Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych?



Podobne dokumenty
Secure Development Lifecycle w chmurze w modelu public i. Aleksander P. Czarnowski AVET Information and Network Security Sp z o.o.

Nowoczesny Bank Spółdzielczy to bezpieczny bank. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

ISO w Banku Spółdzielczym - od decyzji do realizacji

Chmura obliczeniowa. Sieci komputerowe laboratorium A1 (praca grupowa w chmurze)

CSA STAR czy można ufać dostawcy

Mateusz Kurleto NEOTERIC. Analiza projektu B2B Kielce, 18 października 2012

Zmiana sposobu dostarczania aplikacji wspierających funkcje państwa

Zarządzanie relacjami z dostawcami

Zarządzanie bezpieczeństwem w Banku Spółdzielczym. Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Marcin Fronczak Prowadzi szkolenia z zakresu bezpieczeństwa chmur m.in. przygotowujące do egzaminu Certified Cloud Security Knowledge (CCSK).

Warszawa, 6 lutego Case Study: Chmura prywatna HyperOne dla Platige Image dzięki Microsoft Hyper-V Server. Wyzwanie biznesowe

Przetwarzanie i zabezpieczenie danych w zewnętrznym DATA CENTER

CLOUD COMPUTING CHMURA OBLICZENIOWA I PLATFORMA WINDOWS AZURE

Case Study: Migracja 100 serwerów Warsaw Data Center z platformy wirtualizacji OpenSource na platformę Microsoft Hyper-V

Claud computing zostało uznane przez Grupę Roboczą art.29 w dokumencie WP 170 Program prac na lata przyjętym dnia 15 lutego 2010 r.

Chmura Krajowa milowy krok w cyfryzacji polskiej gospodarki

Zdrowe podejście do informacji

Jarosław Żeliński analityk biznesowy, projektant systemów

W drodze do chmury hybrydowej stan zaawansowania w polskich przedsiębiorstwach.

Bezpieczeostwo aplikacyjne

Szanse i zagrożenia płynące z nowoczesnych metod świadczenia usług informatycznych (outsourcing, offshoring, SOA, cloud computing) w bankowości

GTS Shared Infrastructure (GSI)

Chmura z perspektywy bezpieczeństwa

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Prawne aspekty wykorzystania chmury obliczeniowej w administracji publicznej. Michał Kluska

epolska XX lat później Daniel Grabski Paweł Walczak

C H M U R A P U B L I C Z N A W P O L S C E

Zarządzanie ryzykiem w chmurze

Przetwarzanie danych w chmurze

Rozganianie czarnych chmur bezpieczeństwo cloud computing z perspektywy audytora. Jakub Syta, CISA, CISSP IMMUSEC Sp. z o.o.

Znaczenie norm ISO w znowelizowanej ustawie o ochronie danych osobowych (RODO)

Zarządzanie cyklem życia bezpieczeństwa danych

Wirtualizacja sieci - VMware NSX

Case Study: Migracja 100 serwerów Warsaw Data Center z platformy wirtualizacji OpenSource na platformę Microsoft Hyper-V

Joanna Baranowska. Chmura obliczeniowa w samorządach korzyści i wyzwania

Podpis elektroniczny dla firm jako bezpieczna usługa w chmurze. mgr inż. Artur Grygoruk

SPIS TREŚCI. Wstęp... 9

Dane bezpieczne w chmurze

Hosting a dane osobowe

Spis treści. Wstęp... 11

Automatyczne testowanie infrastruktury pod kątem bezpieczeństwa. Leszek Miś IT Security Architect RHCA,RHCSS,Sec+ Linux Polska Sp. z o.o.

Obrót dokumentami elektronicznymi w chmurze

Zgodność, fraudy i inne wyzwania oraz zagrożenia w Bankach Spółdzielczych. Aleksander Czarnowski AVET Information and Network Security Sp. z o.o.

Architektura bezpieczeństwa informacji w ochronie zdrowia. Warszawa, 29 listopada 2011

Chmura nad Smart City. dr hab. Prof. US Aleksandra Monarcha - Matlak

Budowa Data Center. Zmagania Inwestora. Konferencja. 30 października 2014

Walidacja systemu ewms / cwms. Sopot

CHMURA OBLICZENIOWA (CLOUD COMPUTING)

Czy cloud computing to sposób na rozwiązanie problemu piractwa?

