Abstract image of a woman sitting on books and studying on a laptop

Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne Ermose, Ole Kjeldsen 291014

Microsoft, profile picture
Microsoft

Microsoft Next - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne Ermose, Ole Kjeldsen 291014

Technology
1 of 50
Download to read offline
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne Ermose, Ole Kjeldsen 291014
Cloud i et juridiskog sikkerhedsmæssigtperspektivfor offentligeog private virksomheder AdvokatAnne Ermose TeknologidirektørOle Kjeldsen
- - - - -
Et ekstremt dynamisk teknologilandskab Mobilitet Social Cloud Big data 57%af enterprises vil have investeret i enterprise social i 2014 >70%af CIOs vil adoptere en cloud-first strategi i 2016 af organisationer øgede public cloud forbrug i 2013 54% af CIOs ser mobile som den mest disruptive teknologi de næste 10år 70% Social networking vil følge ikke blot mennesker, men også husholdningsenheder devices og andre produkter Forbrug på Big Data: af alle ny applikations-udvikling havde en mobil form factor som mål 1/3 I 2013 IP enheder: 10 mia (2020) 400% (idag) $10 milliarder 2013 > $20 milliarder 2016 zettabytes i 2013 50% 4 Fra 2012 Totalt digitalt indhold vil gro =
57%af enterprises vil have investeret i enterprise social i 2014 >70%af CIOs vil adoptere en cloud-first strategi i 2016 af organisationer øgede public cloud forbrug i 2013 54% af CIOs ser mobile som den mest disruptive teknologi de næste 10år 70% Social networking vil følge ikke blot mennesker, men også husholdningsenheder devices og andre produkter Forbrug på Big Data: af alle ny applikations-udvikling havde en mobil form factor som mål 1/3 I 2013 IP enheder: 10 mia (2020) 400% (idag) $10 milliarder 2013 > $20 milliarder 2016 zettabytes i 2013 50% 4 Fra 2012 Totalt digitalt indhold vil gro = Et ekstremt dynamisk teknologilandskab Mobilitet Social Cloud Big data Cybersikkerhed Skadelig software Avancerede Targeted angreb Data tyveri & insider leaks Cyber terrorisme & hacktivisme …. skaber behov for ny risikovurdering
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne Ermose, Ole Kjeldsen 291014
'Risks and rewards' vedcloud adoption FORDEL compliance privacy sikkerhed pålidelighed skalerbarhed mere omstillingsparat fleksibilitet IT infrastrukturomkostning BEKYMRING
Bekymringføradoption 60% Udtryktebekymringeromkringdata sikkerhedsom enbarrier for at flyttetilcloud 45% Bekymrede for at detvillebetydetab afcontrol hvisman flyttedetilskyen Faktiskrealiseredefordele 94% Oplevedesikkerhedsfordelede ikke tidligerehavdeon-premise 62% sagdeat privacy beskyttelsenfaktiskblevetøgetsom følgeat atadoptereencloud strategi Cloud innovation MULIGHED FOR AT HØSTESIKKERHEDS & COMPLIANCE FORDELE Barriers to Cloud Adoption study, ComScore, September 2013
tillidsvækkendefundament BYGGET PÅ Microsoft ERFARING MED DRIFT OG UDVIKLING Trustworthy ComputingInitiative Security Development Lifecycle Global Data Center Services Malware Protection Center Microsoft SecurityResponse Center Windows Update 1stMicrosoft Data Center ActiveDirectory SOC 1 CSA Cloud Controls Matrix PCI DSS Level 1 FedRAMP/ FISMA UK G-Cloud Level 2 ISO/IEC 27001:2005 HIPAA/ HITECH Digital Crimes Unit SOC 2 E.U. Data Protection Directive
Sikkerhedbyggerpåtillidog partnerskab Kunderer ultimativtansvarligefor at sikrecompliance (citat: DPA, CfCSog DigiStyr) Microsoft er gennemsigtigeom certificeringer, revisionsrapporteretc. Ansvar: Data Klassifikation& Accountability Kontrollerpåapplikationsniveau KontrollerpåOS niveau KontrollerpåHost niveau Identitets& Adgangsstyring Netværkskontroller FysiskSikkerhed CLOUD UDBYDER CLOUD KUNDE Public Private
compliance & gennemsigtighed
Datacenter drift
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne Ermose, Ole Kjeldsen 291014
Grundlæggendepersondataretligramme
Principperfor persondatalovgivningen
Principperfor persondatalovgivningen Typiskencloud kundesansatteellerkunde Cloud kundeog/ellercloud partner Microsoft og/ellercloud partner
Overførselaf persondataudaf EU/EØS http://export.gov/safeharbor/ Overførselaf PII to et land udenfor EU/EØS erforbudtmedmindrebehandlingendérertilstrækkeligsikker (EU databeskyttelsesdirektivet) Enmodelaftalemellemendataansvarligog en(tredjeplands) databehandler, somerforhåndsgodkendtaf EU Kommissionen SkalikkeanmeldestilDatatilsynet
