Artikel top billede

Sådan får du styr på sikkerheden i cloud'en

Skyen ruller ind over os, men der er uvejr i vente, hvis man ikke klæder sig rigtigt på. Her får du fire konkrete råd fra en it-sikkerhedschef, der har næsen i skyen, men begge ben på jorden.

Læs også: Bliv klogere: Sådan fungerer cloud computing.

Hos Arla Foods er man ikke i tvivl om, at cloud computing er den teknologi, der vinder erhvervslivet. Der er simpelthen for mange økonomiske plusser til, at man kan ignorere skyen.

"Man kan ikke stoppe en tsunami," lyder det tørt fra Jens Roed Andersen, der er it-sikkerhedschef i Arla.

Han ser dog en stribe vandpytter på stien, som man skal sørge for at hoppe uden om for ikke at få våde sokker.

"Marketingbudgettet er decentralt og tidligere købte man flad web, mens man i dag køber avanceret funktionalitet i skyen. Mange er bare ikke klar over det, fordi beslutningerne er flyttet fra it-afdelingen og ud i forretningen," siger Jens Roed Andersen.

"Men det er nødvendigt, at man tænker sig om, før man kaster sig ud i skyen, for selv om der kan spares rigtig mange penge, er der også mange faldgruber, der skal undgås. Er man ikke opmærksom, kan det i værste fald betyde, at man må lukke butikken."

Det handler om kommunikation

Arla har efterhånden opbygget nogen erfaring med skyen, der bruges til flere og flere projekter. Der har givet hår på brystet og masser af ballast, som man gerne deler ud af.

"Det handler utrolig meget om kommunikation og meget lidt om teknologi," siger Jens Roed Andersen.

"Cloud computing er ikke noget nyt. Det er velkendt teknologi, der leveres på en anderledes måde, som giver en utrolig stor fleksibilitet og gode muligheder for besparelser, men altså kun hvis man er godt forberedt."

Her får Jens Roed Andersen fri taletid til at øse af erfaringerne, hvilket er blevet til fire gode råd, der ruster dig til et cloud-eventyr, så du undgår de mange faldgrupper i skyen, der på overfladen kan ligne regnbuens endepunkt.

1 - Innovation. "It-afdelingen bliver overhalet indenom af forretningen."

"It-afdelingen er generelt ved at bliver overhalet indenom af forretningen, og hvis it-afdelingen ikke tager hånd om cloud computing på den rigtige måde, bliver den overflødig og forsvinder," fortæller han.

"Man skal sørge for at bevare innovationen i it-afdelingen, og det er der flere løsninger på. I Arla har eksempelvis allieret os med Alexandra Instituttet, som er en almennyttig virksomhed, der arbejder med anvendelsesorienteret it-forskning.

Ved at bringe akademikere, der ikke nødvendigvis skal tænke forretning, ind i projektet, får man adgang til en mere nuanceret diskussion om, hvad man kan få ud af skyen.
Man kan også gå til konferencer eller på anden vis indsamle information, der ruster én til projektet.

Viden til it

Det handler om at tilføje viden til it-afdelingen, så den er klar til at diskutere og forklare de muligheder, der er. Man skal kunne være klar til at fortælle om de nye løsninger og den teknologi, der er på vej for at gøre organisationen klar til i morgen. Tilføjer man ikke den viden, bliver it-afdelingen overflødig.

Har it-folkene ikke et svar klar når ledelsen spørger, tager forretningen over og bestemmer udviklingen.

Specielt i mindre virksomheder kan økonomichefen føle sig fristet til at dumpe it-afdelingen, fordi business casen er så fed, som den er.

I mange projekter kan man fjerne et nul på udgiftsposten ved at anvende skyen, og det har naturligvis en enorm betydning. Men det er også faren. Hvis der kun kigges på business casen, kan det gå grueligt galt med sikkerhed og datakontrol.

For at holde projekterne på sporet er man nødt til at have overblik over den elasticitet og fleksibilitet som cloud computing er garant for.

Desuden bliver man nødt til at håndtere en stribe juridiske og sikkerhedsmæssige aspekter, hvilket bringer mig til det næste råd."

Læs også: Bliv klogere: Sådan fungerer cloud computing.

Leverandørerne mangler stadig sikkerhed

[b]Læs også: Bliv klogere: Sådan fungerer cloud computing.

2 - Strategi, politik og design. "Cloud-leverandørerne mangler stadig sikkerhed." [/b]
"Man skal have en strategi for cloud computing, og den strategi skal være baseret på en række politikker for, hvad virksomheden vil med cloud.

Herefter skal man bygge et design, der understøtter beslutningerne.

