Software as a service og andre skytjenester - oversikt og sjekkliste

Software as a service og andre skytjenester

Innovasjonsarkitekt Frank Lexberg

Advokat Kristian Foss

Det årlige IKT-rettskurset 2016, Juristenes utdanningssenter

Sandefjord, 4. mars 2016

Skytjenester i dag og i morgen

Dagens prioriteter:

Enkle løsninger, og de første seriøse steg…

Trender og skytjenester om noen år:

Komplekse integrerte løsninger, AI/analyse, IOT….kjerneløsninger... Dagens kunder som leverndører av SaaS til sine kunder….

Involverte ved innkjøp av skytjenester

Data

Forretn.enhet

Konsepteier

It - innkjøpkontrakt

Juridisk It-sikkerhet

Risiko-analyse

SaaS-model fra bank

IT anskaffelser DriftTermi-nering

Forr. enh. Hendelse

Bruker admin. overvåkingRisikovurdering

IncidentUautorisert bruk

Rapport

Kontrakt prosjekt

SkykonsepteierJuridiskSikkerhetsansvarligRisiko ansvarlig

Tar avgjørelser basert på: Vedtatte retningslinjer Kategorisering av informasjon Sjekklister

Livsløp skytjenester og SaaS

Risikoanalyse

Leverandør-analyse

Juridisk analyse

Sikkerhet Analyse/tiltak

Drift/guides

Overvåkning

Kontrakt

Oversikt sjekklister

1. Premissavklaringer

2. Personvernkrav

3. Informasjonssikkerhet

4. Implementasjon og drift

5. Beredskap og katastrofe

6. Vurdering leverandørkandidater

7. Forhandling av avtale

8. Samarbeidsforhold

9. Risikoreduserende tiltak

10. Oppfølging

11. Exit

Premissavklaringer

❏Hvilke krav gjelder kunden og bransjen?❏Juridiske - krav informasjonssikkerhet

❏Personvernkrav❏Virksomhetskrav generelt

❏Tekniske ❏Kommersielle❏Emosjonelle

❏Hvilke mål har virksomheten? ❏Internasjonale ambisjoner?❏Rask vekst?❏Dataintensiv?

Personvernkrav

❏ Informasjonssikker (pol. § 13)?

❏ Grunnkrav oppfylt (pol. § 11)?

❏ Samtykke på plass?

❏ Innenfor formålet?

❏ Eksport persondata ut av EØS?

❏ EUs standardkontrakt?

❏ Hvitliste?

❏ Privacy shield?

❏ Sensitive data?

❏ Melding- eller konsesjonskrav?

❏ Kryptering?❏ Innebygget personvern?

Informasjonssikkerhet

❏Risiko = Sannsynlighet x konsekvens❏Kriminell attraktivitet?❏Autentisering❏Tilgangsstyring❏Kontoadministrasjon❏Logging❏Kommunikasjon❏Datatap❏Lagring

❏Leverandørsamarbeid

Implementasjon og drift

❏ Får kunden implementasjonsbistand?❏ Konfigureringsbistand? ❏ Krav ved migrasjon av gamle systemer? ❏ Behov opplæring?❏ Prøve og akseptanseperiode? ❏ Integrasjon egne systemer?

❏Muligheter for audits og overvåking under drift?

❏ Kostnader ovennevnte?

Beredskap og katastrofe

❏Hvilke systemer har leverandøren?

❏Hvilke systemer kan du etablere?

❏Speiling annet datasenter mulig?

❏Risiko konkurs - forskjell stor og liten?

❏Escrow relevant?

Vurdering leverandørkandidater

❏Risikovurdering

❏ Infrastruktur og underleverandører?

❏ Se eget punkt om informasjonssikkerhet

❏Referanser?

❏Sikkerhetssertifiseringer?

❏Stabilitet?

❏Åpne standarder?

❏Revisjon

❏ Tredjepart?

❏ Tilgang egen revisor?

❏Pris og prisstruktur?

Forhandling av avtale

Rett forhandlingsspor? Mentale utgangspunkter

Plassering risiko Ansvar og mellomrisiko

Villig etterleve lovkrav? Avtaleplikt vs. løfter Gir garanti geo-plassering?

Eksempel AWS-vilkår - geoplassering

AWS Customer Agreement“We will not move Your Contentfrom your selected AWS regionswithout notifying you, unlessrequired to comply with the law or requests of governmental entities.”

AWS Enterprise Agreement“AWS will not [...] (b) move Customer Content from the AWS regions Selected by Customer [...] except [...] as necessary to maintain [or provide] the Service Offerings, [....] comply with the law or [...] order of agovernmental or regulartory body (such as a subpoena or cort order).”

Samarbeidsforhold

❏Tilgang til ledelsen hos leverandør?

❏Selvbetjeningsverktøy?

❏SLA og bot?

❏Fakturering?

❏Rapportering av tjenestenivå og annet?

❏Referanser?

Risikoreduserende tiltak

❏Forsikring

❏Teknisk backup

❏ Speiling data

❏ Parallelt driftsmiljø

❏ Plassering

❏Utprøving

❏Gradvis overgang

❏Ulike leverandører

❏Hybridløsning

Risikoreduserende tiltak (II)

❏Portabilitet

❏Data

❏Løsning

❏Revisjon

❏Overvåking

❏Kortvarig lagring

❏Behandle ansatte godt

Oppfølging

❏Mot avtale

❏ Jevnlig kontakt leverandør

❏ Følge med på info og endringsvarsler

❏ Teste backup og speiling

❏ Vurder forsikringsdekningen løpende

Exit

❏Bistandsplikt ved avslutning?

❏Lesbart dataformat eksport?

❏Varslingsfrist tjenesteopphør?

❏Konfigurasjonsinformasjon?

❏Datamodell?

Spørsmål?

Aktuelle lenker

CSA Alliance: Gir god forståelse av områder som kan være problematiske ved bruk av skytjenester.

https://downloads.cloudsecurityalliance.org/initiatives/pla/Privacy_Level_Agreement_Outline.pdf

https://cloudsecurityalliance.org/group/security-guidance/

Takk for oss!Kristian Foss

Frank Lexberg