Hvem har ansvaret for sikkerheden, når en virksomhed rykker i skyen? Det er et af de vigtige spørgsmål at få afklaret, når man sætter gang i transformationen. Her får du tre gode tips fra vores sikkerhedsekspert.

Der er mange fordele ved transformationen til cloud, men det skaber også nye ansvarsområder, når det gælder sikkerhed. For der er nye ting at være opmærksom på, når alle applikationer og data ligger i et datacenter et sted i verden og ikke nede i kælderen.

”Helt grundlæggende starter vejen til cloud med nogle overordnede strategiske overvejelser om virksomhedens behov for kontrol og ejerskab til data. Hver cloud-leverancemodel har sine fordele og ulemper, som din governancemodel og din cloud sikkerhedsplan skal være indrettet til at håndtere,” siger Benjamin Nordentoft Vejgaard, som er områdedirektør for security i KMD og her guider dig igennem tre områder, som er afgørende at have styr på:

  1. Afklar ansvarsfordelingen mellem dig og cloud-leverandøren
  2. Opdater din cloud sikkerhedsplan
  3. Lav en liste over, hvem der skal involveres, når der opstår brud på sikkerheden

Område 1: Afklar ansvarsfordelingen mellem dig og leverandøren

Ansvaret forsvinder ikke, og der er mange områder, der kræver et vågent øje, for vilkårene er anderledes, når du bevæger du ud i skyen. Og der er mange, der helt har misforstået, hvordan vilkårene faktisk ændrer sig, og hvad det betyder for den strategi, der skal til for at få succes med transformationen til cloud, fastslår Benjamin Vejgaard.

”Det første vigtige trin i en cloud transformation er at sætte sig ind i leverandørens Cloud Responsibility Model, der beskriver, hvad der er ens eget ansvar, og hvad der er leverandørens ansvar,” siger han og fremhæver, at der mange misforståelser omkring ansvaret, som gør transformationen svær.

Det første vigtige trin i en cloud transformation er at sætte sig ind i leverandørens Cloud Responsibility Model, der beskriver, hvad der er ens eget ansvar, og hvad der er leverandørens ansvar

Benjamin Nordentoft Vejgaard, områdedirektør for security, KMD

Hvem, der faktisk har ansvar for hvad, afhænger helt af den leverancemodel, der er tale om.

”Typisk er det sådan, at hvis du køber Infrastructure as a Service (IaaS), er leverandøren ansvarlig for fysiske datacentre, fysiske netværk og de fysiske servere, mens du har ansvaret for operativsystemet (OS), applikationen, for netværkssikkerheden, for identiteter og for informationen og data. Hvis du går over til en Platform as a Service (PaaS), har leverandøren også ansvaret for drift af OS. Går du så over til Software as a Service (SaaS), har du lige pludselig outsourcet stort set alt ansvaret på nær data, content og identiteter. Så alt efter hvilken model, man vælger, ændres ansvaret. Derfor er det vigtigt at tænke over, hvad der stadig er dit eget ansvar, og hvilket ansvar, du overfører til underleverandøren,” siger Benjamin Vejgaard

Hvis man spreder sig over flere forskellige cloudleverandører, er det særligt vigtigt at holde styr på, hvem der har ansvaret for hvad. For hvis du mangler et samlet overbliksbillede, kan en kriminel komme ind i en server hos din ene cloudleverandør og skjule sig ved at hoppe over til din anden leverandørs platform, som ikke ved, at de credentials er hacket hos den første.

Område 2: Opdater din cloud sikkerhedsplan

Det er afgørende at tage fat i virksomhedens sikkerhedsplan. Den skal opdateres til at medtage området cloud og cloud computing, for der er en verden til forskel på, hvordan man går til sikkerhed i cloud i modsætning til on premise.

”Eksempelvis står der garanteret i firmaets sikkerhedspolitik, at man skal installere antivirus. Men giver det mening, hvis man f.eks taler om cloud containere? Her er der behov for at gå sikkerhedspolitikken igennem og opdatere den, så den reflekterer den nye virkelighed,” siger Benjamin Vejgaard.

 

Eksempelvis står der garanteret i firmaets sikkerhedspolitik, at man skal installere antivirus. Men giver det mening, hvis man f.eks taler om cloud containere? Her er der behov for at gå sikkerhedspolitikken igennem og opdatere den, så den reflekterer den nye virkelighed

Benjamin Nordentoft Vejgaard, områdedirektør for security, KMD

Han fremhæver også, at det kræver ændringer i virksomhedens sikkerhedsteam, som skal lære et nyt miljø at kende og skal have nye roller og skill-sets. Her bør man udpege ansvarlige for hver sikkerhedsbeslutning, der skal træffes, for hvis der ikke er nogen, der er ansvarlige for beslutningerne, bliver de ikke taget, fremhæver Benjamin Vejgaard.

Område 3: Lav en liste over, hvem der skal involveres, når der opstår brud på sikkerheden

Det er stort set umuligt at undgå alle brud på sikkerheden på forhånd. Men til gengæld kan man forberede sig på den situation, hvor bruddet opstår – og her er en liste med kontaktinformationer helt afgørende.

”Hvis du opdager et brud på sikkerheden, så mister du dyrebar tid, hvis du ikke på forhånd har identificeret, hvilke interne og eksterne folk og instanser, der skal involveres, hvis noget går galt. Så en god, gammeldags prioriteret liste over, hvem der skal involveres og i hvilken rækkefølge, er et helt vigtigt værktøj,” siger Benjamin Vejgaard.

Hvis du opdager et brud på sikkerheden, så mister du dyrebar tid, hvis du ikke på forhånd har identificeret, hvilke interne og eksterne folk og instanser, der skal involveres, hvis noget går galt. Så en god, gammeldags prioriteret liste over, hvem der skal involveres og i hvilken rækkefølge, er et helt vigtigt værktøj

Benjamin Nordentoft Vejgaard, områdedirektør for security, KMD

Hvis du vil videre mere om ansvaret i forhold til cloud, hvad man skal tage hensyn til i sin cloudtransformation, og hvordan man sikrer den, kan du deltage på KMD’s webinarer om transformation til cloud. Læs mere her

Læs mere om IT-sikkerhed

Vil I vide mere om, hvordan I kan øge it-sikkerheden på medarbejdernes hjemmearbejdspladser? Og vil I have vide, hvordan I med en helhedsorienteret tilgang til it-sikkerhed kan balancere forholdet mellem agil forretningsdrift og sikkerhed på tværs af it-miljøet? Læs mere her eller kontakt os. Vi sidder klar til en uforpligtende snak. 

Læs mere om mulighederne her

Nyt fra KMD

Tilmeld dig vores nyhedsbrev. Så er du blandt de første der modtager de seneste nyheder, indsigter og invitationer.

Tilmeld dig her

Seneste indsigter