http://cloudsweden.sehttp://cloudsweden.se

http://cloudsweden.sehttp://cloudsweden.se

20+ år i IT-branschenADB-teknikerTest- & Chefredaktör; Nätverk & Kommunikation (IDG)Eget konsultföretagNordic Consulting Manager, NovellCSA/NTO, MicrosoftGeneral Manager, LabCenterDriver nu MyNethouse, medgrundare Cloud Sweden och talesperson för molnfrågor Dataföreningen Stockholm

Predrag MitrovicCloud Advisor

Molnsäkerhet – ett dilemma?

• Det här arbetet är licensierat enligt Creative Commons Attribution-ShareAlike 3.0 Unported License. creativecommons.org/licenses/by-sa/3.0/

Attribuera till: Predrag Mitrovic på http://cloudadvisor.se

http://cloudsweden.sehttp://cloudsweden.se

By David Fletcher

http://cloudsweden.sehttp://cloudsweden.se

Molnet existerar inte…Som enhetligt begrepp

http://cloudsweden.sehttp://cloudsweden.se

Molnet är flerdimensionellt:

- Främst en beskrivning av ett skifte där IT-kraft, applikationslogik och information separeras från infrastrukturmekanismer som vi känner dem.

- Kännetecknande för omstruktureringen är storskalighet, tjänstemodellering, flexibilitet i skalbarhet/betalning och med Internet som en form av “dator”.

- Affärsmodellerna utvecklas och växer fram.

http://cloudsweden.sehttp://cloudsweden.se

Tre(o)enighet

http://cloudsweden.sehttp://cloudsweden.se

1. Institutionell kunskap saknas

http://cloudsweden.sehttp://cloudsweden.se

2. Faktabaserad erfarenhet av brister och utnyttjande saknas

http://cloudsweden.sehttp://cloudsweden.se

3. Paradigmskifte, evolution eller platt fall?

(eller: Fågel, fisk, mitt emellan?)

http://cloudsweden.sehttp://cloudsweden.se

“An amazing invention – but who would ever want to use

one?”*

* Sagt om telefonen av den 19:e presidenten i USA, Rutheford Hayes. De hade ett väl utbyggt telegrafnät vid tidpunkten för kommentaren.

http://cloudsweden.sehttp://cloudsweden.se

SÄKERHETSSTRATEGIERLedarskap, Riskhantering, Kontroll

http://cloudsweden.sehttp://cloudsweden.se

• Ramverk för mappning av leverantörer och för vidare hantering av risker.

http://cloudsweden.sehttp://cloudsweden.se

Tre huvudområden

• Organisationsrisker• Tekniska risker• Legala risker

http://cloudsweden.sehttp://cloudsweden.se

Organisationsrisker

• Avhändning av kontroll• Inlåsning• Efterlevnadsutmaningar• Leverantörsobestånd• Uppköp• Överföring av KPIer och uppföljning

http://cloudsweden.sehttp://cloudsweden.se

Tekniska risker

• Ond insider• Bristfällig isolering• Obehörig datafångst• Dataläckage vid överföringar• Överbelastningsattacker• Data fortsätter leva efter ”bäst-före-datum”

http://cloudsweden.sehttp://cloudsweden.se

Legala risker

• Jurisdiktioner – byten vid uppköp• Dataskydd• Licensiering

http://cloudsweden.sehttp://cloudsweden.se

http://cloudsweden.sehttp://cloudsweden.se

• SW-uppgradering = ny licens• Användarna klagar jämt• Molnet = bättre & billigare• Användarna använder molntjänster privat

• Du måste leverera affärsvärde• IT kostar för mycket• Är intern IT säker?• IT för tungrott• Förändringsprojekt tar evigheter

• Mitt jobb• #@% SW licenser• Jag måste kapa kostnader• Rättfärdiga investeringar• Hur får jag bandbredd hos VD/GD?

• Jag har kostnadskontroll• Jag förstår trender och hype• Vi kan inte göra det nu• Jag är innovativ• Jag har full kontroll

CIO-dilemma

http://cloudsweden.sehttp://cloudsweden.se

• Underbemmand & utarbetad personal (brandkår)• Minskande IT-budget• Hackerattacker & MalWare• Ingen/låg influens på verksamhetsutvecklingen• Nedtider• Hypersnabba teknikskiften• Växande konsultberoenden

CIO ”Pains & Gains”

• Investera i värdedrivande verksamhetsprojekt• Ena IT & verksamhet• Bli av med SW-license • IT = kritisk framgångspartner• Säker IT för alla• Tid för strategiska projekt som driver värde• Nöjda användare

http://cloudsweden.sehttp://cloudsweden.se

Strategisk molngrund (fast mark under fötterna)

