Annonsørinnhold fra  
Advertiser company logo

Sett tydelige krav til sikkerheten i skyen

Hvilke sikkerhetskrav skal du stille til skyleverandøren din? I denne artikkelen gir vi deg gode råd som du kan ta med deg i møte med din skyleverandør.

Del
Tieto Cloud BrandStory
Tieto er Nordens største selskap innen IT-tjenester. Vi leverer helhetlige løsninger for både privat og offentlig sektor. Selskapet er tilstede over hele verden gjennom vår virksomhet innen produktutvikling og våre globale leveransesentre. I mer enn 40 år har vi levert IT-tjenester til kunder i Norden. Tieto har 150 cloud-kunder og har flyttet mer enn 7 000 servere til skyen. I Norge er Tieto lokalisert i 9 byer med hovedkontor på Skøyen i Oslo. Vi har 13 000 ansatte i mer enn 20 land. Tieto Skytjenester

Å overlate driften av virksomhetens IT-miljø til en skyleverandør er som regel et sikkert trekk. Når det kritiske IT-miljøet til virksomheten overføres til en leverandør av skytjenester, overlater du også, helt eller delvis, sikkerheten rundt miljøet til den samme leverandøren. Kort sagt flytter du risikoen, og ansvaret, over på en ekstern partner. Hvordan kan du sørge for at risikoen håndteres minst like sikkert etter overføringen?

Sikkerhetsnivået er basert på kravene

Det er svært viktig at du har riktig kompetanse ved bestilling av sikkerhet rundt din bedrifts IT-miljø. En god bestiller vet hvilke behov som må ivaretas, hva slags sikkerhetsnivåer som må opprettholdes, og hvordan en SLA (Service-level agreement) skal være utformet. Hvis du ikke har den kompetansen internt, bør du få hjelp til å løse disse oppgavene. Det er viktig å ha en oversikt over de mest kritiske systemene og programmene i virksomheten.

– Vi som leverandør har ikke nødvendigvis all denne informasjonen. Men vi er alltid tilgjengelige for å bistå ved sårbarhets- og risikoanalyser, noe som gjør bestillerrollen enklere, sier Per O Wadeborn, sikkerhetsansvarlig for Offentlig sektor i Tieto.

Når risikoanalysen er gjennomført, resulterer den i en sikkerhetsløsning som i praksis tilsvarer kravene. Hvis du krever høyere sikkerhet for en bestemt applikasjon, blir resultatet en sikkerhetsløsning på tilsvarende nivå. Det er altså kravene som er grunnlaget for sikkerhetsnivået. Det kan høres innlysende ut, men husk på at som du spør, får du svar. Det kan oppleves som vanskelig for en skyleverandør å vite intuitivt hvor stor beskyttelse IT-miljøet ditt trenger. Det er det kun du som er bestiller som vet.

På den andre siden varierer en spesifikk sikkerhetsløsning ut i fra hvilke data som skal beskyttes. Hvis skyleverandøren for eksempel tilbyr en ren infrastrukturtjeneste, kan beskyttelsen bestå av et bredt spekter av tjenester og funksjoner. En kompetent skyleverandør skal dessuten kunne levere konstant overvåkning med løpende situasjonsanalyse av trendene i omverdenen. Dette skal være en naturlig det daglige arbeidet.

Konfidensialitet, tilgang og integritet

Det finnes risikoparametre på mange områder. Som kravstiller bør du kontrollere følgende:

  1. Konfidensialitet. Når det gjelder konfidensialitet, finnes det flere aspekter å ta hensyn til. Juridiske krav, dataenes sensitivitet sett fra et forretningsperspektiv med mer. Hvilke krav til konfidensialitet må dine data forholde seg til? Hvor lagres dataene? Må dataene krypteres ved overføring og lagring? Hvordan gjennomføres rettighetsstyring og tilgang til data, og hvordan følges dette opp over tid? Hvilke taushetserklæringer og avtaler gjelder?
  2. Tilgang. Forretnings- og virksomhetskritiske data skal plasseres på et lagringssystem med høy sikkerhet. Samtidig er det ikke kostnadseffektivt å plassere mindre viktige data på samme system. Her er det viktig å stille spørsmål om hvilke tilgangsnivåer som kreves. Hvordan er strategien for katastrofer og reserveforsyning? Hva slags tilbakestillingstider kreves? Hvor mye og hva slags data er du forberedt på å miste? Hvordan ser tilgjengeligheten ut via internettforbindelser sammenlignet med private linjer?
  3. Integritet. Integritet handler om nøyaktighet. Hvordan sikres dataene dine mot skader av systemer eller endringer som utføres av uautoriserte personer? Hvordan sikres dataene dine mot å bli forvekslet med andre kunders data i skyen?

Sikre alt på riktig nivå

Svært mange velger å ha samme sikkerhetsnivå for alle sine systemer og programmer. Da betaler man mer enn nødvendig,g det er derfor svært viktig at du som kravstiller evner å være selektiv.

Det handler om å kjenne til de praktiske behovene. Spørsmålet om overbelastningsangrep er stadig relevant. Må vi beskytte oss på alle mulige måter 24 timer i døgnet? Må vi da også beskytte alle deler av IT-miljøet på samme måte?

– Hvis vi befinner oss i en privat sky der ingen tjenester er tilgjengelig via nettet, da er risikoen for overbelastningsangrep svært redusert sammenlignet med en offentlig tjeneste som har høye krav til tilgjengelighet, sier Per O Wadeborn.

Er den private skyen virkelig privat?

Ut over eksterne angrep og tradisjonelle trusler er tilgjengelighet og konfidensialitet i en skytjeneste et relevant spørsmål. Er de private skymiljøene våre virkelig så private, med tanke på at vi deler infrastruktur med flere andre? Segmenteringen skjer i dette tilfellet i praksis på linknivået, og kundenes systemer eksisterer derfor i et helt eget logisk miljø bygd på virtualiseringsteknikker som lenge har vært de facto-standard. Det er altså ikke en ny teknikk, men grundig utprøvde løsninger som er ekstremt vanskelige å forsere.

Den som prøver å få tak i informasjonen din "fra innsiden", må altså ta seg inn på en intern nettverkslink, noe som dermed krever tilgang til datasentrene gjennom flere kontrollpunkter. Dette setter perimeterbeskyttelsen en stopper for. Moderne datasentre har i dag en fysisk beskyttelse som i prinsippet er i samme klasse som om de var beskyttet av væpnede styrker.

Bedre kunnskap blant dagens bestillere

Et tett og kontinuerlig samarbeid mellom leverandør og kunde, kontroll på behov og hvilke tilgjengelighetskrav som gjelder. Dette er grunnleggende råd og sikkerhetsbevissthet som har blitt viktigere i både den private og offentlige sektoren de siste årene.

– Da man overlot IT-driften til en ekstern leverandør for ti år siden, regjerte ofte holdningen "dette fikser jo dere". Slik er det ikke i dag. Folk er mer bevisste på hva de kjøper, og at det kreves et kontinuerlig engasjement, sier Per O Wadeborn.

Les mer om nettskyen her