Skytjenester har utvilsomt åpnet opp for muligheter til modernisering, effektivisering og transformering av tjenester og drift. Vurdering av risiko og sikring av verdier, og mangel på kunnskap og ferdigheter, utfordrer en vellykket skystrategi. Enten virksomheten er på vei til å flytte verdier og data til skyen, eller allerede har, må den forholde seg til viktige spørsmål omkring cybersikkerhet.
Skytjenester definerer vi her som tjenester som leveres over nett, og hvor en ekstern leverandør står for infrastruktur for lagring, databehandling, og drift av plattformer og programvare. Tjenestene leveres oftest parallelt til et stort antall kunder gjennom standardiserte tjeneste- og avtalevilkår. En skytjeneste skaleres dynamisk ved kapasitetsbehov ved at det som regel betales for faktisk bruk, og data lagres som oftest på flere lokasjoner, også utenfor Norges grenser.
En rekke utfordringer med skymodellen må adresseres før en tar fatt på en migrering, og som ansvarlig bør du blant annet spørre deg – har virksomheten god nok oversikt over hvilke verdier som skal til skyen, og hvordan ivaretas sikkerheten for disse?
Bruk av skytjenester innebærer på mange måter tilsvarende risiko som ved tradisjonell utsetting av IKT-drift, og vurderinger av risiko og sårbarhet kan knyttes til valg av leverandør, lokalisering, kommunikasjonskanaler, og arkitektur.
Naviger til
Risikovurdering – planlegging og gjennomføring
Valg av leverandør – avtaleforhold
Sikkerhet i skyen
Vi anbefaler at risikovurderinger alltid gjennomføres før skytjenester tas i bruk, ved etablering eller endring i informasjonsbehandlingen, ved større konfigurasjonsendringer, når det oppstår avvik av betydning, og alltid ved uautorisert utlevering av informasjon med betydning for konfidensialitet, og som en del av kontroll og oppfølging. Risikovurderinger står med andre ord sterkt i enhver skystrategi.
Tillit er en sentral faktor i vurderingen av skyløsninger og -leverandører, og innkjøper har sjelden kjennskap til leverandørens infrastruktur, lokasjon, rutiner, sikkerhetspraksis og sikkerhetskultur. Resultatet av en risikovurdering vil derfor bli målestokken for hvor mye din virksomhet selv klarer og håndtere, og hvor mye som kan tillegges leverandøren.
Det er også viktig at valgt leverandør har prosesser for å identifisere, vurdere og håndtere trusler, og at de har etablerte rutiner for å begrense sårbarhetene.
Gjennom etablerte rammeverk og en godt utprøvd metodikk kan våre eksperter innen risikovurdering og sårbarhetsstyring bistå din virksomhet i denne viktige og omfattende fasen, og sammen legger vi grunnlaget for en solid skystrategi.
Det er viktig å huske på, som NSM understreker, at «virksomheten selv har alltid sikkerhetsansvar uansett hvem som kjører tjenesten, hvor tjenesten kjører og hvem som drifter tjenesten. Ansvar tilhører egen virksomhet enten det benyttes eksterne skytjenesteleverandører eller om det er en «on-prem»-løsning.»
Fordelingen av dette ansvaret varierer derimot avhengig av tjeneste, leverandør og avtaleforhold, og vi anbefaler våre kunder å gjøre vurderinger opp mot for eksempel:
Ved evaluering av avtaleforhold i forbindelse med flytting til skyen bør en tenke godt gjennom hvem i egen virksomhet som sitter med hvilket ansvar, og hva dette innebærer. Virksomhetens øverste ledelse er ansvarlig for det overordnede personvernet og informasjonssikkerheten i virksomheten, inkludert alle stakeholdere.
For å ivareta ansvaret delegeres ofte operative oppgaver til andre roller internt eller hos en ekstern part (databehandler). Det er slik outsourcing av drifts- og systemutviklings-oppgaver til eksterne leverandører (i andre land) som reiser en rekke sikkerhets- og beredskapsutfordringer.
Fordelingen av ansvar ved migrering til skyen må tas på alvor. Leverandøren av skytjenesten tar ansvar for å sikre denne. Da utelukkes mer eller mindre ansvarsfølelsen for din virksomhet og deres data. Disse linjene er viktige å gå opp når en inngår avtaler med skyleverandører. Dette spesielt fordi leverandøren kan holde et lavere sikkerhetsnivå enn din virksomhet, og som innkjøper har virksomheten derfor et ansvar for å se hva som ligger bak store ord og løfter i markedsføringen.
Med lang og bred erfaring innen avtaleinngåelse og leverandørvurderinger bistår vi kunder innen privat og offentlig sektor på denne viktige fasen i en skyanskaffelse.
For personvernet og informasjonssikkerheten kan det være flere fordeler ved bruk av skytjenester:
For en solid skystrategi anbefaler vi alltid våre kunder å følge veletablerte rammeverk og beste praksis (som NSMs Grunnprinsipper) også når alle data behandles og lagres av tredjeparter i skyen.
En annen trussel mot skysikkerheten er virksomhetens egen mangel på oversikt. Ikke bare over hvilke data som lagres og behandles hvor (og av hvem), men over endepunktene som har tilgang til data, over hvilke brukere som har autorisasjon, over det stadig endrende trusselbildet, og over sårbarhetene som kan utnyttes av trusselaktører.
God sikkerhetskultur forblir også viktig, selv når en ikke har data «on-prem» - derfor skal virksomheten være bevisst på valg av kommunikasjonskanaler i skyen, sørge god opplæring og bevisstgjøring om informasjonssikkerhet i virksomheten, sikre gode varslingsrutiner ved feil og hendelser, og bygge en solid sikkerhetskultur blant sine ansatte.
Som ved «tradisjonell» IKT-drift har virksomheten ansvar for at krav til tilgjengelighet, integritet og konfidensialitet også ivaretas i skystrategien.
Ta kontakt med oss for en uforpliktende samtale om hvordan våre rådgivere og eksperter kan bistå din virksomhet med planlegging, gjennomføring og oppfølging av skystrategien. Sammen med dere sørger vi for at virksomhetens data og verdier er trygge også i skyen.
