Artikel top billede

Du hænger selv på ansvaret for dine data i skyen

Når du sender data og applikationer ud i skyen, forsvinder ansvaret ikke fra virksomhedens skuldre. Her kan du se, hvordan ansvaret fordeler sig mellem dig og din leverandør.

Læs også:
Kære regering: Her er en cloud-plan

Her er listen over verdens bedste cloud-lande

Når man overvejer en cloud-strategi, skal man være opmærksom på, at selvom kode, programmer og data flyttes uden for virksomhedens domæne, så gør ansvaret ikke.

Ansvaret er stadig dit.

Det er især i forhold til den offentlige sky, hvor infrastruktur og software er placeret uden for huset, at man skal have de stærke briller rettet mod ansvarsplaceringen.

I denne form for cloud-tjenester tager forskellige personer, organisationer og virksomheder hånd om forskellige dele af it-systemerne, hvilket betyder, at ansvaret også placeres mellem flere.

I en privat sky har kunderne derimod den fulde kontrol, hvilket giver brugerne de samme muligheder for overvågning som i de traditionelle ikke-cloud-baserede it-systemer. Her er ansvaret per definition således dit eget.

Tre grundregler før du går i skyen

Som udgangspunkt skal man kunne revidere sin cloud-løsning løbende, så man hele tiden kan følge med i, om den givne løsning opfylder sikkerhedskravene.

En cloud-udbyder skal således stille de nødvendige audit- og assurance-informationer (overvågningsinformationer) til rådighed, så man som kunde kan risikovurdere - også i forhold til eventuelle lovkrav.

"En cloud-leverandør skal som udgangspunkt stille tre typer audit-informationer til rådighed for sine kunder," fortæller Carsten Jørgensen, it-sikkerhedschef i Falck, som har været med til at udarbejde den information, der findes på området. Den er udarbejdet for IT- og Telestyrelsen i 2011.

1. Der skal være skriftlig dokumentation for procedurer, standarder og politikker.

2. Der skal være oplysninger om kundens aktuelle konfigurationer.

3. Der skal være løbende log- og monitorerings-informationer.
Målet med disse tre regler er, at man som kunde løbende kan overvåge og vurdere leverandørens infrastruktur for at holde øje med, om leverandøren overholder virksomhedens egne sikkerhedspolitikker.

Disse grundregler skal man have i baghovedet, før man vælger leverandører. Det har dog også væsentlig betydning, hvilken form for cloud-løsning man vælger.

Der er nemlig stor forskel på, hvor meget kan bestemme i it-afdelingen.

Tre typer cloud-tjenester

Cloud-løsningerne opdeles oftest i tre forskellige modeller, der henviser til software, platform og infrastruktur, og derfor forkortes SPI-modellen.

Software as a Service (SaaS)

I en SaaS-løsning får man adgang til software, hvor man kan administrere egne brugere og data. Man har ikke administrator-rettigheder til operativsystemet eller programmer, men man kan typisk ændre grundfunktionerne i de applikationer, man anvender.

Ansvaret mellem leverandør og kunde i en SaaS-løsning fordeler sig typisk således:

Det er brugerens ansvar at konfigurere log'en, mens leverandøren tager sig af sikkerheden omkring data og applikationer. Man er således helt afhængig af de overvågningsinformationer, som leverandøren tilbyder.

Platform as a Service (PaaS)

I en PaaS-løsning får man adgang til et operativsystem og database, men man kan frit installere og administrere egne applikationer.

Der er således ikke administrator-rettigheder til operativsystemet, men man kan udvikle og afvikle egne programmer.

Det giver ret til at stille krav til, hvilke logningsmuligheder ens egne programmer skal udrustes med.

Ansvaret mellem leverandør og kunde i en PaaS-løsning fordeler sig typisk således:

Det er brugerens ansvar at indhente logs og vedligeholde egne applikationer eksempelvis med opdateringer. Det er leverandørens ansvar at tage hånd om systemet - system management.

Infrastructure as a Service (IaaS)

I en IaaS-løsning har man adgang til et virtualiseret miljø, hvor man kan installere og administrere virtuelle maskiner.

Man får administrator-rettigheder til egne virtuelle maskiner, og man kan frit trække informationer fra systemerne.

Sådan fordeler ansvaret sig

Mulighederne er de samme, som man vil opleve i et datacenter, man selv hoster. Man kan således selv opsætte, konfigurere og installere tredjepartsprogrammer.

Ansvaret mellem leverandør og kunde i en IaaS-løsning fordeler sig typisk således:

Brugeren skal sørge for lokal overvågning, overvågning af applikationslaget og desuden logfiler fra operativsystemet.
Leverandøren skal sørge for netværket, fysisk sikring og hardware.

Tillid mellem kunde og leverandør

"Som kunde skal man naturligvis sørge for, at det formelle papirarbejde er på plads, i forhold til hvem der skal sørge for hvad. Opfylder én leverandør ikke betingelserne, må man gå til en anden," vurderer Carsten Jørgensen.

"Desuden bør man forsøge at opnå et tillidsforhold til sin leverandør, selvom det kan være svært i en web-baseret forretningsmodel."

Uanset om man anvender SaaS, PaaS eller IaaS, skal leverandøren kunne dokumentere den fysiske sikkerhed, de underliggende politikker, procedurer og konfigurationen. Det er et krav, for at du som kunde kan risikovurdere og eventuelt overholde lovkrav.

Dokumentationen kan være tilgængelig gennem leverandøren selv eller gennem en tredjepart, ligesom der kan være revisorer eller lignende og endeligt materiale, som man selv undersøger sig frem til.

Når du planlægger din cloud-strategi, skal du være opmærksom på, hvilket niveau af ansvar, der er forbundet med den type løsning, du vælger.

I en SaaS-løsning skal man eksempelvis selv konfigurere hvad, der logges eller definere det i en kontrakt. Mens man i en IaaS selv definerer logning i operativsystemet og applikationer, fordi leverandøren ikke har adgang til at gøre det.

"Lovgivningen på området er for gammel til at omfatte regler for cloud-computing," fortæller Carsten Jørgensen og tilføjer:

"Leverandørerne er i gang med selv at sætte nogle rammer op for at gøre processen enklere, men det er virksomheden selv, der sidder med ansvaret, som det ser ud i dag."

Læs også:
Kære regering: Her er en cloud-plan

Her er listen over verdens bedste cloud-lande




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Keybalance A/S
Udvikling og salg af økonomisystemer samt CRM og MPS. Systemer til blandt andet maskinhandlere, vvs-branchen, vognmænd, låsesmede,handelsvirksomheder

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere