Mange tror fejlagtigt at bare deres data og systemer ligger i skyen, så er IT-sikkerhed en andens ansvar. Men her tager de grueligt fejl.
Kender du ”shared responsibility” modellen?
Modellen beskriver I sin enkelthed ansvarsfordelingen mellem en cloud-udbyder og kunden på de forskellige services. Se figur 1.
Bemærk at kunden ALTID har ansvaret for følgende:
Informationer og data (dvs. også backup)
Enheder – dvs. sikkerhed på de fysiske enheder der anvendes inkl. antimalware
Konti og identiteter, herunder brugere og deres rettigheder
Kører man systemer on-premise giver det sig selv at man påtager sig et langt større ansvar for IT-sikkerhed end hvis man anvender hosting eller cloud. Men det er dog vigtigt at mærke sig at de allervigtigste ting han man stadig selv ansvaret for.
Lad os lige tage de enkelte punkter:
Informationer og data
Cloud-udbyderen tilbyder en service fx ERP, CRM, projektstyring, kontorplatform. Men DU har ansvaret for de data og informationer du importerer eller opretter i systemet.
Det gælder både
når én af dine brugere ved en fejl sletter data.
hvis du bliver udsat for et ransomware angreb
når leverandøren ved en fejl kommer til at slette dine data eller bliver lagt ned i en længere periode
Her skal du naturligvis tænke på backup. Gerne en backup der er helt uafhængig af din udbyder og hostingpartner, da det jo i værste fald er dem der er eller har problemet.
Tænk også i muligheden for at lave delvis genetablering (restore), typisk vil det kun være en del af dine data du mister. Oftest tilbyder cloud-tjenester at gå tilbage til et snapshot. Men den pris kan være for høj, for dermed mister du alle de ændringer der er foretaget siden dit genindlæsningspunkt.
Enheder
Naturligvis har du selv ansvaret for dine pc’er og mobile enheder. Så her er det afgørende med en god antimalware løsning. Det er ikke her du skal spare.
Men tænk også på dine mobile enheder.
Konti og identiteter
Dine medarbejdere og brugerkonti har du ansvaret for. Herunder også de brugere med administrative rettigheder.
Hvor mange brugere har alt for mange rettigheder på dine løsninger?
Hvad med dine samarbejdspartnere og konsulenter?
Hvad med 2-faktor login og kvaliteten af dine brugeres passwords?
Der er mange IT-sikkerhedsrelaterede udfordringer her.
IT-sikkerhed handler om at minimere risikoen for at blive udsat for brud på fortrolighed, integritet af data og tilgængelighed.
Og du har selv det største ansvar!
Comments