Fem gode råd: Undgå it-sikkerhedsproblemer, når din virksomhed går i clouden

  Rasmus Hasenfuss Barner er sikkerhedsrådgiver hos det danske sikkerhedsfirma Imprisec. Han har tidligere været hos både Accenture og PwC.

Rasmus Hasenfuss Barner er sikkerhedsrådgiver hos det danske sikkerhedsfirma Imprisec. Han har tidligere været hos både Accenture og PwC.

Massevis af danske virksomheder rykker mod cloud-tjenester. Men selvom man placerer sine data hos en stor leverandør, giver sikkerheden ikke sig selv.

Adam Fribo

Er data sikrest oppe i skyen eller nede i kælderen?

Det er et komplekst spørgsmål med mange svar, men faktum er, at mange danske virksomheder i disse år rykker i skyen. Og i den forbindelse er der en række punkter inden for basal sikkerhed, som virksomhederne overser eller misforstår, advarer den danske sikkerhedsekspert Rasmus Hasenfuss Barner, der er rådgiver hos Improsec.

“Når en virksomhed bevæger sig i retning af skyen, så er der høj sandsynlighed for, at virksomheden misteroverblikket. Både ved migrering af eksisterende datacentre eller køb af nye cloud-services,” siger han til Computerworld og kommer med et bud på de fem vigtigste punkter, man som sikkerhedsansvarlig skal være opmærksom på, når virksomheden rykker i skyen. Om cloud er mere eller mindre sikkert end jern i kælderen er svært at svare entydigt på. Men det er en realitet, at de store cloud-leverandører har ressourcer på sikkerhedsområdet, som stort set ingen danske virksomheder kommer i nærheden af.

Alligevel er det vigtigt at være opmærksom på, om den sikkerhed, leverandøren tilbyder, svarer til virksomhedens opsætning.

“Selvom cloud-leverandører har teknologien, der fordrer sikkerhedskontroller, så lever de ikke nødvendigvis op til virksomhedens krav, hvis de anvendes forkert eller i nogle tilfælde slet ikke anvendes. Der er forskel på de sikkerhedskrav virksomheden i realiteten har til cloud-løsningen, og den reelle anvendelse af sikkerhedskontroller,” siger Rasmus Hasenfuss Barner.

“Det er afgørende, at virksomhederne forstår at sætte sig grundigt ind i både udfordringerne og begrænsningerne. For i bund og grund gælder samme sæt spilleregler, uanset om virksomheden opererer i skyen eller ej.”

Læs også: Dansk sikkerheds-topchef: Derfor kan danske virksomheder styrke sikkerheden med cloud frem for at hoste selv.

Cloud-leverandører stiller i de fleste tilfælde basal sikkerhed til rådighed på nogenlunde lige fod med den virksomhederne har uden for skyen. Men det er virksomhedernes eget ansvar at bruge dem rigtigt, og her går mange ifølge Rasmus Hasenfuss Barner galt i byen.

"Selvom teknologien er tilstede, gør virksomhederne alt for lidt brug af den. Derfor ser vi desværre stadig uheldige situationer og eksponering af systemer og data, der nemt kunne være undgået,” siger han til Computerworld og tilføjer, at det også kan betyde unødvendige
dobbeltudgifter, hvis man ikke sætter sig ind i sin cloud-leverandørs sikkerhed.

“Vi ser også tilfælde, hvor virksomheder køber software eller services fra tredjeparter, selvom noget tilsvarende måske eksisterer som standard hos cloud-leverandøren, men bare ikke benyttes.” Ligesom der hos mange virksomheder hersker tvivl om, hvilke muligheder indenfor sikkerhed, cloud-leverandørerne kan tilbyde, er der ifølge Rasmus Hasenfuss Barner også en del, der misforstår, hvem der er ansvarlig for hvad i cloud-sammenhæng.

Man kan som bekendt ikke outsource sit ansvar, men alligevel er det en udfordring for danske virksomheder at holde styr på fordelingen, når der skal indgås en aftale med leverandøren.

“Der hersker stadig en del forvirring i virksomhederne om, hvem der er ansvarlig for sikkerheden i hvilke dele af skyen. Det afhænger indlysende nok af servicemodellen (IaaS, Paas eller SaaS), men i første omgang handler det om at forstå det ansvar, virksomheden og leverandøren hver især har, og det skal være tydeligt, hvor ansvaret er delt,” siger Rasmus
Hasenfuss Barner.

“Forståelse af ansvarsfordelingen gør det nemmere at designe, konstruere og vedligeholde en mere sikker cloud-løsning.” Adgangsstyring bliver i disse år fremhævet som en af de vigtigste sikkerhedsteknologier af både danske og udenlandske eksperter.

God adgangsstyring kan blandt andet gøre GDPR-forberedelser lettere, og ifølge Rasmus Hasenfuss Barner er det også en af de vigtigste ting at holde styr på, når virksomheden bevæger sig i skyen: Hvem har adgang til hvad.

"Mangelfuld eller utilstrækkelig håndtering af privilegerede konti til for eksempel administrationslaget øger risikoen for uautoriseret adgang til de applikationer, ressourcer og services, der er placeret i skyen. Det kan have alvorlige konsekvenser for virksomheden,” siger han til Computerworld og tilføjer, det ikke kun drejer sig om medarbejderes adgang, men også hvilken software, der har adgang til hvad.

“I den sammenhæng er det nødvendigt ikke kun kigge på administrationslaget, men også at have et øje på for eksempel adgang fra øvrige applikationer og services via API-kald.”

Læs også: Advarsel: “Ideen om at bygge hegn rundt om data har spillet fallit” Som et som et sidste punkt - og det lavest acceptable bundniveau - anbefaler Rasmus Hasenfuss Barner, at man etablerer en log med monitorering og overvågning. Og vigtigst at man rent faktisk bruger loggen og følger med i, hvad der foregår i virksomhedens cloud-setup.

“Det vil være et absolut minimum, at virksomheden sørger for at få etableret monitorerings- og log-funktioner, der indsamler detaljerede data om alle administrative handlinger og kald. Når du indsamler og analysererr relevant information fra de aktiviteter, øger du virksomhedens mulighed for at detektere og respondere hensigtsmæssigt og handle mere effektivt.”