Cloudsourcing & Forensic Readiness. Over verwachtingen, transparantie en samenwerking. Platform voor Informatiebeveiliging! Uit de serie in the cloud!

Vergelijkbare documenten
Cloudsourcing. Riskmanagement in a cloudy jacket. ISC 2 Chapter Netherlands! Willem Tibosch! BlinkLane Consulting!! 25 april 2013!

Privacy Compliance in een Cloud Omgeving

Privacy in de Audit IIA PAS conferentie 2016 November 2016 Maurice Steffin

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

Security, Legal and Compliance

Who are we? Madison Gurkha Protectors of your data and systems! Largest independant security testing and advisory company in NL

Juridische uitdagingen van CC

Het veilig delen van informatie in de zorg

Gevangen. in de Wolken. 25e sambo-ict conferentie Tilburg, 18 januari Fabrice Mous

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Code voor Informatiekwaliteit

Impact van de Europese privacy verordening ( AVG ) van Wbp naar AVG, veranderingen in vogelvlucht. 15 november Silvia Vinken CIPP/E

IAM en Cloud Computing

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Incidenten in de Cloud. De visie van een Cloud-Provider

Business Continuity Management

Partneren met een Cloud broker

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Informatiebeveiligingsbeleid

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Vragenlijst. Voor uw potentiële Cloud Computing-leverancier

Informatiebeveiliging, noodzakelijk kwaad of nuttig? DNV Business Assurance. All rights reserved.

Partnering Trust in online services AVG. Vertrouwen in de keten

Gegevensbescherming & IT

Team Werknemers Pensioen

Data en Applicatie Migratie naar de Cloud

DE PRIVATE CLOUD. Johan Bos & Erik de Meijer

De Cloud: een zegen voor security en privacy of juist een donderwolk? Willem Voogt, Principal Consultant Security Advisory Quint

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

Zwaarbewolkt met kans op neerslag

Beleid Informatiebeveiliging InfinitCare

Privacy Referentie Architectuur

Databeveiliging en Hosting Asperion

Wie ben ik? WHY: Definitie audit. Effectief auditprogramma (opbouw) GoRisk. NEN Introductie-evenement ISO AUDITING IN BEWEGING

Het veilig delen van Informatie door de overheid met burgers en bedrijven

Welkom bij Interconnect. Maartje van Alem Marketing Manager

Cloud & AVG. PvIB Thema avond 18 april 2019 Terugkoppeling Case Klant en leveranciers kant

Informatiebeveiliging: de juridische aspecten. Anton Ekker juridisch adviseur Nictiz

To cloud or not to cloud

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Agenda Next Level in Control. 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility

ISO/IEC in een veranderende IT wereld

Hoe bewaart u uw klantendata op een veilige manier? Maak kennis met de veilige dataopslag in de Cloud van Azure Stack

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY

Innovatie in een veranderd risicolandschap

Code of Conduct CSR certificering

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Geen ISO zonder pragmatiek! Implementeren van een ISMS, niets nieuws.

WIN[S] ANALYSE. Eerste stap naar een Efficiëntere werkplek. 1 of of 81

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

IT Galaxy 2018 ON THE RIGHT TRACK ON THE RIGHT TRACK. Secure by design #PQRITG18 #PQRITG18

DE AVG IN EEN NOTENDOP. Maike van Zutphen Legal, Compliance & Privacy Officer

Linked Data & Innovatie. Linked Data 21 april 2016 Marcel Kuil

Bijlage 2 behorend bij de Algemene Voorwaarden Caresharing B.V.: Security Statement

Dynamisch risicomanagement eenvoudig met behulp van GRCcontrol

Branche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen

Data Protection Same Game, Other Rules

Hoe migreer je naar de Cloud. Wilbert van Beek Directeur

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

Dé cloud bestaat niet. maakt cloud concreet

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

Invalshoek Vertrouwen, veiligheid en privacy

Zaakgericht archiveren met Blockchain

Cloud Sourcing #CS4PM. Project Managers. Tim de Vries Senior Project Manager Atos Consulting 23 februari 2012

INFORMATIEVEILIGHEID. een uitdaging van ons allemaal. ICT Noord, Harro Spanninga

Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018


GRIP OP DATA. Via inzicht en controle naar waarde! Jan-Hein Mols Datamanagement Consultant bij Axians

Informatiebeveiliging & Privacy - by Design

Resultaten 2 e Cloud Computing onderzoek in Nederland. Alfred de Jong Principal Consultant Manager Architectuur & Innovatie Practice

Bijlage Klant. C&A Vestiging: C&A België Comm.V

Is jouw digitale buur (m/v) ook te vertrouwen? René van Etten en Richard Klein

Cloud computing Helena Verhagen & Gert-Jan Kroese

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE

Whitepaper. In vijf stappen naar de cloud

GDPR. een stand van zaken

Privacy & Cloud. een juridisch perspectief

ISO 27001:2013 INFORMATIE VOOR KLANTEN

SIG - GDPR & AVG. cegeka-dsa JANUARI, 2018

Softcrow Trusted Electronic Services B.V. Privacy Verklaring. Pagina 1 van 9

Business as (un)usual

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

NTA 8620 versus ISO-systemen. Mareille Konijn 20 april 2015

Een dag uit het leven van een Cloud consument Stefan Willems, Platani Marcel Steenman, Platani

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC

Privacy Policy v Stone Internet Services bvba

Bedrijfscontinuïteit met behulp van een BCMS

Readiness Assessment ISMS

Saxion Data Security Beleid. Het data security beleid voor afvoer of hergebruik van gegevensdragers

Drs L. (Bert) F.G. Tuinsma RA, voorzitter 22 mei NOREA

Metadata management. Hoe grip te krijgen op de betekenis van de datahuishouding?

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

Transcriptie:

Platform voor Informatiebeveiliging!!! Uit de serie in the cloud! Cloudsourcing & Forensic Readiness Over verwachtingen, transparantie en samenwerking Willem Tibosch! BlinkLane Consulting!! 13 juni 2013!

2 Wie ben ik? Willem Tibosch Ervaring Senior Consultant bij BlinkLane Consulting IT auditor PwC Vakgebieden IT Risicomanagement IT Outsourcing Interesses Organisatiefilosofie

3 Laat ik het volgende voorop stellen

4 Introductie

5 Agenda 1. Forensic Readiness Definitie Wat betekent dat dan? 2. Cloud Sourcing Sourcing Forensic Readiness Forensic Readiness risico s 3. Wat mogen CSP s, overheid en klanten van elkaar verwachten?

6 Definitie Het gaat dus over: Ability to collect, preserve, protect and analyse Good digital evidence

7 Wat betekent dat dan? Ability to collect, preserve, protect and analyse digital evidence Digitale bewijsvoeringsbehoefte Verschillende bronnen en types van mogelijk bewijs Vereisten bewijsvoering en verzameling Beleid beveiligde opslag en behandeling Monitoren van major incidents Escalatie en onderzoeksprocedures Staff training in incident awareness Legal review Continuity of (Digital) Evidence / Chain of Custody

8 Wat betekent dat dan? Good (digital) Evidence Admissibility Weight of Evidence

9 Cloud Sourcing & Forensic Readiness

10 Cloud Sourcing Forensic Readiness 1. Wat zijn de Sourcingdoelstellingen? Een doelstelling op zich is zelden forensic readiness maar, Wel bepalend voor de status van de dataset 2. En met welke randvoorwaarden? Ability to collect, preserve, protect and analyse digital evidence Good evidence 3. Wat is de sourcingscope en vorm? Saas, Paas, Iaas Private, Hybrid of Public

11 Risico s beginnen bij scope en vorm SAAS PAAS IAAS

12 En draaien om drie vragen Mag en kan de data zomaar onttrokken worden? Is de continuïteit van (digitale) bewijsvoering te waarborgen? Is er sprake van deugdelijke bewijslast?

13 Forensic Readiness risico s Ability to collect, preserve, protect and analyse Mag en kan de data zomaar onttrokken worden? Hoe is het eigenaarschap vastgelegd (Data ownership)? Eigendom en zeggenschap voor gegevens(bestanden) / bronnen Onttrekking gehele set aan gegevens (wanneer, hoe en wat?) Kosten van onttrekkingen Is dataportabiliteit zonder functionaliteitsverlies mogelijk? Welke bewaartermijnen zijn van toepassing (en sluiten deze aan?) Zijn er Audit / Inspection Rights vastgelegd? Wat voor afspraken zijn er met de Service Provider te maken en met welke taken en verantwoordelijkheden?

14 Forensic Readiness risico s Ability to collect, preserve, protect and analyse Is de continuïteit van (digitale) bewijsvoering te waarborgen? Is er rekening gehouden met de volatiliteit van gegevens? Zijn de doorgevoerde wijzigingen controleerbaar? Kan er mogelijke besmetting van bewijsmateriaal optreden (is het uit te sluiten?)? Welke analyses, checks & balances heeft de leverancier (en wat moet jij doen?)

