Er SaaS også 'security as a sure thing'?

Klumme: Husk sikkerheden, før I indfører software as a service til de forretningskritiske aktiviteter.

Artikel top billede

(Foto: Gratis)

Gennemsnitsvirksomheden ­- privat som offentlig - er ikke moden nok til at kaste sig ud i SaaS (software as a service) - herunder "moderne" outsourcing, ASP-løsninger og cloud-computing. Den har ikke tilstrækkelig viden om, hvilken reel og direkte betydning dens medarbejdere, processer, systemer og infrastruktur har for forretningen.

Derfor kender den ikke sin sårbarhed og er ude af stand til at opstille worst case-scenarier.

Som informations-sikkerhedsrådgiver ser jeg mange sikkerhedspolitikker og -retningslinjer, sikkerhedsfremmende initiativer samt kontrakter med blandt andre leverandører af outsourcing og ASP.

Derfor ved jeg, at alt for mange virksomheder ikke har tilstrækkelig opmærksomhed på sikkerheden for virksomhedens kritiske aktiviteter - eller det man kalder informationssikkerhed.

Når man overvejer at anvende SaaS og lignende, bør ­ledelsen starte med at stille sig disse spørgsmål:

"Kan vi - alt andet lige - påtage os ansvaret for at udsætte virksomhedens image for den sårbarhed, en fraskrivelse af direkte kontrol og uafhængighed indebærer? Kender vi omfanget samt den direkte og indirekte konsekvens for virksomhedens evne til at kunne drive sine kritiske forretningsaktiviteter uforstyrret?"

Hvis man ikke kender sine afhængigheder og sårbarheder, kan man ikke forholde sig aktivt til dem, acceptere dem og/eller mindske dem. Afhængigheder og sårbar­heder kan ikke overdrages til en serviceleverandør. En overdragelse vil tværtimod kun øge ens afhængighed og sårbarhed.

"Bål og brand"-passager formuleret som bodskrav hjælper ikke, men er bare en juridisk pisk, i lighed med at en fiktiv besparelse er en akademisk gulerod.

Lige så stor som motivationen måtte være for at anvende serviceleverandører i relation til de forretningskritiske dele af virksomheden, lige så stor skal forarbejdet og ­indsatsen være på at udarbejde anvendelige og formålstjenlige kontrakter med sine leverandører ud fra virksomhedens reelle sårbarheder og afhængigheder.

Bagsiden af medaljen

Hvis man velovervejet vælger at anvende serviceleverandører til for eksempel it-drift og derved visse dele af virksomhedens forretningskritiske forudsætninger, så er det vigtigt ikke at sammenligne SaaS med traditionel, "gammeldags" outsourcing.

I traditionel outsourcing består kæden generelt af en kunde, en serviceleverandør og en til to produktleverandører. Ofte er hver enkelt kundes systemer og data isoleret fra andre af serviceleverandørens kunder, og udstyret er fysisk placeret inden for serviceleverandørens domæne - eller kundens eget.

Bagsiden af medaljen, når vi taler om SaaS og lignende, er, at alle disse forhold per definition er ophævet.

Det skærper kun betydningen af, at virksomheden har en afklaret og velfunderet forståelse og indsigt i virksomhedens kritiske forudsætninger for at drive sin forretning og levere sine ydelser. Uanset om det er en privat eller offentlig virksomhed.

Når virksomheden overvejer at anvende SaaS og lignende, bør beslutningen ske ud fra en sidestillet vurdering af de estimerede økonomiske besparelser og en opdateret risikoprofil af virksomhedens sårbarhed.

Begge aspekter skal fylde ligeligt i den endelig vurdering og beslutning. Også selvom det kunne resultere i, at ledelsen beslutter, at SaaS og lignende er uforsvarligt af hensyn til forretningens sikkerhed, uagtet det kunne vise sig at være økonomisk rentabelt.

Niels Madelung er projektchef hos Dansk Standard. Han er certificeret informationssikkerhedsleder (CISM) og en af redaktørerne af revisionen af ISO/IEC-standarden 27002.

Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job
    Sharp Consumer Electronics har pr. 1. april 2026 ansat Daniel Eriksson som salgsdirektør for de nordiske lande. Han skal især beskæftige sig med at accelerere virksomhedens vækst i Norden. Han kommer fra en stilling som nordisk salgsdirektør hos Hisense. Han har tidligere beskæftiget sig med detailhandel, kommerciel strategi og markedsudvidelser med bemærkelsesværdige resultater til følge. Nyt job

    Daniel Eriksson

    Sharp Consumer Electronics

    Alexander Hoffmann, SVP, Technology & IT hos GlobalConnect, er pr. 1. maj 2026 forfremmet til EVP, Tech, IT & Security. Han skal fremover især beskæftige sig med at lede den fortsatte udvikling af en mere integreret og software-drevet infrastrukturplatform. Forfremmelse

    Alexander Hoffmann

    GlobalConnect

    Tinne Schjoldan Gyllich, Director, CX & Services (Customer Adoption) hos TDC Erhverv, er pr. 1. juni 2026 forfremmet til Senior Director, Head of Partnerships. Tinne skal fremover især beskæftige sig med at drive strategiske partnerskaber, styrke økosystemet og skabe vækst gennem partnerbaseret omsætning. Forfremmelse