Cyber security på smartphone og bærbar computer

Hvem har ansvaret for sikkerheden, når en virksomhed rykker i skyen? Det er et af de vigtige spørgsmål at få afklaret, når man sætter gang i transformationen. Her får du tre gode tips fra vores sikkerhedsekspert.

Der er mange fordele ved transformationen til cloud, men det skaber også nye ansvarsområder, når det gælder sikkerhed. For der er nye ting at være opmærksom på, når alle applikationer og data ligger i et datacenter et sted i verden og ikke nede i kælderen.

”Helt grundlæggende starter vejen til cloud med nogle overordnede strategiske overvejelser om virksomhedens behov for kontrol og ejerskab til data. Hver cloud-leverancemodel har sine fordele og ulemper, som din governancemodel og din cloud sikkerhedsplan skal være indrettet til at håndtere,” siger Anders Ahlgreen Pedersen, som er områdedirektør for Security and Network i KMD og her guider dig igennem tre områder, som er afgørende at have styr på:

  1. Afklar ansvarsfordelingen mellem dig og cloud-leverandøren
  2. Opdater din cloud sikkerhedsplan
  3. Lav en liste over, hvem der skal involveres, når der opstår brud på sikkerheden

Område 1: Afklar ansvarsfordelingen mellem jer og jeres cloudleverandør

Ansvaret forsvinder ikke, og der er mange områder, der kræver et vågent øje, for vilkårene er anderledes, når du bevæger du ud i skyen. Og der er mange, der helt har misforstået, hvordan vilkårene faktisk ændrer sig, og hvad det betyder for den strategi, der skal til for at få succes med transformationen til cloud, fastslår Anders Ahlgreen Pedersen.

”Det første vigtige trin i en cloud transformation er at sætte sig ind i leverandørens Cloud Responsibility Model, der beskriver, hvad der er ens eget ansvar, og hvad der er leverandørens ansvar,” siger han og fremhæver, at der mange misforståelser omkring ansvaret, som gør transformationen svær.

Det første vigtige trin i en cloud transformation er at sætte sig ind i leverandørens Cloud Responsibility Model, der beskriver, hvad der er ens eget ansvar, og hvad der er leverandørens ansvar

Anders Ahlgreen Pedersen, områdedirektør for security and network, KMD

Hvem, der faktisk har ansvar for hvad, afhænger helt af den leverancemodel, der er tale om.

”Typisk er det sådan, at hvis du køber Infrastructure as a Service (IaaS), er leverandøren ansvarlig for fysiske datacentre, fysiske netværk og de fysiske servere, mens du har ansvaret for operativsystemet (OS), applikationen, for netværkssikkerheden, for identiteter og for informationen og data. Hvis du går over til en Platform as a Service (PaaS), har leverandøren også ansvaret for drift af OS. Går du så over til Software as a Service (SaaS), har du lige pludselig outsourcet stort set alt ansvaret på nær data, content og identiteter. Så alt efter hvilken model, man vælger, ændres ansvaret. Derfor er det vigtigt at tænke over, hvad der stadig er dit eget ansvar, og hvilket ansvar, du overfører til underleverandøren,” siger Anders Ahlgreen Pedersen.

Hvis man spreder sig over flere forskellige cloudleverandører, er det særligt vigtigt at holde styr på, hvem der har ansvaret for hvad. For hvis du mangler et samlet overbliksbillede, kan en kriminel komme ind i en server hos din ene cloudleverandør og skjule sig ved at hoppe over til din anden leverandørs platform, som ikke ved, at de credentials er hacket hos den første.

Område 2: Opdater jeres plan for cloudsikkerhed

Det er afgørende at tage fat i virksomhedens sikkerhedsplan. Den skal opdateres til at medtage området cloud og cloud computing, for der er en verden til forskel på, hvordan man går til sikkerhed i cloud i modsætning til on premise.

”Eksempelvis står der garanteret i firmaets sikkerhedspolitik, at man skal installere antivirus. Men giver det mening, hvis man f.eks taler om cloud containere? Her er der behov for at gå sikkerhedspolitikken igennem og opdatere den, så den reflekterer den nye virkelighed,” siger Anders Ahlgreen Pedersen.

 

Eksempelvis står der garanteret i firmaets sikkerhedspolitik, at man skal installere antivirus. Men giver det mening, hvis man f.eks taler om cloud containere? Her er der behov for at gå sikkerhedspolitikken igennem og opdatere den, så den reflekterer den nye virkelighed

Anders Ahlgreen Pedersen, områdedirektør for security and Network, KMD

Han fremhæver også, at det kræver ændringer i virksomhedens sikkerhedsteam, som skal lære et nyt miljø at kende og skal have nye roller og skill-sets. Her bør man udpege ansvarlige for hver sikkerhedsbeslutning, der skal træffes, for hvis der ikke er nogen, der er ansvarlige for beslutningerne, bliver de ikke taget, fremhæver Anders Ahlgreen Pedersen.

Område 3: Lav en liste over, hvem der skal involveres, når der opstår brud på sikkerheden

Det er stort set umuligt at undgå alle brud på sikkerheden på forhånd. Men til gengæld kan man forberede sig på den situation, hvor bruddet opstår – og her er en liste med kontaktinformationer helt afgørende.

”Hvis du opdager et brud på sikkerheden, så mister du dyrebar tid, hvis du ikke på forhånd har identificeret, hvilke interne og eksterne folk og instanser, der skal involveres, hvis noget går galt. Så en god, gammeldags prioriteret liste over, hvem der skal involveres og i hvilken rækkefølge, er et helt vigtigt værktøj,” siger Anders Ahlgreen Pedersen.

Hvis du opdager et brud på sikkerheden, så mister du dyrebar tid, hvis du ikke på forhånd har identificeret, hvilke interne og eksterne folk og instanser, der skal involveres, hvis noget går galt. Så en god, gammeldags prioriteret liste over, hvem der skal involveres og i hvilken rækkefølge, er et helt vigtigt værktøj

Anders Ahlgreen Pedersen, områdedirektør for security and network, KMD

Læs også:

Vil I vide mere?

Mand trykker på smartphone

Vil I gerne høre mere om, hvordan vi kan hjælpe jer med it-sikkerhed? Så tøv ikke med at tage kontakt, så vi sammen kan se på, hvilke fordele I kan opnå.

Kontakt

Læs mere om it-sikkerhed

Vil I vide mere om, hvordan I kan øge it-sikkerheden på medarbejdernes hjemmearbejdspladser? Og hvordan I med en helhedsorienteret tilgang til it-sikkerhed kan balancere forholdet mellem agil forretningsdrift og sikkerhed på tværs af it-miljøet?

Hold dig opdateret

Tilmeld dig vores nyhedsbrev og få de seneste nyheder, indsigter og invitationer fra KMD til området for it sikkerhed.

Tilmeld dig her

Seneste indsigter

Salling Group effektiviserer og fremtidssikrer deres lønadministration med KMD Payroll Cloud

10. april 2024

Med ønsket om at optimere en i forvejen effektiv løndrift implementerede Salling Group KMD Payroll Cloud i 2022. Den nye lønløsning passer ind i koncernens langsigtede strategi og har allerede resulteret i automatiseringsgevinster.

Mand holder tablet i hånd

Ændringsønskeportalen – Et brugbart indsigts- og prioriteringsværktøj

11. marts 2024

Det seneste år har budt på en opstart af ændringsønskeportalen, og gennem den tid har vi med stor glæde set mange af jer deltage aktivt og bidraget med netop de ønsker, I føler vil øge værdien af KMD Opus Personale. Læs med her, om de ønsker som der arbejdes med, samt fremtidige mål med portalen.

Sekoia er nu en del af KMD Sundhed og Social

08. marts 2024

I slutningen af januar blev størstedelen af Sekoia, vores hidtidige strategiske partner, til KMD Sekoia. Det ser vi i KMD Sundhed og Social mange gode muligheder i. Men hvordan ser I, vores kunder, på situationen? Og hvilke muligheder ser vores nye kolleger fra Sekoia for deres løsning, nu vi bor sammen i KMD?

Vores digitale samfund har meget at takke datatilsynet for

06. marts 2024

Der er genopstået en livlig debat om Datatilsynet. I den forbindelse bør vi minde os selv om, at Danmarks status som en digital frontløber i høj grad skyldes Datatilsynets indsats.
Se flere indsigter