Den hurtige genvej til at få styr på den usexede compliance

Klumme: Compliance er måske noget af det mest usexede i it-verdenen. Men det er samtidig en helt nødvendig faktor, som endda kan betyde en væsentlig konkurrencefordel for virksomheder i vækst. Og der er en mulig genvej.

Compliance er måske noget af det mest usexede i it-verdenen.

Men det er samtidig en helt nødvendig faktor, som endda kan betyde en væsentlig konkurrencefordel for virksomheder i vækst. Cloud kan være en genvej til en nemmere løsning.

Jeg tror endnu ikke, jeg har mødt nogen it-ansvarlige, der med stolthed i stemmen har fortalt, at de har valgt en karriere i branchen, fordi de er vilde med compliance.

Vores hverdag er fyldt med ny teknologi, lækre gadgets og stadig mere intelligente løsninger, der gør det muligt at gøre ting i morgen, som vi ikke kunne i går.

Men i de flestes opfattelse er compliance en slags nødvendigt onde.

Vi har ikke engang nogen helt god oversættelse af det engelske begreb, som betyder noget i retning af ”overholdelse af givne regler.”

"Talk of the town"
Men mens vi nærmer os 25. maj 2018, hvor EU’s nye persondataforordning træder i kraft, er den usexede compliance alligevel ved at blive ”the talk of town”.

Den nye General Data Protection Regulation (også bare kaldet GDPR) bliver den væsentligste ændring i reglerne omkring databeskyttelse, siden det første EU-direktiv 95/46/EC blev indført 1995.

Og virksomheder over hele Europa er i fuld gang med at kortlægge, hvad GDPR får af konsekvenser for deres forretning.

Styrket datasikkerhed
Hvis vi træder et skridt tilbage og ser bort fra den betydelige arbejdsopgave med at leve op til forordningen, så ligger der ganske fine hensigter bag de nye regler.

Ambitionen er at styrke datasikkerhed og beskyttelse af personoplysninger i hele EU, samtidig med af reglerne harmoniseres på tværs af EU’s medlemsstater.

Fra AWS’ side ser vi da også GDPR som et velkomment initiativ.

Forordningen styrker de europæiske borgeres fundamentale ret til privatliv og beskyttelse af personlige data.

Der stilles samtidig nogle kontante krav, som kommer til at sætte barren højt, når det gælder databeskyttelse, sikkerhed og compliance. Og det kommer til at flytte it-branchen i retning af mere stringent kontrol.

Hvem kigger med?
Som én, der har sin daglige gang i cloud-verdenen, har jeg nok et andet perspektiv på sikkerhed og compliance end de fleste.

Diskussionen om sikkerhed har været et vigtigt punkt lige fra starten, da virksomheder begyndte at vurdere muligheden for at lægge deres data i skyen.

Så vi har længe skullet forholde os til de spørgsmål, der er blevet rejst: Er vores data nu sikre? Kan fremmede få adgang?

Selvom både iværksættervirksomheder og etablerede brands har taget cloud til sig, er det stadig en udbredt opfattelse hos visse it-chefer, at data ligger mere sikkert i kælderen, hvor man kan gå forbi og ”kramme sin server” på daglig basis.

Til det vil jeg sige, at kunderne har det ganske godt med den sikkerhed, vi tilbyder i skyen. Graham Tackley, director of data technology hos the Guardian, fremhæver eksempelvis, at skiftet til cloud har bidraget positivt til virksomhedens sikkerhed, fordi det har sat gang i mere bevidste sikkerheds-overvejelser.

AWS og andre cloud-udbydere har millioner af kunder over hele verden, og vores arkitektur er lagt an på, at hundredtusinder af dem bygger deres forretning på særdeles følsomme data.

Sensitive brancher som finans, tele eller offentlige institutioner er for længst rykket i skyen og har vist, at agilitet vejer tungere frygt.

I langt de fleste tilfælde kan du tage alle de krav, kunden har til kontrol og overvågning i et eget datacenter, og tilbyde den en tilsvarende funktionalitet i cloud.

Delt ansvar for sikkerhed
De fleste cloud-tjenester er grundlæggende bygget op på en model, hvor ansvaret for sikkerheden er delt mellem arkitekturudbyderen og kunden.

Som cloud-udbyder har vi ansvaret for, at infrastrukturen omkring skyen er sikker.

Ud over at selve lagringen selvfølgelig skal være sikret, stiller vi en mængde krypteringsværktøjer til rådighed, som kunden kan anvende til at sikre data inden afsendelse eller under overførsel.

Kunderne har til gengæld ansvaret for sikkerheden i de applikationer, de lægger ud.

De ejer altid deres egne data, og vi flytter dem ikke, med mindre kunden beder os om det.

Det betyder også, at kunden bevarer kontrollen over, hvilken type sikkerhed, de vælger at implementere for at beskytte deres indhold og applikationer – på samme måde, som de kunne i et on-site datacenter.

Når de fleste cloud-udbydere er skarpt fokuserede på standarder og compliance, er det fordi, det er med til at styrke værditilbuddet for kunden.

Det giver nemlig en væsentlig lettelse for din virksomhed, hvis arkitekturen allerede i sig selv overholder en lang række nationale og regionale standarder.

Væsentlige dele af din compliance er dermed allerede opfyldt med valget af en cloud-løsning, og du kan koncentrere din indsats om din applikation.

En konkurrencefordel
Compliance-krav er en nødvendig del af en digital virkelighed, hvor følsomme data lagres, flyttes og anvendes.

Det er kommet for at blive, og det må vi forholde os til.

Jeg tror, at vi i stadig højere grad vil opleve, at efterlevelse af compliance via cloud-arkitektur bliver et strategisk valg, som kan give ekspanderende virksomheder en afgørende konkurrencefordel.

Hvis du er en dansk startup i pharma-branchen og vil ind i USA, kan det være voldsomt komplekst at forsøge leve op til de nationale lovkrav på egen hånd. En ung neobanking-virksomhed kan have svært ved at blive PCI-certificeret, så de kan håndtere betalinger.

Men med cloud får de en nøglefærdig, compliant arkitektur, så de kun skal sikre selve applikationen.

For danske Tradeshift betød valget af en cloud-tjeneste, som fra starten var etableret med rammer i Kina, at virksomheden kunne rykke ind på det komplekse marked på kort tid.

Når GDPR træder i kraft i 2018, vil en række europæiske stå over for tilsvarende infrastrukturvalg.

Hvis du hælder mod at bruge cloud som genvej til compliance, kan du med fordel vælge en udbyder, som har tilsluttet sig Cloud Infrastructure Services Providers in Europe (CISPE), som er sammenslutning af IaaS-udbydere dannet netop med det formål at fremme datasikkerhed og compliance.

For nogle virksomheder vil det stadig være en legitim og gangbar løsning at satse på at holde datacenteret i kælderen.

Måske er du ham, der trods alt synes, at compliance er lidt sexet og gerne vil kunne give serveren et kram i ny og næ.

Men har din virksomhed strategiske ambitioner om geografisk eller branchemæssige ekspansion, så overvej de muligheder, der ligger i at lade andre gøre det tunge compliance-arbejde.

Det bør ihvertfald ikke være sikkerhedsrisikoen, der får dig til at fravælge skyen som muligt alternativ.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.





Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...

Computerworld
Live fra Retten i Glostrup (afsluttet): Retten vurderer: Må Computerworld fortsætte liveblog eller ej?
Live fra Retten i Glostrup: Vi er tilbage i retten til Atea-sagens tredjesidste dag inden jul. Følg med i sagen her live og hør om, hvorvidt en rejse til USA var ren ferie på skatteydernes penge eller ej.
CIO
Efter masser af luksusbilag i Atea-bestikkelsesretssagen: Tiltalte it-topfolk fastholder uskyld - vil frifindes
Efter 18 retsdage med timelange afhøringer af de tiltalte og tonsvis af bilag står sagen stadig åben. "Hvis der er kommet noget frem her under sagen, så er det noget, der taler for vores påstand om frifindelse," mener forsvarer Michael Skjødt.
Comon
Ny topmobilprocessor afsløret: Her er de fire ting, du skal vide om Snapdragon 845
Qualcomm har præsenteret sin Snapdragon 845-chipsæt, som vil være at finde i mange af næste års bedste Android-telefoner. Her er alt, hvad du skal vide om chippen
Job & Karriere
Dansk it-virksomhed indførte fire-dages arbejdsuge: I dag er sygefraværet rekord-lavt og direktøren har tabt sig 13 kilo
Interview: Great Place To Work kategori-vinderen IIH Nordic har indført en fire-dages arbejdsuge og taget et opgør med forstyrrende storrums-kontorer og en frustrerende mailkultur. I dag er medarbejderne gladere end nogensinde før.
White paper
Er du klar til EU´s nye persondataforordning? ... her er de gode råd om, hvordan du bedst griber det an
Den nye persondataforordning, der træder i kraft 25. maj 2018, har ganske stor indflydelse på den måde, som mange virksomheder driver forretning på. Hvordan håndterer og beskytter virksomheden kundernes personlige data, så alle kunders valg bliver respekteret og beskyttet? Den nye forordning gælder uanset hvor virksomheden sender data til, uanset hvor data lagres, og uanset hvordan data håndteres. Læs dette whitepaper og få hjælp til at forberede virksomheden på den nye persondataforordning (GDPR). Få også et overblik over persondataforordningen og alle de nødvendige svar til at komme igang med processen.