Sikkerhet i nettskyen – din sjekkliste

Sikkerhet i nettskyen – din sjekkliste

(bilde: forsking.no)

Teksten er fra en Whitepaper fra Visma Software

Sikkerhet har lenge vært et viktig evalueringspunkt i forhold til bruk av nettskyløsninger i næringslivet. Plassering av programvare og data i nettskyen har lenge vært ansett som mindre trygt.

Denne bekymringen har bidratt til at det fortsatt er kun 3 av 10 norske bedrifter med minst 10 ansatte som har tatt i bruk nettskytjenester (SSB 2014). Blant selskaper med over 100 ansatte ligger andelen på nærmere 50 prosent, men jo mindre selskapene blir, jo lavere er sjansen for at man tar i bruk skyløsninger. Bare 25 prosent av norske selskaper med 10-19 ansatte kjøper skytjenester. Dette til tross for stor publisitet og «hype» om effektiviserings- og kostnadsgevinster knyttet til å ta i bruk tjenester i nettskyen.

Taler sikkerhetshensynet for eller imot at du og din bedrift skal flytte programvare og data opp i nettskyen? Hvilke sikkerhetshensyn må du være observant på ved valg av skyløsning og tjenesteleverandør?


Viktigheten av informasjonssikkerhet

Viktigheten av sikkerhet varierer både når det gjelder bransjer samt fra bedrift til bedrift. Det er ingen tvil om at datasikkerhet er et moment som bør spille en rolle i vurderingen av programvareløsninger. Det viser seg nemlig at omfanget og risikoen knyttet til informasjonskriminalitet er større enn mange tror.
Tall fra Mørketallsundersøkelsen fra Næringslivets sikkerhetsråd (2014) gir en klar indikasjon på dette. Da norske virksomheter ble spurt om de hadde vært utsatt for datainnbrudd (hacking) i 2014, svarte kun 4 prosent ja. Nasjonal sikkerhetsmyndighet (NSM) og sikkerhetsselskapet Mnemonic benyttet sensornettverk og overvåkningssystemer for å spore datainnbrudd på et utvalg bedrifter, oppdaget de datainnbrudd hos henholdsvis 50 prosent og 66 prosent av utvalget.

Dette understreker at lokale løsninger ikke nødvendigvis er en garanti for høy datasikkerhet. Fallgruvene er mange, og dette er noen av de vanligste:
•    Sviktende lokal nettverkssikkerhet
•    Utrygge driftsmiljøer, med tanke på tyveri, strømbrudd, brann eller annen skade
•    Utilstrekkelig overvåkning av programvare og komponenter
•    Manglende rutiner for sikker informasjonsdeling
•    Flyt av sensitive data mellom sikre jobbenehter (PC, nettbrett, mobil) og usikre private enheter.
•    Utilstrekkelige rutiner for sikkerhetskopiering

Det er ingen automatikk i at lokalt installerte systemer gir en tilfredsstillende grad av datasikkerhet. Tvert imot viser det seg ofte at de kan være vanskelig å sørge for at programvare og data blir behandlet, samt ivaretatt på en trygg og god måte internt.


Datasikkerhet i nettskyen

Sikkerhetsmessig er det spesielt to viktige ting som er annerledes med skybaserte løsninger i forhold til lokale løsninger. Begge er en konsekvens av den formen for outsourcing som skytjenester innebærer:

–    Ekstern infrastruktur: Med en skyløsning befinner server, programvare og data seg i en ekstern infrastruktur. Dine verdisaker flyttes ut av ditt eget hus og opp i skyen. Dette vil ofte medfølge betydelige sikkerhetsmessige forandringer.
–    Eksternt sikkerhetsansvar: med forflytting av server, programvare og data er det ikke lenger i samme grad din bedrift som har ansvar for verdisakene. Driftssikkerhet, oppdateringer, overvåkning, sikkerhetsmekanismer og mye annet blir nå i hovedsak ansvaret til leverandøren.

Grunnen til at bedrifter velger å outsource er ofte fordi behovene de har blir bedre ivaretatt av en ekstern aktør, enn om oppgavene tas hånd om internt. Ved å ta i bruk skyløsninger er det også andre fordeler som blir tatt hånd om som for eksempel effektivisering, tilgjengelighet, skalerbarhet og prising.


Sikkerhetsgevinster i skyen

De gode nyhetene er at bruk av skyløsninger i dag ofte kan gi styrket sikkerhet sett i sammenheng med lokalt installerte løsninger og lokal datalagring. Når infrastrukturen og sikkerhetsansvaret er flyttet fra internt til eksternt, medfører det i utgangspunktet en rekke sikkerhetsmessige fordeler:
•    Du kan redusere investeringen av tid og penger i ressurser og kompetanse på in-house datasikkerhet. Viktige aspekter av sikkerhetsarbeidet til en profesjonell aktør.
•    Risikoen for tyveri, brann, vannlekkasje og andre skader elimineres, forutsatt at driftsmiljøet til skyleverandøren er trygt.
•    Vedlikehold og sikkerhetsoppdateringer er automatisert, slik at du aldri benytter utdatert og dermed sårbar programvare.
•    En skyløsning er vanligvis standardisert, slik at kompleksiteten i programvaren er redusert – det gir lavere risiko for sikkerhetshull enn ved tilpassede løsninger
•    Redundante dataressurser, det vil si at kapasiteten automatisk avlastes ved behov
•    Redundante strøm- og kommunikasjonslinjer, det vil si at en ny linje automatisk trår inn dersom en linje feiler.


Sjekkliste for trygge skyløsninger

1.    Foregår innlogging i skyløsningen via en kryptert forbindelse?
2.    Har skyløsningen brannmur for å hindre autorisert tilgang?
3.    Har leverandøren et operasjonssenter som sørger for kontinuerlig overvåking av programvare og komponenter?
4.    Har driftsmiljøet for løsningen varslingssystemer og forebyggende systemer for å hindre brann, tyveri og andre risikomomenter?
5.    Omfatter løsningen sikkerhetskopi av alle data på to ulike steder?
6.    Er leverandøren en solid og stabil aktør i markedet?
7.    Har leverandøren relevante ISO-sertifiseringer (f.eks ISO 9001 – sertifiserte salg, support og utviklingsprosesser, og ISO 20001 – sertifisert IT-drift?)
8.    Er serverne til løsningen lokalisert i et land hvor du kan forvente at myndighetene vil respektere bedriftens integritet?

PCSS leverer forretningsløsninger til små og mellomstore bedrifter. Vi leverer et bredt spekter av fullt integrerte løsninger. Siden vi er en Visma Forhandler leverer vi løsninger i nettskyen som er spesialdesignet for å effektivisere prosessene knyttet til følgende områder:

 

–    Regnskap og bokføringVisma.net Financial og Visma.net Logistics

–    Fakturering og fakturamottakVisma.net AutoInvoice og Visma Dokumentsenter

–    ReiseregningerVisma.net Expense

–    Ferie og fraværVisma.net Absence

–    Kundehåndtering, markedsføring og salgVisma SuperOffice Online


For spørsmål rundt dette må du gjerne kontakte oss for en uforpliktende prat.

Kontakt oss på support@pcss.no eller ring vårt sentralbord på 400 69 400

Tags: , , , ,