Loading

Posts by Alonso

Velkommen til virtuelt felles medlemsmøte 26.Mai

Når: 26.Mai.2021 kl. 14:30 - 16:00
Hvor: Zoom
Meld deg her: https://isf.no/moter/2021/fellesmote-mai 

PROGRAM

Blant annet foredrag som annonseres snart, skal Sykehuspartner HF holde innlegg om  sikkerhet i skyen:

Sykehuspartner HFs sikkerhetsarkitektur i skyen – hvordan bruke CSA-rammeverket i praksis,
Espen Holthe & Øystein Balstad

Siden november 2019 har Sykehuspartner HF, gjennom sitt moderniseringsprogram «Standardisering og IKT-infrastrukturmodernisering» (STIM), utarbeidet en sikkerhetsarkitektur for de leveransene som benytter skytjenester. Sikkerhetsarkitekturen har vi valgt å kalle «Grunnmur for Skytjenester», inspirert av Helse Vest IKT og Aksel Bruuns tidligere arbeid rundt dette. Grunnmuren er en dokumentpakke som er bygd opp ved hjelp av Sherwood Applied Business Security Architecture (SABSA) og herunder benyttet Cloud Security Alliance sitt kontrollrammeverk for å kunne kravstille regionens leverandører i skyen. I en virksomhet som langt på vei har vært on-premise i flere år, så er skiftet mot sky både utfordrende og kompetansekrevende. Arbeidsbyrden har skiftet fra en reaktiv metodikk, til å skulle bli en god kravstiller i et mer proaktivt aspekt. Grunnmur for Skytjenester hjelper SPHF med nettopp dette og viser styrkene i både SABSA og CSA CCM/CAIQ fra et praktisk perspektiv.

Espen Holthe er Seniorrådgiver i SPHF Avdeling Sikkerhet og fungerer som Security Lead i Program STIM. Han har en bred erfaring innen teknisk- og strategisk informasjonssikkerhet, og er blant annet SABSA-sertifisert.

Øystein Balstad er Seniorrådgiver i SPHF Avdeling Sikkerhet og har arbeidet tett sammen med Espen Holthe i utarbeidelsen av Grunnmur for Skytjenester. Øystein er sertifisert ISO27001 Lead Implementer og har akademisk bakgrunn innen Forvaltningsinformatikk.

Velkommen til virtuelt CCSK kurs 26-27 mai

Cloud Security Alliance Norway i samarbeid med mnemonic arrangerer CSAs CERTIFICATE OF CLOUD SECURITY KNOWLEDGE (CCSK) Foundation kurs.

CCSK-kurset er rettet mot sikkerhetsfagfolk, IT-arkitekter, IT-ledere, de som er ansvarlige for teknisk risikostyring og sikring, de som leverer skyløsninger og de som ønsker økt kunnskap om sikkerhet tilknyttet skytjenester.

Kurset forbereder deg til å ta CCSK sertifiseringseksamen. Sertifiseringen dokumenterer at du har ferdigheter og kunnskaper for å sikre at skytjenester i organisasjonen din implementeres og benyttes med de nødvendige sikkerhetskontrollene på plass. Dette inkluderer teknisk rammeverk så vel som rammeverk for ledelse og overordnet styring.

Mer informasjon om CCSK kurs

Format

Kurset avholdes online den 26. og 27. mai 2021 kl 10 til 14 begge dager.

Kurset blir holdt av Angel Alonso. Han er styreleder i Cloud Security Alliance Norge og gruppeleder i avdelingen for Governance, Risk and Compliance (GRC) i mnemonic. Han har mer enn 15 års erfaring innen informasjonssikkerhet. De siste 8 årene har han primært jobbet med sikkerhetsledelse innen sikkerhetsstrategi, sikkerhetsarkitektur, risikostyring, styringssystem for informasjonssikkerhet (ISMS), og personvern. Alonso er utdannet ingeniør, og har flere kurs på masternivå innen informasjonssikkerhet og ledelse. Han har flere av de mest høythengende og relevante sertifiseringene i bransjen og er den eneste autoriserte kursholderen av Certificate of Cloud Security Knowledge (CCSK) i Norge.

Kurs og kursmaterialer er på Engelsk.

Kursavgift

Ordinær pris 9500 Kr.
Deltagere fra organisasjoner som er bedriftmedlem får 15% rabatt.