15 Forensic Readiness risico s Good (digital) evidence Is er sprake van deugdelijke bewijslast? Admissibility Erg landafhankelijk, niet alle data geld als bewijslast Weight Is de volledigheid, authenticiteit en juistheid van de dataset te waarborgen? Welke jurisdictie is van toepassing en welke waarborgen kunnen wij inbouwen voor data onttrekking?

16 Wat mogen wij van elkaar verwachten?

17 Verwachtingen overheid Stimulering en harmonisatie Mag en kan de data zomaar onttrokken worden? Verdere harmonisatie en afstemming internationale wet- en regelgeving Bijv. Uitsluitsel reikwijdte Telecommunicatiewet (o.a. bewaarplicht verkeersgegevens) Is de continuïteit van (digitale) bewijsvoering te waarborgen? Stimuleren van marktcoördinatie (informatie uitwisseling of incidentmanagement) Stimuleren van standaardisaties in processen / raamwerken Is er sprake van deugdelijke bewijslast? Is hier harmonisatie en afstemming internationale wet- en regelgeving mogelijk? Wat voor invloed heeft WBP op de deugdelijkheid van bewijslast?

18 Verwachtingen CSP (1) Transparantie en verwachtingen Mag en kan de data zomaar onttrokken worden? Geef in sec. / compliancy informatie & algemene voorwaarden de afspraken weer over eigenaarschap van data, incidentonderzoek, bewaartermijnen, kosten, dataportabiliteit etc Geef de relatie aan met subleveranciers Adopteer of tref maatregelen in lijn met ISO27017 Bijv. CC-OUTS-14 De cloud provider zal meewerken aan elk incidentonderzoek door de klant, ook door het beschikbaar maken van de relevante logs (dit alles onderhevig aan privacy verplichtingen). Aangegeven welke wet- en regelgeving van toepassing is

19 Verwachtingen CSP (2) Transparantie en verwachtingen Is de continuïteit van (digitale) bewijsvoering te waarborgen? Maak de opzet van de IT omgeving incl leveranciers inzichtelijk Geef aan welke controles worden uitgevoerd en welke de klant nog moet uitvoeren Adopteer of tref maatregelen in lijn met ISO27017 Bijv. CC-OUTS-13: Er is een procedure voor het verzamelen van bewijsmateriaal voor onderzoeken door klanten en informatie over deze procedure is beschikbaar. Geautomatiseerde verzameling van bewijsmateriaal is geïmplementeerd en chain of custody wordt behouden. Is er sprake van deugdelijke bewijslast? Geef aan welke controles worden uitgevoerd en welke de klant nog moet uitvoeren

20 Verwachtingen CSP (3) Transparantie over verdienmodel Standaard dienstverlening of aanbieden als additionele dienst: Premium contracten (incl Forensic readiness?) Additionele diensten (back-up, security, data ontrekking procedures etc.) Private cloud voor specifieke onderdelen

21 Verwachtingen klantzijde (1) Afgewogen behoefte en inzicht Stel heldere sourcingsdoelstellingen en voorwaarden vast Maak een risicoafweging incl Forensic readiness aspecten maken (vorm en scope) Mag en kan de data zomaar onttrokken worden? Weet wie straks de eigenaar is van de gegevens Weet welke gegevens en welke gegevensbronnen u nodig heeft Ken de bewaartermijnen van de gegevens Maak afspraken of geef processen vorm voor data onttrekkingen (incl snelheid)? Maak anders afspraken over audit / investigations Toets op data bruikbaarheid na onttrekking (portabiliteit)?

22 Verwachtingen klantzijde (2) Afgewogen behoefte en inzicht Is de continuïteit van (digitale) bewijsvoering te waarborgen? Wees realistisch over je eigen vertrekpunt!!! Tref maatregelen aan uw zijde of aan de CSP zijde (via een dienst?) Stem eigen maatregelen af op randvoorwaarden en CSP omgeving Encryptie is goed, maar. Beveiligde opslag Is er sprake van deugdelijke bewijslast? Heb toegang tot kennis en kunde aan uw zijde Bepaal of u de juistheid / volledigheid en authenticiteit kan vaststellen

23 Resumerend

24 Dank u voor uw aandacht!

2024 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback