×
Annonse fra Delta V for
ANNONSE: – Sikkerhet er fortsatt ditt ansvar i skyen
(Bilde: Fredrik Formoe Solbrekken)

– Sikkerhet er fortsatt ditt ansvar i skyen


  • Delta V Dette er en annonse. Journalistene i Digi.no er ikke involvert i produksjonen.

Stadig flere velger skyen. Enten for å ta i bruk nye tjenester, eller for å flytte hele eller deler av driftsmiljøet. Ifølge sikkerhetsekspert Thomas Tømmernes i Atea, bør sikkerhet være det første du tenker på når noe skal ut i skyen.

Med mindre skyleverandøren formelt har påtatt seg ansvar for dataene, er du ansvarlig

Thomas Tømmersnes

– Fordelen med å kjøpe sikkerhet som en tjeneste i skyen er minst like stor som for alle andre sider av drift. Gjøres det riktig, slår du to fluer i ett smekk. Du får en sikrere løsning, samtidig som du kan konsentrere deg om de virkelig viktige sikkerhetsoppgavene, sier Tømmernes.

– Alt for mange trekker inn sikkerhetsaspektet alt for sent, og da eksponerer de virksomheten for unødvendig risiko, sier han.

Fortsatt ditt ansvar

Skyen – enten alt eller deler av virksomheten kjøres der – er et helt annet miljø enn det som står på datarommet. Følgelig må det sikres på en annen måte. Løsningene vi brukte i går, er ikke tilstrekkelige i skyen.

Rene skyløsninger må sikres av løsningsleverandøren, og deres sikkerhet og policies må integreres med virksomhetens egen sikkerhet. 

Ateas 5 minimumskrav til IT sikkerhet

  1. Alle må ha tofaktor-autentisering
  2. Alle må ha oppdatert antivirus
  3. Alle må ha en moderne brannmur
  4. Alle må ha en plan, for å få hjelp når de blir hacket
  5. Alle må ha jevnlige interne awareness/treninger

For virksomhetens sikkerhet er fortsatt ditt ansvar. Derfor er det viktig å sette seg nøye inn i hvordan leverandøren sikrer sine løsninger, og avstemme dette med egne rutiner og systemer.

Hvis en ekstern leverandør overtar forvaltningen av dine data, må du forsikre deg om at de gjør det på en tilfredsstillende måte. Det nye kravet i GDPR om selvmelding innen 72 timer dersom sensitive data er på avveie, er et godt eksempel på risikoen man tar.

– Med mindre skyleverandøren formelt har påtatt seg ansvar for dataene, er du ansvarlig for at en korrekt rapport går i tide selv. Skjer ikke det, er det du som rammes av straffebestemmelsene i GDPR.

– Det aller første spørsmålet du bør stille deg er derfor hvordan leverandøren din i det hele tatt oppdager et eventuelt tap av data, sier Tømmernes.

Eksempelet er bare toppen av isfjellet. Sikkerhet i skyen er et omfattende tema, og krever kompetanse både hos kjøper og leverandør.

Sørg for at det er bedre

Dagens arbeidstakere regner med at systemer og data skal være tilgjengelige døgnet rundt, og fra alle sine enheter, samme hvor de måtte befinne seg. Slike krav stiller helt andre krav til sikkerhet, enn det som kreves for å sikre en server i et rent klient-tjener miljø.

– For å bli mer tilgjengelig må tjenestene eksponeres mer. Det krever mer avansert sikkerhet, sier Tømmernes.

Det betyr at alle sikkerhetspatcher må gjøres fortløpende, og at de som gjør det er dyktig og oppdaterte fagfolk. Det må også være på plass systemer for å avdekke sikkerhetsbrudd og innsatsteam som automatisk settes i arbeid for å avdekke og rapportere eventuelle tap.

Trenden er at stadig mer av dette arbeidet gjøres av maskiner som kjører intelligente sikkerhetstjenester. Blir man angrepet av en maskin, må man beskyttes av en maskin, en menneskelig operatør er rett og slett ikke rask nok.