Datatilsynets udtalelser om cloud og jura Datatilsynetskonkreteafgørelseaf 10. juli2012 om IT- Universitetetsanmeldelseaf brugaf Office 365 tillønadministrationog administration afmedarbejdereog studerende Datatilsynetsudtalelseaf 6. juni2012 tilMicrosoft Danmark om Office 365 e Datatilsynetsudtalelseaf 15. januar2014 om brugaf danskdatabehandlerog cloudbaseretunderdatabehandler(samttredjelandsoverførsel)
Generelvalideringfra EUs datatilsyn
•28medlemsstaterrepræsenteretiArtikel29Arbejdsgruppeneralleenige •Microsofterdenførsteogenestecloudleverandørdermodtagerdenneformforvalidering •Detteunderstregesaf,atEUsdatabeskyttelsesdirektivsætter“denhøjestebarre”fordatabeskyttelses •GælderforMicrosoftAzure,Office365, DynamicsCRMOnline,ogWindowsIntune Microsoft’s kontraktsfastsattedatabeskyttelsebestemmelseropfylderEUs kravtiloverførselaf data udaf EU/EØS
Områder med mulige særregler
Privacy og Gennemsigtighed Microsoft Online Services Trust Center & Uafhængige certificeringer – Gennemsigtighed om up-to-date cloud infrastruktur og ops infomation Safe Harbor Certification –Overførsel til og adgang fra certificerede selskaber EU Model Clauses –Overførsel til og adgang fra tredjelande Microsoft Online Services Terms eller Databehandleraftale –Skriftlig, fuld instruktion mellem dataansvarlig og databehandler
“In short, when governments seek information from Microsoft relating to customers, we strive to be principled, limited in what we disclose, and committed to transparency.” Myndigheders adgang til data
Myndighedersadgangtildata -Law Enforcement Requests Reports -US National Security Orders Reports http://www.microsoft.com/about/corporatecitizenship/en- us/reporting/transparency/
Myndighedersadgangtildata Microsoft fører aktuelt retssager mod navnlig amerikanske myndigheder for at beskytte kunders data Microsoft sætterhandling bag ordfor at beskyttekundersdata veddomstolene: •Microsoft -Warrant Sag •National Security Letters •Government Requests Transparency
Microsoft Cloud … opsummering”…begrundettillidtilCloud”
Det er jeresdata I ejerdem, I kontrollererdem Vi kørertjenestenfor jer Vi er ansvarligeoverforjer OpsummeringTrustworthy Cloud for Business
Anne Ermose aermose@microsoft.com Ole Kjeldsen olek@microsoft.com TAK!
yderligere ressourcer Generelt: http://aka.ms/danmark-skyen CloudSecurity Readiness Tool: http://www.microsoft.com/trustedcloud Microsoft Azure Cloud Security Infographic: http://info.windowsazure.com/rs/microsoft/images/WindowsAzureCloudSecurity-Infographic.pdf Microsoft Azure Security, Privacy, and Compliance Whitepaper: http://www.windowsazure.com/en-us/support/trust-center/ Windows Azure Cloud Security Infographic: http://info.windowsazure.com/rs/microsoft/images/WindowsAzureCloudSecurity-Infographic.pdf Windows Azure Security, Privacy, and Compliance Whitepaper: http://go.microsoft.com/fwlink/?LinkId=392408 Windows Azure Trust Center: http://www.windowsazure.com/en-us/support/trust-center/ 10 ting om Azure Sikkerhed: http:/technet.microsoft.com/en%20-us/cloud/gg663906.aspx OfficielBlog om Article 29 Working Group –post
Microsoft Azure Establish release criteria & sign-off as part of FSR Incident Response (MSRC) Guide product teams to meet SDL requirements Administer and track security training Training Requirements Design Implementation Verification Release Response Education Process Accountability Ongoing Process Improvements security development lifecycle model
Microsoft Azure fysisk, ID & adgang Perimeter mm.
Microsoft Azure 32 service sikkerhedstarter med fysiskDC Cameras 24X7 security staff Barriers Fencing Alarms Two-factor access control: Biometric readers & card readers Security operations center Days of backup power Seismic bracing Bygninger Perimeter ‘rummene’
Microsoft Azure netværkssikkerhed
Microsoft Azure data beskyttelse
Microsoft Azure threat defense
Microsoft Azure 36 Event Detected Security Team Engaged Security Event Confirmed Event Start DevOps Engaged Incident Assessment Determine Customer Impact Azure Customer Notification Customer Process Step 1 Determine Affected Customers Customer Notification •9-trins incident response proces •Fokuspåafgrænsning& genskabelse •& giver kontraktuelleforpligtelseromkringkundenotifikation Incident response
