Kjenner du sikkerhetsproblemene i skyen?

Etter hvert som virksomheter utvider bruken av skytjenester, støter mange på sikkerhets- og compliance-problemer knyttet til skyen. Kjenner du sikkerhetsproblemene med skyen?

Mange virksomheter er ikke klar over kompleksiteten knyttet til en multiskyløsning. De kaster seg bare ut i det, og håper at alt vil fungere på mirakuløst vis. Men i de fleste tilfeller gjør det selvsagt ikke det. Andre vet faktisk ikke at de har en multiskyløsning, selv om de bruker programvare som en tjeneste (SaaS) sammen med andre skytjenester. De blir først oppmerksomme på den komplekse skyløsningen de har, når det inntreffer en hendelse som eskalerer.

Problemer knyttet til virksomhetens sikkerhet i skyen stammer vanligvis fra følgende to hovedområder: en total mangel på oversikt over virksomhetens eiendeler og ressurser i skyen, og en feilaktig oppfatning av sikkerhetsansvaret virksomheten deler med skytjenesteleverandørene. Det gjør at vi ofte ser sikkerhetsproblemer, for eksempel datalekkasjer og datatyveri, som kunne vært forebygget og forhindret.

Frem til 2022 vil minst 95 prosent av sikkerhetsbruddene i skyen skyldes kunden, ifølge Gartner. Det er derfor helt avgjørende at IT-direktører designer og planlegger skyadopsjonen nøye, og ser på hvorfor de vil flytte til skyen og hvilke hovedmål de har.

Hvis de for eksempel vil ha raskere lanseringer av nye tjenester eller redusere kostnadene, må de ha dette i tankene i designprosessen og vurdere et samarbeid med en tjenesteleverandør for å nå målet. Ulike skymodeller og skyleverandører har forskjellige risiko- og kontrollmekanismer, noe som må gjenspeiles i skydesignen. IT-direktører må i tillegg implementere og håndheve retningslinjer rundt eierskap, risikoer, governance og ansvar knyttet til skybruken.

Flere sikkerhetsaspekter knyttet til skyen

Multiskyløsninger øker trusselbildet betraktelig. Virksomheter må ha kunnskap om hvordan de utvider sikkerheten for å håndtere økt skybruk og datasentre på flere steder. Samtidig må de sørge for at virksomhetens ressurser og arbeidsbelastning kontinuerlig spores og sikres.

Det å bruke multiskyleverandører byr på en rekke fordeler som skalerbarhet, fleksibilitet og smidighet, men det gir også flere potensielle sårbarheter. Virksomheter må for eksempel være oppmerksomme på og ta hensyn til forskjeller i API-ene for tjenestene de bruker fra ulike skyleverandører. Når en virksomhet oppretter en ny virtuell maskin, tar de kanskje for gitt at alle skyleverandører har brannmurer som er aktivert som standard, men det er ikke alltid tilfelle. Det er heller ikke sikkert at brannmurens standardregler filtrerer ut de samme tilkoblingsforespørslene.

Virksomheter må også være oppmerksomme på at de med en multiskyløsning bruker og oppretter ressurser i flere datasentre på flere steder. Det er derfor viktig at de vet hvordan skyleverandørene opererer og kjenner regelverket som gjelder basert på ulike driftslokasjoner og kontraktsmessige krav. Virksomheter bør forvente at skyleverandørene overholder samsvarsrammeverk som ISO 27001 for ledelsessystemer for informasjonssikkerhet, og ISO 20000-1 som er den internasjonale standarden for styringssystemer innen IT-tjenester. Mange skyleverandører tillater også at virksomheter har egne internasjonale (eller bransjespesfikke) regelverk og driftsrevisjoner for å måle tredjepartsrisiko.

Samlet gir alt dette et svært komplekst bilde – et bilde som mange virksomheter synes er skremmende. De må ha en enhetlig sikkerhetsstrategi på tvers av alle skyleverandørene for å minimere risikoen. Det krever at virksomhetene har IT-kompetanse og juridisk ekspertise internt som kan pusle sammen de ulike delene av multiskyløsningen til et komplett bilde.

Alternativt kan de samarbeide med en solid og pålitelig partner som håndterer de komplekse oppgavene knyttet til multiskymiljøet for dem. Orange Business har for eksempel utviklet en profesjonell tjenestekatalog som gir kundene mulighet til å velge de multiskytjenestene de trenger – fra skydesign og migrering til sikkerhetsvurderinger og overvåking. Det bidrar til at virksomhetene får best mulig utbytte av skyinvesteringene.

Slik kan du forhindre et cyberangrep

Problemer med skygge-IT

Det er dessverre slik at skyadopsjon som ikke er godkjent på tvers av avdelinger, fremdeles er et problem. Mange virksomheter undervurderer fremdeles i altfor stor grad mengden uautoriserte skyapplikasjoner som brukes. Det vil si applikasjoner som ikke er godkjent av IT-avdelingen.

Ponemon Institute utførte nylig en undersøkelse blant medarbeidere innen IT og IT-sikkerhet. Her anslås at bare 25 prosent av disse er helt sikre på at de har oversikt over alle skytjenestene virksomheten bruker.

I den forbindelse er sikkerhet, databeskyttelse og kostnader de største problemene. IT-avdelingen må ta tilbake kontrollen før skygge-IT i skyen løper fullstendig løpsk. Det innebærer at IT-avdelingen må godta at deres rolle har endret seg fullstendig – fra å utvikle og levere ressurser til å velge og administrere ressurser. IT-avdelingen kan ikke hindre at forretningsenheter skaffer seg tjenestene de vil ha. De kan og bør gi råd om hvilke tjenester som er best, og sørge for at tjenestene verifiseres og kontrolleres slik at de kan holde styr på budsjetter og ivareta sikkerheten.

Sikre multiskyutviklingen

IDC anslår at over 90 prosent av virksomheter vil bruke flere skytjenester og skyplattformer innen 2020. Det betyr at det kreves et nytt tankesett for å sikre at virksomhetene har tilstrekkelig databeskyttelse og ende-til-ende-synlighet rundt ressursene. Et tankesett med fokus på design.

Akkurat nå er nemlig dårlig design den største trusselen for virksomheter som flytter til skyen eller utvider multiskyløsningen. Dårlig design resulterer først og fremst i store sikkerhetshull og at skytjenester brukes på en uforsvarlig, ineffektiv og feilaktig måte. En problemfri flytting til skyen er en flytteprosess som bygger på en velorganisert og gjennomtenkt designplan. Og som har riktig kompetanse på plass i alle ledd av prosessen, fra idéstadiet til oppbygging og drift.