<img height="1" width="1" style="display:none" src="https://www.facebook.com/tr?id=498504343650697&amp;ev=PageView&amp;noscript=1">
/ 22.04.2022 IT-sikkerhet

5 myter om sikkerheten til skytjenester du burde vite om

Abonner på nyhetsbrev

Når kostnadene til driftskritiske råvarer øker og budsjettene i offentlig sektor må dekke stadig nye oppgaver, blir digitale skytjenester løftet frem som et feltene hvor det er store gevinster å hente.

Og trenden er tydelig - bruken av skytjenester øker for hvert år som går. Allerede i 2019 brukte 94 % av virksomheter skytjenester i en eller annen form, og summene brukt på offentlige skytjenester i verden er estimert å gå fra 229 billioner dollar i 2019 til over 500 billioner i 2023.

Det er kanskje ikke så rart når man ser fordelene, de er enkle å ta i bruk, har lave kostnader, gir tilgang til ny teknologi og nyskapende løsninger, de er fleksible og lettere å skalere enn tradisjonell IT....

Men hvor trygge er skytjenestene egentlig? Og hvordan kan en virksomhet ta i bruk skyen på en måte som faktisk gjør driften tryggere, mer effektiv og som gjør at virksomheten sparer penger?

Hva er skytjenester?

Skytjenester er kort fortalt en annen måte å drifte IT-tjenester på. Det kan være et enkeltstående program, en hel verktøykasse av ulike programmer eller servere hvor du kan kjøre egne programmer. Forskjellen er at driften ikke skjer lokalt i virksomhetene eller hos en driftsleverandør men via profesjonelle miljøer som selger tjenestene over nettet som de er (as a Service).

Mange virksomheter er forsiktige med å ta i bruk skyen, bekymringer om informasjonssikkerhet og personvern er det som oftest er årsaken til at man venter. Nedenfor hjelper vi deg med å avkrefte 5 myter om sikkerheten i skyen slik at din virksomhet kan ta de riktige valgene.

 

Myte #1: Skytjenester er utrygge

Dette er den vanligste myten som går igjen om skytjenester. Sannheten er at skytjenester er ansett som tryggere enn tradisjonelle lokalt driftede løsninger. Skyleverandører har bedre kompetanse og flere ressurser til å ivareta sikkerheten enn interne avdelinger grunnet størrelsen på virksomhetene. Dette gjelder blant ennet både fysisk sikring av datasentre og rutiner for digital sikkerhet, oppdateringer, overvåkning, deteksjon og prevensjon av angrep. Skyleverandører satser svært tungt på sikkerhet i alle ledd. I det digitale våpenkappløpet hvor nye sikkerhetshull oppdages daglig og tas i bruk umiddelbart, gjør skytjenesters raske oppdateringsfrekvens at man ikke er avhengig av at egen IT-avdeling ruller ut egne sikkerhetsoppdateringer.

Myte #2: Vi bruker ikke skytjenester i dag

I mange virksomheter som bruker tradisjonelle IT-løsninger er dette en rådende virkelighetsoppfatning. Sannheten er at så å si alle virksomheter bruker skytjenester i en eller annen form enten det er sanksjonert eller ikke. Skytjenester er per definisjon enkle og billige å teste og ta i bruk. Dette betyr at virksomheter som er tilbakeholdne når det kommer til å prøve ut ny teknologi vil oppleve skygge-IT – at fagmiljøer og enheter på eget initiativ tar i bruk tjenester som ikke er velsignet av virksomhetens IT-avdelinger.
Tallenes tale er tydelig - en norsk undersøkelse fra 2019 viste at alle virksomheter benytter skytjenester i større og mindre grad. Når digitale tjenester tas i bruk uten at disse er satt opp i tråd med virksomhetens prinsipper for arkitektur og informasjonssikkerhet, utgjør det en stor fare for datalekkasjer og angrep som kan lamme driften. Den beste måten å forhindre dette på er ikke å slå hardt ned på skygge-IT, men å endre tankesettet sitt til å bli «cloud-first», lytte til virksomhetens behov og være åpen for å ta i bruk ny teknologi.

Myte #3:

Det er bedre å ha kontroll på våre sensitive data selv enn å gi dem til en ekstern leverandør med datasenter i utlandet

Mange tenker at skytjenester kan tas i bruk for enkelte prosesser og datatyper men at særlig sensitive data burde ligge i en tradisjonell/lokal tjeneste. Dette blir å snu sikkerhetssituasjonen på hodet – når skytjenester er ansett som tryggere enn tradisjonelle løsninger betyr dette at de mest sensitive dataene man har lagres på den minst trygge måten. Juridiske krav om datalagring i Norge er heller ikke en hindring lenger da flere og flere skyleverandører tilbyr datalagring i Norge.

 

Myte #4: Skyleverandøren er ansvarlig for IT-sikkerheten

Mange som tar i bruk skytjenester lener seg tilbake i stolen, vel vitende om at sikkerheten nå er bedre enn før. Her følger det et stort men: Din virksomhet er selv ansvarlig for sikkerheten og må forsikre seg om at tjenesten man tar i bruk er trygg nok.

Gjennom gode risikovurderinger som tar for seg aktuelle skyleverandør, deres sikkerhetsrutiner, informasjonens karakter og potensielle trusselscenarioer, kan man velge en tjeneste som ivaretar sikkerheten på et tilstrekkelig nivå. Skytjenester har ikke en økt risiko ved seg, men risikoene ved denne typen tjenester er annerledes enn for tradisjonelle tjenester. Alle skyer er unike og tilbyr ulike sikkerhetsmekanismer som kryptering, data duplisert i ulike datasenter, overvåkning, sikkerhetslogger, to-faktor autentisering og mye mer. Ofte må imidlertid disse funksjonene skrus på av kunden selv. Når du skrur til sikkerheten i tjenestene du kjøper, er det viktig å balansere sikkerhet med brukervennlighet og effektive arbeidsprosesser. 

Myte #5: Privat sky er tryggere enn offentlig sky

Hva er privat og offentlig sky?

Privat sky er en skytjeneste som driftes for en enkelt virksomhet. Offentlig sky er tjenester som selges åpent og er tilgjengelig for alle som ønsker og kan betale for den.

Å ta i bruk en privat skytjeneste som kun er tilgjengelig for en selv kan fremstå som et fristende første steg ut i skyen. Dette ved at du får de mulighetene skytjenester tilbyr, uten risikoen for samrøre med andre virksomheter eller at dataene ligger hos en fremmed leverandør.

Sannheten er at private skytjenester ofte er dyrere å drifte (siden man går glipp av stordriftsfordelene), de har heller ikke de samme sterke fagmiljøene når det gjelder fysisk og digital sikkerhet. Det som imidlertid er viktigst er at de ofte er lettere å hacke! Når du autentiserer deg til en privat skytjeneste må du inn i ett sikkerhetsnivå, mens offentlige skytjenester ofte autentiserer deg to ganger – en gang for selve tjenesten og en til for den delen av tjenesten din virksomhet benytter.

 

Snakk med en sertifisert rådgiver innen informasjonssikkerhet, gdpr, risikovurderinger og revisjoner

}