Szyfrowanie danych i tworzenie kopii zapasowych aspekty prawne

REKOMENDACJA D Rok PO Rok PRZED

BCC Data Centers. Oferta: Outsourcing IT, cloud computing Optymalizacja i bezpieczeństwo IT. Tytuł prezentacji 1

Kolokacja, hosting, chmura O czym powinny pamiętać strony umowy? Maciej Potoczny

Warstwa ozonowa bezpieczeństwo ponad chmurami

Cloud Computing wpływ na konkurencyjność przedsiębiorstw i gospodarkę Polski Bohdan Wyżnikiewicz

Jak znaleźć prawdziwe zagrożenia w infrastrukturze IT

ADMINISTRACJA PUBLICZNA W CHMURZE OBLICZENIOWEJ

ISACA Katowice Kraków 2013 Zarządzanie bezpieczeństwem w chmurze obliczeniowej Marcin Fronczak Cloud Security Alliance Polska

Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze

Przewodnik cloud computing

Bezpieczeństwo danych w Kancelarii Prawnej

Przetwarzanie danych w chmurze

z kapitałem polskim Zatrudnienie 1 10 osób osób 2,27% osób 11,36% osób osób powyżej osób 20,45% 50,00% 13,64%

InfoCloud24 Usługowe Centrum Danych

Załącznik nr 2 Opis wdrożonych środków organizacyjnych i technicznych służących ochronie danych osobowych

Definicja, rodzaje chmur obliczeniowych oraz poziomy usług

Rynek przetwarzania danych w chmurze w Polsce Prognozy rozwoju na lata

Cloud Computing - Wprowadzenie. Bogusław Kaczałek Kon-dor GIS Konsulting

Chmura Obliczeniowa Resortu Finansów HARF

Geomatyczne Przedsiębiorstwo Innowacyjne. Florian Romanowski

Krzysztof Wawrzyniak Quo vadis BS? Ożarów Mazowiecki, styczeń 2014

Wymiana doświadczeń Jarosław Pudzianowski - Pełnomocnik do Spraw Zarządzania Bezpieczeństwem

Bezpieczeństwo aplikacji i urządzeń mobilnych w kontekście wymagań normy ISO/IEC oraz BS doświadczenia audytora

Architektura korporacyjna jako narzędzie koordynacji wdrażania przetwarzania w chmurze

Paweł Gole, Securing. 1 InfoTRAMS "Cloud Computing Latajc c w chmurach"

Chmura obliczeniowa nowej generacji. Maciej Kuźniar 26 listopada 2015

Informatyzacja JST z zastosowaniem technologii przetwarzania w chmurze

PureSystems zautomatyzowane środowisko aplikacyjne. Emilia Smółko Software IT Architect

Zapewnienie dostępu do Chmury

1. Pytanie Wykonawcy. 2. Pytanie Wykonawcy

Ogólne zagrożenia dla danych w chmurowym modelu przetwarzania

Prezentacja wyników badania wykorzystania przetwarzania w chmurze w największych polskich przedsiębiorstwach

CloudFerro. Chmury publiczne, chmury prywatne, serwery dedykowane zalety, wady, problemy, ograniczenia, wyzwania.

OCHRONA SIECI DLA KAŻDEJ CHMURY

Bezpieczeństwo IT z Open Source na nowo

PRZETWARZANIE W CHMURZE A OCHRONA DANYCH OSOBOWYCH DARIA WORGUT-JAGNIEŻA AUDYTEL S.A.

USŁUGI HIGH PERFORMANCE COMPUTING (HPC) DLA FIRM. Juliusz Pukacki,PCSS

Realizowanie obietnic związanych z Cloud Computing: Novell Cloud Security Service

XXIII Forum Teleinformatyki

MAINFRAME WWW. Chmura 1970 & 80. Dziś

Studia podyplomowe PROGRAM NAUCZANIA PLAN STUDIÓW

III Etap konkursu TWOJA FIRMA TWOJA SZANSA NA SUKCES

... (Nazwa i adres Wykonawcy lub jego pieczęć firmowa, adresowa)

Modele sprzedaży i dystrybucji oprogramowania Teoria a praktyka SaaS vs. BOX. Bartosz Marciniak. Actuality Sp. z o.o.

Przepełnienie bufora. SQL Injection Załączenie zewnętrznego kodu XSS. Nabycie uprawnień innego użytkownika/klienta/administratora

Chmura obliczeniowa jako źródło dostępu do usług świadczonych na drodze elektronicznejd

BitDefender GravityZone Security for Virtualized Environments VS 1ROK

APTEKO, PRZYGOTUJ SIĘ NA RODO! KS - BDO

Kierunki rozwoju zagrożeń bezpieczeństwa cyberprzestrzeni

Projekty realizowane w Banku Polskiej Spółdzielczości S.A. przy współudziale i na rzecz Zrzeszenia BPS

Transkrypt:

Bezpieczeostwo chmury szansa czy zagrożenie dla Banków Spółdzielczych? Aleksander P. Czarnowski AVET Information and Network Security Sp. z o.o.

