4. optymalizacja,
możliwość skupienia się na zasadniczej działalności
mobilność,
szybkość wdrożenia,
łatwość użytkowania,
dostęp do najnowszych technologii biznesowych,
przewidywalność ponoszonych kosztów na IT,
brak inwestycji w hardware i obsługę serwisową przy
jednoczesnym dostępie do najnowszych wersji
oprogramowania.
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
9. Zanim skorzysta się z chmury
należy zidentyfikować własne
wymagania GRC
Governance, Risk (Managment), Compliance
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
10. Gove
Governance Risk (Managment) Compliance
Zarządzanie danymi: Zarządzanie ryzykiem: Zgodność:
- proces dostępu - proces reagowania - wymagania na
- decyzje - kontrola bezp. poziomie organizacji
- instrukcje - przetwarzanie danych - legislacja
- proces decyzyjny danych osobowych - wydatki w przypadku
- cyberzagrożenia zgodności, naruszenia
- normy i wytyczne
- minimalizacja strat
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
12. 1. Czy dostawca oferuje Tobie przejrzyste informacje oraz pełną
kontrolę nad bieżącą lokalizacją fizyczną wszystkich danych ?
* lokalizacja = restrykcja przestrzegania określonych przepisów
2. Czy dostawca udostępnił Tobie klasyfikację danych ? * data classification
3. Jaka jest gwarancja, że dane są izolowane ? * chmura publiczna/hybryda
4. Jaka jest gwarancja, że dane zostaną usunięte ?
5. Jaki jest proces szyfrowania danych ?
6. Czy provider jest certyfikowany normą ISO 27001/innymi ?
7. Co dokładnie obejmuje certyfikacja ?
8. W jaki sposób chronione są Twoje dane ?
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
13. 9. Jak wyglądają procedury bezpieczeństwa ?
* procedura postępowania w przypadku wykrycia incydentu
10. Jakie są koszty utworzenia/zawieszenia/usunięcia konta ?
11. Jakie są terminy usunięcia i przechowywania danych ?
12. Czy postępowanie z danymi może być dostosowane do Twoich
wymagań ?
13. Czy Twój provider działa w modelu PaaS ?
* kto ma jeszcze dostęp do Twoich danych ?
14. Jak wygląda współpraca w zakresie przeprowadzania audytów ?
15. Jak wygląda backup danych ? * w jaki sposób otrzymasz użyteczną kopię ?
16. Jak szybko dane zostaną przywrócone w razie awarii ?
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
14. 17. Jaka liczba klientów korzysta z rowiązania ? Jak liczną grupę
podmiotów provider jest w stanie obsłużyć ?
18. Czy provider posiada własne zaplecze czy działa w modelu IaaS ?
* jak to będzie wyglądało w przypadku powiększenia grupy klientów ? Gdzie będą znajdować się dane ?
19. W jakich przypadkach usługa może nie działać prawidłowo ?
20. Kiedy możesz nie mieć dostępu do danych ? Jak długo ?
21. Czy z usługi można korzystać bez opłat poza biurem /
z innych urządzeń ?
22. Czy dane będą transferowane poza EOG ?
23. Czy transfer danych jest ograniczony w jakiś krajach ?
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
15. Chmury publiczne i prywatne
są tak samo dobre
dla prawników
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
16. Korzystam z chmury,
nie muszę się zabezpieczać
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
17. Transport danych
Szyfrowanie komunikacji klient - provider
Spoczynek danych
Szyfrowanie danych przetwarzanych przez
providera
Zabezpieczenie urządzenia
Odpowiednie oprogramowanie
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
18. Chmury są potencjalnym celem
cyberprzestępców
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
19. Badanie 100 specjalistów bezpieczeństwa IT - DEF CON 2010 Hacker Conference
(Las Vegas, sierpień 2010r.)
120
100 96
TAK
80
Luki
DNS
Pliki dziennika systemowego
60 Komunikacja
SaaS
45
40
33
21
20 16
12
0
Problemy jakie dostrzeżono
Chmura daje możliwości przestępcom Chmura najbardziej podatna na ataki
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
24. Klient Provider
Odpowiedzialność pełna pośrednia
*E-commerce Directive
Incydenty za należytą staranność za należytą staranność
Bezpieczeństwa tego co jest faktycznie
pod jego kontrolą
Ochrona danych Kontroler / ADO Procesor
Osobowych
Administrator Bezpieczeństwa Informacji
Beata Marek, cyberlaw.pl Kancelaria w chmurze, 19.X.2012
25. Dziękuję za uwagę
Beata Marek
www.cyberlaw.pl
beata.marek@cyberlaw.pl
tel.
Kancelaria w chmurze, 19.X.2012