www.microsoft.com/trustedcloud.
Cloud Security Readiness Tool
The Cloud Security Readiness Tool •Was released in October 2012 by Microsoft Trustworthy Computing •Is based on the Cloud Security Alliance’s (CSA) Cloud Control Matrix (CCM) •Is used to help organizations assess their current IT environment with regard to systems, processes, and productivity so you can improve your IT investment and realize the potential of cloud computing •Includes 27 survey questions designed to identify the maturity level of a surveyee’scurrent IT infrastructure.
Federal Office for Information SecurityEuropean Network and Information Security Agency
•Getting Started. •Making Progress. •Almost There. •Streamlined.
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne Ermose, Ole Kjeldsen 291014
•Q5. Legal. Nondisclosure Agreements •Q9. Operations Management. Equipment Maintenance •Q10. Data Governance. Classification •Q16. Facility Security. Asset Management •Q18. Risk Management. Program •Q19. Information Security. Incident Reporting •Q20. Resiliency. Management Program •Q22. Resiliency. Equipment Location 40,1% 43,2% 47,2% 41,3% 42,1% 45,1% 41,1% 41,4% 0% 20% 40% 60% 80% 100% 1 2 3 4 5 6 7 8 Serie1 Serie2 Serie3 Serie4 There is potential benefit in adopting a cloud computing solution from a vendor who has implemented best practices across the CSA’s CCM.
-26,9% -26,5% -22,8% -15,7% -41,0% -5,8% -24,0% -24,2% -39,4% -34,9% -52,4% -12,7% -31,6% -25,3% -9,0% -31,7% -30,6% -35,6% -42,8% -25,7% -44,3% -28,7% -32,8% -16,4% 14,7% -12,6% -0,4% -60% -50% -40% -30% -20% -10% 0% 10% 20% 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 The data shows that most organizations are relatively immature across almost all of the control areas represented in the CSRT.
•Information securitythrough deployment ofantivirus/antimalware software •Security architecturethrough clock synchronization of networked PCs •Facility security through controlling user access to data INFORMATION SECURITY antivirus/antimalware software clocksynchronization SECURITY ARCHITECTURE FACILITY SECURITY controlled user access to data
• Human resources security through prudent hiring practices • Operations management through effective capacity planning • Information security through consistent incident reporting • Legal protection through use of nondisclosure agreements (NDA) • Operations management through effective equipment maintenance HUMAN RESOURCES SECURITY prudent hiring practices OPERATIONS MANAGEMENT effective capacity planning OPERATIONS MANAGEMENT effective equipment maintenance INFORMATION SECURITY consistent incident reporting LEGAL PROTECTION nondisclosure agreements
Microsoft Azure 47 Anerkendtfor vorecommitmentshttps://www.eff.org/who-has-your-back-government-data-requests-2014
Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne Ermose, Ole Kjeldsen 291014
1.Begrænse statens autorisation til at indsamle borgeres data 2.Sikre tilsyn & rettidig gennemsigtighed 3.Skabe gennemsigtighed om statens krav om data 4.Respektere fri bevægelighed for lovlige digitale data 5.Sikre internationale rammer for løsning af juridiske konflikter
giver ikkeblanco adgang til hverken egne eller kunders data udleverer ikkekrypteringsnøgler og assisterer ikkemyndigheder med at bryde krypteringer udleverer ikkedata på baggrund af ‘bulk’ forespørgsler bruger ikke& tillader ikkebagdøre i vores software eller software vi anvender er ikkeen del af nogen form for overvågnings-eller efterretnings- netværk i USA eller andre lande Øger konstant kryptering af data både i transport og i lagring & driver derudover alle vores Datacentre med ISO27001 certificering Fortsætter juridisk arbejde. Udfordrer bl.a.lovlighedeni forespørgsler med såkaldte ‘gag orders’ Fortsætter lovligt & reguleret efterforskningssamarbejde rettet mod pirateri, pædofili, ID tyveri etc. Øger gennemsigtigheden ved at •involvere ejeren af data som efterspørges af myndigheden •oprette flere codeReviewCenters •udgive Law EnforcementRequestReports •dele guidance baseret på sikker drift og udviklingserfaringer Tager initiativ til industrisamarbejde på området for at sikre bedst muligt fundament for ‘CloudTrust’

More Related Content

PDF
TDC Perspektiv - Tema om IT-Sikkerhed
Jonas de Place
 
PDF
KMD_sikkerhedbrochure
Claus Lavdal
 
PPTX
Muligheder for sikker cloud computing
Lars Neupart
 
PDF
Dk cert trendrapport2012.web
Kim Rene Jensen
 
PDF
Social listening
Microsoft
 
PDF
Трейвиш А.И. Страноведение. Лекция 9. Население и расселение страны
Виктор Крысов (Viktor Krysov)
 
PDF
Трейвиш А.И. Страноведение. Лекция 8, часть 2. Путешествие и полевое исследов...
Виктор Крысов (Viktor Krysov)
 
PDF
Microsoft Next 2014 - Productivity session 5 - Projektoverblik, effektivt sam...
Microsoft
 
TDC Perspektiv - Tema om IT-Sikkerhed
Jonas de Place
 
KMD_sikkerhedbrochure
Claus Lavdal
 
Muligheder for sikker cloud computing
Lars Neupart
 
Dk cert trendrapport2012.web
Kim Rene Jensen
 
Social listening
Microsoft
 
Трейвиш А.И. Страноведение. Лекция 9. Население и расселение страны
Виктор Крысов (Viktor Krysov)
 
Трейвиш А.И. Страноведение. Лекция 8, часть 2. Путешествие и полевое исследов...
Виктор Крысов (Viktor Krysov)
 
Microsoft Next 2014 - Productivity session 5 - Projektoverblik, effektivt sam...
Microsoft
 

Viewers also liked (20)

PDF
Microsoft Next 2014 - Productivity session 5 - Projektoverblik, effektivt sam...
Microsoft
 
PDF
Развитие экономического дискурса
Виктор Крысов (Viktor Krysov)
 
PDF
детская образная карта России 21 мая 2014
Виктор Крысов (Viktor Krysov)
 
DOCX
Unit 1 ICT project
MartinoArmanini
 
PPTX
μεγάλο πανεκπαιδευτικό συλλαλητήριο
papazaniaggeliki
 
PDF
Find værdi i alle data
Microsoft
 
PPT
Arctic Monkeys - Fluorescent Adolescent
dannyhammond1
 
PDF
Tre danske virksomheders erfaringer med Office 365 - den konkrete forskel for...
Microsoft
 
PDF
Microsoft Sales Leadership konference - FRA DATA TIL BUNDLINJE V. Lars Bo Gra...
Microsoft
 
PPTX
Ledelseskompas målrettet MT Højgaards ledelse
Microsoft
 
PDF
Starter unikke kundeoplevelser i Marketing eller IT?
Microsoft
 
PDF
Samspillet mellem mennesker, processer og teknologi
Microsoft
 
PDF
Kundeservice for vindere
Microsoft
 
PDF
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Microsoft
 
PDF
Трейвиш. А.И. Страноведение. Лекция 8, часть1.
Виктор Крысов (Viktor Krysov)
 
PDF
Microsoft Next 2014 - Insights session 2 - Turning data into a business advan...
Microsoft
 
PDF
Sikkerhed i en Mobile-first, cloud-first verden
Microsoft
 
PDF
Microsoft Next 2014 - Productivity session 1 - Den moderne arbejdsplads: Fra ...
Microsoft
 
PPTX
В помощь молодому преподавателю. Проведение письменной экзаменационной контро...
Виктор Крысов (Viktor Krysov)
 
PPTX
Business Insight 2014 - Små og store data - hvad kan de bruges til, hvordan f...
Microsoft
 
Microsoft Next 2014 - Productivity session 5 - Projektoverblik, effektivt sam...
Microsoft
 
Развитие экономического дискурса
Виктор Крысов (Viktor Krysov)
 
детская образная карта России 21 мая 2014
Виктор Крысов (Viktor Krysov)
 
Unit 1 ICT project
MartinoArmanini
 
μεγάλο πανεκπαιδευτικό συλλαλητήριο
papazaniaggeliki
 
Find værdi i alle data
Microsoft
 
Arctic Monkeys - Fluorescent Adolescent
dannyhammond1
 
Tre danske virksomheders erfaringer med Office 365 - den konkrete forskel for...
Microsoft
 