Agenda Cloud Computing definicja Modele biznesowe Zagrożenia Dlaczego tworzyd bezpieczne chmury w Bankowości Spółdzielczej? Jak stworzyd bezpieczną chmurę w Banku Spółdzielczym? Pytania

Model rozproszonego przetwarzania oparty na użytkowaniu usług dostarczonych przez zewnętrzne lub wewnętrzne organizacje. CLOUD COMPUTING = PRZETWARZANIE W CHMURZE

Cloud Computing - definicja Podstawowe rodzaje chmur: Publiczna udostępniana przez zewnętrznego dostawcę Prywatna udostępniana przez wewnętrznego dostawcę Community - udostępniana wspólnie przez wielu dostawców Hybrydowa kilka chmur o własnej tożsamości ale połączonych w jedną większą

Co dostajemy w ramach chmury Typ infrastruktury Infrastructure-as-a-Service (IaaS ) dostarcza infrastrukturę IT Software-as-a-Service (SaaS) dostarcza usługi za pomocą aplikacji Platform-as-a-Service (PaaS) dostarcza gotowe platformy biznesowe Communication-as-a-Service (CaaS) dostarcza usługi komunikacyjne Najciekawsze rozwiązane dla Banków SaaS i PaaS Zalety: Obniżenie kosztów licencji Obniżenie kosztów infrastruktury Obniżenie kosztów wdrożenia Wady: SaaS: ograniczenie samej aplikacji / PaaS może byd pozbawiony tej wady Pytania: Co tak naprawdę kupujemy Ochrona danych Ciągłośd działania Zgodnośd z przepisami Stabilnośd dostawcy

5 MITÓW O CHMURZE

5 mitów 1. Chmura potrzebuje platformy wirtualizacyjnej. Nieprawda: wirtualizacja nie jest potrzebna do przetwarzania danych. Niektóre rozwiązania faktycznie wymagają takiej platformy wirtualizacyjnej. Najczęściej są to produkty firm, które mają takowe w swojej ofercie. 2. Chmura jest bezpieczniejsza od tradycyjnej sieci. Nieprawda: źle zabezpieczony system jest źle zabezpieczonym systemem niezależnie od modelu przetwarzania danych. 3. Chmura musi byd dostarczana przez zewnętrznego dostawcę. Nieprawda: model prywatnej chmury pozwala na świadczenie usługi wewnętrznie. 4. Chmura nie może spełnid wymagao Nadzoru Bankowego. Nieprawda: wszystko zależy od zastosowanego modelu wdrożenia oraz sposobu używania chmury. 5. Chmura nie wymaga audytu bo jest bezpieczna. Nieprawda: każdy system wymaga kontroli niezależnie od dostawcy. Obowiązek ten jest nałożony także przez KNF i pojawia się między innymi w rekomendacji D

PODSTAWOWE ZAGROŻENIA

Podstawowe zagrożenia Zagrożenia biznesowe Przywiązanie się do jednego dostawcy i jego bazy oprogramowania / narzędzi (tzw. cloud lock-in) Utrata kontroli nad swoimi danymi Nie spełnienie wymogów zgodności oraz prawnych Zagrożenia wynikające ze zgodności Rekomendacja D i procedury inspekcji na miejscu GINB były pisane wiele lat przed obecnie dostępnymi rozwiązaniami Kwestie powierzenia przetwarzania danych stronie trzeciej i zabezpieczenie techniczne Ochrona prywatności i danych osobowych Ustawa o ochronie danych osobowych Ochrona informacji finansowej Prawo Bankowe Ustawa o obrocie instrumentami finansowymi Wymogi związane z: Zarządzaniem Ryzykiem Operacyjnym (BASEL II i Rekomendacja M) PCI DSS Wewnętrzne wymagania Banku i wdrożone standardy: ISO 27001 ISO 20000 BS 25999

Skoro lista zagrożeo jest tak długa DLACZEGO W TAKIM RAZIE MÓWIMY O CHMURZE?

