Glemmer I sikkerheden, når I snakker cloud?

Har I styr på, hvordan jeres sikkerhedssetup ser ud i skyen? Læs Sten Grønnings blog om, hvad man skal være opmærksom på, når brugerne tilgår it-systemet i et cloudmiljø.

Har I styr på sikkerheden, når I går I skyen?

Rejsen til cloud er godt i gang for mange danske virksomheder, og nogle organisationer er ligefrem født i skyen. Men uanset hvor rejsen er startet, risikerer mange virksomheder helt utilsigtet at sætte deres digitale liv og lemmer på spil.

For alt er ikke som før. Den voldsomme stigning i trusler fra nettet, hackere og den kommende persondataforordning gør, at vi skal i gang med at gentænke sikkerhed nu, før det er for sent.

Sikkerheden forsvinder under de nye muligheder
Ligger jeres it-system on premises på jeres egne servere, er sikkerhed noget, som er en helt naturlig del af it-afdelingens hverdag. Virksomhedens data bliver tilgået via et kontrollet netværk fra enheder, som er styret, kontrolleret og sikret. Alt ligger gemt på infrastruktur placeret bag firewalls og diverse sikkerhedsinstanser – centralt administreret og kontrolleret.

Men når snakken falder på cloud og outsourcing, er det som om, mange organisationer også forventer, at ansvaret for sikkerheden følger med som en del af pakken fra leverandøren. Det er sjovere at fokusere på de mange nye, effektive og fleksible måder at arbejde sammen på. Cloud giver adgang til virksomhedens applikationer og data fra alle mulige og umulige enheder, uanset hvor i verden brugeren opholder sig.

Men hvad skete der med it-sikkerheden? It-afdelingerne synes at have mistet kontrollen og overblikket over, hvad cloud betyder for virksomhedens sikkerhed og dataadgang.

Få styr på brugerens identitet nu
"Rolig nu, så er det heller ikke værre", vil mange måske tænke. Men jo, det er det – desværre.

Med introduktionen til Software as a Service-produkter som Office 365 træder virksomheden nemlig ind i en verden, hvor alt pludselig er centreret om brugerens identitet, og hvor brugerens brugerprofil, mobile enheder, passwords, virksomhedens data og applikationer og meget andet ikke længere er en del af den gode gamle ringmur som tidligere beskrevet.

Det er nu op til den enkelte bruger at stå for it-sikkerheden og beskytte adgangen til alle virksomhedens systemer. Og det kan godt være, at det virker befriende ikke at skulle forholde sig til it-afdelingens begrænsende regler, men i en verden, hvor du er et uheldigt link i en e-mail fra at få låst alle virksomhedens filer, er det en stor risiko at løbe. For hvor mange medarbejdere i din organisation stoler du så meget på, at du mener, de aldrig ved et uheld kunne komme til at klikke på et forkert link?

Her er 8 spørgsmål, du bør kunne svare på, hvis dit it-system er sikret mod trusler udefra:

  1. Er du sikker på, at brugeren er den, som brugeren udgiver sig for at være?
  2. Hvordan sikrer du indblik i og overblik over jeres brugere og deres adfærd? Er det eksempelvis muligt for samme bruger at logge på fra Sydeuropa og København med få minutters mellemrum?
  3. Hvordan sikrer du en sikker, central og synkroniseret brugeridentitet?
  4. Hvordan sikrer du, at de enheder, brugeren anvender til at tilgå virksomhedens data, er kendte, godkendte og opdaterede til senest godkendte patchniveau?
  5. Må brugeren anvende egne enheder (BYOD) til at tilgå virksomhedens applikationer og data, og hvordan sikrer du, at virksomhedens data ikke bliver blandet med personlige data?
  6. Hvordan beskytter du brugerens enheder mod blandt andet uønsket adgang og malware?
  7. Hvordan sikrer du, at brugere ikke kompromitterer sikkerheden ved at installere "ikke-godkendte" applikationer?
  8. Hvordan sikrer du, at brugeren ikke lækker data med personfølsomme oplysninger eller kopierer forretningskritiske dokumenter?