Du hænger selv på ansvaret for dine data i skyen

Når du sender data og applikationer ud i skyen, forsvinder ansvaret ikke fra virksomhedens skuldre. Her kan du se, hvordan ansvaret fordeler sig mellem dig og din leverandør.

Læs også:
Kære regering: Her er en cloud-plan

Her er listen over verdens bedste cloud-lande


Når man overvejer en cloud-strategi, skal man være opmærksom på, at selvom kode, programmer og data flyttes uden for virksomhedens domæne, så gør ansvaret ikke.

Ansvaret er stadig dit.

Det er især i forhold til den offentlige sky, hvor infrastruktur og software er placeret uden for huset, at man skal have de stærke briller rettet mod ansvarsplaceringen.

I denne form for cloud-tjenester tager forskellige personer, organisationer og virksomheder hånd om forskellige dele af it-systemerne, hvilket betyder, at ansvaret også placeres mellem flere.

I en privat sky har kunderne derimod den fulde kontrol, hvilket giver brugerne de samme muligheder for overvågning som i de traditionelle ikke-cloud-baserede it-systemer. Her er ansvaret per definition således dit eget.

Tre grundregler før du går i skyen
Som udgangspunkt skal man kunne revidere sin cloud-løsning løbende, så man hele tiden kan følge med i, om den givne løsning opfylder sikkerhedskravene.

En cloud-udbyder skal således stille de nødvendige audit- og assurance-informationer (overvågningsinformationer) til rådighed, så man som kunde kan risikovurdere - også i forhold til eventuelle lovkrav.

"En cloud-leverandør skal som udgangspunkt stille tre typer audit-informationer til rådighed for sine kunder," fortæller Carsten Jørgensen, it-sikkerhedschef i Falck, som har været med til at udarbejde den information, der findes på området. Den er udarbejdet for IT- og Telestyrelsen i 2011.

1. Der skal være skriftlig dokumentation for procedurer, standarder og politikker.

2. Der skal være oplysninger om kundens aktuelle konfigurationer.

3. Der skal være løbende log- og monitorerings-informationer.
Målet med disse tre regler er, at man som kunde løbende kan overvåge og vurdere leverandørens infrastruktur for at holde øje med, om leverandøren overholder virksomhedens egne sikkerhedspolitikker.

Disse grundregler skal man have i baghovedet, før man vælger leverandører. Det har dog også væsentlig betydning, hvilken form for cloud-løsning man vælger.

Der er nemlig stor forskel på, hvor meget kan bestemme i it-afdelingen.

Tre typer cloud-tjenester
Cloud-løsningerne opdeles oftest i tre forskellige modeller, der henviser til software, platform og infrastruktur, og derfor forkortes SPI-modellen.

Software as a Service (SaaS)
I en SaaS-løsning får man adgang til software, hvor man kan administrere egne brugere og data. Man har ikke administrator-rettigheder til operativsystemet eller programmer, men man kan typisk ændre grundfunktionerne i de applikationer, man anvender.

Ansvaret mellem leverandør og kunde i en SaaS-løsning fordeler sig typisk således:

Det er brugerens ansvar at konfigurere log'en, mens leverandøren tager sig af sikkerheden omkring data og applikationer. Man er således helt afhængig af de overvågningsinformationer, som leverandøren tilbyder.

Platform as a Service (PaaS)
I en PaaS-løsning får man adgang til et operativsystem og database, men man kan frit installere og administrere egne applikationer.

Der er således ikke administrator-rettigheder til operativsystemet, men man kan udvikle og afvikle egne programmer.

Det giver ret til at stille krav til, hvilke logningsmuligheder ens egne programmer skal udrustes med.

Ansvaret mellem leverandør og kunde i en PaaS-løsning fordeler sig typisk således:

Det er brugerens ansvar at indhente logs og vedligeholde egne applikationer eksempelvis med opdateringer. Det er leverandørens ansvar at tage hånd om systemet - system management.