Vision, visualisering, förstå terrängen, formulera avsikter

Kontrollerad implementation

”MOLNET””MOLNET”H

ype,

pra

ktikf

all,

best

pra

ctice

s,

bess

erw

isse

rs

Praktikfall, best practice, lärdom

ar

Ledarskap, förändringshantering, beslutskriteria, granskning

http://cloudsweden.sehttp://cloudsweden.se

http://cloudsweden.sehttp://cloudsweden.se

http://cloudsweden.sehttp://cloudsweden.se

HW SW Konsulter Support Underhåll Lagring Överföringar Energi Kommunikation

Flexibilitet Snabbrörlighet Tillgänglighet Teknikstyrning

Test/utveckling/integration/UnderhållLicensutnyttjande

Process & styrning Overhead TTM/TTA

http://cloudsweden.sehttp://cloudsweden.se

http://cloudsweden.sehttp://cloudsweden.se

OperationellPragmatiker

Värdeskapare

Kostnadskapare

IT & Verksamhetsledning

Inspirerarne teknikledare

Driva innovation

Maximera ROI

Driva verksamhet

framåt

Visionär –Sälja visioner

http://cloudsweden.sehttp://cloudsweden.se

Verksamhets-utvecklare

Leverantörer Experter

Cloud Maestro

• Cloudsourcing Vision / Mission

• Inspiration• Marknadsanalyser /

Användningsområden• Riktlinjer• Enterprise Architecture• Upphandlingsstöd

• Verksamhetsbehov• Kravfångst• Intressen• Återmatningar

• Standardkrav• Säkerhetsprocesser• Praktikfall• Driftinsikter• Tjänsteuppföljningar

• Aktivt söka råd och rön• Engagemang• Hållbara relationer

• Tjänster & avtal som följer krav• Input till standardisering• Samverkan utveckling av

standarder och praktikfall

Säkerhet

Standarder

DriftPrestanda

• RFI/RFPs• Definitioner• Säkerhetskrav• Standardkrav • SLAs

Value Creation

Value CreationValue Creation

Workshops

Konsult

Webinars

Seminarier

Analys-tjänster

Labs

Artiklar

http://cloudsweden.sehttp://cloudsweden.se

http://cloudsweden.sehttp://cloudsweden.se

Usage Metering

Usage Metering

Provisioning services

Provisioning services

Authentication

Authorization

Logging

Reporting

Incident manageme

nt

Enterprise Appl. (UI + Logic)

Data

http://cloudsweden.sehttp://cloudsweden.se

Tydligt verksamhets-

värde?

Unik avskiljare (kapacitet)?

Hinder för outsourcing?

Hinder för cloudsourcing?

Objekt redo för molnet?

Lösningen blir en plattform?

Processen isolerad?

IT-baserad differentiering?

Specifik Applikation,

HW, SW?

Behandlar kritiskt data?

JaNej

* Baserat på arbete hos Open Group

Lämplighet för molnet*

http://cloudsweden.sehttp://cloudsweden.se

Efterlevnad

http://cloudsweden.sehttp://cloudsweden.se

Kravuppfyllelse

http://cloudsweden.sehttp://cloudsweden.se

Riskhantering

http://cloudsweden.sehttp://cloudsweden.se

Business continuity

Min

ver

ksam

het Lev. verksam

het

http://cloudsweden.sehttp://cloudsweden.se

Källor (som jag gillar)• Cloud Sweden (LinkedIn: sök Cloud Sweden) eller

cloudsweden.se• Cloud Advisor – cloudadvisor.se (det är jag )• CloudTweaks – www.cloudtweaks.com• NIST –

csrc.nist.gov/groups/SNS/cloud-computing/index.html• ENISA• CloudCamp – www.cloudcamp.com • Cloud Security Alliance –

www.cloudsecurityalliance.com• Open Cloud Manifesto –

www.opencloudmanifesto.org

http://cloudsweden.sehttp://cloudsweden.se

Källor (som jag gillar del2)

• Arbetsgrupp Säkerhet (Cloud Sweden): natverk.dfs.se/node/21320

• Cloud Standards – cloud-standards.org• The Open Group -

www.opengroup.org/cloudcomputing/• IDG Cloud Magazine – cloud.idg.se/• Amazon, Microsoft, Google, IBM, Oracle,

Salesforce, RackSpace och de vanligen misstänkta

http://cloudsweden.sehttp://cloudsweden.se

En funderare:Metodik att utveckla/implementera

• Logisk segregering inför migrering:– Information– Behörigheter– Loggning

• Assimileringsstrategier för omvänd- eller vidaremigrering

http://cloudsweden.sehttp://cloudsweden.se

Predrag Mitrovicpredrag@mynethouse.se0709 – 200 350 Skype/Twitter: write4joyMynethouse.se

Tack för trevlig samvaro!