Microsoft Sales Leadership konference - FRA DATA TIL BUNDLINJE V. Lars Bo Gra...
Microsoft
 
Ledelseskompas målrettet MT Højgaards ledelse
Microsoft
 
Starter unikke kundeoplevelser i Marketing eller IT?
Microsoft
 
Samspillet mellem mennesker, processer og teknologi
Microsoft
 
Kundeservice for vindere
Microsoft
 
Cyber Security Conference - Velkommen & overblik over dagens indhold, v/ Tekn...
Microsoft
 
Трейвиш. А.И. Страноведение. Лекция 8, часть1.
Виктор Крысов (Viktor Krysov)
 
Microsoft Next 2014 - Insights session 2 - Turning data into a business advan...
Microsoft
 
Sikkerhed i en Mobile-first, cloud-first verden
Microsoft
 
Microsoft Next 2014 - Productivity session 1 - Den moderne arbejdsplads: Fra ...
Microsoft
 
В помощь молодому преподавателю. Проведение письменной экзаменационной контро...
Виктор Крысов (Viktor Krysov)
 
Business Insight 2014 - Små og store data - hvad kan de bruges til, hvordan f...
Microsoft
 
Ad

Similar to Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne Ermose, Ole Kjeldsen 291014 (20)

PDF
Keynote
Microsoft
 
PPTX
Dansk It Neupart Cloud Sikkerhed Risikovurdering
Lars Neupart
 
PDF
Sådan vurderer du Cloud Compliance
Microsoft
 
PPSX
Internet of Things
Alexandra Instituttet
 
PDF
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
Alexandra Instituttet
 
PDF
Lad data styre din forretning
Microsoft
 
PDF
Sådan kommer du i gang med skyen (pdf)
Kim Jensen
 
PPTX
Gartner analytics session
Sik Cambon Jensen
 
PDF
Skyerne er endnu ikke lettet over finans - men det lysner for de modige
Kristian Hjort-Madsen
 
PDF
Invitation til seminar
Jørgen Østergaard
 
PDF
DK Cert Trend Rapport 2012
Kim Jensen
 
PPTX
PROSPER - Module 1 - Unit 5.pptx
caniceconsulting
 
PDF
Planlæg en sikker fremtid for din virksomhed
Edutasia
 
PPT
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
IBM Danmark
 
PPTX
PureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, Atea
IBM Danmark
 
PDF
IBM cloud i computerworld november 2010
Toke Binzer
 
PDF
Cloud computing | Værd at vide
JCD A/S
 
PPTX
16042 computerworld summit præsentation final 150410 v2
Henrik Blas Simonsen
 
PDF
Computerworld Keynote 2021 - Cloud Privacy
Kristian Hjort-Madsen
 
PDF
Microsoft next 2014 - sms offers
Microsoft
 
Keynote
Microsoft
 
Dansk It Neupart Cloud Sikkerhed Risikovurdering
Lars Neupart
 
Sådan vurderer du Cloud Compliance
Microsoft
 
Internet of Things
Alexandra Instituttet
 
2010 Sorø "Internet of Things, Cloud Computing & Sikkerhed"
Alexandra Instituttet
 
Lad data styre din forretning
Microsoft
 
Sådan kommer du i gang med skyen (pdf)
Kim Jensen
 
Gartner analytics session
Sik Cambon Jensen
 
Skyerne er endnu ikke lettet over finans - men det lysner for de modige
Kristian Hjort-Madsen
 
Invitation til seminar
Jørgen Østergaard
 
DK Cert Trend Rapport 2012
Kim Jensen
 
PROSPER - Module 1 - Unit 5.pptx
caniceconsulting
 
Planlæg en sikker fremtid for din virksomhed
Edutasia
 
Henrik Hammer - Forretningsfordele ved Cloud-baseret samarbejde
IBM Danmark
 
PureSystems: Expert-in-a-box IT-infrastruktur, Kim Gregers Petersen, Atea
IBM Danmark
 
IBM cloud i computerworld november 2010
Toke Binzer
 
Cloud computing | Værd at vide
JCD A/S
 
16042 computerworld summit præsentation final 150410 v2
Henrik Blas Simonsen
 
Computerworld Keynote 2021 - Cloud Privacy
Kristian Hjort-Madsen
 
Microsoft next 2014 - sms offers
Microsoft
 
Ad

Microsoft Next 2014 - Cloud Platform session 5 - Cloud jurasikkerhed, v. Anne Ermose, Ole Kjeldsen 291014