Infrastructure as a Service (IaaS)
I en IaaS-løsning har man adgang til et virtualiseret miljø, hvor man kan installere og administrere virtuelle maskiner.

Man får administrator-rettigheder til egne virtuelle maskiner, og man kan frit trække informationer fra systemerne.

Artiklen fortsætter på næste side...


Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Tieto Denmark A/S
Udvikler, sælger og implementerer software til ESDH, CRM og portaler. Fokus på detailhandel, bygge- og anlæg, energi og finans.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Digital Innovation Summit 2018: Inspiration, strategi og innovation til fremtidens digitale vindere

Evnen til at innovere digitalt er et af de vigtigste succesparametre for en moderne virksomhed eller organisation. Kom derfor på Digital Innovation Summit og hør hvordan danske virksomheder som Rambøll, A.P. Møller-Mærsk og DFDS arbejder med innovation.

27. februar 2018 | Læs mere


Få mere fart på og kvalitet i udviklingsafdelingen med DevOps

Få indsigt i den populære DevOps-tankegang, der kendetegner den moderne it-organisation, hvor samarbejde og integration er nogle af nøgleordene. Kom og hør konkrete cases fra virksomheder, der arbejder efter DevOps og mød de førende leverandører, der fortæller, hvordan du kommer derhen, hvor udviklingsafdelingen kan understøtte den digitale innovation med de ideer og i det tempo, som der forventes.

28. februar 2018 | Læs mere


Gå hjem møde: GDPR - mobile enheder og medarbejderdata

25. maj 2018 skal det hele være på plads! Kom og hør hvordan I skal behandle persondata om medarbejdere under GDPR, og hvordan medarbejderne må behandle persondata under GDPR. Få derudover svar på, hvordan I håndterer udfordringen omkring de mange mobile enheder for at sikre compliance.

28. februar 2018 | Læs mere





mest debaterede artikler

Premium
Hjalp virksomheder Atea med at klage over omstridt udbud i Region Sjælland? Forsvarer udpeger Ib Kunøe som fællesnævner
Der indløb klager fra flere it-selskaber, da Region Sjælland i 2015 udpegede 3A-it som vinder af et stort it-udbud foran næsen af Atea. Det pudsige er, at klagerne var næsten ens. Forsvarer i Atea-sagen peger på et interessant sammenfald - Ib Kunøe.
Computerworld
Fona-ejer skal betale million-beløb tilbage: Hævede 22 millioner kroner lige inden krak
Fona-ejeren Elkjøp Nordic trak uretmæssigt 22 millioner kroner ud af selskabet lige inden salget af den kendte kæde gik ned med flaget.
CIO
Her er tre vigtige spørgsmål, som du altid bør stille til sælgere af it-systemer
Klumme: Softwareudviklere elsker at hade sælgere, der generelt er lidt for glatte, lidt for smilende, lidt for hjertelige og også dygtige til at undvige eller parere, når man fagligt argumenterer for sine forbehold overfor det system, man lige har fået præsenteret og lynhurtigt har spottet ikke vil fungere.
Job & Karriere
Regeringen vil gøre it-undervisning obligatorisk i folkeskolen: "Planen er, at alle danske børn skal lære at kode," siger undervisningsministeren
Interview: Regeringen indfører obligatorisk undervisning i it i folkeskolen på alle klassetrin og præsenterer fredag ny plan. Ny forsøgsordning i op til 50 skoler skal bane vejen. “Visionen for planen er, at alle danske børn skal lære at kode,” siger undervisningsminister Merete Riisager (LA).
White paper
Sådan indfrier du virksomhedens digitale potentiale - og her giver det mest værdi at starte
Digitalisering er det altafgørende omdrejningspunkt for mange virksomheder. Men hvor tager man fat, så det giver mest værdi? EG har identificeret fem helt centrale områder, hvor der typisk er et perfekt match mellem virksomhedens behov og de teknologiske muligheder. Læs dette whitepaper og få indblik i, hvordan vidt forskellige virksomheder har grebet det an. 14 sider på dansk.