Loading

Posts by Alonso

Velkommen til hybrid felles medlemsmøte 29.Sep

Tema: Sikkerhet post-korona; Moooot normalt?
Når: 29.Sep.2021 kl. 17:30

Påmelding:
Jeg vil delta fysisk
Jeg vil delta digitalt

PROGRAM

TidspunktProgram
17:30-17:45Kort informasjon fra ISACA; ISF; DND og CSA styrene
17:45-18.30Kjell Tore FossbakkSecurity analyst i  HelseCERT med foredraget “Trusselbildet post-korona med hjemmekontor”
18.30-19.15Erlend Andreas GjæreCo-founder/CEO i Secure Practice med foredraget om problemstillinger knyttet til personvern på arbeidsplassen. Secure Practice utvikler en kunstig intelligens for profilering av menneskelig cyber risiko og tilhørende målretting av tiltak – og har det siste halve året fått stilt de vanskelige spørsmålene i dette prosjektet. 
19.30-20.15TBD

Webminar Sep 14, 2021 4PM (Oslo time): Your dev teams are doing WHAT in the cloud?”

We warmly welcome you to our next Cloud Security Alliance Norway webinar meetup on September 14 with Dr. Peter van Eijk.

16:00 – 17:00 “Your dev teams are doing WHAT in the cloud?”
Cloud computing enables radically new ways of producing and consuming software.


Dr. Peter van Eijk, a regular instructor at Norwegian security events, will talk about these fundamental and transformative changes that cloud computing is bringing to business, security, and auditing. The webinar will also present the content and the intended audience of the CCSK (Certificate of Cloud Security Knowledge) and the CCAK (Certificate of Cloud Auditing Knowledge), both of which have been developed by the Cloud Security Alliance.

If you are not a member of Cloud Security Alliance Norway yet, join right away at https://www.cloudsecurityalliance.no/csan_personligmedlemsskap/. It’s FREE!

The webinar will give you 1 CPE. You must register for the webinar and attend.

If you as a company or an organisation are interested to join Cloud Security Alliance Norway, have a click look here for all the benefits you receive and you can register here, if you find it interesting.
https://www.cloudsecurityalliance.no/bedriftsmedlem/

Register for this webinar here:
https://us02web.zoom.us/webinar/register/WN_HaVZ–qLShWyDkZrW8mScA

After registering, you will receive a confirmation email containing information about joining the webinar.

Hosted by Atef Abdelkefi, Styremedlem CSAN

Velkommen til virtuelt felles medlemsmøte 26.Mai

Når: 26.Mai.2021 kl. 14:30 - 16:00
Hvor: Zoom
Meld deg her: https://isf.no/moter/2021/fellesmote-mai 

PROGRAM

Blant annet foredrag som annonseres snart, skal Sykehuspartner HF holde innlegg om  sikkerhet i skyen:

Sykehuspartner HFs sikkerhetsarkitektur i skyen – hvordan bruke CSA-rammeverket i praksis,
Espen Holthe & Øystein Balstad

Siden november 2019 har Sykehuspartner HF, gjennom sitt moderniseringsprogram «Standardisering og IKT-infrastrukturmodernisering» (STIM), utarbeidet en sikkerhetsarkitektur for de leveransene som benytter skytjenester. Sikkerhetsarkitekturen har vi valgt å kalle «Grunnmur for Skytjenester», inspirert av Helse Vest IKT og Aksel Bruuns tidligere arbeid rundt dette. Grunnmuren er en dokumentpakke som er bygd opp ved hjelp av Sherwood Applied Business Security Architecture (SABSA) og herunder benyttet Cloud Security Alliance sitt kontrollrammeverk for å kunne kravstille regionens leverandører i skyen. I en virksomhet som langt på vei har vært on-premise i flere år, så er skiftet mot sky både utfordrende og kompetansekrevende. Arbeidsbyrden har skiftet fra en reaktiv metodikk, til å skulle bli en god kravstiller i et mer proaktivt aspekt. Grunnmur for Skytjenester hjelper SPHF med nettopp dette og viser styrkene i både SABSA og CSA CCM/CAIQ fra et praktisk perspektiv.

Espen Holthe er Seniorrådgiver i SPHF Avdeling Sikkerhet og fungerer som Security Lead i Program STIM. Han har en bred erfaring innen teknisk- og strategisk informasjonssikkerhet, og er blant annet SABSA-sertifisert.

Øystein Balstad er Seniorrådgiver i SPHF Avdeling Sikkerhet og har arbeidet tett sammen med Espen Holthe i utarbeidelsen av Grunnmur for Skytjenester. Øystein er sertifisert ISO27001 Lead Implementer og har akademisk bakgrunn innen Forvaltningsinformatikk.

Velkommen til virtuelt CCSK kurs 26-27 mai

Cloud Security Alliance Norway i samarbeid med mnemonic arrangerer CSAs CERTIFICATE OF CLOUD SECURITY KNOWLEDGE (CCSK) Foundation kurs.

CCSK-kurset er rettet mot sikkerhetsfagfolk, IT-arkitekter, IT-ledere, de som er ansvarlige for teknisk risikostyring og sikring, de som leverer skyløsninger og de som ønsker økt kunnskap om sikkerhet tilknyttet skytjenester.

Kurset forbereder deg til å ta CCSK sertifiseringseksamen. Sertifiseringen dokumenterer at du har ferdigheter og kunnskaper for å sikre at skytjenester i organisasjonen din implementeres og benyttes med de nødvendige sikkerhetskontrollene på plass. Dette inkluderer teknisk rammeverk så vel som rammeverk for ledelse og overordnet styring.

Mer informasjon om CCSK kurs

Format

Kurset avholdes online den 26. og 27. mai 2021 kl 10 til 14 begge dager.

Kurset blir holdt av Angel Alonso. Han er styreleder i Cloud Security Alliance Norge og gruppeleder i avdelingen for Governance, Risk and Compliance (GRC) i mnemonic. Han har mer enn 15 års erfaring innen informasjonssikkerhet. De siste 8 årene har han primært jobbet med sikkerhetsledelse innen sikkerhetsstrategi, sikkerhetsarkitektur, risikostyring, styringssystem for informasjonssikkerhet (ISMS), og personvern. Alonso er utdannet ingeniør, og har flere kurs på masternivå innen informasjonssikkerhet og ledelse. Han har flere av de mest høythengende og relevante sertifiseringene i bransjen og er den eneste autoriserte kursholderen av Certificate of Cloud Security Knowledge (CCSK) i Norge.

Kurs og kursmaterialer er på Engelsk.

Kursavgift

Ordinær pris 9500 Kr.
Deltagere fra organisasjoner som er bedriftmedlem får 15% rabatt.

Kursavgiften inkluderer:

  • Instruktørledet opplæring
  • Eksamenstoken som gir deg rett til to forsøk på CCSK online eksamen

Betaling gjøres gjennom faktura fra CSA Norway, kursavgiften må være betalt innen 21. mai 2021.

Påmelding

Påmelding innen 20. mai 2021 kl 12:00

Påmelding er steng!

Bli personlig medlem (ingen medlemsavgift) av Cloud Security Alliance Norway Chapter!

Velkommen til virtuelt felles medlemsmøte 28. april

Når: 28.April kl. 14:30
Hvor: Zoom
Meld deg her: https://isf.no/moter/2021/fellesmote-april 

Program

14.30-15:00Security framework usefulness in information security management.
Helvi Salminen

Today Helvi will talk about her experiences regarding security framework usefulness in information security management. As a former teacher at the lifelong learning centre at Helsinki University of Technology (now Aalto University) and CISO of the year in Finland 2014, it is great to have her with us to share all her knowledge.
15:00-15:30Hvorfor cyberspace eksploderer, og hvordan forretningens prosesser er det som vil redde deg.
Karsten Wetteland

Karsten vil i dette lettbeinte og konkrete foredraget dra frem noen nye vinklinger på hvorfor informasjonssikkerhet er vanskelig, i tillegg til å dra frem konkrete situasjoner/eksempler på hvordan koble seg på forretningsprosesser for å oppnå våre mål innen sikkerhet
15:30- 16:00Post-Covid Sky sikkerhet
Atef Abdelkefi

Under COVID-19 krisen har mange bedrifters digitale transformasjon blitt akselerert for å muliggjøre et paradigmeskifte på kontoret, hvor hjemmekontoret er sentralt. Post-covid panikkfasen har CSA gjennomført en undersøkelse for å forstå nåværende bekymringer og utfordringer rundt skysikkerhet. Atef vil dele noen funn fra undersøkelsen, deriblant anvendelse, utfordringer rundt kompleksitet, ansvar og typiske feil .

Nyvalgt styret 2021-2022 for Cloud Security Alliance Norway Chapter

Det ble 24. mars avholdt årsmøtet i Cloud Security Alliance Norway Chapter.

Vi presenterer med dette det nye styret for 2021-2022:

Og nye valgkomite for 2021-2022:

Og vi takker til forrige perioden styremedlemmene, valgkomiteleder -Espen Bago- og styreleder -Eirik Gulbrandsen- for deres innsats i disse årene.

Oppsummering CSA Norway oppdatering i felles medlemsmøte med ISACA den 24.Mars

I siste felles medlemsmøte med ISACA hold vi et innlegg om CCM v4 og Cloud Auditing Knowledge (CCAK).

