Loading…
Tilbage

Cloud audit og assurance initiativer


Denne rapport belyser mulighederne for adgang til sikkerhedsdokumentation i forskellige typer cloud-løsninger, og introducerer en række af de nuværende generelle cloud audit og assurance initiativer. Informationen skal kunne medvirke til at kunne vurdere om en leverandør tilbyder tilstrækkelig audit og assurance information til at opfylde kundernes risikovurdering og eventuelle lovkrav.

Det er i dag muligt at opnå tilstrækkelig information fra en række kvalificerede cloud-leverandører til at imødekomme danske behov for audit og assurance. På nuværende tidspunkt kan det dog kræve en række manuelle opgaver fra både kunden og cloud-leverandøren.

Tilgængelig audit og assurance information

En cloud leverandør kan grundlæggende stille tre forskellige typer audit og assurance information til rådighed for deres kunder:

1. Skriftlig dokumentation for procedure, standarder, politikker osv.
Tilgængelig leverandør dokumentation, leverandør certificeringer som ISO 27001, PCI, COBIT, NIST 800-53, BS 25999 og revisionserklæringer kan ofte give tilstrækkelig information til at  vurderer de meget standardiserede og automatiserede cloud-løsninger ud fra.

2. Konfigurationsinfo, dvs oplysninger om standardkonfigurationer og dokumentation for den aktuelle konfiguration af kundens systemer, og

3. Løbende log- og monitoreringsinformation

Man skal her være opmærksom på, at forskellige typer clouds giver forskellige muligheder for adgang til konfigurations- og log/monitorieringsinformation. Typen af information som leverandøren kan stille til rådighed vil være afhængig af den type cloud der overvejes (IaaS, PaaS, SaaS). Adgang til audit og assurance information er primært leverandørens ansvar i SaaS-løsninger og et delt ansvar mellem leverandør og kunder i IaaS og PaaS-løsninger.

Cloud-specifikke projekter

En række projekter arbejder på at mappe cloud-specifikke sikkerhedsspørgsmål til de ovenfor standard rammeværk, og give cloud-specifikke spørgsmål, så kunder opnår tilstrækkelig viden og dokumentation for de specifikke løsninger uden at skulle opfinde spørgsmålene hver gang. Cloud-leverandørerne kan ligeledes besvare og dokumentere de mest almindelige og relevante spørgsmål på forhånd, hvorved deres belastning lettes.

For at begrænse de mange manuelle opgaver og processer arbejder flere projekter på at standardisere, og på sigt automatisere, indsamlingen af audit og assurance information. Endelig kan projekter etablerer en ”forhåndsgodkendelse” eller forhåndsvurdering af specifikke cloud-løsninger

Målet er at opnå en løbende overvågning og vurdering af cloud-leverandørens infrastruktur, for at vise at leverandøren overholder egne sikkerhedspolitikker.

Området er i hastig udvikling. Dette dokument giver derfor en status på de mest relevante initiativer og et overblik over de nuværende audit og assurancemuligheder hos en række cloud-leverandører.

Læs hele rapporten her

Hvis du har kommentarer eller rettelser til rapporten vil vi meget gerne høre dem. Skriv dem som kommentar til denne ressource eller kontakt Camilla Grynnerup Fisker cagr@itst.dk.

Filer og referencer

Titel Type
Cloud audit og assurance.pdf pdf
Profilbillede

Cloud forum den 15. marts om cloud audit og assurance

Camilla Grynnerup Fisker

Hør mere om rapporten og andre spændende indlæg om cloud audit og assurance på næste cloud forum: "Har du styr på din cloud leverandør?"