databeskyttelse og sikring af platform og standard ... · fx azure ad, mfa, azure information...
TRANSCRIPT
Databeskyttelse og sikring af platform og standard software mod udefrakommende trusler
18. juni, 2019
Ole KjeldsenTeknologi- & SikkerhedsdirektørMicrosoft Danmark & Island
CONNECT via
https://aka.ms/olek
SIKKERHEDS-
STRATEGI
Lars Frelle – daværende direktør for Digitaliseringsstyrelsen
* D E T E R I K K E MU L I G T, AT KØ B E E T KO MP L E T SY ST E M, P RO D U K T E L L E R SE R V I C E D E R G Ø R B E H A N D L I N G E N G D P R C O MP L I A N T !
D E N R E T T E T E K N O LO G I K A N A SS I ST E R E D E N D ATA A N SVA R L I G E I AT O P N Å C O MP L I A N C E & D E N R E T T E P L AT F O R M K A N G Ø R E
D E T L A N G T E N K E L E R E AT O P N Å C O MP L I A N C E !
Gældende lov
Alle slides er tilgængelige på https://aka.ms/msgrgdpr2019
Der er shortlinks undervejs og samlet til slut
Spørgsmål, spørgsmål, spørgsmål – bare skyd, men husk at jeg kun er ‘skabsjurist’☺
Vore Terms of Service binder Microsoft kontraktuelt til
at håndtere alle Databehandler krav som GDPR
opstiller, fra 25. Maj, 2018.
Vi vil som både dataansvarlig og databehandler dele
vore erfaringer med arbejdet med at leve op til GDPR.
Sammen med vore partnere, er det vores erklærede
mål at hjælpe vore kunder med at nå deres mål for
implementering af politikker, medarbejdere, processer,
og teknologi, for at opnå fuld efterlevelse af GDPR.
HIPAA /
HITECH ActFERPA
GxP
21 CFR Part 11
Singapore
MTCS
UK
G-Cloud
Australia
IRAP/CCSL
FISC Japan
New Zealand
GCIO
China
GB 18030
EU
Model Clauses
ENISA
IAF
Argentina
PDPA
Japan CS
Mark Gold
CDSAShared
Assessments
Japan My
Number Act
FACT UK GLBA
Spain
ENS
PCI DSS
Level 1MARS-E FFIEC
China
TRUCS
Canada
Privacy Laws
MPAA
Privacy
Shield
India
MeitY
Germany IT
Grundschutz
workbook
Spain
DPA
HITRUST IG Toolkit UK
China
DJCP
ITARSection 508
VPATSP 800-171 FIPS 140-2
High
JAB P-ATOCJIS
DoD DISA
SRG Level 2
DoD DISA
SRG Level 4IRS 1075
DoD DISA
SRG Level 5
Moderate
JAB P-ATO
GLO
BA
LU
S G
OV
IND
US
TR
YR
EG
ION
AL
ISO 27001
SOC 1
Type 2ISO 27018CSA STAR
Self-AssessmentISO 27017SOC 2
Type 2SOC 3ISO 22301
CSA STAR
Certification
CSA STAR
AttestationISO 9001
Microsoft har og vedligeholder den bredeste & dybeste compliance certificeringsportefølje i markedet
Service Trust Platformen giver i kombination med
Microsoft Trust Centeret:
• Adgang til audit rapporter på tværs af Microsoft cloud
services eet enkelt sted on-line.
• Vejledning til at opnå compliance med reguleringer
igennem anvendelsen af Microsoft cloud service.
• Adgang til documentation af hvordan Microsoft cloud
services hjælper med at beskytte data.
http://aka.ms/STP
At beskytte enkeltpersoners (datasubjekters) data bedst muligt i forhold til risici under indsamling, opbevaring og anvendelse!
Hvordan kan jeg starte?
Identificere PII som indsamles i virksomheden &
hvor PII lagres/behandles i hvilke dataflowsDiscover1
Håndtere hvordan og af hvem PII tilgåes,
behandles og slettesManage2
Etablere sikkerhedskontroller som forebygger,
opdager og håndterer sårbarheder & data
breaches/sikkerhedshændelser
Protect3
Skab og hold den nødvendige dokumentation,
håndtér dataforespørgsler & breach notifikationReport4
Hvordan kan jeg starte?