Man havner raskt i en posisjon der alle ressursene går med til å holde lyset på, rent operativt

Thomas Tømmersnes

Skyen er heller ikke noe entydig miljø. Derfor er det viktig å sette seg inn i hva man får og hvordan det leveres. Hvilke funksjoner er innebygget, og hva må leveres som tredje-part løsninger i tillegg.

Det er lett å stole på at leverandøren leverer absolutt alt, men det kan bli svært kostbart å oppdage manglene i ettertid.

– Du har 72 timer på deg

Tømmernes mener at det er svært godt grunner til at sikkerhet bør være det første som går ut i skyen, og bruker Atea sine egne tjenester som eksempel på hva som kreves.

Atea har tjenesten Security Console som samler alle logger man ønsker, avdekker eventuelle uregelmessigheter, disse går videre til et team med analytikere (SOC) som jobber 24/7 365 med å analysere hva avvikene er.

Oppdager Analytikerne kritiske hendelser, aktiverer de et 24/7 365 Krisehåndterings team (IRT) som automatisk rykker ut og begrenser/stopper hendelser. I tillegg vil IRT begynne fylle ut selvmelding til Datatilsynet i situasjoner der personopplysninger har kommet på avveie slik at GDPR er ivaretatt med hensyn til kravet om selvmelding innen 72 timer.

Selve prosessen med å ta systemene ut i skyen er ganske lik, om du er en liten eller stor organisasjon

Oscar Thøgersen

Under IRT-avtalen kommer det også regelmessige sikkerhet-scann av kundens miljø, noe som både vil gi kundene god kontroll og kunne gjøre preventive tiltak i takt med det dynamiske trusselbildet.

 – Sikkerhet må ivaretas på mange plan, ikke bare det rent operative. Man havner raskt i en posisjon der alle ressursene går med til å holde lyset på, rent operativt, sier Tømmernes.

– Da er det ikke sikkert at det er så mye ressurser igjen til det strategiske arbeidet, sier Tømmernes.

– Ulike organisasjoner har ulik modenhet

 

I disse dager vurderer mange å ta steget ut i skyen. På horisonten ser man at store systemer nærmer seg slutten av livssyklusen og vil på sikt miste støtten fra leverandøren. Det er en gylden sjanse for å ta steget ut i skyen for mange.

– Selve prosessen med å ta systemene ut i skyen er ganske lik, om du er en liten eller stor organisasjon. De fleste følger de samme stegene: kanskje begynner du med å teste en backup i skyen eller en annen tjeneste som er lav risiko. Dette er de første stegene til å lage en tankegang der skyen kommer først, og da er du virkelig i gang, sier Oscar Thøgersen, konsulentsjef public cloud i Atea.

Oscar Thøgersen i Atea veileder nye skybrukere ved hjelp av et godt etablert rammeverk utviklet av Atea selv.

Når en organisasjon har gjort de første eksperimentene med skyen, og utviklet den nye tankegangen, skal de store stegene tas og mer kritiske systemer tas ut i skyen.

– Da handler det om å lage en plan, en strukturert tilnærming for å utføre migreringen til skyen. For dette har Atea et rammeverk, Atea Cloud Delivery Framework, som vi jobber etter, forklarer Thøgersen.

Selv skybrukere trenger support

Rammeverket stipulerer  stegene og veileder en ny skybruker fra fra starten, og inn i implementeringen og videre til support gjennom levetiden. Underveis kommer noen av forskjellene på de ulike organisasjonene bedre til syne.

– Ulike kunder har ulike grader av modenhet, og ved hjelp av en modell som vi har utviklet, kan vi sette dem inn på rett sted i skyprosessen. Noen kan være mer avanserte, mens andre er mer mainstream og trenger mer veiledning.

Akkurat på supportdelen, er det store forskjeller på de ulike leverandørene. 

– Når du satt opp skytjenestene, må de også supporteres på en trygg og sikker måte og det er der teamet til Thomas kommer inn. Ingen har lyst til å sitte oppe på natta og overvåke tjenestene sine. Sørg derfor at den nye, sikre skyen din har support døgnet og året rundt, avslutter Thøgersen.

 

Kommentarer (0)

Kommentarer (0)
Til toppen