ISO 27001 A FELHBEN Tds Andrs CTO Bemutatkozs
ISO 27001 A FELHŐBEN Tüdős András, CTO
Bemutatkozás Central Europe On-Demand – Cloud platform szolgáltató 10 európai országban – Fókusz: üzleti levelezés, kollaboráció és egységes kommunikáció – Elsősorban távközlési és IT szolgáltató partnereken keresztül, white label konstrukcióban értékesítünk – Saját fejlesztéső Cloud Services Manager provisioning platform – Az elsődleges adatközpontok és a csapat zöme Magyarországon – Minősített ISO 27001 információbiztonság irányítási rendszer Tüdős András – A Central Europe On-Demand Zrt. műszaki vezetője (CTO) – A platform architektje, a fejlesztés és az üzemeltetés irányítója – Korábban: T-Online/Axelero CIO+CTO, Invitel International üzemeltetési vezető, ISZT+BIX elnökség, C 3 és freemail alapító
Partnereink
Információbiztonság a felhőben • • A legfontosabb bizalmi kérdés az ügyfelek részéről Platform szolgáltatóként mind a szolgáltató partnerek, mind az ügyfeleik igényeinek meg kell felelni: mindenből a legjobbat kell nyújtanunk Kirakatban dolgozunk: a felhő szolgáltatók minden egyes hibáját hatalmas sajtóvisszhang kíséri, pedig a hibák elenyészőek a tipikus vállalati képességekhez képest Minél nagyobb egy szolgáltató, annál nagyobb a valószínűsége, hogy kisebb hibák is tömeges problémákat okozhatnak Napokig tartó kiesések a Microsoft üzleti felhőjében az előző héten
A Cloud Computinggal kapcsolatos félelmek Security Legal Questions Data Protection Compliance Integration Efforts Lock In Situation Availablity Insufficiant economic Benefits Insufficiant Performance Insufficiant Functionality Half backed Technology 0% 10% 20% 30% 40% 50% 60% 70% 80% Forrás: KPMG 2010
Válaszaink a biztonsági félelmekre • Információbiztonsági irányítási rendszer ISO 27001 szerint minősítve és aktívan működtetve (folyamatos továbbfejlesztés), kiemelve az alábbiakat: • Fizikai és üzemeltetési biztonság, üzletmenet folytonosság • Egymást tartalékoló adatközpontok • Minden elemében redundáns rendszerek • Folyamatos mentés, akár egyedi igények szerint is • Minősített, motívált üzemeltető személyzet • Hozzáférés kontroll • Teljeskörű titkosítás, naplózott authentikáció, egyedi szabályok • Incidens menedzsment • Professzionális hibakezelés, garantált válaszidők, eszkalációs kontaktok • Jogi és minőségügyi megfelelőség • A vonatkozó jogszabályoknak megfelelés (logok tárolása, együttműködések) • Igény esetén a teljes vállalati levelezés felügyelete biztosítható: nincs törlés, automatikus központi vagy egyéni archíválás, keresés a teljes rendszerben
ISO 27001 ISMS tanúsítás Felkészítés (2010 február - július): Audit (2010. 08. 12): Főbb kihívások: • Fiatal cég (2+ év), intenzív növekedés (létszám auditkor: 22, ma: 36) • Kockázatfelmérés és kezelési terv • Szabályzatok két nyelven • Emberi erőforrások, hozzáférések
A nagy felhőben… Globális felhő szolgáltatások ISO 27001 tanúsításai: • Salesforce. com - 2008 • Amazon Web Services - 2010 november 16. • Amazon Elastic Compute Cloud (Amazon EC 2) • Amazon Simple Storage Service (Amazon S 3) • Amazon Virtual Private Cloud (Amazon VPC) • Mozy online backup - 2011 április 15. • Microsoft • Business Productivity Online Suite (BPOS) - 2010 • Office 365 - 2011 Alap követelmény mindenhol… Kivételek: Google, Apple
ISMS fejlesztéseink • Service management ITIL alapon • CMDB • Hibakezelés, naplózás, partner nézet • Monitoring rendszerrel integráció • Munkaeszközök biztonsága • Merevlemez titkosítás kötelezően • Hálózati biztonság • Tűzfal rendszer és IDS megújítása • Kapacitások bővítése • Szabályzatok megújítása • Fókusz: változáskezelés, incidens kezelés
Technológia: hogyan, mivel… Példa: Adattárolás olcsón, biztonságosan, több millió ügyfél számára • Moduláris, sok node-ra elosztott DAS tárolórendszerek 1 -2 TB SAS diszkekkel • Szoftver alapú megoldások, nincs szükség külső mentésre: • multinode clustering: 3 elosztott másolat minden egyes postafiókról • sérülések elleni védelem: késleltetett másolat • dumpster és single item recovery: nincs fizikai törlés, csak mozgatás, a tárhely olcsó • A postafiókonkénti költség töredéke a hagyományos megoldásoknak • Compliance: akár több évre megőrizhető és kereshető minden email forgalom
A jövő: globális, regionális és privát felhők rugalmas, biztonságos együttműködése
Fókuszváltás: mennyiség -> minőség • More focus on partner success • Drive seats and revenue in all markets • Continue investment in innovation (CSM) and new services (Lync, Office 365) CE On-Demand 2. 0 CE On-Demand 1. 0 S – Support your team members L – Liaise between teams and organizations A – Accountability across the company
Köszönöm a figyelmet! atudos@ceondemand. com
- Slides: 13