59 markets and 36 languages. 76 markets and 48 languages 200+ CLOUD SERVICES

Transkript

1

2 2 59 markets and 36 languages 76 markets and 48 languages 200+ CLOUD SERVICES

3 Informations-Sicherheit

4 Risiken kennen Informations-Sicherheit ist eine Risiko-Management Disziplin des Geschäftsbereich und keine Aufgabe der IT. Sicherheitsrisiken müssen erkannt, priorisiert und adressiert werden, proaktiv. Insider/ Cyber Threat Virtualization Mobile Computing Cloud Computing Social Networking APTs Cloud Risiken sind auch nur Risiken. Enterprise Correlation Informations-Sicherheit ist nicht nur ein Thema für die Cloud Regulatory Es geht um ganzheitliche Informations-Sicherheit

5 Verknüpfung von Betrieb u. Risiko Eigenes RZ Sourced / Hosted Cloud Individuelle Verträge Spezifische SLA s Allgemeine Verträge Lizenz Abkommen Brücke über Vertrauen, Zertifizierungen, Prüfung Standard SLA s Betrieb Risiko Betrieb Risiko Betrieb Risiko

6 Steuerung der Informations-Sicherheit Richtlinen & Standards wissen, verstehen, umsetzten Compliance fördern, ermöglichen, überwachen, berichten Governance Program Risiko Management etablieren, akzeptieren, sanieren Beratung & Support Dienste Schulen, Awareness & Kommunikation, Ratschlag & Beratung, Umsetzung

7 Schutz Reaktion 8 Aufeinander abgestimmte Systeme im Zyklus, keine autonomen Elemente Unternehmensziele Risikotoleranz Compliance Anforderungen Sicherheitsarchitektur Authentifizierung & Autorisierung Verschlüsselung, weitere Steuerung Anforderungen an Unternehmen Reaktion auf Störungen Forensische Ermittlungen Druchsetzung von Gesetzen Respond & Contain Respond & Contain Überwachung der Nutzeraktivitäten Data In Motion/At Rest Monitoring Egress Monitoring, Containment Geschäftskontinuität Ownership Proof (Besitznachweis) Strafverfolgung/Gerichtsverfahren

8 Infrastruktur & Information Managed Unmanaged Einheitliche, angepasste, end-to-end Security Management Plattform, sichere Infrastruktur Schutz der Information, basierend auf der Auswirkung auf das Geschäft, Informationszentrisch Schutz der Infrastruktur Sicherheits-Architektur Schutz der Information Informations-Management und Lebenszyklus Schutz der Prozesse Sicherheits-Management -> Schutz in der Cloud

9

10 Richtige Kandidaten finden Selektionskriterien festlegen, welche Anwendungen in die Cloud können Not mission critical No regulatory exposure Low-impact content Mission critical Regulatory exposure High-impact content Not cross-premises Low monitoring needs Custom app integration Medium database storage Cross-premises High monitoring needs Packaged app integration Large database storage

11 SECURITY Ist Cloud Compting sicher? Sind Microsoft Online Services sicher? Datenschutz Was bedeutet Datenschutz bei Microsoft? Wo sind meine Daten? COMPLIANCE Gibt es Zertifizierungen die Microsoft verfolgt? Wie unterstützt Microsoft seine Kunden bei Compliance Anforderungen? Kann ich Microsoft auditieren? RELIABILITY & SERVICE CONTINUITY Gibt es bei Microsoft ein BCM Programm? Wird das auch mal getestet?

12 COMPLIANCE MANAGEMENT FRAMEWORK

13

14

15 Defense-in-Depth Zutritt Netzwerk Identität und Zugriff Host Security Anwendungen Informationen

16 17 DATA USER APPLICATION HOST INTERNAL NETWORK NETWORK PERIMETER FACILITY

17 Security als Prozess im RZ Training Requirements Design Implementation Verification Release Response Security Development Lifecycle Prozess ( ) Koordination der Produktgruppen TWC Teams verwenden Checklisten, Fragebögen und andere Dokumentationen zur Validierung, dass der SDL korrekt angewendet wurde. Threat Model Review TWC Teams analysieren die Threat Models der Produktgruppen zur Verifizierung, dass sie vollständig und aktuell sind. Security Bugs Review Alle Bugs, die Security und Privacy von Kundendaten betreffen werden überprüft und berücksichtigt. Validierung der Nutzung von Tools TWC Teams stellen sicher, dass die Produktgruppen die zur Verfügung stehenden Tools, Code- Dokumentationen, Patterns und Best Practices richtig genutzt und eingebunden werden.

18 Was bedeutet Datenschutz bei Microsoft?

19 Kontinentale Rechenzentren Chicago Dublin Amsterdam Quincy Hong Kong Des Moines Boydton Japan San Antonio Singapore Privacy Disclosure & Transparency Microsoft Online Service Privacy Statement Microsoft Online Code of Conduct Microsoft Online Subscription Agreement EU Safe Harbor Certification

20

21 Framework und Zertifizierungen am Beispiel Office365 Kontinuierliche Verbesserung COMPLIANCE MANAGEMENT Office365 Certifications: ISO27001 SAES-16 / SA S70 EU Model Clauses Auftragsdatenverarbeitungsvertrag Safe Harbor Framework FISMA Whitepaper: Standard Response to Request for Information: Security & Privacy Office365 Auditierung und Zertifizierung gegen das Rahmenwerk

22

23 Service Continuity Program Framework

24 Ihre Punkte für die Cloud Sicherheit:

25 Security Response Center Security Intelligence Report Security Development Lifecycle Security TechCenter Microsoft Security Update Guide /security/msrc /security/sir /sdl technet.microsoft.com /security /securityupdateguide Security Development Center Trustworthy Computing End to End Trust Malware Protection Center Security Blog Kranawetter msdn.microsoft.com /security /twc /endtoendtrust /security/portal michaelkranawetter/