Helt afgørende: Sådan får du sikkerheden skrevet ind i kontrakten

Klumme: Sådan undgår du, at sikkerheden går tabt, når du outsourcer din it-drift.

For nylig havde jeg den fornøjelse at holde indlæg på den årlige DeiC-konference. DeIC (Danish e-Infrastructure Cooperation) er en virtuel organisation, der blandt andet omfatter forskningsnettet og DKCERT.

Mit indlæg handlede om aktuelle trends inden for sikkerhed. Der var især ét emne, som vakte interesse: Sikkerhed og SLA'er (service level agreement).

Jeg tror, aktuelle sager som Se & Hør-skandalen har øget opmærksomheden om outsourcing som en sikkerhedsudfordring - det skrev jeg også om i en tidligere klumme: Det kan vi lære af Se og Hør-skandalen

Nets havde outsourcet driften af dankortsystemet til IBM.

En ansat hos IBM misbrugte øjensynlig sin adgang til systemet.
Hvem har nu ansvaret? Er det Nets, der står for dankortsystemet, eller IBM, som driften er outsourcet til?

Det spørgsmål kan vi kun besvare, hvis vi kender kontrakten mellem parterne.

Leverandørens sikkerhed er din sikkerhed
Spørgsmålet om ansvaret for informationssikkerheden er vigtigt at overveje for alle, der lægger dele af deres it ud til eksterne leverandører.

Hvordan er din virksomhed stillet, hvis din leverandør ikke har styr på sikkerheden?

Mange virksomheder placerer deres websted på et webhotel.

Hvad betyder det for jer, hvis webhotellet bliver hacket eller sat ud af drift?

Hvis I tager imod ordrer via jeres webshop, kan det hurtigt blive dyrt at stå uden websted.

Hvad siger kontrakten med webhotellet om den situation?

Hvis den er som de fleste, fraskriver udbyderen sig ethvert ansvar for skader, der skyldes hackerangreb og lignende.

Jeg vil råde dig til at kigge dine kontrakter efter i sømmene med fokus på sikkerheden.

Som regel vil spørgsmål om sikkerhed blive placeret i en SLA.

SLA'en er det dokument, der definerer kontraktens indhold i praksis.

SLA'en konkretiserer jeres aftale: Hvad du som kunde forventer at modtage.

Hvad leverandøren lover at levere. Hvordan I måler det, der leveres. Hvad leverandøren skal betale i bod for overskridelser.

Tjek sikkerhedspolitik
Helt overordnet skal I se på leverandørens sikkerhedspolitik og tjekke, at den stemmer overens med jeres ønsker.

Derudover skal en SLA med fokus på sikkerhed for eksempel give svar på disse spørgsmål:

• Hvordan beskytter leverandøren de systemer, kunden bruger, mod virusangreb?

• Hvordan sikrer leverandøren data mod at komme i de forkerte hænder?

• Hvilke garantier for oppetid giver leverandøren?

• Hvordan beskytter leverandøren mod ansatte, der misbruger adgangen til jeres data?

• Hvor hurtigt informerer leverandøren kunden om brud på sikkerheden?

Med cloud-tjenester, der leveres som SaaS (Software as a Service), placerer du dine data i leverandørens system.

Vigtige data om din virksomheds kunder, deres kontaktinformationer og indkøbshistorik ligger i den slags systemer.

Her skal kontrakten tage højde for, hvordan du som kunde kan få fat i de data.

Hvordan tager I sikkerhedskopi?

Kan I få dataene udleveret? Og i hvilket format?

Når jeres virksomhed behandler persondata, skal den overholde lovgivningens krav. For eksempel må personfølsomme data som regel kun opbevares inden for EU's grænser.

Vær forsigtig
Her skal I være forsigtige: Jeg har været ude for, at en cloud-udbyder havde sine servere i Europa. Men det viste sig, at sikkerhedskopien lå i USA.

Mange it-firmaer har lagt deres support ud i lande med billig arbejdskraft. Hvis supporteren i Manila kan slå op i data om dine kunder, er det også et tegn på, at kravene ikke bliver overholdt.

Støt jer til standarder
Det kan være en god ide at koble sig på eksisterende standarder.

For eksempel kan kunden i kontrakten kræve dokumentation for, at leverandøren overholder kravene i ISO 27001.

Det garanterer, at leverandøren har etableret et system til at holde styr på sikkerheden.

Men det er ikke nok, at jeres leverandør kan vise et ISO 27001-stempel. I skal gennemgå det såkaldte SoA-dokument (Statement of Applicability).

Det fortæller, hvordan certificeringen er afgrænset.

Det kan være, at de dele af leverandørens system, der er certificeret, er nogle helt andre end dem, I skal bruge.