Det betyder i praksis, at man skal overveje, hvor man vil købe sine tjenester, hos hvilke leverandører, hvilke kontrakter, det skal basere sig på samt have en exit-strategi.

Et typisk område som forretningen vil overse er en exit-strategi, og den er uhyre vigtig.

Man skal have en plan for, hvordan man får sine data tilbage, hvis en leverandør går konkurs, eller man på anden måde vil trække sig ud af et samarbejde.

Disse og andre elementer skal bygges ind i den politik, man beslutter sig for. Samtidig skal man have en plan for adgangskontroller til tjenesterne.

Man skal definere hvem, der ikke skal have adgang og hvem, der skal have adgang og til hvad.

Desuden skal man have en valideringsproces, der kan fastslå at den, der forsøger at få adgang, nu også er den rigtige person.

Disse procedurer er faktisk ikke slået helt igennem hos cloud-leverandørerne endnu.

Standarden er, at man logger på med brugernavn og password, og det er nemt at hacke. Det er et kanonproblem, at adgangskontrollerne ikke er gode nok, og der skal nok blive plads til virksomheder, der kan udvikle løsninger, som kan forbedre adgangskontrollerne."

Læs også: Bliv klogere: Sådan fungerer cloud computing.

Tag altid kun kalkulerede risici

[b]Læs også: Bliv klogere: Sådan fungerer cloud computing.

3 - Dataklassifikation. "Grundlag for cloud-valget." [/b]
"Når strategi og politik er på plads, må man forholde sig til de konkrete data i virksomheden.

Dataklassifikation har vi af bitter erfaring set nødvendigheden af, og denne disciplin er der meget få danske virksomheder, der mestrer. Der er ingen tradition for det i Danmark, men det skal man kunne, hvis man vil i skyen.

Skrækscenariet er, at alle de kritiske data ryger ud til en leverandør, der går konkurs, og man ikke har en ordentlig exit-strategi. Så kan man være 'out of business' eller ryge på forsiden af Ekstrabladet, fordi man offentliggør følsomme oplysninger.

Den hårde vej

Dataklassifikation er nærmest en disciplin i sig selv, men en tommelfingerregel er, at det ikke må blive for teknisk eller akademisk. Det er desuden afgørende, at det er forretningen, der skal tage beslutningen om data. Det er herfra, man må vurdere, hvor vigtige de enkelte data er.

Hold desuden altid klassifikationsdiskussion på forretningstermer. Business impact, altså hvilken betydning har det for forretningen - det forstår ledelsen med det samme.

Vi bruger en meget simpel metode i Arla, hvor vi klassificerer på en skala fra et til fem. Metoden kan naturligvis variere fra virksomhed til virksomhed, men gør det simpelt, for det virker.

Herefter lægger vi en trussels- og sårbarhedsanalyse hen over de forskellige dataklasser, der kan fortælle hvilken platform, som data skal placeres på og hvilken teknologi, der skal beskytte dem.

Sidst men ikke mindst skal der bygges nogle kontrolfunktioner, der kan afsløre, om der sker brud på sikkerheden og følge op på, om det valgte sikkerhedsniveau overholdes."

4 - Risikostyring. "Tag altid kun kalkulerede risici"

"Det er et klassisk it-råd, at når verden bliver mere kompleks, skal man være bedre til risikostyring, og cloud computing gør verden mere kompleks og kræver derfor en toptrimmet proces- og projektorienteret risikostyring.

Det er 100 procent sikkert, at man kommer til at begå fejl og tage risici, og dem skal man være parat til at håndtere.

Det skal være forretningsfolkene og ikke it-afdelingen, der tager stilling til de risici, man løber i et cloud projekt, men hvis business casen ser god ud, men sikkerheden ikke følger med, kan det give problemer.

Det er nødvendigt at spænde et sikkerhedsnet ud under løsningerne, der kan fange de ting, der falder ud over kanten."

Læs også: Bliv klogere: Sådan fungerer cloud computing.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Fremtidens digitale kraftværk: Tag styringen med dit ERP-system

I dag ligger moderne ERP-platforme i skyen og opdateres adskillige gange årligt. Samtidig får man nærmest pr. automatik adgang til en omfattende portefølje af integrationer, add-ons, 3. partsmoduler, BI og avancerede funktioner til AI/ML-understøttelse af forretningsprocesser. På denne dag går vi derfor i dybden med, hvad det betyder for din virksomhed. Uanset om I har migreret til en cloudbaseret platform eller planlægger at gøre det indenfor en overskuelig fremtid.

21. november 2024 | Læs mere


Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere