Ignorer kommandoer på båndet
Gå til hovedindhold
< BACK

Kontroller sikkerhed og privacy gennem skyen

​For mange virksomheder giver sikkerhed og privacy anledning til bekymring, når det omhandler migrering til cloud-services. Cloud-leverandører kan ofte fremvise en lang, omfattende liste med forskellige standarder og certifikater, som bevis på deres evne til at efterleve compliance. Men er det ensbetydende med, at du kan slappe af og føle dig sikker, når du migrerer til skyen?

Jeg har talt med en lang række beslutningstagere om deres bekymringer i forhold til at skulle migrere virksomhedsdata til cloud services, og heldigvis har størsteparten en risikobaseret tilgang. De forstår sig på forretnings-kritikalitet, dataklassifikation, trusler og risici – og de udfører en høj grad af kontroller for at mindske de uacceptable risici.

Desværre ser nogle af beslutningstagerne cloud services som "sorte bokse" og tror, at cloud-leverandørerne som standard leverer tilstrækkelig databeskyttelse, når det kommer til sikkerhed og privacy. Nogle har fejlagtigt en opfattelse af, at cloud-leverandørerne er forpligtet til at beskytte kundedata opbevaret på leverandørens cloud services.

Jeg overbeviser som regel sidstnævnte gruppe ved at henvise til den Internationale Organisation for Standardiserings (ISO) standarder for cloud computing. De forklarer nemlig meget konkret, at cloud-kunder selv er ansvarlige for at beskytte deres data.

Løsningen er at fokusere langt mere på det kontraktlige, for her er behov for større opmærksomhed. Det vil kræve tid og nye færdigheder i it-afdelingerne.

Understøttelse af ISO-standarder

Den Internationale Organisation for Standardisering (ISO) udvikler globale og anerkendte standarder for næsten alt. Mere end 160 lande deltager i udviklingen af standarderne og 75 procent af de nationale institutioner skal godkende standarderne før de frigives.

Mange selskaber har i dag implementeret ISO27001 standarden i deres organisation. Standarden beskriver, hvordan man implementerer og driver et Information Security Management System (ISMS) og kontrollerer de risici, der eksisterer for virksomhedens informationsaktiver. Standarden inkluderer fem obligatoriske klausuler og 114 frivillige kontroller.  ISO27002 standarden giver best practices anbefalinger for implementeringen af disse kontroller. Kontrollerne sættes først i værk, når man skal afhjælpe en identificeret trussel mod organisationen. ISO har frigivet standarderne ISO27017 og ISO27018, der relaterer til cloud computing. Standarderne er beregnet til at blive brugt sammen med ISO27002 standarden. Standarderne beskriver specifikke implementeringsguider i henhold til eksisterende ISO27002 kontroller og giver et sæt yderligere kontroller og vejledninger, som ikke adresseres af ISO27002 kontrolsættet.

ISO27017 standarden for cloud computing sætter retningslinjer for implementeringen af informationssikkerhedskontroller. Standarden fastslår, at: "cloud-kunden skal styre brugen af cloud services på en sådan måde, at det lever op til dets informationssikkerhedskrav …" og "cloud-kunden skal muligvis implementere yderligere kontroller selv for at afhjælpe risici."

ISO27018 standarden for cloud computing giver retningslinjer for implementeringen af kontroller, der beskytter personhenførbare data (PII). Her understreges cloud-kundens ansvar for egne data også: "…cloud-kunden har myndighed over processeringen og brugen af data. En cloud-kunde vil muligvis blive underlagt et mere omfattende sæt forpligtigelser end cloud-leverandøren, som regulerer beskyttelsen af personhenførbare data."

Min konklusion efter at have læst standarderne er, at de kan være meget brugbare i implementeringen af sikkerheds- og privacy-kontroller. Standarderne er specielt brugbare for cloud-leverandører, men cloud-kunder kan også have gavn af at vide, at cloud-leverandøren har implementeret de basale foranstaltninger.

Sådan tager du kontrollen over data privacy i skyen

For at genvinde kontrollen med data privacy i skyen, bør du overveje at implementere tiltagene, som bliver beskrevet herunder. De er delvist dækket af ISO27017/27018 standarderne.

1. Dataejerskab

For at undgå, at cloud-leverandørerne bruger dine data til andet end det kontraktuelt aftalte – som for eksempel datamining i marketingsøjemed – skal der være klar enighed om, hvem der ejer dataene.

Dataejerskab er også vigtigt, hvis du i fremtiden annullerer kontrakten med cloud-leverandøren og ønsker at migrere din forretning eller data til en anden leverandør – eller tage opgaven tilbage in-house. Du bør understrege, at data skal tilbageleveres i et gængs og almindeligt benyttet format og inden for en acceptabel tidsramme efter opsigelse af aftalen.

Derudover bør du sikre, at cloud-leverandøren er forpligtet til at informere dig om eventuelle sikkerhedsbrud eller datalæk, og at leverandøren skal afvise alle henvendelser om udlevering af data som ikke er juridisk bindende.