Kursavgiften inkluderer:

  • Instruktørledet opplæring
  • Eksamenstoken som gir deg rett til to forsøk på CCSK online eksamen

Betaling gjøres gjennom faktura fra CSA Norway, kursavgiften må være betalt innen 21. mai 2021.

Påmelding

Påmelding innen 20. mai 2021 kl 12:00

Påmelding er steng!

Bli personlig medlem (ingen medlemsavgift) av Cloud Security Alliance Norway Chapter!

Velkommen til virtuelt felles medlemsmøte 28. april

Når: 28.April kl. 14:30
Hvor: Zoom
Meld deg her: https://isf.no/moter/2021/fellesmote-april 

Program

14.30-15:00Security framework usefulness in information security management.
Helvi Salminen

Today Helvi will talk about her experiences regarding security framework usefulness in information security management. As a former teacher at the lifelong learning centre at Helsinki University of Technology (now Aalto University) and CISO of the year in Finland 2014, it is great to have her with us to share all her knowledge.
15:00-15:30Hvorfor cyberspace eksploderer, og hvordan forretningens prosesser er det som vil redde deg.
Karsten Wetteland

Karsten vil i dette lettbeinte og konkrete foredraget dra frem noen nye vinklinger på hvorfor informasjonssikkerhet er vanskelig, i tillegg til å dra frem konkrete situasjoner/eksempler på hvordan koble seg på forretningsprosesser for å oppnå våre mål innen sikkerhet
15:30- 16:00Post-Covid Sky sikkerhet
Atef Abdelkefi

Under COVID-19 krisen har mange bedrifters digitale transformasjon blitt akselerert for å muliggjøre et paradigmeskifte på kontoret, hvor hjemmekontoret er sentralt. Post-covid panikkfasen har CSA gjennomført en undersøkelse for å forstå nåværende bekymringer og utfordringer rundt skysikkerhet. Atef vil dele noen funn fra undersøkelsen, deriblant anvendelse, utfordringer rundt kompleksitet, ansvar og typiske feil .

Nyvalgt styret 2021-2022 for Cloud Security Alliance Norway Chapter

Det ble 24. mars avholdt årsmøtet i Cloud Security Alliance Norway Chapter.

Vi presenterer med dette det nye styret for 2021-2022:

Og nye valgkomite for 2021-2022:

Og vi takker til forrige perioden styremedlemmene, valgkomiteleder -Espen Bago- og styreleder -Eirik Gulbrandsen- for deres innsats i disse årene.

Oppsummering CSA Norway oppdatering i felles medlemsmøte med ISACA den 24.Mars

I siste felles medlemsmøte med ISACA hold vi et innlegg om CCM v4 og Cloud Auditing Knowledge (CCAK).

Felles medlemsmøte 24.Mars med ISACA og CSA: Sikkerhetsrevisjon i skyen og CCAK

24. Mars holder ISACA og CSA et felles medlemsmøte og byr på et høyaktuelt program knyttet til sikkerhetsrevisjon i skyen. Næringslivets storming mot skyløsninger skaper hodebry for sikkerhetsrevisorer dersom innkjøpsfunksjonen ikke har nødvendig kompetanse på området. I møtet får du servert historier fra felten, samt mer informasjon om vår nye sertifisering Certificate of Cloud Auditing Knowledge (CCAK).

Når: 24.Mars kl. 14:30
Meld deg her: https://us02web.zoom.us/webinar/register/WN_NI0LGzoAS46GM4PRjb2OXA

Program

14.30-14:50Alonso informerer om Cloud Security Alliance (CSA) nyheter og Cloud Auditing Knowledge (CCAK) sertifiseringen.

Cloud Security Alliance (CSA) er en organisasjon med over 99 000 medlemmer på verdensbasis dedikert til å definere og øke bevisstheten rundt god praksis for å sikre skytjenester. I Norge jobber CSA med å skape lokale arenaer for dialog og kunnskapsutveksling knyttet spesifikt til skytjenester og sikkerhet knyttet til bruk av dette. Vær med på denne oppdatering fra Cloud Security Alliance (CSA) Norway Chapter om de siste nyheter fra CSA. Blant annet vil vi presentere den siste versjonen av Cloud Control Matrix (CCM v4) og den nye Certificate of Cloud Auditing Knowledge (CCAK) sertifiseringen.


