Platform voor Informatiebeveiliging!!! Uit de serie in the cloud! Cloudsourcing & Forensic Readiness Over verwachtingen, transparantie en samenwerking Willem Tibosch! BlinkLane Consulting!! 13 juni 2013!
2 Wie ben ik? Willem Tibosch Ervaring Senior Consultant bij BlinkLane Consulting IT auditor PwC Vakgebieden IT Risicomanagement IT Outsourcing Interesses Organisatiefilosofie
3 Laat ik het volgende voorop stellen
4 Introductie
5 Agenda 1. Forensic Readiness Definitie Wat betekent dat dan? 2. Cloud Sourcing Sourcing Forensic Readiness Forensic Readiness risico s 3. Wat mogen CSP s, overheid en klanten van elkaar verwachten?
6 Definitie Het gaat dus over: Ability to collect, preserve, protect and analyse Good digital evidence
7 Wat betekent dat dan? Ability to collect, preserve, protect and analyse digital evidence Digitale bewijsvoeringsbehoefte Verschillende bronnen en types van mogelijk bewijs Vereisten bewijsvoering en verzameling Beleid beveiligde opslag en behandeling Monitoren van major incidents Escalatie en onderzoeksprocedures Staff training in incident awareness Legal review Continuity of (Digital) Evidence / Chain of Custody
8 Wat betekent dat dan? Good (digital) Evidence Admissibility Weight of Evidence
9 Cloud Sourcing & Forensic Readiness
10 Cloud Sourcing Forensic Readiness 1. Wat zijn de Sourcingdoelstellingen? Een doelstelling op zich is zelden forensic readiness maar, Wel bepalend voor de status van de dataset 2. En met welke randvoorwaarden? Ability to collect, preserve, protect and analyse digital evidence Good evidence 3. Wat is de sourcingscope en vorm? Saas, Paas, Iaas Private, Hybrid of Public
11 Risico s beginnen bij scope en vorm SAAS PAAS IAAS
12 En draaien om drie vragen Mag en kan de data zomaar onttrokken worden? Is de continuïteit van (digitale) bewijsvoering te waarborgen? Is er sprake van deugdelijke bewijslast?
13 Forensic Readiness risico s Ability to collect, preserve, protect and analyse Mag en kan de data zomaar onttrokken worden? Hoe is het eigenaarschap vastgelegd (Data ownership)? Eigendom en zeggenschap voor gegevens(bestanden) / bronnen Onttrekking gehele set aan gegevens (wanneer, hoe en wat?) Kosten van onttrekkingen Is dataportabiliteit zonder functionaliteitsverlies mogelijk? Welke bewaartermijnen zijn van toepassing (en sluiten deze aan?) Zijn er Audit / Inspection Rights vastgelegd? Wat voor afspraken zijn er met de Service Provider te maken en met welke taken en verantwoordelijkheden?
14 Forensic Readiness risico s Ability to collect, preserve, protect and analyse Is de continuïteit van (digitale) bewijsvoering te waarborgen? Is er rekening gehouden met de volatiliteit van gegevens? Zijn de doorgevoerde wijzigingen controleerbaar? Kan er mogelijke besmetting van bewijsmateriaal optreden (is het uit te sluiten?)? Welke analyses, checks & balances heeft de leverancier (en wat moet jij doen?)
15 Forensic Readiness risico s Good (digital) evidence Is er sprake van deugdelijke bewijslast? Admissibility Erg landafhankelijk, niet alle data geld als bewijslast Weight Is de volledigheid, authenticiteit en juistheid van de dataset te waarborgen? Welke jurisdictie is van toepassing en welke waarborgen kunnen wij inbouwen voor data onttrekking?
16 Wat mogen wij van elkaar verwachten?
17 Verwachtingen overheid Stimulering en harmonisatie Mag en kan de data zomaar onttrokken worden? Verdere harmonisatie en afstemming internationale wet- en regelgeving Bijv. Uitsluitsel reikwijdte Telecommunicatiewet (o.a. bewaarplicht verkeersgegevens) Is de continuïteit van (digitale) bewijsvoering te waarborgen? Stimuleren van marktcoördinatie (informatie uitwisseling of incidentmanagement) Stimuleren van standaardisaties in processen / raamwerken Is er sprake van deugdelijke bewijslast? Is hier harmonisatie en afstemming internationale wet- en regelgeving mogelijk? Wat voor invloed heeft WBP op de deugdelijkheid van bewijslast?
18 Verwachtingen CSP (1) Transparantie en verwachtingen Mag en kan de data zomaar onttrokken worden? Geef in sec. / compliancy informatie & algemene voorwaarden de afspraken weer over eigenaarschap van data, incidentonderzoek, bewaartermijnen, kosten, dataportabiliteit etc Geef de relatie aan met subleveranciers Adopteer of tref maatregelen in lijn met ISO27017 Bijv. CC-OUTS-14 De cloud provider zal meewerken aan elk incidentonderzoek door de klant, ook door het beschikbaar maken van de relevante logs (dit alles onderhevig aan privacy verplichtingen). Aangegeven welke wet- en regelgeving van toepassing is
19 Verwachtingen CSP (2) Transparantie en verwachtingen Is de continuïteit van (digitale) bewijsvoering te waarborgen? Maak de opzet van de IT omgeving incl leveranciers inzichtelijk Geef aan welke controles worden uitgevoerd en welke de klant nog moet uitvoeren Adopteer of tref maatregelen in lijn met ISO27017 Bijv. CC-OUTS-13: Er is een procedure voor het verzamelen van bewijsmateriaal voor onderzoeken door klanten en informatie over deze procedure is beschikbaar. Geautomatiseerde verzameling van bewijsmateriaal is geïmplementeerd en chain of custody wordt behouden. Is er sprake van deugdelijke bewijslast? Geef aan welke controles worden uitgevoerd en welke de klant nog moet uitvoeren
20 Verwachtingen CSP (3) Transparantie over verdienmodel Standaard dienstverlening of aanbieden als additionele dienst: Premium contracten (incl Forensic readiness?) Additionele diensten (back-up, security, data ontrekking procedures etc.) Private cloud voor specifieke onderdelen
21 Verwachtingen klantzijde (1) Afgewogen behoefte en inzicht Stel heldere sourcingsdoelstellingen en voorwaarden vast Maak een risicoafweging incl Forensic readiness aspecten maken (vorm en scope) Mag en kan de data zomaar onttrokken worden? Weet wie straks de eigenaar is van de gegevens Weet welke gegevens en welke gegevensbronnen u nodig heeft Ken de bewaartermijnen van de gegevens Maak afspraken of geef processen vorm voor data onttrekkingen (incl snelheid)? Maak anders afspraken over audit / investigations Toets op data bruikbaarheid na onttrekking (portabiliteit)?
22 Verwachtingen klantzijde (2) Afgewogen behoefte en inzicht Is de continuïteit van (digitale) bewijsvoering te waarborgen? Wees realistisch over je eigen vertrekpunt!!! Tref maatregelen aan uw zijde of aan de CSP zijde (via een dienst?) Stem eigen maatregelen af op randvoorwaarden en CSP omgeving Encryptie is goed, maar. Beveiligde opslag Is er sprake van deugdelijke bewijslast? Heb toegang tot kennis en kunde aan uw zijde Bepaal of u de juistheid / volledigheid en authenticiteit kan vaststellen
23 Resumerend
24 Dank u voor uw aandacht!