Syv gode råd til sikkerhed i skyen

It-Akademiet: Alle taler om cloud computing, og mange er ængstelige over, om det mon er sikkert nok. Her får du syv håndfaste råd til, hvordan du får styr på sikkerheden i skyen.

Artikel top billede

Et af it-verdenens varmeste emner i 2009 er cloud computing.

It-giganter som Amazon, Google og Oracle lokker alverdens selskaber med massive besparelser på forskellige cloud-services, der typisk går under betegnelser som software-as-a-service (SaaS), platform-as-a-service (PaaS), infrastructure-as-a-service (IaaS) og senest det amerikanske teleselskab Verizons computing-as-a-service (CaaS).

Spørgsmålet, de fleste it-chefer i den henseende tumler med, er, om de skal blive ved med at bevare data, applikationer og services nede i kælderen, eller om de via nettet skal sendes op i en sky - eller cloud på it-nydansk.

Set gennem business-brillerne er især omkostningsbesparelser som følge af betaling for reelt serverforbrug og cloud-leverandørens stordriftsfordele samt automatiseret skalering og outtasking af kundernes egne it-ressourcer yderste interessante områder i finanskrisens skygge, fordi der kan spares mange driftskroner i skyerne.

Men sikkerhedsspørgsmål om, hvorvidt applikationer, services og ikke mindst data er i sikre hænder i en eller flere skyer, får mange it-ansvarlige til at trække i håndbremsen, inden de får sendt it-forretningen i den syvende himmel.

Sikkerhedsekspert Carsten Jørgensen fra Devoteam Consulting peger på, at nuværende eller potentielle cloud-kunder skal overveje og sikre flere områder, før de slipper it-forretningen løs i skyerne.

"Der er en række sikkerhedsområder, der er nye i cloud computing i forhold til virksomhedernes nuværende interne eller eksterne it-drift. Man skal i hvert fald holde sig for øje, at man via de netbaserede tjenester har meget lidt at skulle have sagt med hensyn til sikkerhedsadministrationen," foræller Carsten Jørgensen.

Han understreger dog, at trods de nye cloud-tider, er der meget, der er business as usual.

Dansk hjemmeside om sky-sikkerhed

Som fritidsprojekt har han startet den ikke-kommercielle hjemmeside cloudsecurity.dk, hvor interesserede kan læse mere om internationale sikkerhedsinitiativer i it-skyerne.

"De fleste kunder er nok interesserede i at danne sig et sikkerheds-overblik selv hos meget store it-firmaer. Hvis ens data ligger ukrypterede på servere i Cambodja, kunne det jo være, at man havde lyst til at kigge efter en anden leverandør," forklarer Carsten Jørgensen.

Han opstiller syv leveregler, hvis man vil flyve driftssikkert inden for cloud computing:

1. Definer skyens omfang

Undersøg præcis hvilken skyer, der er tale om i din aftale.

Skyer på skyer

For at forstå sikkerheden i en Cloud løsning er det vigtigt af forstå forholdet - og afhængighederne - imellem de tre aaS modeller - IaaS, PaaS eller SaaS.

Tjenesterne bygger oven på hinanden, og jo længere nede tjenesten stopper, jo mere sikkerhedsansvar vil kunden selv være ansvarlig for at implementere og håndtere løbende.

Modsat kan det være svært for kunden at bygge ekstra sikkerhed ind i SaaS, hvis sikkerheden ikke er tilstrækkelig, da alle underliggende systemer styres af leverandøren.

2. Undersøg antallet af skyer

Nogle leverandører "stabler skyer oven på skyer".

Derfor bør du kræve en grundig oversigt over alle leverandørens tredjeparts forhold for at sikre, at dine data ikke ligger ukrypterede hos en lavtliggende leverandør i ottende led.

Sørg samtidigt for et overblik over, hvordan leverandøren sikrer tilgængelighed.

3. Foretag en risikovurdering

Ved at foretage en risikovurdering er det første spadestik at klassificere dine data og dine systemer.

Undersøg om de data, der skal lægges ud i Skyen, har nogen værdi: Derudover skal de analyseres for at finde ud af, om der er nogle betydende data underlagt Persondatalovgivningen - og som dermed ikke må deles af andre systemer.

Sikkerhedskrav og forretningens krav til datatilgængelighed skal derefter holdes op imod den aaS-model, som leverandøren tilbyder for at finde ud af, om der er eventuelle sikkerhedsrisici i forhold til virksomhedens egne krav.

4. Spørg, spørg og spørg

Når data bliver sendt til i skyen, er det vigtigt at have afklaret, hvordan leverandøren holder kundernes data adskilt fra hinanden.

Her er det helt essentielt at undersøge, hvordan data bliver krypteret. Som minimum bør hver kundes data krypteres med deres egen nøgle, så andre ikke har adgang til din virksomheds data.

Det skal også helst specificeres, hvor i verden ens data kommer til at ligge rent geografisk. Er det eksempelvis kun i Danmark eller kun i Europa? Og kan det verificeres, at de ikke ligger hos en ukendt tredjepartsleverandør i på en ukendt Stillehavsø?

Du skal desuden være opmærksom på, at det kan være svært at slette data når de først er i skyen. Data vil som udgangspunkt ligge på mange servere spredt i mange lande og i forskellige verdensdele.

