Home » Digitalisering » Dette er du nødt til å tenke på før du tar i bruk en skyløsning
cloud computing

Dette er du nødt til å tenke på før du tar i bruk en skyløsning

Foto: Getty Images

Cloud computing, eller skytjenester, har i mange år ikke bare vært et buzzword, men en realitet både i offentlig og privat sektor. Kostnadene ved å ha en lokal IT-avdeling er for de fleste større enn det man må betale for å sette ut IT-leveransen til en profesjonell IT-leverandør som bruker skyløsninger.

Bedrifter har i mange år satt ut IT-tjenester til eksterne, og internett var tidlig brukt som basis for infrastruktur. Men med dagens antall av leverandører, underleverandører, nett-topologier, ulike behov for integrasjoner, med mer, gjør bildet mye mer komplekst. Selv om prosessen for å sette ut IT for en virksomhet ikke er så forskjellig fra tidligere, har en virksomhet i dag mange flere parametre å forholde seg til enn før.

Kjenn din virksomhet

Det kan virke som en selvfølge, men det aller viktigste er å kjenne sin virksomhet så godt at man vet hva som skal beskyttes. For å kunne omsette kjennskapen til krav som skal formidles til en leverandør, kreves en systematisk tilnærming. Dette er en viktig aktivitet, ettersom virksomheten fortsatt selv vil være den som er ansvarlig for IT-systemer, administrative eller produksjons-prosesser, ledelse som må selv stå til rette for både interne og eksterne prosesser. For å kjenne sin virksomhet er det spesielt to aktiviteter som må gjennomføres:

1. Verdivurdering: Denne aktiviteten vil kartlegge de verdier virksomheten er avhengige av for å nå sine mål.  

2. Risikovurdering: Denne aktiviteten er som regel todelt med risikovurdering knyttet til virksomheten slik det foreligger før en tar i bruk en skyløsning og hva det vil medføre å ta i bruk en skyløsning.

Resultatet av disse to aktivitetene og eksisterende sikkerhetspolicyer/sikkerhetsrutiner vil danne en kravliste for sikkerhet til skyleverandøren.

Krav-dokumentet

Skal du bruke en skyløsning som en del av produksjonen i din virksomhet, er det viktig at kravsettet som utarbeides for skyløsningen dekker helheten i en slik anskaffelse. Alt fra hvordan sikkerhet skal ivaretas når skyløsningen skal integreres i virksomheten og de eksisterende IT-systemer som fortsatt skal benyttes, via sikkerhet i forvaltning og oppfølging av leveranser, til hvordan tilbakeføring av data og funksjoner skal gjøres sikkerhetsmessig forsvarlig for virksomheten ved opphør av tjenesten.

For å kunne ha en god oppfølging av sikkerheten i skytjenesten er det nødvendig at virksomheten selv har et system for oppfølging. Med en strukturert tilnærming til oppfølging av sikkerhetskravene er man et godt stykke på vei. Det er viktig gjennom kravstillingen å sikre seg at leverandøren har et styringssystem for sikkerhet, og at virksomheten får nødvendig innsyn i dette til å kunne ivareta kontrollen av leveransen, samt at leverandøren står for avviks- og sikkerhetsrapportering til virksomheten.

En må kreve av leverandøren å få en oversikt over hvem som kommer i befatning med virksomhetens informasjon, hvor informasjonen lagres og hvordan den skilles fra andre virksomheters informasjon. Krav til kryptering for overføring og lagring, samt nødvendig detaljering av tilgangsstyring er en selvfølge i kravdokumentet. Det er viktig å sikre seg at leverandøren har nødvendig sikkerhetsmessig overvåking for leveransen, rutiner for varsling, og at hendelseshåndtering er koordinert din virksomhet. Krav i forbindelse med terminering må omhandle eierskap til informasjon, prosess for tilbakeføring av informasjon og sikker sletting hos leverandøren. En eventuell databehandleravtale skal inneholde hvordan sikkerheten ivaretas.

Sikkerhetskompetanse

For å være i stand til å vurdere risiko på en god måte, og kunne utforme gode sikkerhetskrav, vil det være nødvendig at virksomheten har egen sikkerhetskompetanse, eller leier inn en tredjepart. Da vil man utfylle den øvrige kompetansen som er nødvendig ved inngåelse av en kontrakt med en skytjenester.

Olav Sønsteby

Seniorrådgiver i NorSIS

Ivar Kjærem

Seniorrådgiver i NorSIS

Av Olav Sønsteby og Ivar kjærem, seniorrådgivere i NorSIS

Nesta artikkel