Cloudskolen del 4: Sådan sikrer du it-sikkerheden fra hovedkontor til butik

Den nye persondataforordning gør sammen med cloud-teknologi sikkerheden vigtigere end nogensinde for detailbranchen. Vi har interviewet retailekspert og Solution Sales Professional Thomas Widén fra Microsoft.

Cloudskolen

Hvis din detailvirksomhed går på kompromis med væsentlige sikkerhedsspørgsmål, kan det få alvorlige konsekvenser og i sidste ende skade dine kunderelationer. At blive udsat for datalækage eller spionage kan bl.a. afsløre dine målgrupper og deres præferencer for udenforstående, hvilket alvorligt kan svække din konkurrenceevne, forklarer retailekspert Thomas Widén fra Microsoft.

- Du skal have styr på en række spørgsmål: Hvor i skyen befinder dine data sig, hvor replikeres de, og hvem har adgang til dem? Du skal også vide, hvem der har ret til dine data, og hvem som kan tolke den information, du samler ind om dine kunder. Alle disse svar bør du kende, før du begynder rejsen mod skyen, indleder Thomas Widén.

Er cloudtjenester sikre?
Cloudrejsen er omgærdet af mange farer. Thomas Widén mener, at den største ligger i, at man er uopmærksom på disse risici og i stedet fokuserer for meget på kerneprocesserne. Derfor er det vigtigt, at man har en erfaren leverandør, der kan sit kram.

- Sørg for at checke og dobbeltchecke din cloudleverandør, inden projektets opstart. Hvilke internationale love og regler arbejder de efter? Find også ud af, hvilke standarder de følger, for så vidt angår data og servere. Mit råd er at spørge, hvem der har nøglerne til serverrummet. Får man et klart og præcist svar, har man med stor sandsynlighed at gøre med en usikker cloudtjeneste, eftersom leverandøren stoler for meget på et enkelt individ. Så er du udsat for en høj risiko, både når det gælder cloud og hosting, siger Thomas Widén.

- Microsoft arbejder med forskellige adgangsniveauer til serverne. Medarbejderne, som skifter harddiskene, ved ikke, hvad de indeholder, og derudover destrueres gamle diske altid – for en sikkerheds skyld. Vi har også bestemte regler for, hvor lang tid det må tage at skifte en harddisk, og eventuelle afvigelser udredes. Hertil kommer, at personalet bliver vejet både inden og efter, de har været i serverrummet, fortsætter retaileksperten.

En sømløs og moderne arbejdsplads kræver fokus på sikkerhed
At kunne arbejde fra forskellige steder og enheder er et vigtigt arbejdsmiljømæssigt spørgsmål, som den moderne detailhandler bør tage seriøst. Muligheden for at arbejde hjemmefra skaber et fleksibelt arbejdsmiljø, der tiltrækker nye medarbejdere og gør, at de trives. Men denne arbejdsform kræver, at du har styr på sikkerheden.

- Her hos Microsoft arbejder vi et mantraet: anytime, anywhere og any device. Du skal kunne løse de samme opgaver i butikken som på hovedkontoret, uanset hvilken enhed du anvender. Sådan skabes et fleksibelt arbejdsmiljø, som gør fjernarbejde nemmere, siger Thomas Widén og fortsætter:

- Det er også vigtigt, at du kan køre krypteret trafik mod din leverandør (SSL-forbindelser), og desuden er adgangsproblematikken væsentlig. Specielt for en detailhandler, der bør kigge grundigt på, hvilke enheder der har adgang til skyen. Har personalet adgang, og hvad sker der, hvis nogen fratræder deres stilling? Hvad gør du, hvis en tablet med forretningskritisk information forsvinder fra butikken? I værste fald står du med en mistet enhed, der har fuld adgang til virksomhedens forretningssystem. I dag findes der løsninger, der sikrer, at enhederne kun har adgang, når de koblet op på butikkens netværk. Det kan være en god løsning, som forbedrer sikkerheden, anbefaler Thomas Widén.

Sikkerhed – et troværdighedsspørgsmål, som kræver et passende it-budget
Vore dages forbrugere forventer, at detailhandlere håndterer personoplysninger med fortrolighed. Det handler dybest set om troværdighed, og med EU's nye persondataforordning (GDPR) lige om hjørnet tvinges detailhandlerne til at tage dataintegritet seriøst.

- Det er du nødt til at bruge penge på. Mit råd er at løfte omkostningerne til sikkerhed ud af it-budgettet, så du bedre kan se og forstå denne del. Ved at gå i skyen er det også muligt at spare penge på dyre internetopkoblinger i butikkerne. Mange detailhandlere har investeret penge i dyre VPN-tjenester, som sikrer privat kommunikation mellem butikkerne og serverne på hovedkontoret, men ved at koble op til skyen via HTTPS er det muligt at spare mange penge på den konto, tilføjer Thomas Widén.

