‫ניהול סיכוני טכנולוגיות מידע במעבר לענן‬
‫באמצעות ‪COBIT 5‬‬
‫טל דולב‪,‬‬
‫רו"ח ‪CRISC CISA MBA‬‬
‫שותף ייעוץ וביקורת מערכות מידע במוסדות פיננסים‬
‫‪BDO‬זיו האפט‬
‫הכנס השנתי ‪ ISACA‬ישראל ‪ -‬נובמבר ‪2014‬‬
‫ניהול סיכוני טכנולוגיות מידע במעבר לענן‬
‫באמצעות ‪COBIT 5‬‬
‫הכנס השנתי ‪ ISACA‬ישראל ‪ -‬נובמבר ‪2014‬‬
Cloud Computing- ‫מחשוב ענן‬
‫"תצורות שונות של טכנולוגיה המאפשרות ניצול יעיל ונוח של משאבי מחשוב תוך‬
‫אפשרות לשיתוף משאבים ולשימוש בהם לפי הצורך;" הפיקוח על הבנקים בבנק ישראל‬
Model for enabling convenient, on-demand network access to a shared
pool of configurable computing resources (e.g., networks, servers,
storage, applications, and services) that can be rapidly provisioned and
released with minimal management effort or service provider interaction.
Five essential characteristics of the cloud:
• On-demand self service
• Broad network access
• Resource pooling
• Rapid elasticity
• Measured service
2014 ‫ נובמבר‬- ‫ ישראל‬ISACA ‫הכנס השנתי‬
‫סוגי היישום של שירותי ענן‬
‫הכנס השנתי ‪ ISACA‬ישראל ‪ -‬נובמבר ‪2014‬‬
‫הבדלים בין סוגי השירות‬
‫הכנס השנתי ‪ ISACA‬ישראל ‪ -‬נובמבר ‪2014‬‬
‫דוגמא לשירות מסוג‪.....‬‬
‫הכנס השנתי ‪ ISACA‬ישראל ‪ -‬נובמבר ‪2014‬‬
‫דוגמא לשירות מסוג‪.....‬‬
‫הכנס השנתי ‪ ISACA‬ישראל ‪ -‬נובמבר ‪2014‬‬
‫מניעים למעבר לענן‬
• Optimized resource utilization
• Cost savings
• Better responsiveness
• Faster cycle of innovation
• Reduced time for implementation
• Resilience
2014 ‫ נובמבר‬- ‫ ישראל‬ISACA ‫הכנס השנתי‬
‫גורמי הסיכון בשימוש בשירותי ענן‬
• Type of cloud service
• Robustness of the enterprise’s existing
IT operations
• Current
level
of
business
risk
acceptance
• Aggregated “street value” of the data
• Internal security classification of data
• Identified compliance obligations of the
data shared within the cloud.
• Cloud service provider (CSP) risk
2014 ‫ נובמבר‬- ‫ ישראל‬ISACA ‫הכנס השנתי‬
‫ המאפשרים של‬7 ‫אתגרים בשימוש בשירותי ענן בראי‬
COBIT 5
1. Principles, Policies and Frameworks:
• Cloud security policy/procedure transparency
• Compliance requirements
2. Processes:
• Adequate security controls
3. Organisational Structures:
• Public cloud server owners’ due diligence
4. Culture, Ethics and Behaviour:
• CSP business viability
• Screening of other cloud computing clients
2014 ‫ נובמבר‬- ‫ ישראל‬ISACA ‫הכנס השנתי‬
‫ המאפשרים של‬7 ‫אתגרים בשימוש בשירותי ענן בראי‬
...‫ המשך‬,COBIT 5
5. Information:
• Cloud data ownership
• Record protection for forensic audits
• Data disposal for current SaaS or PaaS applications
6. Services, Infrastructure and Applications:
• Data location
• Commingled data
• Identity and access management (IAM)
• Disaster recovery (DR)
7. People, Skills and Competencies:
• Lock in with CSP proprietary application program interfaces (APIs)
2014 ‫ נובמבר‬- ‫ ישראל‬ISACA ‫הכנס השנתי‬
‫נקודות לבחינה בעת מעבר לשימוש בשירותי ענן בעלי‬
‫השפעה על מפת הסיכון‬
Cloud computing challenges to consider:
• Data location
• Commingled data
• Security policy/procedure transparency
• Cloud data ownership
• Lock-in with CSP proprietary APIs
• Record protection for forensic audits
• Identity and access management (IAM)
• Screening of other cloud computing clients
• Compliance requirements
• Data disposal
• Portability
• CSP viability
• Backup and rollout capabilities
2014 ‫ נובמבר‬- ‫ ישראל‬ISACA ‫הכנס השנתי‬
‫דגשים מיוחדים בעת מעבר לשירותי ענן‬
‫• הסכם עם ספק שירותי הענן צריך להבנות בהתאם לאופי השירות‪ ,‬לטפל בחלוקת האחריות בין‬
‫הארגון לבין הספק ולהבטיח שירות ענן אמין )‪ (Cloud Trust‬הכולל יכולת לבצע ביקורת ובקרה‬
‫חיצונית )‪(SOC2/3‬‬
‫• משילות המידע – ‪Logs ,Commingled ,Disposal ,Ownership‬‬
‫• יישומי ‪ SaaS‬עשויים להתעדכן באופן תדיר‪ ,‬לעיתים לפני שהלקוח מספיק לבדוק אותם‪.‬‬
‫• סיכוני סייבר‪.‬‬
‫• יש לבצע ‪ DD‬על ספק שירותי ענן‪:‬‬
‫• יש לבחון את הספק‪ ,‬איתנותו ואת זהותו‪.‬‬
‫• שירותי ענן על ידי מתווך )‪(Broker‬‬
‫• הונאות ‪ -‬ספקי שירותי ענן מתחזים‪.‬‬
‫• אבטחה פיזית ולוגית אצל הספק‪.‬‬
‫• ביצועים‪ ,‬שרידות וזמינות‪.‬‬
‫הכנס השנתי ‪ ISACA‬ישראל ‪ -‬נובמבר ‪2014‬‬
‫דוגמא לערכת הסיכונים לפי ‪ COBIT 5‬בבחינת שירות ענן‬
‫בחינה לפי מודל השירות‬
‫הכנס השנתי ‪ ISACA‬ישראל ‪ -‬נובמבר ‪2014‬‬
Cloud Computing ‫ בנושא‬ISACA ‫פרסומי‬
Guiding Principles
for Cloud Computing
Adoption and Use
Security Considerations
for Cloud Computing
Cloud Governance:
Questions Boards of
Directors Need to Ask
2014 ‫ נובמבר‬- ‫ ישראל‬ISACA ‫הכנס השנתי‬
‫מקורות‬
‫•‬
‫•‬
‫•‬
‫בנק ישראל ‪ ,‬הפיקוח על הבנקים טיוטת מכתב "ניהול סיכונים בסביבת מחשוב‬
‫ענן"‪ 10 ,‬בספטמבר ‪.2014‬‬
‫‪Controls and Assurance in the Cloud: Using COBIT® 5‬‬
‫‪Security Considerations for Cloud Computing‬‬
‫הכנס השנתי ‪ ISACA‬ישראל ‪ -‬נובמבר ‪2014‬‬
‫תודה על‬
‫ההקשבה‬
‫טל דולב‪,‬‬
‫רו"ח ‪CRISC CISA MBA‬‬
‫שותף ייעוץ וביקורת מערכות מידע במוסדות פיננסים‬
‫‪BDO‬זיו האפט‬
‫‪[email protected]‬‬
‫‪03-6380177‬‬
‫הכנס השנתי ‪ ISACA‬ישראל ‪ -‬נובמבר ‪2014‬‬