Zalety chmury Błyskawiczna możliwośd korzystania z usług: Skrócenie czasu wytwarzania nowych aplikacji i infrastruktur Niższe koszty projektu Praktycznie brak czasu na integrację Szybsze wdrażanie usług i produktów Wielokrotnie mniejsze ryzyko projektowe Bezpieczeostwo: Łatwiejsze zarządzanie bezpieczeostwem (jeden punkt wymagający ochrony zamiast wielu) Niższe koszty utrzymania infrastruktury Mniejsze zapotrzebowanie na zasoby ludzkie

Zalety z perspektywy Banków Niższe koszty Spółdzielczych Szybkie wdrażanie nowych usług (przy zachowaniu niskich kosztów) Mniejsze potrzeby zasobów ludzkich Konkurencyjnośd w starciu z bankami komercyjnymi

Modelowe rozwiązanie na przykładzie platformy redcloudstorm CHMURA DLA BANKÓW SPÓŁDZIELCZYCH

Ważne pytania Czy rodzaj chmury ma znaczenie dla bezpieczeostwa? Czy technologia chmury ma znaczenie dla bezpieczeostwa? Czy technologia aplikacji ma znaczenie dla bezpieczeostwa? Czy aplikacje tradycyjne wrzucone do chmury stają się bardziej (nie)bezpieczne? Czy aplikacje tworzone z myślą o chmurze są bezpieczniejsze od tradycyjnych? Compliance

Czym jest redcloudstorm Niezależna platforma do budowania chmur, zwłaszcza typu PaaS: Private i Community Pozwala budowad chmury przy użyciu obecnej infrastruktury IT Nie wymaga platformy wirtualizacyjnej = działa z każdą platformą wirtualizacyjną Pozwala integrowad fizyczne zasoby ze zwirtualizowanymi Działa praktycznie na każdej platformie systemowej: AIX, Linux, FreeBSD, OpenBSD, Windows 32/64 Dostępna opcja microcloud

Docelowe rozwiązania (1/2) Private PaaS Private / Community PaaS

Docelowe rozwiązania (2/2) Private PaaS microcloud

Model bezpieczeostwa Wymogi Zgodnośd z przepisami sektora finansowego Niskie koszty Bezpieczna domyślna konfiguracja Integracja z obecnymi zabezpieczeniami Ochrona poufności i integralności Wysoka dostępnośd Np. brak DNSu nie może zatrzymad przetwarzania Replikacja danych Brak jednego node a chmury nie zaburza przetwarzania Realizacja Wdrożenie Secure Development Lifecycle już w fazie projektowania rozwiązania

Model bezpieczeostwa Wymogi Zgodnośd z przepisami sektora finansowego Niskie koszty Bezpieczna domyślna konfiguracja Integracja z obecnymi zabezpieczeniami Ochrona poufności i integralności Wysoka dostępnośd Np. brak DNSu nie może zatrzymad przetwarzania Replikacja danych Brak jednego node a chmury nie zaburza przetwarzania Realizacja Model Private PaaS Zapewnienie zgodności Wymuszenie odpowiednich zabezpieczeo Uniemożliwienie błędnego / niebezpiecznego wdrożenia Wewnętrzna komunikacja Użycie tunelu HTTPS Ochrona poufności Kontrola dostępu / uwierzytelnienie stron Systemy zaporowe i IPS nie wymagają rekonfiguracji

Model bezpieczeostwa Wymogi Zgodnośd z przepisami sektora finansowego Niskie koszty Bezpieczna domyślna konfiguracja Integracja z obecnymi zabezpieczeniami Ochrona poufności i integralności Wysoka dostępnośd Np. brak DNSu nie może zatrzymad przetwarzania Replikacja danych Brak jednego node a chmury nie zaburza przetwarzania Realizacja Wbudowany DNS Praca bez DNS Nody chmury definiowane za pomocą IP Model pracy off-line (zwłaszcza przydatne w rozwiązaniu typu microcloud)

Krótki przewodnik JAK STWORZYD BEZPIECZNĄ CHMURĘ?

Metodyka AVET INS Założenia biznesowe Polityka bezpieczeostwa Zabezpieczenie konsoli administracyjnej Zabezpieczenie aplikacji Analiza ryzyka Zabezpieczenie hypervisora Zabezpieczenie platform systemowych Testy i audyt

Przydatne publikacje Dokumenty Guidance v2.1 Cloud Controls Matrix v1.2 VMware Infrastructure 3 Security Hardening vsphere 4.1 Hardening Guide Hardening Linuxa pod VMWare Proces SDL

Dziękuję za uwagę Pytania? aleksander.czarnowski@avet.com.pl