Skytjenester kan oppleves som en enveis norsk motorvei, med varierende sikkerhet og liten mulighet til å stoppe opp og stille egne krav. Standardkontrakter er normalen, men det er vanskelig å vite hva man skal se etter, hva som burde stått der og hva man skal spørre om når man ikke finner noen gode garantier. Sammen med Telenor har vi utarbeidet et rammeverk som gjør det lettere å vite hva slags sikkerhet man skal se etter i kontrakter og annen dokumentasjon fra en skyleverandør. Vi har benyttet dette rammeverket i forbindelse med “security audits”, for å identifisere sårbarheter og trusler man som organisasjon bør være klar over før man stuper inn i skyen.
Undertegnede skal holde et foredrag om dette temaet på årets Sikkerhet og sårbarhetskonferanse (7.-8.mai) i Trondheim, og vil pensle innom tema som vi tidligere har skrevet om her på infosec-bloggen, blant annet Får vi noen gang digitale kontrakter for nett-tjenester?, Unngå sertifikatfella og Ansvarlighet i skyen. Foredraget vil vise eksempler fra virkeligheten, og forklare det kommende “Cloud brokering”-konsepter, som skal forenkle forholdet mellom leverandører og kunder.
For å høre om dette og masse annet snadder*, meld deg på konferansen via Dataforeningen sine sider.
* Det øvrige konferanseprogrammet inneholder tema som digitalt førstevalg, sikkerhetskultur, beredskapsøvelser samt en live demo av hacking. Kvelden i forveien, 6. mai, arrangeres det i tillegg en studentkveld i samarbeid med Abakus og Online linjeforeninger ved NTNU. Data- og kommunikasjonsteknologistudentene får da muligheten til å høre et utvalg av foredragene som kommer på selve konferansen.