  • 2. Cloud i et juridiskog sikkerhedsmæssigtperspektivfor offentligeog private virksomheder AdvokatAnne Ermose TeknologidirektørOle Kjeldsen
  • 3. - - - - -
  • 4. Et ekstremt dynamisk teknologilandskab Mobilitet Social Cloud Big data 57%af enterprises vil have investeret i enterprise social i 2014 >70%af CIOs vil adoptere en cloud-first strategi i 2016 af organisationer øgede public cloud forbrug i 2013 54% af CIOs ser mobile som den mest disruptive teknologi de næste 10år 70% Social networking vil følge ikke blot mennesker, men også husholdningsenheder devices og andre produkter Forbrug på Big Data: af alle ny applikations-udvikling havde en mobil form factor som mål 1/3 I 2013 IP enheder: 10 mia (2020) 400% (idag) $10 milliarder 2013 > $20 milliarder 2016 zettabytes i 2013 50% 4 Fra 2012 Totalt digitalt indhold vil gro =
  • 5. 57%af enterprises vil have investeret i enterprise social i 2014 >70%af CIOs vil adoptere en cloud-first strategi i 2016 af organisationer øgede public cloud forbrug i 2013 54% af CIOs ser mobile som den mest disruptive teknologi de næste 10år 70% Social networking vil følge ikke blot mennesker, men også husholdningsenheder devices og andre produkter Forbrug på Big Data: af alle ny applikations-udvikling havde en mobil form factor som mål 1/3 I 2013 IP enheder: 10 mia (2020) 400% (idag) $10 milliarder 2013 > $20 milliarder 2016 zettabytes i 2013 50% 4 Fra 2012 Totalt digitalt indhold vil gro = Et ekstremt dynamisk teknologilandskab Mobilitet Social Cloud Big data Cybersikkerhed Skadelig software Avancerede Targeted angreb Data tyveri & insider leaks Cyber terrorisme & hacktivisme …. skaber behov for ny risikovurdering
  • 7. 'Risks and rewards' vedcloud adoption FORDEL compliance privacy sikkerhed pålidelighed skalerbarhed mere omstillingsparat fleksibilitet IT infrastrukturomkostning BEKYMRING
  • 8. Bekymringføradoption 60% Udtryktebekymringeromkringdata sikkerhedsom enbarrier for at flyttetilcloud 45% Bekymrede for at detvillebetydetab afcontrol hvisman flyttedetilskyen Faktiskrealiseredefordele 94% Oplevedesikkerhedsfordelede ikke tidligerehavdeon-premise 62% sagdeat privacy beskyttelsenfaktiskblevetøgetsom følgeat atadoptereencloud strategi Cloud innovation MULIGHED FOR AT HØSTESIKKERHEDS & COMPLIANCE FORDELE Barriers to Cloud Adoption study, ComScore, September 2013
  • 9. tillidsvækkendefundament BYGGET PÅ Microsoft ERFARING MED DRIFT OG UDVIKLING Trustworthy ComputingInitiative Security Development Lifecycle Global Data Center Services Malware Protection Center Microsoft SecurityResponse Center Windows Update 1stMicrosoft Data Center ActiveDirectory SOC 1 CSA Cloud Controls Matrix PCI DSS Level 1 FedRAMP/ FISMA UK G-Cloud Level 2 ISO/IEC 27001:2005 HIPAA/ HITECH Digital Crimes Unit SOC 2 E.U. Data Protection Directive
  • 10. Sikkerhedbyggerpåtillidog partnerskab Kunderer ultimativtansvarligefor at sikrecompliance (citat: DPA, CfCSog DigiStyr) Microsoft er gennemsigtigeom certificeringer, revisionsrapporteretc. Ansvar: Data Klassifikation& Accountability Kontrollerpåapplikationsniveau KontrollerpåOS niveau KontrollerpåHost niveau Identitets& Adgangsstyring Netværkskontroller FysiskSikkerhed CLOUD UDBYDER CLOUD KUNDE Public Private
  • 16. Principperfor persondatalovgivningen Typiskencloud kundesansatteellerkunde Cloud kundeog/ellercloud partner Microsoft og/ellercloud partner
  • 17. Overførselaf persondataudaf EU/EØS http://export.gov/safeharbor/ Overførselaf PII to et land udenfor EU/EØS erforbudtmedmindrebehandlingendérertilstrækkeligsikker (EU databeskyttelsesdirektivet) Enmodelaftalemellemendataansvarligog en(tredjeplands) databehandler, somerforhåndsgodkendtaf EU Kommissionen SkalikkeanmeldestilDatatilsynet
  • 18. Datatilsynets udtalelser om cloud og jura Datatilsynetskonkreteafgørelseaf 10. juli2012 om IT- Universitetetsanmeldelseaf brugaf Office 365 tillønadministrationog administration afmedarbejdereog studerende Datatilsynetsudtalelseaf 6. juni2012 tilMicrosoft Danmark om Office 365 e Datatilsynetsudtalelseaf 15. januar2014 om brugaf danskdatabehandlerog cloudbaseretunderdatabehandler(samttredjelandsoverførsel)
