BrandStory er et annonseprodukt, produsert etter gjeldende retningslinjer.

Retningslinjer for BrandStory

BrandStory er en markedsføringskanal for annonsører. Tanken bak annonseformatet er at firmaer med komplekse budskap skal få anledning til å gå i dybden på sine temaer, og ha mulighet til å få direkte feedback fra en relevant målgruppe.

Annonsørene er velkomne til å dele innsikt fra forskning og utvikling, refleksjoner rundt sin rolle i samfunnet og tanker om ledelse.

Produktreklame er ikke tillatt i dette formatet. Annonsører kan heller ikke bruke BrandStory som en kanal for tilsvar på journalistikk som utøves på redaksjonelle flater.

Det er en stor utfordring at mange virksomheter ikke har forstått hvor stor del av sikkerhetsansvaret de faktisk har.
Det er en stor utfordring at mange virksomheter ikke har forstått hvor stor del av sikkerhetsansvaret de faktisk har. (Foto: Basefarm)
Innhold fra annonsør

Derfor gir skyen moderat til dårlig sikt på sikkerhet


La oss starte med å knuse en myte: Cloud er mer sikkert enn on premise løsninger.

– Det er ikke riktig. Mange får en falsk trygghet når de hører at ved å flytte applikasjoner og data til skyen, så deler man sikkerhetsansvar med skyleverandøren, sier produktsjef for sikkerhetsprodukter i Basefarm, Willy Domaas.

Han forklarer at selv om skyleverandørene gjerne reklamerer for et delt ansvar, betyr det ikke at det er delt 50/50. Faktum er at langt mer hviler på skuldrene til kunden enn de tror selv.

– Det er en stor utfordring at mange virksomheter ikke har forstått hvor stor del av sikkerhetsansvaret de faktisk har. Derfor er det avgjørende å orientere seg om dette og legge en solid sikkerhetsstrategi for egen data, enten på egenhånd eller sammen med skypartneren sin.

Kontinuerlig sikkerhetsoppfølging er en nødvendighet.

For i en tid hvor stadig flere virksomheter er ivrige på å spare tid og penger og bli skybaserte, er det mange som ikke setter av nok tid, eller skaffer seg den rette kompetansen for å gå løs på overgangen.

Cloud-rapporten 2020 viser at halvparten av norske selskaper har sikkerhet som hovedbekymring i sammenheng med skyen, men samtidig melder bare 30% at sikkerhet er en prioritering.

Enten det handler om hele eller deler av infrastrukturen, er det uunngåelig at sensitiv informasjon og kritiske funksjoner utføres av skytjenester, og tilgang via skyen betyr også større eksponering. Da er det avgjørende å sikre at denne tilgangen ikke svekker det totale sikkerhetsnivået.

– Mange rapporterer at de sover bedre om natten etter å ha flyttet til skyen, men det betyr ikke at du kan hvile på puta og gjøre ingenting. Sikkerhet er ikke en éngangsjobb, men et kontinuerlig arbeid, sier Domaas.

Hva er ditt sikkerhetsansvar i skyen?

– De fleste virksomheter har i dag en hybrid løsning med noe i skyen og noe kjørende i datasenter på bakken. Dette gir flere utfordringer, da det som ligger på private cloud også påvirkes når noe flyttes til public cloud, sier Domaas.

Han forklarer at skyleverandørenes ansvar kun strekker seg til sikkerheten for egne servere og infrastruktur; det er kunden selv som har ansvar for sikkerheten til egne data og applikasjoner.

Her er det viktig å poengtere at man ikke kun snakker om de største leverandørene som Azure og AWS: Når man snakker om skytjenester generelt, kan en virksomhet bruke mellom 100 og 1000 forskjellige applikasjoner; slik som regnskapssystem, salgsstrategiprogram osv., som også kan ligge i andre skytjenester.

4 sikkerhetstiltak du bør tenke på i skyen

Domaas understreker at det er avgjørende for enhver virksomhet med data og applikasjoner i skyen, å ha en gjennomtenkt og solid skysikkerhetsstrategi.

– Det går ut på å få en oversikt over hvilke applikasjoner man vil flytte, for deretter å ta en risikovurdering av disse; hva er «worst case»- scenario? Hva skjer hvis du mister data eller om applikasjoner blir kompromittert? Hvem tar ansvar når et datainnbrudd skjer, din virksomhet eller partneren? Dette er spørsmål du må ha svar på før du flytter til skyen.

Noen av tiltakene du bør inkludere er:

  • Identites- og tilgangskontroll (brukeradministrasjon)
  • Multifaktorautentisering
  • Compliance
  • Overvåking, varsling og kontrolltiltak

1. Identitets- og tilgangskontroll (brukeradministrasjon)

Å ha kontroll på brukeridentitet og tilgang er avgjørende, og spesielt viktig når du er i skyen, og dette ansvaret ligger helt og holdent på kunden. Ved å ha tilpasset/begrenset tilgang på data har du full oversikt og kontroll på hvem som har tilgang på hva og til hvilken tid, slik at du lettere og raskere kan identifisere og stoppe eventuelle sikkerhetsbrudd.

2. Multifaktorautentisering

Multifaktorautentisering innebærer at brukere som har tilgang til dine data først må logge inn med eget passord, for deretter å motta en unik kode på en annen enhet. Dette sikrer at selv om uvedkommende skulle klare å få tak i en persons brukernavn og passord, vil de likevel ikke oppnå tilgang på kontoer, data og sensitiv informasjon.

3. Compliance

Mange virksomheter har lovpålagte krav på etterlevelse (Compliance). Dette innebærer blant annet krav til hvor sensitive data kan lagres. Det er kundens ansvar å sjekke om skyleverandøren har de rette sertifiseringene og oppfyller de juridiske krav som myndighetene stiller. Om din bedrift for eksempel håndterer kortdata, er det kravene til kortselskapene som må etterleves.

4. Overvåking, varsling og kontrolltiltak

Enhver større skybasert virksomhet er avhengig av å ha 24/7 sikkerhetsovervåking for å håndtere alarmer og datalogger, og bli varslet om noe skjer. Det er dessuten viktig å ha på plass klare kontrolltiltak; at man har en tydelig plan og prosedyre for hva som skal gjøres når det skjer et sikkerhetsbrudd – og ikke minst: hvem som skal agere.

Ny teknologi krever nye måter å tenke sikkerhet på

Domaas understreker avslutningsvis at siden det stadig dukker opp nye måter å utvikle applikasjoner på, er det viktig at sikkerhetstiltakene tilpasses kontinuerlig til arkitekturen og metodene som brukes.

– For eksempel krever bruken av mikrotjenester, serverless arkitektur eller DevOps, en annen sikkerhets-tankegang: Når man gjør containere til en del av tjenestearkitekturen, må man både sikre dem selvstendig, og samtidig sørge for at de automatisk varsler når det er et sikkerhetsbrudd, slik at man ikke bygger en falsk sikkerhet i containerne, sier han og avslutter:

– Hvis man aldri varsles om sikkerhetsbrudd skjønner jeg godt at man sover godt om natten, men da kan man fort få seg en overraskelse når man våkner igjen.