Artikel top billede

Her er ekspertens tre trin til sikkerhed i skyen

Sikkerhed i skyen er mere end frygt for hackere. Det handler lige så meget om forhandlernes forståelse af kundernes forretning, mener sikkerhedseksperten Lars Neupart.

"Sikkerhed er fortrolighed, integritet og tilgængelighed, og især tilgængeligheden er formentlig større i et cloud-miljø end i de fleste andre miljøer."

Sådan lyder svaret fra it-rådgiver og sikkerhedsekspert Lars Neupart, når CRN beder om hans bud på, hvordan forhandlere skal håndtere kundernes bekymringer og forhåbninger til de cloud-teknologier, som de seneste år har fyldt stadig mere i it-producenternes produktkataloger.

Som med så meget andet nyt under solen er også cloud blevet mødt med større eller mindre skepsis. For når kundernes data bliver lagt "ud i skyen", kan man så være sikker på, at data er tilgængelige for de rette personer? At ingen uvedkommende kigger med eller ligefrem misbruger data? Og hvad med min egen adgang til mine data?

Ifølge Lars Neupart handler sikkerhedsspørgsmålet blandt andet om, hvilken leve-ranceform man benytter sig af.

"Software as a service (SaaS, red.) er den mest kendte leverancemodel, som mange partnere og resellere ofte baserer deres cloud-ydelser på. Der køber kunden en pakke med sikkerhedsfeatures indbygget i CRM- og økonomisystemer, Gmail, Hotmail og alle de her klassiske løsninger. Der er kunden så afhængig af, hvilke features leverandøren tilbyder," forklarer Lars Neupart.

Læs mere:

Hjælp til kunden er dit value-add

"Den anden yderlighed er infrastructure as a service (IaaS). Der hænger kunden selv på rigtigt meget af sikkerheden. I det øjeblik, jeg har søsat min server, og uanset om jeg har valgt Linux eller Windows eller andre applikationer, har jeg selv sikkerhedsansvaret. For hvem skal lægge sikkerhedsrettelser ind? Det skal kunden. Hvem har ansvaret for sikkerheden i de applikationer, der bliver lagt ind på de pågældende servere? Det har kunden. Så hvis jeg nu var forhandler, ville jeg jo nok lægge noget value-add ovenpå og hjælpe kunden med de her ting," siger Lars Neupart.

Han nævner også mellemformen Platform as a service (PaaS), hvor leverandøren står for sikkerheden på platformen, mens kunden selv skal sørge for at holde sine applikationer sikre.

Men hvordan rådgiver man som forhandler om cloud-sikkerhed i forhold til de opgaver, som it skal løse for kunden?
"Sikkerhedsdiskussionen kommer ind, når man skal gøre det her operativt. Punkt ét er, at man skal finde ud af, hvilke data man har og klassificere dem. Hvis man for eksempel er læge og har personfølsomme data liggende på sin pc, skal man ikke bruge Dropbox, for så lever man ikke op til Datatilsynets krav. Punkt to er at vurdere, hvilke relevante trusler der er. En standardiseret cloud-løsning har måske nogle fordele," siger Lars Neupart.

Kan man komme væk igen?

"Det byder så på nogle andre trusler. Kan man komme væk fra sin cloud-leverandør igen? Hvis jeg bliver træt af Office 365, kan jeg så nemt flytte mine dokumenter over til Google Docs, eller kan jeg nemt tage dem med hjem til mig selv? Det er et eksempel på det, man skal have med i et trusselskatalog. For det kan være svært at få sine data ud af en cloud-løsning i formater, man kan bruge hos en anden cloud-leverandør," siger han.

Det lyder som en efterhånden ret klassisk problemstilling?
"Ja, både forhandlere og producenter vil hævde, at de bruger åbne standarder alle sammen. Men i praksis kan det godt vise sig at være lidt sværere. Det hører med til trusselsvurderingen. En anden trussel, som de fleste kunder er optaget af, er datatab. Det dækker over flere ting: Kan jeg miste mine data? Kan andre kigge med på mine data, når de ligger ude på nettet?" forklarer Lars Neupart og går så til tredje og sidste led af den typiske sikkerhedsanalyse.

"Step tre er vurderingen af forretningskonsekvens, hvor man skal kunne pege ind på, hvad brugen af cloud betyder for kundens forretning. Her prioriterer man den viden og de krav, man har samlet ind i de to første faser. Den konsekvens, man vil drage, er meget afhængig af, hvilken type kunde, der er tale om, og hvilken type data kunden har."

Det store spøgelse: Hacker-angrebet

Usikkerheden ved den langt hen ad vejen usynlige sky forstærker også frygten for en anden usynlig it-trussel: Hackeren.

Men ifølge Lars Neupart er der ikke noget, der tyder på, at data i skyen er mere sårbare over for hacker-angreb.

"Der er jo en opfattelse af, at hvis jeg kan stå og kigge på min egen server, så er mine data nok bedre sikret, end hvis de ligger i skyen. Men det synes jeg ikke, vi kan dokumentere. Der er masser af sikkerhedshændelser med folks egne it-installationer."

"Cloud-hændelser har det så med at få mere omtale, fordi det påvirker flere, når det sker. Og så der er stor forskel på sikkerhedsniveauet hos de forskellige cloud-leverandører. Sådan noget som Dropbox har haft sikkerhedsuheld på sikkerhedsuheld gennem de seneste to-tre år. Det tyder på, at der ikke er designet sikkerhed ind i løsningen fra starten. Mens Google har et meget ensartet og homogent miljø, hvor det er meget nemt for dem at detektere indbrud. Så jeg er ikke bange for at have mine data liggende hos Google, fordi de i virkeligheden nok er bedre beskyttet, end hvis de lå hos mig selv," slutter Lars Neupart.

Læs mere:




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
IT Relation A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere


How to Sikkerhed: Awareness, email fraud og phishing

Man kan aldrig vide sig sikker, for uanset hvor godt man sikrer sig mod hackerangreb og anden svindel, vil hacker næsten altid være et skridt foran. De går efter organisationernes svageste led i håbet om at kunne snyde sig til data, penge eller andet værdifuldt. Få derfor konkrete bud på, hvordan du kan gribe opgaven an og understøtte et effektivt awareness-niveau i din organisation med enkel, men velfungerende, teknologi.

17. november 2021 | Læs mere


Microsoft 365: Gør klar til store prisstigninger

For første gang i mange år hæver Microsoft til foråret priserne på enterprise-udgaverne af Microsoft 365, som er meget udbredte i danske organisationer. Hør om mulighederne i Microsoft 365-pakkerne. Og hør, hvordan du med god license management har mulighed for at trimme dit setup, inden prisstigningerne på op til 25 procent træder i kraft 1. marts 2022.

19. november 2021 | Læs mere