Artikel top billede

Du hænger selv på ansvaret for dine data i skyen

Når du sender data og applikationer ud i skyen, forsvinder ansvaret ikke fra virksomhedens skuldre. Her kan du se, hvordan ansvaret fordeler sig mellem dig og din leverandør.

Læs også:
Kære regering: Her er en cloud-plan

Her er listen over verdens bedste cloud-lande

Når man overvejer en cloud-strategi, skal man være opmærksom på, at selvom kode, programmer og data flyttes uden for virksomhedens domæne, så gør ansvaret ikke.

Ansvaret er stadig dit.

Det er især i forhold til den offentlige sky, hvor infrastruktur og software er placeret uden for huset, at man skal have de stærke briller rettet mod ansvarsplaceringen.

I denne form for cloud-tjenester tager forskellige personer, organisationer og virksomheder hånd om forskellige dele af it-systemerne, hvilket betyder, at ansvaret også placeres mellem flere.

I en privat sky har kunderne derimod den fulde kontrol, hvilket giver brugerne de samme muligheder for overvågning som i de traditionelle ikke-cloud-baserede it-systemer. Her er ansvaret per definition således dit eget.

Tre grundregler før du går i skyen

Som udgangspunkt skal man kunne revidere sin cloud-løsning løbende, så man hele tiden kan følge med i, om den givne løsning opfylder sikkerhedskravene.

En cloud-udbyder skal således stille de nødvendige audit- og assurance-informationer (overvågningsinformationer) til rådighed, så man som kunde kan risikovurdere - også i forhold til eventuelle lovkrav.

"En cloud-leverandør skal som udgangspunkt stille tre typer audit-informationer til rådighed for sine kunder," fortæller Carsten Jørgensen, it-sikkerhedschef i Falck, som har været med til at udarbejde den information, der findes på området. Den er udarbejdet for IT- og Telestyrelsen i 2011.

1. Der skal være skriftlig dokumentation for procedurer, standarder og politikker.

2. Der skal være oplysninger om kundens aktuelle konfigurationer.

3. Der skal være løbende log- og monitorerings-informationer.
Målet med disse tre regler er, at man som kunde løbende kan overvåge og vurdere leverandørens infrastruktur for at holde øje med, om leverandøren overholder virksomhedens egne sikkerhedspolitikker.

Disse grundregler skal man have i baghovedet, før man vælger leverandører. Det har dog også væsentlig betydning, hvilken form for cloud-løsning man vælger.

Der er nemlig stor forskel på, hvor meget kan bestemme i it-afdelingen.

Tre typer cloud-tjenester

Cloud-løsningerne opdeles oftest i tre forskellige modeller, der henviser til software, platform og infrastruktur, og derfor forkortes SPI-modellen.

Software as a Service (SaaS)

I en SaaS-løsning får man adgang til software, hvor man kan administrere egne brugere og data. Man har ikke administrator-rettigheder til operativsystemet eller programmer, men man kan typisk ændre grundfunktionerne i de applikationer, man anvender.

Ansvaret mellem leverandør og kunde i en SaaS-løsning fordeler sig typisk således:

Det er brugerens ansvar at konfigurere log'en, mens leverandøren tager sig af sikkerheden omkring data og applikationer. Man er således helt afhængig af de overvågningsinformationer, som leverandøren tilbyder.

Platform as a Service (PaaS)

I en PaaS-løsning får man adgang til et operativsystem og database, men man kan frit installere og administrere egne applikationer.

Der er således ikke administrator-rettigheder til operativsystemet, men man kan udvikle og afvikle egne programmer.

Det giver ret til at stille krav til, hvilke logningsmuligheder ens egne programmer skal udrustes med.

Ansvaret mellem leverandør og kunde i en PaaS-løsning fordeler sig typisk således:

Det er brugerens ansvar at indhente logs og vedligeholde egne applikationer eksempelvis med opdateringer. Det er leverandørens ansvar at tage hånd om systemet - system management.

Infrastructure as a Service (IaaS)

I en IaaS-løsning har man adgang til et virtualiseret miljø, hvor man kan installere og administrere virtuelle maskiner.

Man får administrator-rettigheder til egne virtuelle maskiner, og man kan frit trække informationer fra systemerne.

Sådan fordeler ansvaret sig

Mulighederne er de samme, som man vil opleve i et datacenter, man selv hoster. Man kan således selv opsætte, konfigurere og installere tredjepartsprogrammer.

Ansvaret mellem leverandør og kunde i en IaaS-løsning fordeler sig typisk således:

Brugeren skal sørge for lokal overvågning, overvågning af applikationslaget og desuden logfiler fra operativsystemet.
Leverandøren skal sørge for netværket, fysisk sikring og hardware.

Tillid mellem kunde og leverandør

"Som kunde skal man naturligvis sørge for, at det formelle papirarbejde er på plads, i forhold til hvem der skal sørge for hvad. Opfylder én leverandør ikke betingelserne, må man gå til en anden," vurderer Carsten Jørgensen.

"Desuden bør man forsøge at opnå et tillidsforhold til sin leverandør, selvom det kan være svært i en web-baseret forretningsmodel."

Uanset om man anvender SaaS, PaaS eller IaaS, skal leverandøren kunne dokumentere den fysiske sikkerhed, de underliggende politikker, procedurer og konfigurationen. Det er et krav, for at du som kunde kan risikovurdere og eventuelt overholde lovkrav.

Dokumentationen kan være tilgængelig gennem leverandøren selv eller gennem en tredjepart, ligesom der kan være revisorer eller lignende og endeligt materiale, som man selv undersøger sig frem til.

Når du planlægger din cloud-strategi, skal du være opmærksom på, hvilket niveau af ansvar, der er forbundet med den type løsning, du vælger.

I en SaaS-løsning skal man eksempelvis selv konfigurere hvad, der logges eller definere det i en kontrakt. Mens man i en IaaS selv definerer logning i operativsystemet og applikationer, fordi leverandøren ikke har adgang til at gøre det.

"Lovgivningen på området er for gammel til at omfatte regler for cloud-computing," fortæller Carsten Jørgensen og tilføjer:

"Leverandørerne er i gang med selv at sætte nogle rammer op for at gøre processen enklere, men det er virksomheden selv, der sidder med ansvaret, som det ser ud i dag."

Læs også:
Kære regering: Her er en cloud-plan

Her er listen over verdens bedste cloud-lande




IT-JOB

MAN Energy Solutions

Full Stack Developer

Cognizant Technology Solutions Denmark ApS

Test Manager
Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Hewlett-Packard ApS
Udvikling og salg af software, hardware, konsulentydelser, outsourcing samt service og support.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere