Bezpieczeństwo cloud computing FAKTY I MITY Beata Marek, cyberlaw.pl Beata Marek, cyberlaw.pl Kancelaria w chmurze, Kancelaria w chmurze, 19.X X.2012
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Dlaczego chmura jest popularna ?
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
optymalizacja, możliwość skupienia się na zasadniczej działalności mobilność, szybkość wdrożenia, łatwość użytkowania, dostęp do najnowszych technologii biznesowych, przewidywalność ponoszonych kosztów na IT, brak inwestycji w hardware i obsługę serwisową przy jednoczesnym dostępie do najnowszych wersji oprogramowania.
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
Czy chmura jest bezpiecznym rozwiązaniem dla kancelarii ? Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
Koncepcja bezpieczeństwa opartego na lokalizacji staje się nieaktualna
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Zanim skorzysta się z chmury należy zidentyfikować własne wymagania GRC Government, Risk (Managment), Compiliance
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Zarządzanie ryzykiem: Zarządzanie ryzykiem: - proces reagowania - kontrola bezp. - przetwarzanie danych danych osobowych - cyberzagrożenia - normy i wytyczne - minimalizacja strat Zarządzanie danymi: Zarządzanie danymi: - proces dostępu - decyzje - instrukcje - proces decyzyjny Zgodność: Zgodność: - wymagania na poziomie organizacji poziomie organizacji - legislacja - wydatki w przypadku zgodności, naruszenia zgodności, naruszenia Government Risk (Managment) GovernmentCompiliance
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Należy wypytać providera o szczegóły
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X Czy dostawca oferuje Tobie przejrzyste informacje oraz pełną kontrolę nad bieżącą lokalizacją fizyczną wszystkich danych ? * lokalizacja = restrykcja przestrzegania określonych przepisów 2. Czy dostawca udostępnił Tobie klasyfikację danych ? * data classification 3. Jaka jest gwarancja, że dane są izolowane ? * chmura publiczna/hybryda 4. Jaka jest gwarancja, że dane zostaną usunięte ? 5. Jaki jest proces szyfrowania danych ? 6. Czy provider jest certyfikowany normą ISO 27001/innymi ? 7. Co dokładnie obejmuje certyfikacja ? 8. W jaki sposób chronione są Twoje dane ?
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X Jak wyglądają procedury bezpieczeństwa ? * procedura postępowania w przypadku wykrycia incydentu 10. Jakie są koszty utworzenia/zawieszenia/usunięcia konta ? 11. Jakie są terminy usunięcia i przechowywania danych ? 12. Czy postępowanie z danymi może być dostosowane do Twoich wymagań ? 13. Czy Twój provider działa w modelu PaaS ? * kto ma jeszcze dostęp do Twoich danych ? 14. Jak wygląda współpraca w zakresie przeprowadzania audytów ? 15. Jak wygląda backup danych ? * w jaki sposób otrzymasz użyteczną kopię ? 16. Jak szybko dane zostaną przywrócone w razie awarii ?
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X Jaka liczba klientów korzysta z rowiązania ? Jak liczną grupę podmiotów provider jest w stanie obsłużyć ? 18. Czy provider posiada własne zaplecze czy działa w modelu IaaS ? * jak to będzie wyglądało w przypadku powiększenia grupy klientów ? Gdzie będą znajdować się dane ? 19. W jakich przypadkach usługa może nie działać prawidłowo ? 20. Kiedy możesz nie mieć dostępu do danych ? Jak długo ? 21. Czy z usługi można korzystać bez opłat poza biurem / z innych urządzeń ? z innych urządzeń ? 22. Czy dane będą transferowane poza EOG ? 23. Czy transfer danych jest ograniczony w jakiś krajach ?
Chmury publiczne i prywatne są tak samo dobre dla prawników Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
Korzystam z chmury, nie muszę się zabezpieczać Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
Transport danych Szyfrowanie komunikacji klient - provider Spoczynek danych Szyfrowanie danych przetwarzanych przez providera Zabezpieczenie urządzenia Odpowiednie oprogramowanie
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Chmury są potencjalnym celem cyberprzestępców
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
Przestępcy kupują gotowe narzędzia
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Umowa outsourcingowa to umowa szyta na miarę Twoich potrzeb
Większa odpowiedzialność spoczywa na usługobiorcy w modelu PaaS niż SaaS Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012 Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
Klient Provider Klient Provider Odpowiedzialność pełna pośrednia * E-commerce Directive * E-commerce Directive Incydenty za należytą staranność za należytą staranność Incydenty za należytą staranność za należytą staranność Bezpieczeństwa tego co jest faktycznie Bezpieczeństwa tego co jest faktycznie pod jego kontrolą pod jego kontrolą Ochrona danych Kontroler / ADO Procesor Osobowych Administrator Bezpieczeństwa Informacji Administrator Bezpieczeństwa Informacji
Beata Marek Beata tel Kancelaria w chmurze, 19.X.2012 Dziękuję za uwagę