Der ses en udbredt bekymring for at anvende cloud-tjenester til forretningskritiske informationer som alternativ til at drive applikationerne i eget driftscenter. De reelle risici er dog ofte af anden karakter, end man umiddelbart kunne forvente. It-sikkerheden bliver i de fleste tilfælde forbedret – men det er mere kompliceret med hensyn til informationssikkerheden.
Ganske ofte overvurderer organisationer deres evne til at sikre deres data og har en ubegrundet skepsis over for cloud-løsningers sikkerhedsniveau. I virkeligheden sker de reelle datatab oftest som følge af fejlbehandling af data eller brud på sikkerheden fra kundens side. I takt med at flere og flere forretningsapplikationer tilbydes som cloud-tjenester, er det også relevant at vurdere, hvorvidt det vil være en god løsning at lade kritiske forretningssystemer drives af en leverandør i skyen. I denne artikel vil vi behandle de overvejelser, man bør gøre sig før en beslutning af den art træffes.
It-sikkerheden bliver ofte bedre
Devoteam vurderer ofte de sikkerhedsmæssige konsekvenser for virksomheders skift fra egen drift af en forretningsapplikation til en leverandørdrevet leverancemodel, der kan være én af flere former for cloud. Varianterne af cloud er mange, og leverandørernes modenhed og åbenhed er også meget varierende. Det betyder, at vurderingen af leverandører og deres ydelser bør tilpasses hvert enkelt tilfælde, så alle krav er relevante og velbegrundede.
Hvis vi ser på it-sikkerheden alene, altså tekniske og procesmæssige foranstaltninger for at beskytte data, er det generelle billede, at cloud-leverandørerne oftest har et bedre sikkerhedsniveau end deres kunder. Det hænger sammen med de ressourcer, der allokeres, og den stordriftsfordel der er i at samle mange kunder på nogle standardiserede løsninger. Dertil kommer, at en høj grad af procesmodenhed gør leverandørens forretning mere rentabel, hvilket gør den attraktiv og gavnlig for forretningsmodellen. Den høje grad af fokus på it-sikkerhed er bærende for leverandørernes forretningsgrundlag og kan være et væsentligt differentierende salgsparameter.
Dataklassifikation er stadig en svær disciplin for de fleste
Der vil være forskellige krav til behandling og sikring af informationer afhængigt af, om de er offentlige, interne, fortrolige eller indeholder følsomme personhenførbare informationer. Derfor er det vigtigt at sikre et godt overblik over typen af informationer, i de systemer man overvejer at outsource, inden det flyttes til cloud.
Der kan være lovgivningsmæssige krav, som f.eks. persondataloven, der siger, at data ikke må placeres uden for EU, medmindre der foreligger en databehandleraftale, og leverandøren lever op til særlige krav. Dataklassifikationen er derfor retningsgivende for de krav, der vil være relevante at stille til sin cloud-leverandør.
Ansvaret for sikkerheden vil altid forblive hos dataejeren, så det er vigtigt at have styr på det, der flyttes, inden cloud-projektet startes. Informationssikkerhed er altså en kombination af it-sikkerhed og processer omkring behandlingen af informationer.
Mangelfuld forberedelse er det største problem
De problemer der oftest opstår, efter man har valgt at anvende en cloud-løsning, kunne i mange tilfælde være undgået med en bedre forberedelse. Derfor er det vigtigt at stille krav til sin kommende leverandør – men listen over forhold, man selv skal have styr på, kan være lige så lang.
Nedenfor er nogle eksempler på væsentlige områder, som virksomheden skal gøre sig overvejelser omkring inden valget af en cloud-løsning. Det er ikke en udtømmende liste og skal derfor ses som inspiration.
