Selvom 70 procent af virksomhederne ifølge IDC i dag benytter cloud-løsninger i en eller anden form, er der stadig både offentlige og private virksomheder, der holder igen, fordi de er nervøse for sikkerheden i skyen.
For hvordan sikrer du din it, når den pludselig placeres udenfor virksomhedens normale sikkerhedsmure som f.eks. de traditionelle firewalls og VPN-forbindelser?
Det har vi spurgt Søren Svarrer Nielsen, Corporate Vice President fra NNIT om.
Med sin daglige gang hos en leverandør af it-outsourcing til både offentlige og private virksomheder ser han hver dag ind i udfordringerne hos en lange række industrier, hvor behovet for sikkerhed går hånd i hånd med forventningerne til agilitet og digital transformation.
”Traditionelt set har man nok set it-sikkerheden som en form for borg, der omkransede og beskyttede ens infrastruktur. Men den tilgang kan man ikke nøjes med at have, når man som moderne virksomhed i dag ofte har et miks af både interne og eksterne løsninger.”
At gå i skyen kræver derfor både grundig forberedelse og også et bredere syn på sin it-sikkerhed.
Start med overblikket
Inden man beslutter sig for sin cloud-strategi, er det derfor vigtigt, at man får overblik over ens eksisterende it-landskab.
Man skal ikke bare vide, hvad man har af fysiske installationer, men også have styr på infrastrukturen i forhold til software og services.
Især den såkaldte skygge-it, som er den it, der findes i virksomheden uden it-afdelingens godkendelse, kan være vanskelig at få styr på.
Men det er vigtigt også at kende til medarbejdernes og afdelingers evt. brug at 3. parts løsninger, hvis man skal opnå den rette sikkerhed.
Vælg dit setup
Når man har fået et overblik over ens eksisterende it-landskab og beskrevet risici ved de enkelte ting, skal man efterfølgende vælge sin cloud-strategi og setup. Og her kan der være mange løsninger at tage hensyn til.
”Det, vi ser lige nu, er, at man ikke bare flytter de fysiske servere op i skyen, men også i stigende grad benytter sig af Software-as-a-Service (SaaS) og Platform-as-a-Service (PaaS). Samtidig hoster man også en del af ens it-løsninger selv, hvilket er en administrativ og sikkerhedsmæssig udfordring,” udtaler Søren Svarrer Nielsen.
De fleste virksomheder ender med en hybrid cloud-løsning, hvor man benytter sig af egne løsninger og eksterne løsninger, som er installeret både inden- og udenfor virksomhedens traditionelle sikkerhedsmure.
Tal fra IDC viser da også, at 45% af virksomhederne i dag har en private cloud-løsning, og at 63% også benytter en eller flere public cloud-løsninger.
Sikkerhed på tværs af verdener
Hybride cloudløsninger betyder også, at man bliver nødt til at tænke sikkerhed i begge verdener.
”Cloud sikkerhed handler ikke blot om, hvor man fysisk placerer sine data. Det omhandler også ens processer, løsninger og ikke mindst mennesker. Og det skal man have med, når man arbejder med virksomhedens samlede it-sikkerhed,” fortæller Søren Svarrer Nielsen.
Når der sker brud på it-sikkerheden, viser det sig f.eks. ofte, at det er menneskelige fejl, der er årsagen til det, og ikke om ens løsninger er hostet hos en selv eller hos en ekstern udbyder.
Det kan være tilsyneladende helt uskyldige ting, som at bruge et ikke godkendt USB-stik, trykke på et link i en e-mail eller at koble på et offentligt WiFi, der åbner for et cyberangreb.
”Man skal passe på, at man ikke tager sine dårlige vaner eller sikkerhedshuller med ud i skyen. Så derfor handler det om, at man laver et godt forarbejde, inden man går i skyen, og at man også er bevidst om behovet for at ændre de nødvendige processer og kulturer i virksomheden.”
Gode sikkerhedsråd om cloud
Skal man sikre sig bedst muligt, når man går i skyen med dele eller hele sit it-setup, har Søren Svarrer Nielsen følgende råd:
- Lav en analyse af, hvordan dit setup skal være. Få evt. eksterne rådgivere til at mappe dine datastrømme, placeringer af data og vurdere risici. Da en del af dine systemer kan ligge hos f.eks. Amazon eller Google, er det også vigtigt at vide, hvordan dine data er beskyttet hos dem.
- Identitetsstyring er enormt vigtig. Du skal også have styr på, hvem der har adgang til hvad, og hvilke processer der er knyttet til disse adgange. F.eks. når folk ansættes, flytter afdeling eller afskediges, er det vigtigt, at adgangsrettighederne opdateres. Ansvaret for Identity og Access Control skal være en del af jobbeskrivelse hos en i virksomheden.
- Processer og governance for den daglige drift. Få lavet obligatoriske it-sikkerheds awareness kurser for alle medarbejdere. Derudover skal du sikre, at der er styr på sikkerhedsprocesserne, og at man prioriterer en løbende kontrol og opfølgning af disse.
Vil du vide mere?
Hvis du er interesseret i it- og cybersikkerhed, kan du læse mere under vores mærkesag etik, privacy og sikkerhed eller tage del i vores udvalg for it-sikkerhed.
Artiklen er skrevet i forbindelse med den nationale cybersikkerhedsmåned, som IT-Branchen støtter.
Du er også velkommen til at kontakte Martin Jensen Buch, hvis du vil høre mere om, hvad udvalget laver.