Artikel top billede

Sådan får du styr på sikkerheden i cloud'en

Skyen ruller ind over os, men der er uvejr i vente, hvis man ikke klæder sig rigtigt på. Her får du fire konkrete råd fra en it-sikkerhedschef, der har næsen i skyen, men begge ben på jorden.

Læs også: Bliv klogere: Sådan fungerer cloud computing.

Hos Arla Foods er man ikke i tvivl om, at cloud computing er den teknologi, der vinder erhvervslivet. Der er simpelthen for mange økonomiske plusser til, at man kan ignorere skyen.

"Man kan ikke stoppe en tsunami," lyder det tørt fra Jens Roed Andersen, der er it-sikkerhedschef i Arla.

Han ser dog en stribe vandpytter på stien, som man skal sørge for at hoppe uden om for ikke at få våde sokker.

"Marketingbudgettet er decentralt og tidligere købte man flad web, mens man i dag køber avanceret funktionalitet i skyen. Mange er bare ikke klar over det, fordi beslutningerne er flyttet fra it-afdelingen og ud i forretningen," siger Jens Roed Andersen.

"Men det er nødvendigt, at man tænker sig om, før man kaster sig ud i skyen, for selv om der kan spares rigtig mange penge, er der også mange faldgruber, der skal undgås. Er man ikke opmærksom, kan det i værste fald betyde, at man må lukke butikken."

Det handler om kommunikation

Arla har efterhånden opbygget nogen erfaring med skyen, der bruges til flere og flere projekter. Der har givet hår på brystet og masser af ballast, som man gerne deler ud af.

"Det handler utrolig meget om kommunikation og meget lidt om teknologi," siger Jens Roed Andersen.

"Cloud computing er ikke noget nyt. Det er velkendt teknologi, der leveres på en anderledes måde, som giver en utrolig stor fleksibilitet og gode muligheder for besparelser, men altså kun hvis man er godt forberedt."

Her får Jens Roed Andersen fri taletid til at øse af erfaringerne, hvilket er blevet til fire gode råd, der ruster dig til et cloud-eventyr, så du undgår de mange faldgrupper i skyen, der på overfladen kan ligne regnbuens endepunkt.

1 - Innovation. "It-afdelingen bliver overhalet indenom af forretningen."

"It-afdelingen er generelt ved at bliver overhalet indenom af forretningen, og hvis it-afdelingen ikke tager hånd om cloud computing på den rigtige måde, bliver den overflødig og forsvinder," fortæller han.

"Man skal sørge for at bevare innovationen i it-afdelingen, og det er der flere løsninger på. I Arla har eksempelvis allieret os med Alexandra Instituttet, som er en almennyttig virksomhed, der arbejder med anvendelsesorienteret it-forskning.

Ved at bringe akademikere, der ikke nødvendigvis skal tænke forretning, ind i projektet, får man adgang til en mere nuanceret diskussion om, hvad man kan få ud af skyen.
Man kan også gå til konferencer eller på anden vis indsamle information, der ruster én til projektet.

Viden til it

Det handler om at tilføje viden til it-afdelingen, så den er klar til at diskutere og forklare de muligheder, der er. Man skal kunne være klar til at fortælle om de nye løsninger og den teknologi, der er på vej for at gøre organisationen klar til i morgen. Tilføjer man ikke den viden, bliver it-afdelingen overflødig.

Har it-folkene ikke et svar klar når ledelsen spørger, tager forretningen over og bestemmer udviklingen.

Specielt i mindre virksomheder kan økonomichefen føle sig fristet til at dumpe it-afdelingen, fordi business casen er så fed, som den er.

I mange projekter kan man fjerne et nul på udgiftsposten ved at anvende skyen, og det har naturligvis en enorm betydning. Men det er også faren. Hvis der kun kigges på business casen, kan det gå grueligt galt med sikkerhed og datakontrol.

For at holde projekterne på sporet er man nødt til at have overblik over den elasticitet og fleksibilitet som cloud computing er garant for.

Desuden bliver man nødt til at håndtere en stribe juridiske og sikkerhedsmæssige aspekter, hvilket bringer mig til det næste råd."

Læs også: Bliv klogere: Sådan fungerer cloud computing.

Leverandørerne mangler stadig sikkerhed

[b]Læs også: Bliv klogere: Sådan fungerer cloud computing.

2 - Strategi, politik og design. "Cloud-leverandørerne mangler stadig sikkerhed." [/b]
"Man skal have en strategi for cloud computing, og den strategi skal være baseret på en række politikker for, hvad virksomheden vil med cloud.

Herefter skal man bygge et design, der understøtter beslutningerne.

Det betyder i praksis, at man skal overveje, hvor man vil købe sine tjenester, hos hvilke leverandører, hvilke kontrakter, det skal basere sig på samt have en exit-strategi.

Et typisk område som forretningen vil overse er en exit-strategi, og den er uhyre vigtig.

Man skal have en plan for, hvordan man får sine data tilbage, hvis en leverandør går konkurs, eller man på anden måde vil trække sig ud af et samarbejde.