  • 20. •28medlemsstaterrepræsenteretiArtikel29Arbejdsgruppeneralleenige •Microsofterdenførsteogenestecloudleverandørdermodtagerdenneformforvalidering •Detteunderstregesaf,atEUsdatabeskyttelsesdirektivsætter“denhøjestebarre”fordatabeskyttelses •GælderforMicrosoftAzure,Office365, DynamicsCRMOnline,ogWindowsIntune Microsoft’s kontraktsfastsattedatabeskyttelsebestemmelseropfylderEUs kravtiloverførselaf data udaf EU/EØS
  • 21. Områder med mulige særregler
  • 22. Privacy og Gennemsigtighed Microsoft Online Services Trust Center & Uafhængige certificeringer – Gennemsigtighed om up-to-date cloud infrastruktur og ops infomation Safe Harbor Certification –Overførsel til og adgang fra certificerede selskaber EU Model Clauses –Overførsel til og adgang fra tredjelande Microsoft Online Services Terms eller Databehandleraftale –Skriftlig, fuld instruktion mellem dataansvarlig og databehandler
  • 23. “In short, when governments seek information from Microsoft relating to customers, we strive to be principled, limited in what we disclose, and committed to transparency.” Myndigheders adgang til data
  • 24. Myndighedersadgangtildata -Law Enforcement Requests Reports -US National Security Orders Reports http://www.microsoft.com/about/corporatecitizenship/en- us/reporting/transparency/
  • 25. Myndighedersadgangtildata Microsoft fører aktuelt retssager mod navnlig amerikanske myndigheder for at beskytte kunders data Microsoft sætterhandling bag ordfor at beskyttekundersdata veddomstolene: •Microsoft -Warrant Sag •National Security Letters •Government Requests Transparency
  • 26. Microsoft Cloud … opsummering”…begrundettillidtilCloud”
  • 27. Det er jeresdata I ejerdem, I kontrollererdem Vi kørertjenestenfor jer Vi er ansvarligeoverforjer OpsummeringTrustworthy Cloud for Business
  • 29. yderligere ressourcer Generelt: http://aka.ms/danmark-skyen CloudSecurity Readiness Tool: http://www.microsoft.com/trustedcloud Microsoft Azure Cloud Security Infographic: http://info.windowsazure.com/rs/microsoft/images/WindowsAzureCloudSecurity-Infographic.pdf Microsoft Azure Security, Privacy, and Compliance Whitepaper: http://www.windowsazure.com/en-us/support/trust-center/ Windows Azure Cloud Security Infographic: http://info.windowsazure.com/rs/microsoft/images/WindowsAzureCloudSecurity-Infographic.pdf Windows Azure Security, Privacy, and Compliance Whitepaper: http://go.microsoft.com/fwlink/?LinkId=392408 Windows Azure Trust Center: http://www.windowsazure.com/en-us/support/trust-center/ 10 ting om Azure Sikkerhed: http:/technet.microsoft.com/en%20-us/cloud/gg663906.aspx OfficielBlog om Article 29 Working Group –post
  • 30. Microsoft Azure Establish release criteria & sign-off as part of FSR Incident Response (MSRC) Guide product teams to meet SDL requirements Administer and track security training Training Requirements Design Implementation Verification Release Response Education Process Accountability Ongoing Process Improvements security development lifecycle model
  • 31. Microsoft Azure fysisk, ID & adgang Perimeter mm.
  • 32. Microsoft Azure 32 service sikkerhedstarter med fysiskDC Cameras 24X7 security staff Barriers Fencing Alarms Two-factor access control: Biometric readers & card readers Security operations center Days of backup power Seismic bracing Bygninger Perimeter ‘rummene’
  • 34. Microsoft Azure data beskyttelse
  • 36. Microsoft Azure 36 Event Detected Security Team Engaged Security Event Confirmed Event Start DevOps Engaged Incident Assessment Determine Customer Impact Azure Customer Notification Customer Process Step 1 Determine Affected Customers Customer Notification •9-trins incident response proces •Fokuspåafgrænsning& genskabelse •& giver kontraktuelleforpligtelseromkringkundenotifikation Incident response
