Artikel top billede

Tag dig i agt for tordenskyen

Klumme: Cloud-leverandøren sidder ved afbryderknappen til din forretningsvæsentlige it-drift. Du har kun en kontrakt i hånden.

Ville du lade dit barn passe i en ukendt dagpleje, et fremmed sted af tilfældige pædagoger til gengæld for løftet om sund mad til dit barn, frie åbningstider og høj normering?

Jeg tvivler på det. For vished betyder meget, når vi taler om kritiske, vigtige og følsomme emner. Også i forretningslivet.

Alligevel ser jeg desværre flere eksempler på, at man er villig til at løbe risici, fordi fordelene ved en ydelse umiddelbart ser ud til at opveje ulemperne.
 
Dette er f.eks. tilfældet med clud computing, der kort fortalt er fire typer af det, man i "gamle dage" kaldte hosted services eller outsourcing. Der er altså ikke tale om en ny vidundermedicin. Snarere gammel vin på nye flasker - måske med en enkelt undtagelse, nemlig den variant af cloud computing, som går under navnet "public cloud".
 
Public cloud refererer til, at det er en fælles it-løsning, som "deles" af flere uafhængige virksomheder. Salgsargumenterne for alle fire cloud-typer er de gammelkendte - det vil sige: du sparer penge på udgifter til medarbejdere og uddannelse og skalering af systemer og opgraderinger, samtidig med at du kan få adgang til en mængde applikationer. Prisen? Du betaler kun for dit forbrug.

Til gengæld forudsætter leverancen af ikke mindst en public cloud-løsning til din virksomhed, at leverandøren har meget frie hænder. Han vil sandsynligvis også have brug for at anvende andre clouds "out there" for at kunne levere en løsning til dig til den laveste pris, f.eks. ved at bruge udenlandske lavtlønsleverandører og store driftscentre.

Cloud computing er egentlig mere et værktøj til leverandører af outsourcing- og hostingydelser end et slutprodukt, da cloud computing, og særligt public cloud, gør det muligt for leverandøren at opnå den størst mulige udnyttelse af sin investering, fordi han ikke behøver at tage særlige hensyn til sine kunder og deres data.
 
Det siger sig selv, at cloud-leverandøren i praksis har fat i den lange ende: Han sidder ved afbryderknappen til din forretningsvæsentlige it-drift, mens du sidder med en kontrakt i hånden. Så det, der er en fordel for ham - det vil sige optimal udnyttelse - kan blive en ulempe for dig i form af tab af kontrol over kritiske, vigtige og følsomme emner.
 
Et værre scenarie er, at din public cloud-leverandør måske ikke engang selv sidder ved kontakten, men at den kontrol reelt ligger ude i andet eller tredje led af din afhængighedskæde.
 
Datatilsynet har i erkendelse af risikoen for brud på fortroligheden af personfølsomme oplysninger i visse tilfælde forbudt eller skærpet kravene for cloud computing - og outsourcing-løsninger. F.eks. blev Odense Kommunes ønske om at anvende Google Apps i skolerne lige inden sommer mødt med skærpede krav fra Datatilsynet.

Eksemplet viser, at der - ud over de forretningsmæssige risici som tab af kontrol - også er de juridiske aspekter at tage hensyn til, når man bruger cloud-løsninger som f.eks. Google Apps. De er i lighed med mange andre nemlig ikke udviklet i overensstemmelse med dansk lovgivning, men - som i tilfældet Google - med udgangspunkt i amerikansk lovgivning.

Når det gælder din virksomheds forretningsvæsentlige aktiver, for eksempel it-systemer og følsomme oplysninger, bør du anvende den samme kritiske objektivitet over for serviceleverandører og deres ydelser, som den du viser dem, der passer dit barn.

Niels Madelung er projektchef hos Fonden Dansk Standard, certificeret informationssikkerhedsleder og medredaktør af revisionen af ISO/IEC-standarden 27002:2005.

Computerworlds klummer er ikke nødvendigvis udtryk for Computerworlds holdninger, men er alene udtryk for skribentens holdninger.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
itm8 A/S
Outsourcing, hosting, decentral drift, servicedesk, konsulentydelser, salg og udleje af handelsvarer, udvikling af software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
PCI og cloud-sikkerhed: Strategi til beskyttelse af betalingsdata

Er din organisation klar til de nye PCI DSS 4.0-krav? Deltag i vores event og få indsigt i, hvordan du navigerer i compliance-udfordringerne i en cloud-drevet verden.

16. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, Aarhus: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

21. januar 2025 | Læs mere


Strategisk It-sikkerhedsdag 2025, København: Viden om trusler og tendenser – Beskyt din virksomhed

Gå ikke glip af årets vigtigste begivenhed for it-sikkerhedsprofessionelle! Mød Danmarks førende eksperter, deltag i inspirerende diskussioner og få praktisk erfaring med de nyeste teknologier. Bliv klogere på de seneste trusler og lær, hvordan du bedst beskytter din virksomhed mod cyberangreb. Tilmeld dig nu og vær på forkant med fremtidens cybersikkerhedsudfordringer.

23. januar 2025 | Læs mere