Fugleperspektiv af skyer, der dækker himlen

Når man som virksomhed eller privatperson overvejer at drive sin it i skyen, er det ofte forbundet med en række spørgsmål og en del usikkerhed. For hvordan vælger man den rigtige udbyder, og hvordan får man stillet de rigtige spørgsmål til udbyderen? Cloud-sikkerhedsprincipperne og et fornuftigt forarbejde er svaret.

Anders Ahlgreen Pedersen, der er sikkerhedsekspert hos KMD, vil i denne artikel indvie os i de sikkerhedsprincipper, en række it-eksperter er blevet enige om, at man bør bruge til at vurdere en potentiel leverandør. Anders Ahlgreen Pedersen vil desuden beskrive den proces, han selv ville følge forud for valget af en udbyder og forklare, hvorfor sikkerhedsprincipper og processer skaber tryghed og fungerer godt som beslutningsgrundlag.

Principper for it-sikkerhed ved valg af cloudleverandør

”Sikkerhedsprincipperne består af 14 punkter med beskrivelser af faktorer, der er værd at overveje, inden du beslutter om den pågældende leverandør lever op til de krav du måtte have. Før man kigger på de konkrete sikkerhedsprincipper, foreslår jeg, at man stiller sig selv en række spørgsmål, der i nogle tilfælde er udslagsgivende nok til, at man kan træffe en beslutning uden, at man behøver at gå i dybden med sikkerhedsprincipperne,” siger Anders Ahlgreen Pedersen og foreslår en rækkefølge for spørgsmålene.

1. Kend dine krav

Beslut, hvad du vil bruge cloud-tjenesten til. Overvej problemer som tilgængelighed og forbindelse. Beslut, hvilke risici du er villig til at løbe og hvilke du ikke er.

2. Forstå dine oplysninger

Identificer de oplysninger cloud-tjenesten skal behandle, lagre eller transportere. Hvis tjenesten for eksempel skal behandle personoplysninger, er det vigtigt, at behandlingen sker i overensstemmelse med databeskyttelsesloven/GDPR.

3. Fastlæg relevante sikkerhedsprincipper

Sikkerhedsprincipperne sætter fokus på følgende;

  • data i transit
  • i hvor høj en grad dataene og servicen skal beskyttes mod diverse angreb
  • i hvor høj en grad andre skal have adgang til dine data
  • om det er vigtigt for dig, at udbyderen har en sikkerhedsansvarlig
  • om den operationelle sikkerhed lever op til dine forventninger
  • om du stoler på, at udbyderens personale har gennemgået de væsentligste sikkerhedskurser og screeninger
  • om service-udviklingen tager højde for sikkerhed
  • om udbyderens forsyningskæde understøtter de services, udbyderen har/ønsker at have
  • hvor stor brugerstyringssikkerheden er
  • om service interfaces kræver den nødvendige autentifikation
  • om eksterne interfaces er til at stole på
  • om administrationen af servicen er sikker
  • om det er vigtigt for dig at kunne overvåge adgangen til dine data
  • om du har et godt nok kendskab til servicen for at bruge den rigtigt og dermed minimere risici.

Du bør huske, at ikke alle principperne nødvendigvis er væsentlige for dig og at en cloud-service sagtens kan dække dine behov uden at opfylde alle sikkerhedsprincipperne

4. Forstå det tilbudte sikkerhedsniveau

Vær sikker på, at udbyderen har implementeret de principper du har fastlagt som væsentlige. Når du har gjort det, bør du få papir på, at udbyderen har de services, han påstår.

5. Forstår dit medansvar

Til sidst bør du overveje, hvad du selv kan gøre for at minimere risikoen for et hacker-angreb eller et nedbrud. Hvis du efter dette kan acceptere de risici, der stadig vil være tilbage, er du ’good to go’. Undersøg med jævne mellemrum, om servicen stadig lever op til dine krav.

”Det handler altså i høj grad om at gøre sit forarbejde ordentlig og stille de rigtige spørgsmål, hvis man skal have succes med at finde den rigtige leverandør,” konkluderer Anders Ahlgreen Pedersen.

 

Læs også:

Vil I vide mere?

Mand trykker på smartphone

Vil I gerne høre mere om, hvordan vi kan hjælpe jer med cloudsikkerhed? Så tøv ikke med at tage kontakt, så vi sammen kan se på, hvilke fordele I kan opnå.

Kontakt

Læs mere om cloudsikkerhed

Med en helhedsorienteret tilgang til it-sikkerhed kan I balancere forholdet mellem agil forretningsdrift og sikkerhed på tværs af it-miljøet.

Hold dig opdateret

Tilmeld dig vores nyhedsbrev og få de seneste nyheder, indsigter og invitationer fra KMD til området for it sikkerhed.

Tilmeld dig her

Seneste indsigter

Salling Group effektiviserer og fremtidssikrer deres lønadministration med KMD Payroll Cloud

10. april 2024

Med ønsket om at optimere en i forvejen effektiv løndrift implementerede Salling Group KMD Payroll Cloud i 2022. Den nye lønløsning passer ind i koncernens langsigtede strategi og har allerede resulteret i automatiseringsgevinster.

Mand holder tablet i hånd

Ændringsønskeportalen – Et brugbart indsigts- og prioriteringsværktøj

11. marts 2024

Det seneste år har budt på en opstart af ændringsønskeportalen, og gennem den tid har vi med stor glæde set mange af jer deltage aktivt og bidraget med netop de ønsker, I føler vil øge værdien af KMD Opus Personale. Læs med her, om de ønsker som der arbejdes med, samt fremtidige mål med portalen.

Sekoia er nu en del af KMD Sundhed og Social

08. marts 2024

I slutningen af januar blev størstedelen af Sekoia, vores hidtidige strategiske partner, til KMD Sekoia. Det ser vi i KMD Sundhed og Social mange gode muligheder i. Men hvordan ser I, vores kunder, på situationen? Og hvilke muligheder ser vores nye kolleger fra Sekoia for deres løsning, nu vi bor sammen i KMD?

Vores digitale samfund har meget at takke datatilsynet for

06. marts 2024

Der er genopstået en livlig debat om Datatilsynet. I den forbindelse bør vi minde os selv om, at Danmarks status som en digital frontløber i høj grad skyldes Datatilsynets indsats.
Se flere indsigter