Identificere PII som indsamles i virksomheden &
hvor PII lagres/behandles i hvilke dataflowsDiscover1
Håndtere hvordan og af hvem PII tilgåes,
behandles og slettesManage2
Etablere sikkerhedskontroller som forebygger,
opdager og håndterer sårbarheder & data
breaches/sikkerhedshændelser
Protect3
Skab og hold den nødvendige dokumentation,
håndtér dataforespørgsler & breach notifikationReport4
Identificere hvilke love & reguleringer
organisationen og de data man behandler er
underlagt
Jura0
Balanceret
Passendeforanstaltninger
Proportionalitet
Fortegnelse
https://aka.ms/msrisikomitigering
https://aka.ms/ dkgdprvejledninger
https://aka.ms/ ukgdprguidance
West US
West US 2
54 Cloud regioner med data lagring- kunden vælger løsning & data region
Central US
East US
North Central US
Brazil South
West Europe
Japan East
South India
Southeast
Asia
Australia Southeast
Australia East
Central India
West India
Japan West
East Asia
China West1
North EuropeGermany
Northeast2Canada East
Canada Central
South Central US
China East1
Germany
Central2
Korea
South3
East US 2
Korea Central3
United Kingdom West
United Kingdom
South
West Central US
US Gov Virginia
US Gov Iowa
US DoD East
US DoD
West
France3
France3
140+ datacenter i 100+ lande
Eet af de 3 største netværk i verden
1Kinesiske datacentre driftes af 21 Vianet
2Tysk data trustee services håndteres af
T-systems (NB! Lukket for nye kunder)
3Frankrig, Norge, Sydkorea og US Gov
datacenter regioner er annonceret med er
endnu ikke alle i drift
Sovereign datacentre
Globale datacentre
US Gov Texas3
US Gov Arizona3
South Africa
Hvilke services i hvilke regioner? https://aka.ms/mscloudregions
Overblik: https://azure.microsoft.com/da-dk/global-infrastructure/
Men det ervæsentligt at man forstårseperationaf ansvar
Ansvar, support, dokumentation& vedligeholdelse …
fra Microsoft
fra Partner
fra Kunden selv, evt med brugaf værktøjer leveret via cloud –fx Azure AD, MFA, Azure Information Protection etc.
Egne kontroller, procedurer og fortegnelser, men værktøjer og anbefalinger fra leverandør
Databehandler driver og dokumenterer passendeforanstaltninger, for den dataansvarliges fortegnelse
Data Governance and Rights Management
Client End-points
Account and Access Management
Identity and Directory Infrastructure
Application
Network Controls
Operating System
Physical Hosts
Physical Network
Physical Datacenter
Security
Privacy and Control
Compliance
Transparency
MS SaaS
PaaS IaaS On-Prem
Whitepaper med flere detaljer:
https://aka.ms/mssharedresponsibility
ISV SaaS
Konstant udvikling af sikkerhedskontroller & funktioner til hver fase …
https://securescore.office.com/
Compliance Manager
Se en real tids status for compliance i
forhold til regulering som udvikler sig.
Anbefalinger om konkrete aktiviteter
som kan forbedre databeskyttelsen.
Gennemføre egne pre-audits som
forberedelse til eksterne audits.
Håndtering af compliance eet sted i MS Cloud
Opsummering: Microsoft Cloud & GDPR
2
Get GDPR Compliant with the Microsoft Cloud
Compliance Offerings. Microsoft Corporation. March 16, 2017.
Microsoft and Office 365 Security Solution Selling Qualitative Research Findings. MDC Partner Research. December 2016.
4
3
5
1
Microsoft Confidential – for internal only use by partners. 30
Opsummering & Q&A
Grund til panik?
Forordningen kræver handling …• Start med at skabe overblik over persondata NU!
• Overvej hvor I kan begynde at udnytte Cloud
fordele & værktøjer I måske allerede har adgang til
• HUSK! Compliance kræver dog andet end IT• Dokumentation
• Politikker & Processer
• Awareness
• Datagovernance
• Mm.