Alonso er styremedlem i Cloud Security Alliance Norge og gruppeleder i avdelingen for Governance, Risk and Compliance (GRC) i Mnemonic. Han har mer enn 15 års erfaring innen informasjonssikkerhet. De siste 8 årene har han primært jobbet med sikkerhetsledelse innen sikkerhetsstrategi, sikkerhetsarkitektur, risikostyring, styringssystem for informasjonssikkerhet (ISMS), og personvern. Alonso er utdannet ingeniør, og har flere kurs på masternivå innen informasjonssikkerhet og ledelse. Han har flere av de mest høythengende og relevante sertifiseringene i bransjen og er den eneste autoriserte kursholderen av Certificate of Cloud Security Knowledge (CCSK) i Norge.
14:50-15:25 Prince Agarwal presenting Cloud Auditing. 

As per Gartner’s CIO research – July 2020, AI is among top 2 priorities for Board of Directors and will be a game changer to emerge stronger from COVID-19 crisis. Trust is the foundation on which organizations can build stakeholder confidence and active participation with their Artificial Intelligence (AI) enabled systems. However, in this era of instantly accessible information, mistakes can be costly, and second chances are hard to come by. Auditing AI is a complex process that revolves around the objective of the AI system, the integrity of data collection and management, the governance of model training, and the rigor of techniques used to continuously monitor system and algorithmic performance. Sustaining trust in AI is not a “one-off” exercise. It is a long-term endeavor that require state-of-the-art governance and control practices that stay in-step with innovations in AI functionality. In this session we will try to demystify the Black Box of AI, leverage cloud services to develop AI solutions and discuss how to audit AI solutions to assess the risks.


Prince Agarwal works in Technology Risk (Consulting) team in Oslo. He primarily works on security assessments and attestation engagements for large IT service providers. He has been involved in developing GDPR control framework for data processors and performing GDPR attestation engagement in accordance with ISAE3000 for large Norwegian clients. His interest include Data Protection and Third Party Risk Management with focus on Cloud and AI.
15:25- 16:00Hanne Wesselsen og Peder Songedal om erfaringer fra revisjoner av Saas leverandører. 

Mange bedrifter og offentlige virksomheter innfører nå en sky først strategi, sammen med innføringen av GDPR gir dette utfordringer. Man finner alt fra frykt for sky, til hallelujastemninga hos de som mener at i sky er fremtidsrettet og bedre. Hanne Wesselsen, Devoteam Fornebu Consulting og Peder Songedal, Capgemini har utført flere revisjoner og DPIA-er av SaaS-tjenester. Sammen vil de dele noen av de funnene de har gjort rundt bruken og innkjøp av SaaS tjenester, og komme med noen tips til hva man bør se etter.


Peder Songedal er Scandinavian Chief Information Security Officer I&D hos Capgemini. Han har gjennomført et flere revisjoner, DPIA, GAP- og ROS-analyser for både private og offentlige kunder. Han har Certificate of Cloud Security Knowledge (CCSK) og Certified Data Protection Officer (CDPO) og en sterk interesse for hvordan personvern påvirker IT strategi og implementering.


Hanne Wesselsen har over 35 års erfaring fra IT-bransjen både fra private og offentlige virksomheter, og jobber primært som virksomhetsrådgiver og rådgiver innen informasjonssikkerhet. Hun er også arkitekt og prosjektleder innenfor Identity og Aksess Management løsninger hvor hun har levert mange prosjekter.
Hun har bl.a. vært global lead architect IAM for IBM Outsourcing hvor hun hadde flere internasjonale oppdrag over 15 år.




Innkalling til CSAN generalforsamling 24. mars 2021

Styret i Cloud Security Alliance Norway Chapter ønsker velkomment til årets generalforsamling

Når: 24.Mars.2021 kl. 13-14
Hvor: Zoom - Meld deg på her

Agenda:
1. Konstituering: Valg av ordstyrer og referent; godkjenning av innkalling og dagsorden, og to medlemmer til å signere protokollen
2. Årsberetning for 2020.
3. Regnskap for 2020.
4. Fastsettelse av kontingent.
5. Budsjett for 2021.
6. Aktivitetsplan for 2021.
7. Vedtektsendringer som er foreslått av medlemmer eller styret
8. Andre saker som er foreslått
9. Valg (for en periode på et eller to år) av:
a. Styreleder
b. Styremedlemmer
c. Valgkomite
10. Avslutning

