Den hurtige genvej til at få styr på den usexede compliance

Klumme: Compliance er måske noget af det mest usexede i it-verdenen. Men det er samtidig en helt nødvendig faktor, som endda kan betyde en væsentlig konkurrencefordel for virksomheder i vækst. Og der er en mulig genvej.

Compliance er måske noget af det mest usexede i it-verdenen.

Men det er samtidig en helt nødvendig faktor, som endda kan betyde en væsentlig konkurrencefordel for virksomheder i vækst. Cloud kan være en genvej til en nemmere løsning.

Jeg tror endnu ikke, jeg har mødt nogen it-ansvarlige, der med stolthed i stemmen har fortalt, at de har valgt en karriere i branchen, fordi de er vilde med compliance.

Vores hverdag er fyldt med ny teknologi, lækre gadgets og stadig mere intelligente løsninger, der gør det muligt at gøre ting i morgen, som vi ikke kunne i går.

Men i de flestes opfattelse er compliance en slags nødvendigt onde.

Vi har ikke engang nogen helt god oversættelse af det engelske begreb, som betyder noget i retning af ”overholdelse af givne regler.”

"Talk of the town"
Men mens vi nærmer os 25. maj 2018, hvor EU’s nye persondataforordning træder i kraft, er den usexede compliance alligevel ved at blive ”the talk of town”.

Den nye General Data Protection Regulation (også bare kaldet GDPR) bliver den væsentligste ændring i reglerne omkring databeskyttelse, siden det første EU-direktiv 95/46/EC blev indført 1995.

Og virksomheder over hele Europa er i fuld gang med at kortlægge, hvad GDPR får af konsekvenser for deres forretning.

Styrket datasikkerhed
Hvis vi træder et skridt tilbage og ser bort fra den betydelige arbejdsopgave med at leve op til forordningen, så ligger der ganske fine hensigter bag de nye regler.

Ambitionen er at styrke datasikkerhed og beskyttelse af personoplysninger i hele EU, samtidig med af reglerne harmoniseres på tværs af EU’s medlemsstater.

Fra AWS’ side ser vi da også GDPR som et velkomment initiativ.

Forordningen styrker de europæiske borgeres fundamentale ret til privatliv og beskyttelse af personlige data.

Der stilles samtidig nogle kontante krav, som kommer til at sætte barren højt, når det gælder databeskyttelse, sikkerhed og compliance. Og det kommer til at flytte it-branchen i retning af mere stringent kontrol.

Hvem kigger med?
Som én, der har sin daglige gang i cloud-verdenen, har jeg nok et andet perspektiv på sikkerhed og compliance end de fleste.

Diskussionen om sikkerhed har været et vigtigt punkt lige fra starten, da virksomheder begyndte at vurdere muligheden for at lægge deres data i skyen.

Så vi har længe skullet forholde os til de spørgsmål, der er blevet rejst: Er vores data nu sikre? Kan fremmede få adgang?

Selvom både iværksættervirksomheder og etablerede brands har taget cloud til sig, er det stadig en udbredt opfattelse hos visse it-chefer, at data ligger mere sikkert i kælderen, hvor man kan gå forbi og ”kramme sin server” på daglig basis.

Til det vil jeg sige, at kunderne har det ganske godt med den sikkerhed, vi tilbyder i skyen. Graham Tackley, director of data technology hos the Guardian, fremhæver eksempelvis, at skiftet til cloud har bidraget positivt til virksomhedens sikkerhed, fordi det har sat gang i mere bevidste sikkerheds-overvejelser.

AWS og andre cloud-udbydere har millioner af kunder over hele verden, og vores arkitektur er lagt an på, at hundredtusinder af dem bygger deres forretning på særdeles følsomme data.

Sensitive brancher som finans, tele eller offentlige institutioner er for længst rykket i skyen og har vist, at agilitet vejer tungere frygt.

I langt de fleste tilfælde kan du tage alle de krav, kunden har til kontrol og overvågning i et eget datacenter, og tilbyde den en tilsvarende funktionalitet i cloud.

Delt ansvar for sikkerhed
De fleste cloud-tjenester er grundlæggende bygget op på en model, hvor ansvaret for sikkerheden er delt mellem arkitekturudbyderen og kunden.

Som cloud-udbyder har vi ansvaret for, at infrastrukturen omkring skyen er sikker.

Ud over at selve lagringen selvfølgelig skal være sikret, stiller vi en mængde krypteringsværktøjer til rådighed, som kunden kan anvende til at sikre data inden afsendelse eller under overførsel.

Kunderne har til gengæld ansvaret for sikkerheden i de applikationer, de lægger ud.

De ejer altid deres egne data, og vi flytter dem ikke, med mindre kunden beder os om det.

Det betyder også, at kunden bevarer kontrollen over, hvilken type sikkerhed, de vælger at implementere for at beskytte deres indhold og applikationer – på samme måde, som de kunne i et on-site datacenter.

Når de fleste cloud-udbydere er skarpt fokuserede på standarder og compliance, er det fordi, det er med til at styrke værditilbuddet for kunden.

Det giver nemlig en væsentlig lettelse for din virksomhed, hvis arkitekturen allerede i sig selv overholder en lang række nationale og regionale standarder.

Væsentlige dele af din compliance er dermed allerede opfyldt med valget af en cloud-løsning, og du kan koncentrere din indsats om din applikation.

En konkurrencefordel
Compliance-krav er en nødvendig del af en digital virkelighed, hvor følsomme data lagres, flyttes og anvendes.

Det er kommet for at blive, og det må vi forholde os til.

Jeg tror, at vi i stadig højere grad vil opleve, at efterlevelse af compliance via cloud-arkitektur bliver et strategisk valg, som kan give ekspanderende virksomheder en afgørende konkurrencefordel.

Hvis du er en dansk startup i pharma-branchen og vil ind i USA, kan det være voldsomt komplekst at forsøge leve op til de nationale lovkrav på egen hånd. En ung neobanking-virksomhed kan have svært ved at blive PCI-certificeret, så de kan håndtere betalinger.

Men med cloud får de en nøglefærdig, compliant arkitektur, så de kun skal sikre selve applikationen.

For danske Tradeshift betød valget af en cloud-tjeneste, som fra starten var etableret med rammer i Kina, at virksomheden kunne rykke ind på det komplekse marked på kort tid.

Når GDPR træder i kraft i 2018, vil en række europæiske stå over for tilsvarende infrastrukturvalg.

Hvis du hælder mod at bruge cloud som genvej til compliance, kan du med fordel vælge en udbyder, som har tilsluttet sig Cloud Infrastructure Services Providers in Europe (CISPE), som er sammenslutning af IaaS-udbydere dannet netop med det formål at fremme datasikkerhed og compliance.

For nogle virksomheder vil det stadig være en legitim og gangbar løsning at satse på at holde datacenteret i kælderen.

Måske er du ham, der trods alt synes, at compliance er lidt sexet og gerne vil kunne give serveren et kram i ny og næ.

Men har din virksomhed strategiske ambitioner om geografisk eller branchemæssige ekspansion, så overvej de muligheder, der ligger i at lade andre gøre det tunge compliance-arbejde.

Det bør ihvertfald ikke være sikkerhedsrisikoen, der får dig til at fravælge skyen som muligt alternativ.

Klummer er læsernes platform på Computerworld til at fortælle de bedste historier, og samtidig er det vores meget populære og meget læste forum for videndeling. 

Har du en god historie eller har du specialviden, som du synes trænger til at blive delt? 

Læs vores klumme-guidelines og send os noget tekst, så kontakter vi dig - måske bliver du en del af vores hurtigt voksende korps af klummeskribenter.





Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...
mest debaterede artikler

Computerworld
Interneteksperternes mareridt er gået i opfyldelse: EU godkender omstridt direktiv, der "ødelægger internettet for altid"
EU's lovgivende udvalg har godkendt nye copyright-regler, som indeholder to kontroversielle paragraffer. Eksperter advarer imod, at artikel 11 og 13 kan ødelægge internettet for altid. Reglerne mangler stadig at blive endeligt vedtaget.
CIO
Henrik Jeberg om at arbejde i Silicon Valley: "Er du dygtig nok får du tilbud der får en til at falde ned af stolen."
Henrik Jeberg bor i San Francisco og er direktør i Hampleton Partners, der rådgiver om opkøb med særligt fokus på teknologi. Hør ham fortælle om forskellen på Danmark og Silicon Valley - og om nogle af de vilde forhold der hersker i verdens ubestridte tech-hovedstad.
Job & Karriere
KMD opsagde tryghedsaftaler med medarbejderne få måneder før 300 medarbejdere blev outsourcet til IBM
KMD har i løbet af foråret opsagt to såkaldte tryghedsaftaler med en del af selskabets medarbejdere. Når aftalerne stopper ved udgangen af 2018, er de pågældende medarbejdere ikke længere berettiget til særlig godtgørelse. Det kan få konsekvenser, hvis IBM som forventet skærer i antallet af de 300 KMD-medarbejdere, som selskabet overtager.
White paper
11 skridt, der sikrer dig det bedste udbytte af dit CRM-projekt
Dette whitepaper identificerer 11 skridt, som enhver organisation bør gennemgå i forbindelse med CRM-implementering.