Är din information säkrare i molnet?

Din information kan absolut vara säker i molnet, rentav säkrare än på egna servrar. Men det betyder inte att du kan sluta tänka på säkerhet - du behöver bara göra det på ett annat sätt.

Författare: F-Secure Business Security Insider
Datum: 08.11.2016
Lästid: 4 Minuter

Är din information säkrare i molnet? Den kan absolut vara säker där, men låt dig inte luras att tänka att du kan glömma bort säkerhet bara för att du lagt över ansvaret på någon annan.

Det här är något som ibland dyker upp som en legitim fråga, ibland som en fundering i anslutning till ett direkt påstående. Det beror lite på avsändaren och som vanligt är det verkliga svaret här att det beror på. Det beror på många olika faktorer som både har med den egna organisationen att göra och med leverantören av molntjänster.

För att göra det hela lite enklare och lite mer överskådligt har vi sammanställt en lista i tio punkter som täcker in de allra viktigaste aspekterna av säkerhet i molnet:

  1. Många av oss är gamla nog att komma ihåg en tid där människor var oerhört skeptiska till säkerhet när det gäller molntjänster; Internet är en osäker plats, så därför måste det vara osäkert att lägga sin information där. Men lyckligtvis är detta en fas vi passerat och molntjänster kan vara ett bra alternativ, även för den säkerhetsmedvetna.
  2. Om vi ska vara ärliga här så lär leverantören av molntjänster – i de flesta fall – ha större kunskap och mer resurser att driftsätta och driva en säker miljö än din egen organisation har. Att använda en molntjänst är en utmärkt möjlighet att lägga ut en stor del av säkerhetsarbetet på en kompetent partner.
  3. Håll koll på hoten. Precis som i allt annat säkerhetsarbete så är det centralt att ha koll på och kontinuerligt analysera hotbilden för att ta bra beslut kring vad du verkligen behöver skydda – och skydda dig emot. Är du främst orolig för cyberbrottslighet, spionage eller att förlora din information? Hur allvarligt skulle det vara om informationen läckte ut, blev oläslig eller om tjänsten tillfälligt gick ner?
  4. Håll koll på var din leverantör av molntjänster har sin hemmamarknad, och var din information kommer att vara placerad rent fysiskt. Det kan finnas lagar som begränsar dig här. Detta blir såklart ännu viktigare om din organisation kan vara av intresse för underrättelsetjänster och liknande aktörer.
  5. Att outsourca till en molnleverantör betyder inte att du kan slappna av och sluta tänka på säkerhet, även om det är just det som molnleverantörens marknadsföring säger åt dig att göra. Säkerhet är fortfarande ditt ansvar, men du behöver lite annorlunda kunskap och erfarenhet i molnmiljön. Du behöver veta hur du utvärderar och håller koll på leverantörens säkerhetsnivå, och det skiljer sig från att drifta och driftsätta ett säkert system.
  6. Säkerhet måste vara högprioriterat i arbetet med att utvärdera olika leverantörer, hela vägen fram till dess kontraktet skrivs på. Om du varken letar efter säkerhet eller ställer krav på det i kontraktsskrivningen så är det ren bonntur om du får ett säkert system i slutändan.
  7. Den kanske tydligaste nackdelen med att lägga ut säkerheten på en annan leverantör är att du tappar kontroll. Du behöver sätta din tillit till din leverantör. Men det ska inte vara en blind tillit. Den verkliga utmaningen är helt enkelt att veta vem som är tillförlitlig.
  8. Utvärdera hur leverantören dokumenterar sina säkerhetsprocesser och de åtgärder som vidtas. Och undersök deras historik på området. En välhanterad säkerhetsincident är det kanske bästa betyget här. Att snabbt och transparent ha svarat mot en sårbarhet i systemet är ett bättre bevis på bra säkerhet hos leverantören än eventuella utfästelser om att ha en ”fläckfri historik” utan incidenter. I realiteten innebär det att leverantören antingen är helt inkompetent och aldrig upptäckt incidenter som inträffat, eller att de mörkar. Och det är det sista du vill om någon försöker stjäla din information!
  9. Glöm inte bort att användaren ofta är den svagaste länken. Det spelar ingen roll hur säkert molnet är, det är kört om en användare frivilligt delar med sig av användarnamn och lösenord. Många molntjänster är exempelvis tillgängliga via mobilappar och om dessa inte kräver inloggning varje gång, eller har någon form av tvåfaktorautentisering här så hänger säkerheten på hur bra koll enskilda användare har på sin telefon – snarare än på leverantörens säkerhetsarbete.
  10. Ja, inloggning och autentisering är en svag länk i de flesta system. Ställ krav på tvåfaktorautentisering, och att systemet är enkelt och smidigt nog att det är rimligt att kräva att samtliga användare använder det.

Det är klart att det går att sammanställa en liknande lista på teknisk nivå, med funktioner och lösningar som organisationer borde ha på sin kravlista gentemot molnleverantören. Men det lämnar vi till ett kommande inlägg. Att migrera till molntjänster – och outsourcing överlag – handlar om att lägga mindre fokus och energi på de tekniska detaljerna och istället satsa på att välja rätt leverantör och hålla koll på vad som händer på ett mer övergripande plan.

Sammanfattningsvis – var inte rädd för molnet. Fördelarna är klara och det råder ingen större tvekan om vart vi är på väg. Molnet kan mycket väl vara säkrare än dina egna system. Men låt dig inte luras att du kommer att kunna sluta bry dig helt och hållet om säkerhet, bara för att du migrerat till molnet.


One thought on “Är din information säkrare i molnet?


Lämna ett svar

Fyll i dina uppgifter nedan eller klicka på en ikon för att logga in:

WordPress.com Logo

Du kommenterar med ditt WordPress.com-konto. Logga ut / Ändra )

Twitter-bild

Du kommenterar med ditt Twitter-konto. Logga ut / Ändra )

Facebook-foto

Du kommenterar med ditt Facebook-konto. Logga ut / Ändra )

Google+ photo

Du kommenterar med ditt Google+-konto. Logga ut / Ändra )

Ansluter till %s