Spørg også ind til, hvordan leverandøren konkret sikrer jeres data:

Hvordan er deres firewall-setup? Bruger de et IPS (Intrusion Prevention System)? Hvordan overvåger de løbende systemet? Hvilke procedurer har de for logfiler, og hvor tit gennemgår de dem?

Sårbarheder i it-systemer er stadig et ømt punkt i mange organisationer.

Når et system ikke er opdateret, er det et oplagt mål for hackerangreb.

Så I skal vide, hvordan leverandøren holder styr på softwareopdateringer. Hvor tit installerer de sikkerhedsopdateringer? Hvor tit scanner de deres systemer for at finde dem, der mangler en opdatering?

Følg op løbende
Endelig vil jeg understrege, at SLA'en i sig selv ikke udgør nogen garanti for sikkerheden. Sikkerhed er en løbende proces.

Derfor skal I jævnligt følge op på, at målene i SLA'en bliver overholdt.

I skal også vedligeholde og opdatere SLA'en løbende.

Men pas på, at den ikke ender som et hoveddokument med en masse bilag, så den bliver helt uoverskuelig.

Så er det bedre med nogle års mellemrum at overveje, om hele SLA'en skal opdateres, så indholdet fra bilagene skrives ind i den.

En ekstern sikkerhedsrevision er også en god ide. I kan fx skrive ind i kontrakten, at en uafhængig enhed auditerer sikkerheden med faste intervaller.


DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team. I samarbejde med tilsvarende CERT'er over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT udsender advarsler og tager imod henvendelser om sikkerhedsrelaterede hændelser på internettet. DKCERT er en organisation i DeIC, DTU.

Shehzad Ahmad opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Dibs Payment Services A/S
Betalingssystemer til e-handel og detailhandel.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
It-sikkerhed 2017: De nye trusler - og dit næste modtræk

Vi tager pulsen på den aktuelle it-sikkerhedssituation ved at gå i dybden med de nyeste trusler og give til inspiration til dine nødvendige modtræk. Der er masser at skulle forholde sig til som it-ansvarlig. Men har du forstået de reelle trusler, og prioriterer du sikkerhedsindsatsen på den mest hensigtsmæssige måde?

24. januar 2017 | Læs mere


It-sikkerhed 2017: De nye trusler - og dit næste modtræk

Vi tager pulsen på den aktuelle it-sikkerhedssituation ved at gå i dybden med de nyeste trusler og give til inspiration til dine nødvendige modtræk. Der er masser at skulle forholde sig til som it-ansvarlig. Men har du forstået de reelle trusler, og prioriterer du sikkerhedsindsatsen på den mest hensigtsmæssige måde?

26. januar 2017 | Læs mere


Customer Relationship Management (CRM)

CRM er stort set blevet en standard i danske virksomheder. Der stilles stigende krav til sikkerheden når værdifulde informationer om virksomhedens væsentligste aktiv - kunderne - skal sikres, deles og gemmes, og netop sikkerheden i den web-baserede løsning kan virke uoverskuelig. Hør mere om hvordan bringer du dig i front med CRM, og hvordan får du størst muligt afkast af din CRM-investering.

31. januar 2017 | Læs mere






Computerworld
Advarsel til Gmail-brugerne: Lumsk phishing-mail på spil netop nu - sådan spotter du den
Gmail-brugerne skal være på vagt: It-kriminelle forsøger sig i øjeblikket med en udspekuleret phishing-mail. Se her, hvordan du spotter fupnummeret.
CIO
Coop på jagt efter afløser til den 49 år gamle mainframe: "Systemet er ikke længere tilstrækkeligt til vores vision for Coop"
Coop Danmark er i gang med en støre digitalisering af hele forretningen, og det kommer ikke til at gå stille for sig i 2017. Blandt andet skal Coop have fundet en erstatning for den 49 år gamle mainframe.
Comon
Undgå passwordet: Smart tilbehør til at låse og åbne din computer med Windows Hello
Windows Hello kan mere end blot låse din computer op med dit ansigt. Der findes en lang række muligheder af tilbehør, som kan være med til at sikre din computer mod indtrængere. Se fem af dem her.
Channelworld
Ny EG-direktør har en plan: Sådan skal EG vokse sig større og endnu mere profitabel
Interview: Mikkel Bardram er ny administrerende direktør i EG. Selvom EG nu har 2.000 ansatte og en omsætning på 1,8 milliarder kroner, er der potentiale for endnu mere, mener den nye direktør.
White paper
Undersøgelse af kritiske anlæg
I 2015 afsluttede Coromatic Group en undersøgelse af kritiske anlæg, der dækkede årene 2000-2013. Undersøgelsen omfattede det nordiske hospitalsmarked og dets afhængighed af to virksomhedskritiske funktioner, strømforsyning og kommunikationsteknologi, under hensyntagen til den øgede mængde af data, der behandles i forskellige systemer.