Sådan beslutter du om skyen er sikker nok: Tøm hjernen

På papiret er det ikke så svært. Vej truslerne og fordelene ved cloud computing op imod hvad du har lokalt i dag, og sæt så to streger under resultatet.

Men i praksis kan vurderingen hurtigt blive påvirket af den menneskelige hjernes bløde sider: Det er nemmere at føle sig sikker med en server stående i kælderen.

Sådan lyder det fra Lars Neupart, direktør i firmaet Neupart, der rådgiver om it-sikkerhed.

»Det er mere konkret at forholde sig til eget udstyr i kælderen, hvor man selv har ansvaret for sikkerheden. Men man skal bruge de gamle dyder igen, nemlig en risikovurdering, for at sammenligne truslerne. Det er ikke raketvidenskab,« siger han.

Typisk overvurderer it-folkene selv, hvor sikker og pålidelig driften af lokal it er, så her er øvelsen at få tømt hjernen for nemme fejlslutninger og gå rationelt og analytisk til opgaven.

Gør man det, vil resultatet faktisk tit blive, at skyen er mere sikker, lyder det fra sikkerhedsrådgiveren.

»Ingenting er 100 procent sikkert, og risikoen ved cloud computing er normalt ikke højere. For eksempel kan masser af virksomheder ikke finde ud af at tage backup godt nok, eller får ikke implementeret alle sikkerhedsrettelser. Man kan også været truet ved at være afhængig af nogle få nøglepersoner,« siger Lars Neupart.

Alle disse problemer forsvinder ved at lægge datacentret ud i skyen. Omvendt kommer der selvfølgeligt nye trusler til, og den direkte magt over sikkerhedspolitikken forsvinder.

»Nogle trusler må man leve med, hvis man vil bruge skyen. Man vil være en lille kunde hos en stor leverandør, og man skal kunne acceptere standardvilkårene hos Amazon, Google eller de andre leverandører. Nogle steder kan man godt sætte sit eget fingeraftryk, men så bliver det meget dyrere,« siger han.

Et andet typisk spørgsmål er, hvordan man er stillet, hvis man vil skifte sky-leverandør, eller der sker fejl, der ødelægger data.

Men når det gælder drift og it-sikkerhed generelt, får langt de fleste lokale it-afdelinger seriøst baghjul af de store cloud-leverandører.

»Googles Gmail havde en oppetid på 99,98 procent sidste år, og ingen servicevinduer. Det tror jeg ikke nogen virksomheder kan gøre bedre selv. Og så investerer de alle massive mængder i it-sikkerhed,« siger Lars Neupart.

Én stor undtagelse i overvejelserne om at sende data i skyen er ? lige nu ? personfølsomme oplysninger. Odense Kommune har gennem længere tid forsøgt at få lov at bruge Google Apps til skolebørn, men Datatilsynet har sagt nej tre gange nu.

»Man er nødt til at holde igen med personhenførbare oplysninger. Det vil være ærgerligt at bruge meget tid på et projekt og så få nej af Datatilsynet til sidst,« siger Lars Neupart.

Sådan gør du En overvejelse om at bruge skyen kan ske efter denne skabelon, fortæller sikkerhedsrådgiveren:

1) Klassificer alle virksomhedens data Hvilke oplysninger er egnede til at sende ud af huset? Kan man sortere personhenførbare oplysninger fra?

2) Lav en risikovurdering Gennemgå alle trusler med hjælp fra et trusselskatalog og afvej, hvor ondt det vil gøre på virksomheden, hvis en trussel bliver til virkelighed. Giv for eksempel point fra 1 til 5.

3) Lav en konsekvensvurdering Hvor afhængige er virksomheden af de forretningsprocesser, som baserer sig på it-løsningen, man vil sende i skyen? Og hvor ondt gør det, hvis andre læser med?

Der er hjælp at hente i mange vejledninger, for eksempel fra EU's kontor ENISA, der har både en kort og en lang version.

Artiklen er en del af Version2's tema om it-sikkerhed i uge 7 og 8