kring uppbördssystemet REX

Det här är en start- och kapitelsida

Remissvar Så stärker vi den personliga integriteten (SOU 2017:52)

Introduktion till molntjänster Tekniken bakom molntjänster och legala utmaningar

Aditro Our focus benefits yours Molnet -- Presentation

1. Om GNS-mallen. 1.1 Om mallen. 1.2 Viktiga skillnader

Sid. 2: Presentation av butikerna. Sid. 3: Tips till Nyårsfesten. Sid. 6: Laga till nåt läckert - recept. Sid. 8: Vinn drömresan till Florida!

Läs Mig Först Med fak

Identifieringstjänst SITHS. - Beskrivning och tjänstespecifika villkor

Migration to the cloud: roadmap. PART 1: Möjligheter och hinder för att migrera till molnet

Dagstidningsannonsering med logga mindre än 42 mm. Dagstidningsannonsering med logga större än A5 samt magasin. Vid svartvita annonser.

GRAFISKA RIKTLINJER FÖR ÅRSMÖTEN AUGUSTI 2015

F02 En första sida. Dagens agenda

Säkerhet i molnet krav och standarder

Visuell identitet P4. sveriges radio VER

Transkript:

Vem äger informationen outsourcad IT och ändrade säkerhetspolitiska förutsättningar Anne-Marie Eklund Löwinder, säkerhetschef amel@iis.se I @amelsec iis.se Bild 1

Kort om Internetstiftelsen Oberoende allmännyttig organisation som verkar för en positiv utveckling av internet Sköter administration och teknisk drift av.se och.nu Driver identitetsfederationer för vård och skola i Sverige Investerar i internetutvecklande projekt (år 2016 rörde det sig om cirka 50 miljoner kronor) Vision: Alla ska vilja, våga och kunna använda internet iis.se Bild 2

Rubrik Lorem ipsum dolor sit amet, consectetur adipiscing elit. Phasellus dictum laoreet mi, vel consectetur nisi ultricies sed. Vivamus viverra porttitor semper. iis.se iis.se

Avbrutna upphandlingar Nya Karolinska IT-infrastruktur (för dyrt) Konsumentverket IT-drift (otydliga krav) Statens servicecenter- E-arkiv (dålig kravuppfyllnad) iis.se Bild 4

Vad finns under ytan? Nytta för användaren SaaS PaaS IaaS Nätverksarkitekter Applikationsutvecklare Slutanvändare iis.se

Någonstans finns en fysisk maskin iis.se

Tillgång till en lösning Så snabbt som möjligt Så billigt som möjligt Så bra som möjligt 7

Molntjänster är attraktiva Låg inkörningströskel Betala i kassan Anpassa efter behov (skala upp/ner) Hög tillgänglighet (kanske) 8

Potentiella sårbarheter i molntjänster Tillförlitlighet och tillgänglighet Konfidentialitet (kryptering) Dataskydd och portabilitet Inlåsning hos leverantör Internetberoende iis.se

Var behövs säkerhet? Internetkommunikation/nätverk Serveråtkomst Programåtkomst Dataåtkomst Dataintegritet Lösningar: säker identifiering, kryptering, et cetera

Kan du lita på din leverantör? Vem äger eller har nyttjanderätten till den information som skickas upp till molnet? Vem äger metadata eller information som skapas i molnet som en del i nyttjandet av tjänsten (statistik, loggar)? Vad händer när molnleverantören säljs, går i konkurs, har allvarliga driftsproblem, blir ertappad med något fuffens eller bara inte sköter sig?

Säkerhetskravställning ISO 27017:2015 Tillgänglighet Autentisering och behörighetshantering Kryptering Nätverkssäkerhet Spårbarhet Gallring Avveckling och förstöring 12

Utvärdering Gruppera och ställ krav till rätt målgrupp: driftkrav (alla nivåer) krav på tjänsten (SaaS) integrationskrav (SaaS) 13

Utvärdering - drift Ändringshantering Behörighetsprocess Härdning/patchning Lagring och backup Spårbarhet - åtkomst till loggarna Incidenthantering (inkl. säkerhet) 14

Utvärdering - tjänst Säker utveckling (SDL, OWASP) Säkerhetstester (pen-test) Web Application Firewall (WAF) Autentiseringsmekanismer Kryptering av information Spårbarhet 15

Utvärdering - integration Autentisering (SAML/ADFS) Vilka nätintegrationer krävs? Vilken infrastruktur krävs internt? API gateway integration gateway proxy lösningar Tredjepartsintegratörer 16

Uppföljning Hur skall man kunna följa upp det som avtalats? Går det att genomföra audit (enligt avtalet)? Extern revision eller kunden själv? Regelbundna pentester Kräv rapport från test och hantering av upptäckta sårbarheter 17

Avslut Strategi för avslut? Finns det stöd i avtalet att informationen kan exporteras till en annan tjänst eller kunden själv? Tas informationen bort efter exit? All information? Även behörigheter? Loggar? 18

Inget nytt under solen Behovsanalys Inventering av tillgångar Riskanalys Kravspecifikation Ansvarsfördelning Avtal Uppföljning Granskning

Akta er för. 1. För mycket fokus på kostnader 2. För lite fokus på kvalitet och säkerhet 3. För otydliga krav 4. För lite dj-lar anamma iis.se Bild 20

Sammanfattning 1 (2) Molntjänster är här för att stanna Många är bra, men det finns spelare med bristande rutiner Utvärdera kvalitet och säkerhet på alla nivåer Avtal bör innehålla alla relevanta delar 21

Sammanfattning 2 (2) Genomför risk- och sårbarhetsanalys vad blir konsekvensen för dig och din information agera efter det Beräkna en totalkostnad inklusive integration 22

iis.se Bild 23

Tack för uppmärksamheten! Anne-Marie Eklund Löwinder Säkerhetschef Internetstiftelsen i Sverige @amelsec amel@iis.se https://www.iis.se iis.se Goto10.se Bild 24

2025 © DocPlayer.se Sekretesspolicy | Användarvillkor | Kontakta oss