Disse og andre elementer skal bygges ind i den politik, man beslutter sig for. Samtidig skal man have en plan for adgangskontroller til tjenesterne.

Man skal definere hvem, der ikke skal have adgang og hvem, der skal have adgang og til hvad.

Desuden skal man have en valideringsproces, der kan fastslå at den, der forsøger at få adgang, nu også er den rigtige person.

Disse procedurer er faktisk ikke slået helt igennem hos cloud-leverandørerne endnu.

Standarden er, at man logger på med brugernavn og password, og det er nemt at hacke. Det er et kanonproblem, at adgangskontrollerne ikke er gode nok, og der skal nok blive plads til virksomheder, der kan udvikle løsninger, som kan forbedre adgangskontrollerne."

Læs også: Bliv klogere: Sådan fungerer cloud computing.

Tag altid kun kalkulerede risici

[b]Læs også: Bliv klogere: Sådan fungerer cloud computing.

3 - Dataklassifikation. "Grundlag for cloud-valget." [/b]
"Når strategi og politik er på plads, må man forholde sig til de konkrete data i virksomheden.

Dataklassifikation har vi af bitter erfaring set nødvendigheden af, og denne disciplin er der meget få danske virksomheder, der mestrer. Der er ingen tradition for det i Danmark, men det skal man kunne, hvis man vil i skyen.

Skrækscenariet er, at alle de kritiske data ryger ud til en leverandør, der går konkurs, og man ikke har en ordentlig exit-strategi. Så kan man være 'out of business' eller ryge på forsiden af Ekstrabladet, fordi man offentliggør følsomme oplysninger.

Den hårde vej

Dataklassifikation er nærmest en disciplin i sig selv, men en tommelfingerregel er, at det ikke må blive for teknisk eller akademisk. Det er desuden afgørende, at det er forretningen, der skal tage beslutningen om data. Det er herfra, man må vurdere, hvor vigtige de enkelte data er.

Hold desuden altid klassifikationsdiskussion på forretningstermer. Business impact, altså hvilken betydning har det for forretningen - det forstår ledelsen med det samme.

Vi bruger en meget simpel metode i Arla, hvor vi klassificerer på en skala fra et til fem. Metoden kan naturligvis variere fra virksomhed til virksomhed, men gør det simpelt, for det virker.

Herefter lægger vi en trussels- og sårbarhedsanalyse hen over de forskellige dataklasser, der kan fortælle hvilken platform, som data skal placeres på og hvilken teknologi, der skal beskytte dem.

Sidst men ikke mindst skal der bygges nogle kontrolfunktioner, der kan afsløre, om der sker brud på sikkerheden og følge op på, om det valgte sikkerhedsniveau overholdes."

4 - Risikostyring. "Tag altid kun kalkulerede risici"

"Det er et klassisk it-råd, at når verden bliver mere kompleks, skal man være bedre til risikostyring, og cloud computing gør verden mere kompleks og kræver derfor en toptrimmet proces- og projektorienteret risikostyring.

Det er 100 procent sikkert, at man kommer til at begå fejl og tage risici, og dem skal man være parat til at håndtere.

Det skal være forretningsfolkene og ikke it-afdelingen, der tager stilling til de risici, man løber i et cloud projekt, men hvis business casen ser god ud, men sikkerheden ikke følger med, kan det give problemer.

Det er nødvendigt at spænde et sikkerhedsnet ud under løsningerne, der kan fange de ting, der falder ud over kanten."

Læs også: Bliv klogere: Sådan fungerer cloud computing.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Compliance og strategisk it-sikkerhed efter DORA

Finansielle koncerner har i snit 85 sikkerhedsløsninger i drift – men er i snit op til 100 dage om at opdage et igangværende cyberangreb. Ydermere viser øvelser, at det typisk tager 4-6 uger at rense og genetablere sikker drift af centrale systemer efter et stort angreb. Fokus for dagen vil derfor være på henholdsvis governance samt om, hvordan du som it-leder i den finansielle sektor skal kunne håndtere fremtidens cybertrusler og arbejde effektivt med sikkerhed på et strategisk niveau.

04. april 2024 | Læs mere


EA Excellence Day

Hvad er det, der gør it-arkitektens rolle så vigtig? Og hvad er det for udfordringer inden for områder som cloud, netværk og datacentre, som fylder hos nogle af landets bedste it-arkitekter lige nu? Det kan du her høre mere om og blive inspireret af på denne konference, hvor du også får lejlighed til at drøfte dette med ligesindede.

16. april 2024 | Læs mere


IAM - din genvej til højere sikkerhed uden uautoriseret adgang og datatab

På denne dag udforsker vi de nyeste strategier, værktøjer og bedste praksis inden for IAM, med det formål at styrke virksomheders sikkerhedsposition og effektiviteten af deres adgangsstyringssystemer og dermed minimere risikoen for uautoriseret adgang og datatab. Og hvordan man kommer fra at overbevise ledelsen til rent faktisk at implementere IAM?

18. april 2024 | Læs mere