  • 39. The Cloud Security Readiness Tool •Was released in October 2012 by Microsoft Trustworthy Computing •Is based on the Cloud Security Alliance’s (CSA) Cloud Control Matrix (CCM) •Is used to help organizations assess their current IT environment with regard to systems, processes, and productivity so you can improve your IT investment and realize the potential of cloud computing •Includes 27 survey questions designed to identify the maturity level of a surveyee’scurrent IT infrastructure.
  • 40. Federal Office for Information SecurityEuropean Network and Information Security Agency
  • 41. •Getting Started. •Making Progress. •Almost There. •Streamlined.
  • 43. •Q5. Legal. Nondisclosure Agreements •Q9. Operations Management. Equipment Maintenance •Q10. Data Governance. Classification •Q16. Facility Security. Asset Management •Q18. Risk Management. Program •Q19. Information Security. Incident Reporting •Q20. Resiliency. Management Program •Q22. Resiliency. Equipment Location 40,1% 43,2% 47,2% 41,3% 42,1% 45,1% 41,1% 41,4% 0% 20% 40% 60% 80% 100% 1 2 3 4 5 6 7 8 Serie1 Serie2 Serie3 Serie4 There is potential benefit in adopting a cloud computing solution from a vendor who has implemented best practices across the CSA’s CCM.
  • 44. -26,9% -26,5% -22,8% -15,7% -41,0% -5,8% -24,0% -24,2% -39,4% -34,9% -52,4% -12,7% -31,6% -25,3% -9,0% -31,7% -30,6% -35,6% -42,8% -25,7% -44,3% -28,7% -32,8% -16,4% 14,7% -12,6% -0,4% -60% -50% -40% -30% -20% -10% 0% 10% 20% 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 The data shows that most organizations are relatively immature across almost all of the control areas represented in the CSRT.
  • 45. •Information securitythrough deployment ofantivirus/antimalware software •Security architecturethrough clock synchronization of networked PCs •Facility security through controlling user access to data INFORMATION SECURITY antivirus/antimalware software clocksynchronization SECURITY ARCHITECTURE FACILITY SECURITY controlled user access to data
  • 46. • Human resources security through prudent hiring practices • Operations management through effective capacity planning • Information security through consistent incident reporting • Legal protection through use of nondisclosure agreements (NDA) • Operations management through effective equipment maintenance HUMAN RESOURCES SECURITY prudent hiring practices OPERATIONS MANAGEMENT effective capacity planning OPERATIONS MANAGEMENT effective equipment maintenance INFORMATION SECURITY consistent incident reporting LEGAL PROTECTION nondisclosure agreements
  • 47. Microsoft Azure 47 Anerkendtfor vorecommitmentshttps://www.eff.org/who-has-your-back-government-data-requests-2014
  • 49. 1.Begrænse statens autorisation til at indsamle borgeres data 2.Sikre tilsyn & rettidig gennemsigtighed 3.Skabe gennemsigtighed om statens krav om data 4.Respektere fri bevægelighed for lovlige digitale data 5.Sikre internationale rammer for løsning af juridiske konflikter
  • 50. giver ikkeblanco adgang til hverken egne eller kunders data udleverer ikkekrypteringsnøgler og assisterer ikkemyndigheder med at bryde krypteringer udleverer ikkedata på baggrund af ‘bulk’ forespørgsler bruger ikke& tillader ikkebagdøre i vores software eller software vi anvender er ikkeen del af nogen form for overvågnings-eller efterretnings- netværk i USA eller andre lande Øger konstant kryptering af data både i transport og i lagring & driver derudover alle vores Datacentre med ISO27001 certificering Fortsætter juridisk arbejde. Udfordrer bl.a.lovlighedeni forespørgsler med såkaldte ‘gag orders’ Fortsætter lovligt & reguleret efterforskningssamarbejde rettet mod pirateri, pædofili, ID tyveri etc. Øger gennemsigtigheden ved at •involvere ejeren af data som efterspørges af myndigheden •oprette flere codeReviewCenters •udgive Law EnforcementRequestReports •dele guidance baseret på sikker drift og udviklingserfaringer Tager initiativ til industrisamarbejde på området for at sikre bedst muligt fundament for ‘CloudTrust’