Felles medlemsmøte 24.Mars med ISACA og CSA: Sikkerhetsrevisjon i skyen og CCAK

24. Mars holder ISACA og CSA et felles medlemsmøte og byr på et høyaktuelt program knyttet til sikkerhetsrevisjon i skyen. Næringslivets storming mot skyløsninger skaper hodebry for sikkerhetsrevisorer dersom innkjøpsfunksjonen ikke har nødvendig kompetanse på området. I møtet får du servert historier fra felten, samt mer informasjon om vår nye sertifisering Certificate of Cloud Auditing Knowledge (CCAK).

Når: 24.Mars kl. 14:30
Meld deg her: https://us02web.zoom.us/webinar/register/WN_NI0LGzoAS46GM4PRjb2OXA

Program

14.30-14:50Alonso informerer om Cloud Security Alliance (CSA) nyheter og Cloud Auditing Knowledge (CCAK) sertifiseringen.

Cloud Security Alliance (CSA) er en organisasjon med over 99 000 medlemmer på verdensbasis dedikert til å definere og øke bevisstheten rundt god praksis for å sikre skytjenester. I Norge jobber CSA med å skape lokale arenaer for dialog og kunnskapsutveksling knyttet spesifikt til skytjenester og sikkerhet knyttet til bruk av dette. Vær med på denne oppdatering fra Cloud Security Alliance (CSA) Norway Chapter om de siste nyheter fra CSA. Blant annet vil vi presentere den siste versjonen av Cloud Control Matrix (CCM v4) og den nye Certificate of Cloud Auditing Knowledge (CCAK) sertifiseringen.


Alonso er styremedlem i Cloud Security Alliance Norge og gruppeleder i avdelingen for Governance, Risk and Compliance (GRC) i Mnemonic. Han har mer enn 15 års erfaring innen informasjonssikkerhet. De siste 8 årene har han primært jobbet med sikkerhetsledelse innen sikkerhetsstrategi, sikkerhetsarkitektur, risikostyring, styringssystem for informasjonssikkerhet (ISMS), og personvern. Alonso er utdannet ingeniør, og har flere kurs på masternivå innen informasjonssikkerhet og ledelse. Han har flere av de mest høythengende og relevante sertifiseringene i bransjen og er den eneste autoriserte kursholderen av Certificate of Cloud Security Knowledge (CCSK) i Norge.
14:50-15:25 Prince Agarwal presenting Cloud Auditing. 

As per Gartner’s CIO research – July 2020, AI is among top 2 priorities for Board of Directors and will be a game changer to emerge stronger from COVID-19 crisis. Trust is the foundation on which organizations can build stakeholder confidence and active participation with their Artificial Intelligence (AI) enabled systems. However, in this era of instantly accessible information, mistakes can be costly, and second chances are hard to come by. Auditing AI is a complex process that revolves around the objective of the AI system, the integrity of data collection and management, the governance of model training, and the rigor of techniques used to continuously monitor system and algorithmic performance. Sustaining trust in AI is not a “one-off” exercise. It is a long-term endeavor that require state-of-the-art governance and control practices that stay in-step with innovations in AI functionality. In this session we will try to demystify the Black Box of AI, leverage cloud services to develop AI solutions and discuss how to audit AI solutions to assess the risks.


Prince Agarwal works in Technology Risk (Consulting) team in Oslo. He primarily works on security assessments and attestation engagements for large IT service providers. He has been involved in developing GDPR control framework for data processors and performing GDPR attestation engagement in accordance with ISAE3000 for large Norwegian clients. His interest include Data Protection and Third Party Risk Management with focus on Cloud and AI.
15:25- 16:00Hanne Wesselsen og Peder Songedal om erfaringer fra revisjoner av Saas leverandører. 

Mange bedrifter og offentlige virksomheter innfører nå en sky først strategi, sammen med innføringen av GDPR gir dette utfordringer. Man finner alt fra frykt for sky, til hallelujastemninga hos de som mener at i sky er fremtidsrettet og bedre. Hanne Wesselsen, Devoteam Fornebu Consulting og Peder Songedal, Capgemini har utført flere revisjoner og DPIA-er av SaaS-tjenester. Sammen vil de dele noen av de funnene de har gjort rundt bruken og innkjøp av SaaS tjenester, og komme med noen tips til hva man bør se etter.


Peder Songedal er Scandinavian Chief Information Security Officer I&D hos Capgemini. Han har gjennomført et flere revisjoner, DPIA, GAP- og ROS-analyser for både private og offentlige kunder. Han har Certificate of Cloud Security Knowledge (CCSK) og Certified Data Protection Officer (CDPO) og en sterk interesse for hvordan personvern påvirker IT strategi og implementering.


Hanne Wesselsen har over 35 års erfaring fra IT-bransjen både fra private og offentlige virksomheter, og jobber primært som virksomhetsrådgiver og rådgiver innen informasjonssikkerhet. Hun er også arkitekt og prosjektleder innenfor Identity og Aksess Management løsninger hvor hun har levert mange prosjekter.
Hun har bl.a. vært global lead architect IAM for IBM Outsourcing hvor hun hadde flere internasjonale oppdrag over 15 år.




Innkalling til CSAN generalforsamling 24. mars 2021

Styret i Cloud Security Alliance Norway Chapter ønsker velkomment til årets generalforsamling

Når: 24.Mars.2021 kl. 13-14
Hvor: Zoom - Meld deg på her

Agenda:
1. Konstituering: Valg av ordstyrer og referent; godkjenning av innkalling og dagsorden, og to medlemmer til å signere protokollen
2. Årsberetning for 2020.
3. Regnskap for 2020.
4. Fastsettelse av kontingent.
5. Budsjett for 2021.
6. Aktivitetsplan for 2021.
7. Vedtektsendringer som er foreslått av medlemmer eller styret
8. Andre saker som er foreslått
9. Valg (for en periode på et eller to år) av:
a. Styreleder
b. Styremedlemmer
c. Valgkomite
10. Avslutning

Dokumentasjon til generalforsamling:

Når helsedata får vinger

Offentlig sektor er i full gang med å ta i bruk ulike former for skytjenester der dette er hensiktsmessig. Mange spør seg da hvordan gjennomføre risikovurderinger og ivareta kontroll med leverandører i en modell med delt ansvar. Cloud Controls Matrix (CCM) og CAIQ (Consensus Assessments Initiative Questionnaire) er en måte å komme i gang. Likevel kan det være en utfordring å dimensjonere tiltakene innenfor ulike kontrollområder. Det vil nemlig variere fra virksomhet til virksomhet og mellom ulike skyleveranser hvilke kontroller i CCM som er relevante. Det kan derfor være praktisk å støtte seg til myndighetskrav som peker i retning av de viktigste kontrollene.

Cloud Security Alliance Norway har derfor mappet Normens krav til Cloud Controls Matrix (CCM). CSA har utarbeidet en kryssreferanse som viser hvilke kapitler i Normen som omhandler de ulike kontrollområdene i CCM. Kryssreferansen kan bidra til å gi oversikt over hvilke deler av Normen som kan innebære at det må stilles konkrete krav til sikkerhet i en skyleveranse.

Normen versjon 6.0 inneholder et vedlegg med 294 krav med referanser til blant annet ISO27001 og lovhjemler. I dokumentet «Oversikt over Normens krav» har CSA lagt inn referanser til ulike “Control ID” i CCM. Referansene er iht. Cloud Controls Matrix (CCM) versjon 3.0.1 utarbeidet av Cloud Security Alliance (CSA). Angir hvilke ulike kontroller fra CCM som anses relevante for at skybaserte tjenester skal tilfredsstille kravene i Normen. Control ID korresponderer også med CAIQ (Consensus Assessments Initiative Questionnaire v3.1) hvor hver Control ID er brutt ned i ett eller flere spørsmål som kan besvares med ja, nei eller ikke relevant. CCM-rammeverket gjør det enklere for kunder og leverandører å snakke samme språk når sikkerheten i en skyløsning skal vurderes.

Merk at et krav i Normen kan være svært relevant å stille en skyleverandør selv om det ikke finnes noen korresponderende Control ID i CCM. Virksomheten er nødt til å gjøre en selvstendig vurdering av om ulike skyleverandører og skytjenester ivaretar kravene i Normen. Det er også viktig at virksomheten selv vurderer hvilke krav og spørsmål som er relevante å stille til ulike skytjenester og skyleverandører. Enkelte referanser er satt i parentes når kravet ikke kan ivaretas av databehandler. For noen av disse kravene beskriver CCM hvordan virksomheten selv bør følge opp informasjonssikkerheten i en skyleveranse. CCM omhandler ikke bare skyleverandøren, men også skykonsumenten. CCM omhandler også hvordan skyleverandører skal stille krav til sine underleverandører. Hvis kravet i Normen bare delvis dekkes av kravet i CCM, er dette markert med en * bak referansen.

Mappingen mellom CCM og Normen finner du her:
https://ehelse.no/normen/oversikt-over-normens-krav-og-mapping-mellom-iso-og-normen.

Direktoratet for e-helse har også gitt ut en egen veileder i bruk av skytjenester til behandling av helse- og personopplysninger