Område |
Beskrivelse og eksempler |
|---|---|
| Governance | Sikre, at roller og ansvar er fordelt og placeret. Hvem er f.eks. Dataejer? Systemejer? Risikoejer? Beredskabsleder? |
| Risikostyring | Gennemføre risikovurdering af cloud-leverandører og cloud services samt løbende styring af risici. |
| Love og regulativer | Overholdelse af lovgivning fx Persondataloven, Sikkerhedsbekendtgørelsen, Regnskabsloven og Bogføringsloven etc. |
| Efterlevelse | Sikre, at politikker og standarder overholdes – fx interne sikkerhedspolitikker, PCI DSS, ISO 27001, ISO 9001 etc. |
| Audit | Sikre, at der regelmæssigt gennemføres kontrol af cloud-leverandøren og interne processer hos leverandøren. |
| Dataklassifikation | Sikre at regler og procedurer for klassifikation og håndtering af data er defineret og implementeret. |
| Forretningsmæssigt beredskab | Sikre at organisationen er parat til at gennemføre de nødvendige opgaver – i tilfælde af, at jeres cloud service er utilgængelig. |
Når kravspecifikationen for den ønskede cloud-løsning skal udarbejdes, er det vigtigt at få kravene til sikkerhed defineret fra starten. Vær opmærksom på, at disse krav ofte peger begge veje. Stiller man f.eks. krav til, at leverandøren har et 24/7-beredskab, skal man som kunde have et tilsvarende beredskab, som leverandøren kan samarbejde med. Kravene er ofte også forbundet med en omkostning, og man skal derfor være varsom med at stille for høje krav til sin leverandør.
Her er nogle eksempler på krav, der kan være relevante at stille til sin cloud-leverandør:
Område |
Beskrivelse og eksempler |
|---|---|
| Driftssikkerhed | Sikre, at de nødvendige tekniske foranstaltninger er på plads ift. sikkerhed, opdateringer, skanning, test, backup, overvågning, log-gennemgang m.m. |
| Netværkssikkerhed | Sikre, at der stilles de nødvendige krav til leverandørens beskyttelse af datatrafik, zoneinddeling af netværk (segmentering) etc. |
| Datasikkerhed | Sikre, at der stilles de nødvendige krav til leverandørens datalagring, -kryptering, -sletning og -returnering etc. |
| Adgangsstyring | Sikre, at leverandøren har de nødvendige foranstaltninger på plads ift. adgang til data og ressourcer, sikkerhedsgodkendelse af personale, sletning af nedlagte brugeridentiteter etc. |
| Sikkerhedshændelser | Sikre, at leverandøren har de nødvendige forudsætninger for at kunne håndtere sikkerhedshændelser og eventuel efterfølgende sikring af beviser til brug i en efterforskning. |
| It-beredskab | Sikre, at leverandørens forudsætninger kan reetablere services, hente tabte data etc. |
| Exit-strategi | Sikre, at data kan flyttes til en anden leverandør i tilfælde af frivilligt eller tvungent skift af leverandør, f.eks. konkurs. |
De forberedelser og overvejelser, der bør foretages inden en migrering til en cloud service, er grundlæggende ikke anderledes end det, man skal tage stilling til ved drift i eget datacenter. Den væsentligste forskel er, at opgaverne fordeles på to parter, hvor en god aftale derfor er afgørende for at få et godt resultat.
Få hjælp af Devoteam til sikkerhed i skyen
Hos Devoteam kan vi bistå med kompetent konsulentbistand på området – vi har hele pakken i eget regi, når det kommer til Cloud, Contract Management og Risk & Security. Kontakt os i dag og hør mere om jeres muligheder.
Se også vores webinar om emnet, hvor vi giver et overblik over hvilke regler, der skal overholdes, samt beskriver hvilke konkrete forholdsregler, man bør tage i relation til it-sikkerhed og GDPR ved brug af cloud-baserede ydelser. Webinar: It-sikkerhed ved anvendelse af cloud
Vil du vide mere?
Så er du velkommen til at kontakte Frederik.
Vi stiller gerne op til faglige indlæg og individuelle møder om emnet.
