Når man som virksomhed eller privatperson overvejer at drive sin it i skyen, er det ofte forbundet med en række spørgsmål og en del usikkerhed. For hvordan vælger man den rigtige udbyder, og hvordan får man stillet de rigtige spørgsmål til udbyderen? Cloud-sikkerhedsprincipperne og et fornuftigt forarbejde er svaret.

Anders Ahlgreen Pedersen, der er sikkerhedsekspert hos KMD, vil i denne artikel indvie os i de sikkerhedsprincipper, en række it-eksperter er blevet enige om, at man bør bruge til at vurdere en potentiel leverandør. Anders Ahlgreen Pedersen vil desuden beskrive den proces, han selv ville følge forud for valget af en udbyder og forklare, hvorfor sikkerhedsprincipper og processer skaber tryghed og fungerer godt som beslutningsgrundlag.

”Sikkerhedsprincipperne består af 14 punkter med beskrivelser af faktorer, der er værd at overveje, inden du beslutter om den pågældende leverandør lever op til de krav du måtte have. Før man kigger på de konkrete sikkerhedsprincipper, foreslår jeg, at man stiller sig selv en række spørgsmål, der i nogle tilfælde er udslagsgivende nok til, at man kan træffe en beslutning uden, at man behøver at gå i dybden med sikkerhedsprincipperne,” siger Anders Ahlgreen Pedersen og foreslår en rækkefølge for spørgsmålene.

1. Kend dine krav

Beslut, hvad du vil bruge cloud-tjenesten til. Overvej problemer som tilgængelighed og forbindelse. Beslut, hvilke risici du er villig til at løbe og hvilke du ikke er.

2. Forstå dine oplysninger

Identificer de oplysninger cloud-tjenesten skal behandle, lagre eller transportere. Hvis tjenesten for eksempel skal behandle personoplysninger, er det vigtigt, at behandlingen sker i overensstemmelse med databeskyttelsesloven/GDPR.

3. Fastlæg relevante sikkerhedsprincipper

Sikkerhedsprincipperne sætter fokus på følgende;

  • data i transit
  • i hvor høj en grad dataene og servicen skal beskyttes mod diverse angreb
  • i hvor høj en grad andre skal have adgang til dine data
  • om det er vigtigt for dig, at udbyderen har en sikkerhedsansvarlig
  • om den operationelle sikkerhed lever op til dine forventninger
  • om du stoler på, at udbyderens personale har gennemgået de væsentligste sikkerhedskurser og screeninger
  • om service-udviklingen tager højde for sikkerhed
  • om udbyderens forsyningskæde understøtter de services, udbyderen har/ønsker at have
  • hvor stor brugerstyringssikkerheden er
  • om service interfaces kræver den nødvendige autentifikation
  • om eksterne interfaces er til at stole på
  • om administrationen af servicen er sikker
  • om det er vigtigt for dig at kunne overvåge adgangen til dine data
  • om du har et godt nok kendskab til servicen for at bruge den rigtigt og dermed minimere risici.

Du bør huske, at ikke alle principperne nødvendigvis er væsentlige for dig og at en cloud-service sagtens kan dække dine behov uden at opfylde alle sikkerhedsprincipperne

4. Forstå det tilbudte sikkerhedsniveau

Vær sikker på, at udbyderen har implementeret de principper du har fastlagt som væsentlige. Når du har gjort det, bør du få papir på, at udbyderen har de services, han påstår.

5. Forstår dit medansvar

Til sidst bør du overveje, hvad du selv kan gøre for at minimere risikoen for et hacker-angreb eller et nedbrud. Hvis du efter dette kan acceptere de risici, der stadig vil være tilbage, er du ’good to go’. Undersøg med jævne mellemrum, om servicen stadig lever op til dine krav.

”Det handler altså i høj grad om at gøre sit forarbejde ordentlig og stille de rigtige spørgsmål, hvis man skal have succes med at finde den rigtige leverandør,” konkluderer Anders Ahlgreen Pedersen.

 


Læs mere om Cloud sikkerhed

Med en helhedsorienteret tilgang til it-sikkerhed kan I balancere forholdet mellem agil forretningsdrift og sikkerhed på tværs af it-miljøet.Læs mere om mulighederne her

Et godt forarbejde er essentielt for at vælge den rigtige cloud-leverandør

Når man som virksomhed eller privatperson overvejer at drive sin it i skyen, er det ofte forbundet med en række spørgsmål og en del usikkerhed. For hvordan vælger man den rigtige udbyder, og hvordan får man stillet de rigtige spørgsmål til udbyderen? Cloud-sikkerhedsprincipperne og et fornuftigt forarbejde er svaret.