Søg

Du hænger selv på ansvaret for dine data i skyen

Når du sender data og applikationer ud i skyen, forsvinder ansvaret ikke fra virksomhedens skuldre. Her kan du se, hvordan ansvaret fordeler sig mellem dig og din leverandør.

01. marts 2012 kl. 09.05
Artikel top billede
Nicolai Devantier Nicolai Devantier Journalist

Læs også:
Kære regering: Her er en cloud-plan

Her er listen over verdens bedste cloud-lande

Når man overvejer en cloud-strategi, skal man være opmærksom på, at selvom kode, programmer og data flyttes uden for virksomhedens domæne, så gør ansvaret ikke.

Ansvaret er stadig dit.

Det er især i forhold til den offentlige sky, hvor infrastruktur og software er placeret uden for huset, at man skal have de stærke briller rettet mod ansvarsplaceringen.

I denne form for cloud-tjenester tager forskellige personer, organisationer og virksomheder hånd om forskellige dele af it-systemerne, hvilket betyder, at ansvaret også placeres mellem flere.

I en privat sky har kunderne derimod den fulde kontrol, hvilket giver brugerne de samme muligheder for overvågning som i de traditionelle ikke-cloud-baserede it-systemer. Her er ansvaret per definition således dit eget.

Tre grundregler før du går i skyen

Som udgangspunkt skal man kunne revidere sin cloud-løsning løbende, så man hele tiden kan følge med i, om den givne løsning opfylder sikkerhedskravene.

En cloud-udbyder skal således stille de nødvendige audit- og assurance-informationer (overvågningsinformationer) til rådighed, så man som kunde kan risikovurdere - også i forhold til eventuelle lovkrav.

"En cloud-leverandør skal som udgangspunkt stille tre typer audit-informationer til rådighed for sine kunder," fortæller Carsten Jørgensen, it-sikkerhedschef i Falck, som har været med til at udarbejde den information, der findes på området. Den er udarbejdet for IT- og Telestyrelsen i 2011.

1. Der skal være skriftlig dokumentation for procedurer, standarder og politikker.

2. Der skal være oplysninger om kundens aktuelle konfigurationer.

3. Der skal være løbende log- og monitorerings-informationer.
Målet med disse tre regler er, at man som kunde løbende kan overvåge og vurdere leverandørens infrastruktur for at holde øje med, om leverandøren overholder virksomhedens egne sikkerhedspolitikker.

Disse grundregler skal man have i baghovedet, før man vælger leverandører. Det har dog også væsentlig betydning, hvilken form for cloud-løsning man vælger.

Der er nemlig stor forskel på, hvor meget kan bestemme i it-afdelingen.

Tre typer cloud-tjenester

Cloud-løsningerne opdeles oftest i tre forskellige modeller, der henviser til software, platform og infrastruktur, og derfor forkortes SPI-modellen.

Software as a Service (SaaS)

I en SaaS-løsning får man adgang til software, hvor man kan administrere egne brugere og data. Man har ikke administrator-rettigheder til operativsystemet eller programmer, men man kan typisk ændre grundfunktionerne i de applikationer, man anvender.

Ansvaret mellem leverandør og kunde i en SaaS-løsning fordeler sig typisk således:

Det er brugerens ansvar at konfigurere log'en, mens leverandøren tager sig af sikkerheden omkring data og applikationer. Man er således helt afhængig af de overvågningsinformationer, som leverandøren tilbyder.

Platform as a Service (PaaS)

I en PaaS-løsning får man adgang til et operativsystem og database, men man kan frit installere og administrere egne applikationer.

Der er således ikke administrator-rettigheder til operativsystemet, men man kan udvikle og afvikle egne programmer.

Det giver ret til at stille krav til, hvilke logningsmuligheder ens egne programmer skal udrustes med.

Ansvaret mellem leverandør og kunde i en PaaS-løsning fordeler sig typisk således:

Det er brugerens ansvar at indhente logs og vedligeholde egne applikationer eksempelvis med opdateringer. Det er leverandørens ansvar at tage hånd om systemet - system management.

Infrastructure as a Service (IaaS)

I en IaaS-løsning har man adgang til et virtualiseret miljø, hvor man kan installere og administrere virtuelle maskiner.

Man får administrator-rettigheder til egne virtuelle maskiner, og man kan frit trække informationer fra systemerne.

Sådan fordeler ansvaret sig

Mulighederne er de samme, som man vil opleve i et datacenter, man selv hoster. Man kan således selv opsætte, konfigurere og installere tredjepartsprogrammer.

Ansvaret mellem leverandør og kunde i en IaaS-løsning fordeler sig typisk således:

Brugeren skal sørge for lokal overvågning, overvågning af applikationslaget og desuden logfiler fra operativsystemet.
Leverandøren skal sørge for netværket, fysisk sikring og hardware.

Tillid mellem kunde og leverandør

"Som kunde skal man naturligvis sørge for, at det formelle papirarbejde er på plads, i forhold til hvem der skal sørge for hvad. Opfylder én leverandør ikke betingelserne, må man gå til en anden," vurderer Carsten Jørgensen.

"Desuden bør man forsøge at opnå et tillidsforhold til sin leverandør, selvom det kan være svært i en web-baseret forretningsmodel."

Uanset om man anvender SaaS, PaaS eller IaaS, skal leverandøren kunne dokumentere den fysiske sikkerhed, de underliggende politikker, procedurer og konfigurationen. Det er et krav, for at du som kunde kan risikovurdere og eventuelt overholde lovkrav.

Dokumentationen kan være tilgængelig gennem leverandøren selv eller gennem en tredjepart, ligesom der kan være revisorer eller lignende og endeligt materiale, som man selv undersøger sig frem til.