Angsten for cloud er ubegrundet
Detailhandlen præges af rædsel for cloud-løsninger, og der findes mange ubegrundede myter, som opstod, da teknologien først blev introduceret. En almindelig fordom er, at skyen ikke er sikker, og at man mister kontrollen med sine data.

- Da cloud-teknologien var helt ny var bekymringerne ikke helt hen i vejret, men sådan er det ikke længere. Cloud-løsningerne er blevet voldsomt meget bedre siden dengang, og de er under stadig udvikling. Man ser også ret ofte, at virksomhederne misforstår omkostningsniveauet i den tro, at det er dyrere at gå i skyen end at fortsætte med den eksisterende on-premise-løsning. Ofte skyldes det, at man ikke har differentieret sine it-omkostninger, og mange indser heller ikke, hvor mange besparelser en cloud-baseret drift kan medvirke til at skabe, fortsætter Thomas Widén.

Samtidig advarer retaileksperten mod, at man bruger tjenester fra mange forskellige udbydere af cloud-løsninger. Bare tanken om at skulle oprette og fjerne brugere på mange forskellige platforme er nok til at give sved på panden – og billigt er det heller ikke. Thomas Widén mener også, det er vigtigt at have respekt for integrationsspørgsmålet.

- Detailhandlere har som oftest mange integrationer. Selvom 99 procent af løsningsplatformen er moderne og kommunikerer på bedste vis, så risikerer du at den sidste procent udgør et sikkerhedshul. Mit råd er at klassificere sikkerhedsniveauet for de forskellige integrationer, siger Thomas Widén.

GDPR skal betragtes strategisk
Inden du går i skyen, er det vigtigt at beslutte på hvilket niveau, sikkerhedsspørgsmål skal håndteres, og hvad som skal indgå. For nogle detailhandlere handler det om sikre netværk, mens andre mener, at GDPR bør være et fokusområde. For helt andre er mobile apps til personalet i fokus.

- Få udarbejdet en omfattende konsekvensanalyse og vurdér de risici, som er forbundet med systemet. Du kan eksempelvis arbejde med tre risikoniveauer: lav, mellem og høj. Lav en liste over såkaldt bløde faktorer såsom programmer og individer. Dernæst følger alle de tekniske elementer. Med en prioriteringsliste får du en plan at arbejde efter. Og tænk på, at visse udfordringer måske løser sig selv i kraft af skyen, mens et spørgsmål som GDPR skal betragtes strategisk – uanset om systemet allerede understøtter anonymisering af kundernes data, siger Thomas Widén.

Oprethold sikkerhed på langt sigt
Efter migreringen gælder det om at opretholde det nødvendige sikkerhedsniveau. Sørg for at alle enheder er tilsluttet systemet med de korrekte indstillinger og sørg også for, at du har det fulde overblik over alle enheder og personer, som har adgang til dine data. Det er også vigtigt at opdatere systemerne løbende. En moderne platform har altid testversioner, så du kan føle dig tryg ved opdateringerne, forsikrer Microsoft-eksperten.

Hold dig opdateret ...

Tilmeld dig vores nyhedsbrev

Få værdiskabende artikler, værktøjer og inspiration til, hvordan du forankrer den digitale transformation i din virksomhed – direkte i din indbakke.

 

Annonce

EU-GDPR

Hvorfor:
EU's persondataforordning (GDPR) har til formål at sikre borgere, slutkunder og brugeres data blandt andet for at forebygge cyberkriminalitet – men også for at regulere virksomheders kommercielle udnyttelse af persondata.

Hvordan:
EU-GDPR indeholder regler om, hvornår og hvordan personoplysninger kan og må behandles, hvilke pligter man har som dataansvarlig og databehandlere, og hvordan man skal dokumentere sin brug af persondata. Fx:

  • Krav om løbende risikovurdering og compliance
  • Mulighed for myndighedsinspektion
  • Krav om rapportering inden for 72 timer efter et datalæk
  • Mulighed for at udstede bøder på op til 20 millioner euro eller fire procent af den dataansvarlige virksomheds globale omsætning.

Målet er at styrke tilliden til udbydere af services og produkter, som i større eller mindre grad bygger på indsamling af personlige data, som i mange tilfælde vil have en digital komponent.

Reglerne handler altså ikke om industrispionage eller tyveri af produktinformationer eller intellektuelle rettigheder.

Hvornår:

  • EU-GDPR blev aftalt i december 2015
  • Trådte formelt i kraft i maj 2016
  • Det nye regelsæt får virkning fra maj 2018
Annonce