Dokumentasjon til generalforsamling:

Når helsedata får vinger

Offentlig sektor er i full gang med å ta i bruk ulike former for skytjenester der dette er hensiktsmessig. Mange spør seg da hvordan gjennomføre risikovurderinger og ivareta kontroll med leverandører i en modell med delt ansvar. Cloud Controls Matrix (CCM) og CAIQ (Consensus Assessments Initiative Questionnaire) er en måte å komme i gang. Likevel kan det være en utfordring å dimensjonere tiltakene innenfor ulike kontrollområder. Det vil nemlig variere fra virksomhet til virksomhet og mellom ulike skyleveranser hvilke kontroller i CCM som er relevante. Det kan derfor være praktisk å støtte seg til myndighetskrav som peker i retning av de viktigste kontrollene.

Cloud Security Alliance Norway har derfor mappet Normens krav til Cloud Controls Matrix (CCM). CSA har utarbeidet en kryssreferanse som viser hvilke kapitler i Normen som omhandler de ulike kontrollområdene i CCM. Kryssreferansen kan bidra til å gi oversikt over hvilke deler av Normen som kan innebære at det må stilles konkrete krav til sikkerhet i en skyleveranse.

Normen versjon 6.0 inneholder et vedlegg med 294 krav med referanser til blant annet ISO27001 og lovhjemler. I dokumentet «Oversikt over Normens krav» har CSA lagt inn referanser til ulike “Control ID” i CCM. Referansene er iht. Cloud Controls Matrix (CCM) versjon 3.0.1 utarbeidet av Cloud Security Alliance (CSA). Angir hvilke ulike kontroller fra CCM som anses relevante for at skybaserte tjenester skal tilfredsstille kravene i Normen. Control ID korresponderer også med CAIQ (Consensus Assessments Initiative Questionnaire v3.1) hvor hver Control ID er brutt ned i ett eller flere spørsmål som kan besvares med ja, nei eller ikke relevant. CCM-rammeverket gjør det enklere for kunder og leverandører å snakke samme språk når sikkerheten i en skyløsning skal vurderes.

Merk at et krav i Normen kan være svært relevant å stille en skyleverandør selv om det ikke finnes noen korresponderende Control ID i CCM. Virksomheten er nødt til å gjøre en selvstendig vurdering av om ulike skyleverandører og skytjenester ivaretar kravene i Normen. Det er også viktig at virksomheten selv vurderer hvilke krav og spørsmål som er relevante å stille til ulike skytjenester og skyleverandører. Enkelte referanser er satt i parentes når kravet ikke kan ivaretas av databehandler. For noen av disse kravene beskriver CCM hvordan virksomheten selv bør følge opp informasjonssikkerheten i en skyleveranse. CCM omhandler ikke bare skyleverandøren, men også skykonsumenten. CCM omhandler også hvordan skyleverandører skal stille krav til sine underleverandører. Hvis kravet i Normen bare delvis dekkes av kravet i CCM, er dette markert med en * bak referansen.

Mappingen mellom CCM og Normen finner du her:
https://ehelse.no/normen/oversikt-over-normens-krav-og-mapping-mellom-iso-og-normen.

Direktoratet for e-helse har også gitt ut en egen veileder i bruk av skytjenester til behandling av helse- og personopplysninger

Felles virtuelt medlemsmøte 11. november

Felles medlemsmøte til ISF, ISACA, DND og CSA blir denne gang avholdt som en virtuell webinar!

Møtet består av tre interessante faglige presentasjoner og vi kjører et raskere møte enn tidligere.
På høstens felles medlemsmøte starter John Erik Setsaas å snakke om framtiden til eID. Er vi på vei tilbake til forskjellige eIDer for hver enkelt tjeneste, men nå innebygget i appene og med biometri i stedet for passord? Videre får vi et foredrag fra Ole Tom Seierstad, nasjonal sikkerhetsdirektør i Microsoft. Til slutt får vi et foredrag av Kjersti A. Stathopoulou som skal fortelle om den økte kompleksiteten og risikoen ved den moderne IT-sourcing-modellen.

Dette møtet er gratis og kun for medlemmer av ISF, ISACA, DND og CSA.