Når du planlægger din cloud-strategi, skal du være opmærksom på, hvilket niveau af ansvar, der er forbundet med den type løsning, du vælger.

I en SaaS-løsning skal man eksempelvis selv konfigurere hvad, der logges eller definere det i en kontrakt. Mens man i en IaaS selv definerer logning i operativsystemet og applikationer, fordi leverandøren ikke har adgang til at gøre det.

"Lovgivningen på området er for gammel til at omfatte regler for cloud-computing," fortæller Carsten Jørgensen og tilføjer:

"Leverandørerne er i gang med selv at sætte nogle rammer op for at gøre processen enklere, men det er virksomheden selv, der sidder med ansvaret, som det ser ud i dag."

Læs også:
Kære regering: Her er en cloud-plan

Her er listen over verdens bedste cloud-lande

Seneste nyt

|Vis seneste uge

Læses lige nu

    Annonce

    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.
    Executive Conversations: Kina, Trump og AI-ledelse

    Digital transformation | København

    Executive Conversations: Kina, Trump og AI-ledelse

    Kina, USA og AI flytter magt og markeder. Geopolitik rammer leverandørkæder, chips, data og standarder. Lær at koble global risiko med konkret it-ledelse. Få styr på governance, sikkerhed og compliance i AI. Deltag og styrk din handlekraft.

    Cloud & infrastruktur 2026: AI, afhængighed og digital handlefrihed

    Infrastruktur | København

    Cloud & infrastruktur 2026: AI, afhængighed og digital handlefrihed

    Cloud er strategisk infrastruktur og fundament for AI, drift og innovation. Geopolitik og regulering ændrer leverandørvalg og dataplacering. Computerworld samler beslutningstagere om afhængighed, europæiske alternativer og digital handlefrihed.

    Computerworld Summit 2026 - Aarhus

    Digital transformation | Aarhus C

    Computerworld Summit 2026 - Aarhus

    Styrk din digitale strategi med konkret brug af AI og ny teknologi. Mød 200 it-professionelle, få indsigter, løsninger og netværk på én dag. Computerworld Summit i Aarhus viser hvordan teknologi skaber forretningsværdi – her og nu.

    Se alle vores events inden for it

    SOS International

    Cisco Call Manager Specialist

    Midtjylland

    Netcompany A/S

    Senior Network Engineer

    Københavnsområdet

    Forsvarsministeriets Materiel- og Indkøbsstyrelse

    Netværksteknikere til design, drift og vedligehold ved Cyberdivisionen

    Københavnsområdet

    Netcompany A/S

    Managing Architect

    Københavnsområdet

    Se flere it-stillinger

    Navnenyt fra it-Danmark

    Norriq Danmark A/S har pr. 1. februar 2026 ansat Michael Benner som Senior Solution Architect. Han skal især beskæftige sig med Microsoft Fabric Accelerator Framework herunder videreudvikling af frameworket, kundeimplementeringer og pre-sales opgaver. Han kommer fra en stilling som løsningensarkitekt hos Columbus Data & AI. Han er uddannet Økonomistyring fra Aalborg Universitet. Han har tidligere beskæftiget sig med at være ansat i revisionsbranchen hos PwC Forensic og Deloitte Forensic. Nyt job

    Michael Benner

    Norriq Danmark A/S

    Lector ApS har pr. 2. februar 2026 ansat Jacob Pontoppidan som Sales Executive i Lectors TeamShare gruppe. Jacob skal især beskæftige sig med vækst af TeamShare med fokus på kommerciel skalering, mersalg og en stærk go to market eksekvering. Jacob har tidligere beskæftiget sig med salg og forretningsudvikling i internationale SaaS virksomheder. Nyt job

    Jacob Pontoppidan

    Lector ApS

    netIP har pr. 20. januar 2026 ansat Kennet Svane Christensen som IT Supporter ved netIP's kontor i Thisted. Han skal især beskæftige sig med opgaver i Datacenteret, hvor han vil få sin base i størstedelen af sin læretid. Nyt job

    Kennet Svane Christensen

    netIP

    Renewtech ApS har pr. 15. marts 2026 ansat Jouni Salo som Account Manager for Sverige. Han skal især beskæftige sig med med at styrke Renewtechs nordiske tilstedeværelse med fokus primært på det svenske marked. Han kommer fra en stilling som Key Account Manager hos GoGift. Han har tidligere beskæftiget sig med udvikling af salgsaktiviter og kunderelationer på tværs af flere markeder. Nyt job

    Jouni Salo

    Renewtech ApS

    Se mere fra navnenyt

    Computerworld

    Opinion

    Annonce

    Mest læste

    1 Test: Denne mikro-pc er langt mere slagkraftig end den ser ud
    2 MobilePay og MitID klar med ny funktion: Nu kan du bruge de to apps til digital identifikation
    3 Danske Microsoft-eksperter om Microsofts nye standard-indstilling i M365: Derfor bør du slå det fra
    4 Morgen-briefing: Ny undersøgelse: Mange unge mennesker er vrede på kunstig intelligens / Langt de fleste europæere har ikke tillid til teknologi fra USA og Kina / Emagine køber belgisk it-firma
    5 Nørgaard: Jeg er skuffet over Googles Gemini - og jeg har min egen forklaring på, hvorfor det er gået galt for Google
    6 Dansk AI-ekspert med ildevarslende spådom: "Vi er alle sammen på vej hen imod en stor sort mur, og vi aner ikke, hvad der findes på den anden side"
    7 Først blev Teams smidt på porten – nu vil Frankrig også af med Windows
    8 Anthropics nye AI-model sætter myndigheder i alarmberedskab: Britiske finansbosser indkaldes til sikkerhedsbriefing

    Se seneste uge