Hvem, der faktisk har ansvar for hvad, afhænger helt af den leverancemodel, der er tale om.
”Typisk er det sådan, at hvis du køber Infrastructure as a Service (IaaS), er leverandøren ansvarlig for fysiske datacentre, fysiske netværk og de fysiske servere, mens du har ansvaret for operativsystemet (OS), applikationen, for netværkssikkerheden, for identiteter og for informationen og data. Hvis du går over til en Platform as a Service (PaaS), har leverandøren også ansvaret for drift af OS. Går du så over til Software as a Service (SaaS), har du lige pludselig outsourcet stort set alt ansvaret på nær data, content og identiteter. Så alt efter hvilken model, man vælger, ændres ansvaret. Derfor er det vigtigt at tænke over, hvad der stadig er dit eget ansvar, og hvilket ansvar, du overfører til underleverandøren,” siger Anders Ahlgreen Pedersen.
Hvis man spreder sig over flere forskellige cloudleverandører, er det særligt vigtigt at holde styr på, hvem der har ansvaret for hvad. For hvis du mangler et samlet overbliksbillede, kan en kriminel komme ind i en server hos din ene cloudleverandør og skjule sig ved at hoppe over til din anden leverandørs platform, som ikke ved, at de credentials er hacket hos den første.
Område 2: Opdater jeres plan for cloudsikkerhed
Det er afgørende at tage fat i virksomhedens sikkerhedsplan. Den skal opdateres til at medtage området cloud og cloud computing, for der er en verden til forskel på, hvordan man går til sikkerhed i cloud i modsætning til on premise.
”Eksempelvis står der garanteret i firmaets sikkerhedspolitik, at man skal installere antivirus. Men giver det mening, hvis man f.eks taler om cloud containere? Her er der behov for at gå sikkerhedspolitikken igennem og opdatere den, så den reflekterer den nye virkelighed,” siger Anders Ahlgreen Pedersen.