Sørg selv for back up

Udover data vil det være nødvendigt at undersøge, hvordan cloud-leverandøren sikker opdeling af systemer og netværk samt ledelse og mandskab for at danne dig et overblik over, om det lever op til egne krav, og om andre leverandører kan gøre det bedre.

5. Er data flytbare?

Mange cloud-løsninger er i dag proprietære.

Her er det vigtigt at undersøge, om data eller systemer kan flyttes, eller låser man sig til en specifik leverandør.

Data bør derfor gemmes i et format, der ikke låser ens virksomhed til en proprietær cloud-leverandør.

6. Tag selv back up

Enhver cloud-kunde bør selv jævnligt tage back up af kritiske data - og ikke mindst teste back up'en.

Jævnlige back up sikrer, at virksomheden vil kunne fortsætte, hvis cloud-leverandøren er nede i længere tid, hvis den lukker eller bliver for dyr i forhold til andre leverandører.

Undersøg leverandørens disaster recovery og business continuity-planer, og etabler dine egne planer, inden uheldet er ude. Samtidigt skal du også sørge for at undersøge og styrke kontrakten (SLA'en) så meget som muligt, hvis lynet slår ned i skyen.

7. Sørg for dokumentation

Når ens it-services, applikationer og data kører i skyen, hvilke logfiler, metrikker og rapporter er så tilgængelige?

Sørg om nødvendigt for at få adgang til revisionsrapporter for at få klarhed over, hvordan din helt private cloud computing kører.

Hvis de tilgængelige rapporteringer er dårligt udformede, vil det på forhånd være rart at have afklaret, om det er muligt at få lov til at udvikle egne kontrolinstanser, der kontrollerer leverandørens kontroller.

Udover ovenstående råd er det muligt at indhente yderligere råd og vejledning hos den internationale organisation Cloud Security Alliance og på Carsten Jørgensens cloud-site cloudsecurity.dk.

Læses lige nu
    Computerworld Events

    Vi samler hvert år mere end 6.000 deltagere på mere end 70 events for it-professionelle.

    Ekspertindsigt – Lyt til førende specialister og virksomheder, der deler viden om den nyeste teknologi og de bedste løsninger.
    Netværk – Mød beslutningstagere, kolleger og samarbejdspartnere på tværs af brancher.
    Praktisk viden – Få konkrete cases, værktøjer og inspiration, som du kan tage direkte med hjem i organisationen.
    Aktuelle tendenser – Bliv opdateret på de vigtigste dagsordener inden for cloud, sikkerhed, data, AI og digital forretning.

    Sikkerhed | Højbjerg, Aarhus

    Cyber Security Summit 2026 - Aarhus

    Lær om organisationers evne til at modstå, håndtere og komme videre efter alvorlige digitale hændelser, herunder ledelsesansvar, forretningskritiske afhængigheder og de valg, der afgør, om plan B holder, når systemer eller leverandører svigter.

    Digital transformation | Aarhus

    AI i det offentlige - Aarhus

    Hør hvordan offentlige AI-løsninger skaleres til stabil drift med reel effekt. Få erfaringer, arkitekturvalg og styringsgreb fra frontløbere. Lær at bygge fælles AI-infrastruktur med ansvarlighed, sikkerhed og compliance.

    Digital transformation | Køge

    Derfor skal du videre fra Dynamics AX – og sådan gør du

    Computerworld giver klar viden om vejen videre fra Dynamics AX. Du ser forskellen mellem AX og moderne cloud-ERP og får et konkret beslutningsgrundlag for næste skridt. Tilmeld dig og få styr på skiftet til Dynamics 365 FO eller BC.

    Se alle vores events inden for it

    Navnenyt fra it-Danmark

    IFS Danmark A/S har pr. 1. april 2026 ansat Sarah Warm som Account Executive, Energy & Utilities. Hun skal især beskæftige sig med salg af IFS' løsninger til nye kunder inden for energibranchen. Hun kommer fra en stilling som Account Executive hos Synergy Investment Group i Holland. Hun er uddannet BSc Economics and Business Economics, Neuroscience & MSc Business Administration Digital Business. Hun har tidligere beskæftiget sig med Solution Sales & Cybersecurity. Nyt job

    Sarah Warm

    IFS Danmark A/S

    Elbek & Vejrup A/S har pr. 1. juni 2026 ansat Mikkel Bernt Buchvardt som AI Architect & Product Manager. Han skal især beskæftige sig med udviklingen af AI-Services og AI-Agenter i og omkring Business Central. Han kommer fra en stilling som Lead Data & Analytics hos IBM. Han er uddannet MSc. i softwareudvikling fra ITU. Han har tidligere beskæftiget sig med Data og BI hos KMD og Seges Innovation. Nyt job

    Mikkel Bernt Buchvardt

    Elbek & Vejrup A/S

    WITRICS A/S har pr. 1. juli 2026 ansat Tim Meicker som Sales & Marketing Manager. Han skal især beskæftige sig med marketingstrategi, salgsaktiviteter, samt virksomhedens kommercielle vækst. Han kommer fra en stilling som projektansat hos WITRICS A/S. Han er uddannet BA (hons) Strategic Management og MBA fra Syddansk Universitet. Nyt job

    Tim Meicker

    WITRICS A/S

    Netip A/S har pr. 1. maj 2026 ansat Ida Hyllested Friis som Key Account Manager ved netIP's kontor i Thisted. Hun kommer fra en stilling som Key Account Manager hos Københavns erhvervshus. Nyt job