2. lovgivning

Det er vigtigt at identificere alle de personhenførbare data eller andre følsomme data, du opbevarer:  Find ud af hvor de fysisk befinder sig, hvem der har adgang  til dem og hvordan disse data bruges. Logning af adgang kan anbefales og i nogle tilfælde være decideret nødvendig. Databeskyttelse og privacy-lovgivning varierer fra land til land, så der kan være restriktioner for, hvor data kan opbevares og tilgås fra.

I kølvandet på den nye General Data Protection Regulation-lovgivning (GDPR) fra EU er der kommet øget opmærksomhed omkring data privacy, og der er stadig usikkerhed om den langsigtede validitet af EU Privacy Shield og EU kontraktklausuler.

3. Insidere

Find ud af, hvordan din cloud-leverandør styrer og begrænser adgangen til dine data.

Nogle leverandører er modne og har implementeret kontroller, som forhindrer driftspersonale og/eller underleverandører i at tilgå dine data uden dit kendskab og tilladelse. Du vil muligvis være i stand til at afhjælpe denne risiko ved at kryptere data i transit, i brug og hvile. Desværre er det ikke altid muligt at kryptere tilstrækkeligt. Du bør derfor logge, hvornår data tilgås af leverandøren  – og i sidste ende stole på din cloud-leverandør.

4. Adgangskontrol

Du bør sikre dig, at du har implementeret den nødvendige grad af adgangskontrol til dine cloud services. Cloud services er ofte yderst eksponeret på netværket, hvilket kan kræve en stærk godkendelsesproces for at afhjælpe risikoen for uautoriseret adgang. Overvej at implementere multifaktorgodkendelse (engagnskodeord, tekstbeskeder osv.) og lokationsfølsom godkendelse for at styrke godkendelsesprocessen.

5. Sletning af data og tekniske fejl

Du bør sikre, at dine cloud-leverandører har nogle veludviklede procedurer for, hvordan man sikkert sletter datamedier før de genbruges til den næste kunde. Der har været eksempler på cloud-leverandører, som blot fjernede henvisninger til data og ikke på sikker vis slettede selve dataene.

Cloud services er ofte designet som multi-tenant-miljøer, hvor flere cloud-kunder deles om samme infrastruktur og processorenheder. Tekniske fejl og defekte driftsprocedurer skaber dermed en risiko for din datasikkerhed.

6. Revision

Det er vigtigt at du har ret til at revidere cloud-leverandøren. Alternativt skal du affinde dig med cloud- leverandørens compliance og efterlevelse af en eller flere gængse revisions- og compliance frameworks. Organisationen Cloud Security Alliances (CSA) Star-program er et af de mest anerkendte programmer, som tilbyder sikkerhedsforsikring. 

 

 

Helge Skov Djernes+45 3075 8868 hfsd@nnit.comInformation Security Management Consultanthttps://www.linkedin.com/in/helgeskovdiernaes/Helge Skov Djernes

 

 

It-sikkerhed: Den største trussel kommer indefrahttp://www.nnit.dk/ArtiklerOgOfferings/Sider/It-sikkerhed-Den-største-trussel-kommer-indefra.aspxIt-sikkerhed: Den største trussel kommer indefra
NNIT Cybersecurity Summit 2019http://www.nnit.dk/Sider/NNIT-Cybersecurity-Summit-2019.aspxNNIT Cybersecurity Summit 2019
NNIT Security Insightshttp://www.nnit.dk/cybersecurity/Sider/nnit-security-insights.aspxNNIT Security Insights
Managed Securityhttp://www.nnit.dk/cybersecurity/Sider/Managed-Security.aspxManaged Security
Identitets- og adgangsstyringhttp://www.nnit.dk/cybersecurity/Sider/Identitets-og-adgangsstyring.aspxIdentitets- og adgangsstyring
VR Cybersecurity Traininghttp://www.nnit.dk/cybersecurity/Sider/VR-Cybersecurity-Training.aspxVR Cybersecurity Training
Sådan angriber svindlerne din virksomhed med CEO fraudhttp://www.nnit.dk/cybersecurity/Sider/Sådan-angriber-svindlerne-din-virksomhed-med-CEO-fraud.aspxSådan angriber svindlerne din virksomhed med CEO fraud
IDC IT Security Conferencehttp://www.nnit.dk/Sider/IDC-IT-Security-Conference.aspxIDC IT Security Conference
Hold øje med "Bad Rabbit"http://www.nnit.dk/ArtiklerOgOfferings/Sider/Artikel_Hold_øje_med_Bad_Rabbit.aspxHold øje med "Bad Rabbit"
Cybersikkerhed – tendenser og trusler i 2018http://www.nnit.dk/ArtiklerOgOfferings/Sider/Cybersikkerhed-–-tendenser-og-trusler-i-2018.aspxCybersikkerhed – tendenser og trusler i 2018