Program

14:30 – 15:00    Hva er framtidas eID? – John Erik Setsaas
15:00 – 15:30    Ole Tom Seierstad, Nasjonal sikkerhetsdirektør
15:30 – 16:00    Hvordan spise en elefant, Kjersti A. Stathopoulou

Mer informasjon og påmelding finner du her: https://isf.no/medlemsmoter1/fellesmotehost2020

CSA ønsker velkommen til fysisk medlemsmøte 3. november 2020 – OPPDATERING: MØTET BLIR GJENNOMFØRT DIGITALT (ZOOM)

Vi ønsker velkommen til neste medlemsmøte 3. november 2020 kl. 16:30

Fysiske møtet er avlyst, men arrangementet flyttes til Zoom. Påmeldte vil få detaljer per epost etter påmelding stenges 2. november kl 16.

Tid: 3. november 1630-1930

Sted: Virtuelt via Zoom

Tema: CAIQ og tjenesteutsetting

Skyen, hva er det? Begrepet omfatter vel bare et sett med tjenester man når via Internett. Disse tjenestene leveres av tjenestetilbydere. Disse tjenestene benyttes når man som foretak velger å tjenesteutsette tjenester, funksjoner, applikasjoner, eller deler av driften. Når en slik situasjon oppstår, vil elementer som delt ansvar oppstå. Det er først og fremst viktig å forstå denne modellen for det produktet man kjøper. Samtidig vil risiko og sårbarhetsvurderingen endre seg fra den tradisjonelle, der man har alt, og drifter alt, selv. Som et ledd i dette, er det viktig å analysere tjenesteleverandøren og de produkter og tjenester før man velger å ta disse i bruk. CSA har utviklet CAIQ som et spørreskjema med et sett relevante og viktige kontrollspørsmål man burde stille, for på den måten ha bedre kontroll ved tjenesteutsetting. Vi ønsker i dette medlemsmøtet å fokusere på dette, for å hjelpe alle med en sikrere ferd til skyen.

CAIQ (Consensus Assessment Initiative Questionnaire) er forankret i CSAs rammeverk CCM (Cloud Controls Matrix) som igjen er sterkt knyttet opp mot og koblet direkte mot rammeverk som ISO 27001/27002/27017/27018, NIST, ENISA Information Assurance Framework, German BSI C5, PCI DSS, ISACA COBIT og mange andre.

Verktøyet er i motsetning til mange andre rammeverk gratis og tilgjengelig for nedlasting for alle. Det kan enten benyttes både frittstående for strukturering av kravspesifikasjoner til skytjenester, eller som underlag for formelle sertifiseringer gjennom CSAs STAR-program (Security Trust Assurance and Risk).

Det er nå over 1000 tilbydere av skytjenester i verden som benytter CSAs rammeverk for strukturere krav til sikkerhet i skytjenester, inkludert f eks Microsoft.

PROGRAM

1630-1700 Velkommen og registrering. Enkel servering.

1700-1715 Styret informerer. Oppdatering fra Cloud Security Alliance Norway.

1715-1745 Har du tenkt på dine leveranseverdikjeder som angrepsflate?
Hanne Tangen Nilsen, Sikkerhetsdirektør i Telenor Norge

Hanne er ansvarlig for utvikling av sikkerhet som tjenesteområde. Chief Security Officer i Telenor Norge siden 2011. Erfaring fra ulike lederstillinger innen salg, marked, it og teknologi i Telenor.

1745-1815 Nasjonal Sikkerhetsmyndighet om tjenesteutsetting
Bente Hoff, direktør for Nasjonalt cybersikkerhetssenter, NSM

Bente Hoff forteller om risiko, krav og anbefalinger ved tjenesteutsetting av IKT-tjenester, herunder bruk av skytjenester. Hun leder Nasjonalt cybersikkerhetssenter i NSM og har lang erfaring med digitalisering og IKT-sikkerhet i bådeprivat og offentlig sektor. Hun er opptatt av at forretningsutvikling ogsikkerhet er to sider av samme sak. Utdannet sivilingeniør, har en mastergrad i teknologiledelse, og har studert ved Forsvarets Høyskole.

Påmelding er stengt.

Oppdatering: 250 kr bortfaller for nye og tidligere påmeldinger.

Er bedriften din interessert i et bedriftsmedlemsskap? Da er dere i svært godt selskap! Se her for info om hvordan blir bedriftsmedlem.