https://aka.ms/msgrgdpr2019
NEJ – men - skaf jer den rette juridiske vejledning- Og husk formålet er MATERIEL BEDRE
DATABESKYTTELSE
TAK!Ole Kjeldsen
https://aka.ms/olek
https://aka.ms/msgrgdpr2019
aka.ms/dkdojdplGDPR - EU: https://gdpr-info.eu/
UK Data Protection Agency: https://aka.ms/ukdatatilsyngdprDK Data Protection Agency: https://aka.ms/dkgdprvejledninger
https://www.gdprbenchmark.com/
aka.ms/dkgdpr
• Kammeradvokaten: https://aka.ms/kagdpr • Bech-Bruun: https://aka.ms/bebgdpr• Gorrisen Federspiel: https://aka.ms/gfgdpr• Bird & Bird: https://aka.ms/bbgdpr• DI Digital: https://aka.ms/digdpr
microsoft.com/GDPR
Whitepapers:https://aka.ms/TechnicalWhitepaperandFAQ& https://aka.ms/gdprwhitepapers
Microsoft Cloud Compliance Manager:https://aka.ms/cmpr
InformationTraining Program &
Official guidance
aka.ms/mssikkerhedsprodukter
https://aka.ms/ms
datagovernance
https://aka.ms/GetT
oGDPRCompliancehttps://aka.ms/protect
cloudprivacy
https://aka.ms/dpamappinghttps://aka.ms/
msdkgdpr
https://aka.ms/
msazuretrust
https://aka.ms/ms
risikomitigering
Lovgivning før 25/5/2018:
Paragraf 41 stk 4
Alle datasæt som er
1. Nationalt dækkende og
2. Vigtige for en evtbesættelsesmagts mulighed for at opnå administrativ kontrol med landet
.. skal umiddelbart kunne slettes
Fortolkning: De skal blive i Grønland
Eksempler: CPR Registeret
Lovgivning pr 25/5/2018:
Paragraf 3 stk 9
Alle data kan som udgangspunkt behandles overalt i EU/EØS.
For systemer i den offentlige sektor som opfattes som af interesse for national sikkerhed, kanresort-ministeren anmode justitsministeren om at få underlagt systemerne 3-9 & dermed skal disse systemer forblive i DK!
Eksempler kendes endnu ikke, men enkelte detaljer kendes:
- vil være stærkt begrænset ifht. tidligere (enkeltcifret antal)
- alene gælde systemerne, ikke udtræk af data!
Microsofts egne tekniske hovedsikkerhedselementersom understøtter den gode sikkerhedskultur
Vi mener der er 4 kritiske elementer som skal til at beskytte vore aktiver:
Vores review af historiske sikkerhedshændelser viser, at nærmest alle
signifikante events kan spores tilbage til en fejl i 1 eller flere af disse 4.
Multi-factor Authentication
Information Protection
Conditional Access (kun ‘sunde’ entiteter, fra sikre forbindelser får adgang)
Konsistent Logging/Telemetry & automatiseret analyse
Hvor ligger de store risici?& hvad kan man gøre i fx …..
• Kundedata er alene kundensOverordnet
Privacy Politik
• Design, udvikling, test og iterationer defineret i Open Source SDLPrivacy by
Design
• Håndtering af rettigheds- & adgangskontrol (incl bl.a. Lockbox)
• Egen kryptering
• Etc.
Privacy by
Features
• Certificeret standardbaseret multi-layered sikkerhed (HIPAA, ISO, SOC etc.)
• Operational Security Standard: Hardware, Fysisk, Kryptering i alle lag etc.
• Principfast håndtering af myndighedshenvendelser
Privacy i
Operations
HTTPS://AKA.MS/O365KRYPTERING
Transport Layer Security (TLS 1.2)
S/MIME
OME
IRM
Policy tips in Exchange
Classification and labelling Encryption and rights managementIntuitive, one-click process Detailed tracking and reporting
All suspicious content goes through a real-time behavioural malware analysis
(detonation chamber) that uses machine learning techniques to evaluate the
content for suspicious activity.
All links are examined in real time, at the time a user clicks them. If a link is unsafe, the user is warned not to visit the
site or informed that the site has been blocked.
Based on data from Microsofts global Intelligent Security Graph: • Get pro-active information,
alerts and suggestions for new security policies to help protect against malware
• Overview of top targeted users• Deep dive into specific threats
with Threat Explorer• Get a Threat dashboard with
Threat Tracker (ex. how many of my users was hit by Petyaetc.)
• Train end-users with Attack Simulator
• Effectiveness reports
The Service Trust Platform (STP) is a companion feature
to the Microsoft Trust Center, and allows you to:
• Access audit reports across Microsoft cloud services
on a single page.
• Access compliance guides to help you understand
how can you use Microsoft cloud service features to
manage compliance with various regulations.
• Access trust documents to help you understand how
Microsoft cloud services help protect your data.
http://aka.ms/STP
The Office 365 Audit Logs can give you
valuable insight into your environment
and provide critical security information
with audit search and alerts.
The reports contain user and admin
activity in Exchange Online, SharePoint
Online, OneDrive for Business, DLP and
Azure Active Directory.
http://aka.ms/o365log