Gamle og nye sikkerhedsdyder
Han understreger dog, at øget sikkerhed ikke automatisk følger med, bare fordi man lægger sine løsninger i skyen.
Der er stadig brug for de klassiske sikkerhedsdyder internt i virksomheden. Det vil sige, at virksomhedens sikkerhedsansvarlige selv skal sørge for at beskytte den eksisterende infrastruktur såsom endpoints, netværk og e-mails. De fleste sikkerhedsbrud på cloudløsninger sker ikke gennem tekniske sårbarheder i platformen, men ved at cyberkriminelle udnytter menneskelige sårbarheder, overtager en medarbejders konti og derfra tilgår virksomhedens data.
Den nye opgave for sikkerhedsansvarlige i et cloudbaseret setup består i at integrere virksomhedens sikkerhedspolitik med de sikkerhedsfeatures, cloudleverandøren stiller til rådighed. Hvis en udvikler eksempelvis er i gang med at udvikle en ny virksomhedsapplikation i skyen, skal der på forhånd være defineret en politik, der eksempelvis sikrer, at serveren er nedlåst og ikke har adgang til internettet.
Opbygningen af en god governance-struktur
Det leder hen til opbygningen af en god governance-struktur. For udover at holde både gamle og nye sikkerhedsdyder i hævd kræver et helt eller delvist cloudbaseret it-miljø også, at der er etableret en række processer, som styrer og monitorerer sikkerheden på tværs af it-miljøet.
Hvordan skal identitetsstyring eksempelvis foregå? Hvordan skal løsningerne hente logs fra applikationer, netværk, containere osv.? Hvad skal der ske, i det øjeblik virksomheden bliver ramt af et angreb – hvem skal kontaktes, og hvilken handleplan træder i kraft?
“Svarene på de spørgsmål skal være indarbejdet i en række faste processer, så man har det fulde overblik,” siger Anders Ahlgreen Pedersen.