Gæstebloggen

Ny standard sikrer data og privatliv i skyen

Af Ole Kjeldsen, medlem af bestyrelsen for Rådet for Digital sikkerhed og teknologidirektør i Microsoft Denmark, og Birgitte Kofod Olsen, formand for Rådet for Digital Sikkerhed og partner i Carve Consulting.

Vi har brug for langt mere fokus på it-sikkerhed og privatlivsbeskyttelse. Det gælder i høj grad også for processer, som håndteres i hostede applikationer, der tilgås via det åbne internet, i branchen også betegnet som public cloud.

Hen over sommeren har vi fået en ny standard, ISO 27018, som gør det nemmere at strukturere og overskue sådanne opgaver. Den nye standard omhandler cloud-løsninger, og den er del af ISO 27000-serien, som udgives af den Internationale Standardiseringsorganisation (ISO).

Det er tydeligvis brug for sådanne standarder. Gennem det seneste år har en række meget omtalte danske sager om læk, hacking og uberettiget adgang til personoplysninger givet anledning til utryghed i forhold til sikkerheden – både i offentlige myndigheders og private virksomheders IT-løsninger.

Bekymringerne var i starten rettet mod brugen af public cloud løsninger, men senest har sager som Se&Hør/Nets og CSC eksponeret offentligt, at også andre typer løsninger sårbare. Ofte har bekymringerne være fokuseret omkring lokationen, men det er nu tydeligt, at det ofte også er dårlig håndtering af de to andre elementer af god sikkerhed, processer og personale, der giver problemer.

De fleste er enige om, at man i en effektiv og optimeret moderne organisation, privat såvel som offentlig, skal kunne right-source. Det vil sige, at man benytter den kombination af løsninger og arkitekturer, som bedst understøtter den givne forretning i en bestemt sammenhæng. Baggrunden for den øgede brug af public cloud, at vi tror på og har erfaret, at der er produktivitetsgevinster at hente for eksempel gennem brug løsninger som Office365, SalesForce, Amazon Web Services osv.

Potentialet for besparelser og fleksibilitet skal naturligvis tænkes nøje sammen med krav om høj sikkerhed, og man skal også sørge for at driften sker på en sikker, reguleret måde, der er transparent for både kunder og myndigheder.

Standarder skaber fokus på, hvordan man optimerer datasikkerheden og sikrer vores privatlivsbeskyttelse. Måske nok så vigtigt giver standarderne mulighed for at kunder struktureret kan stille krav til leverandørerne og sammenligne produkter og ydelser efter en ensartet målestok. Den seneste nye standard, ISO 27018, har specifikt fokus på cloud-løsninger. Den stiller krav til, hvordan personfølsomme håndteres i skyen, og den tager også højde for de krav, som stilles til en databehandlere i EU’s gældende databeskyttelsesdirektiv.

Ved at bruge den nye standard kan man som dataansvarlig sikre at:

  • man til enhver tid ved, hvor data befinder sig, og hvem der behandler dem

  • data ikke bruges til aktiviteter udover det, som er tiltænkt (fx marketing, forskning etc.)

  • man kender til processerne om sletning, transport og evt. tilbagetrækning af data, og at disse er reguleret og underlagt streng revision

  • EU’s databeskyttelseskrav bliver overholdt, således at borgere kan tilgå, redigere og i nogle tilfælde også slette personhenførbare data

  • man til enhver tid vil blive notificeret i tilfælde af en sikkerhedshændelse som involverer cloud-løsningen eller egne data.

ISO 27018 er et vigtigt tillæg til den overordnede standard ISO/IEC 27001:2005, som i sig selv er et godt rammeværktøj. Tilsammen er de to standarder højaktuelle i forhold til de digitaliseringsprocesser, som både danske offentlige myndigheder og private virksomheder står overfor.

Det er derfor oplagt fremover at indføje ISO 27018 som krav i kontrakter, da det er en nem måde at skabe sikkerhed for, at cloud-leverandører kun behandler personfølsomme data i mindst mulig omfang, at de gør det på en sikker og pålidelig måde, og at de kun anvender data til det, man som dataansvarlig på forhånd har godkendt.

Håndtering af persondata i skyen er i mange sammenhænge en forretningsmæssigt og økonomisk fornuftig beslutning. Med den nye standard vil vi også kunne opnå en høj grad af sikkerhed for privatlivsbeskyttelse i cloud-løsningerne. Det har vi alle sammen en interesse i, både borgere, forbrugere, myndigheder og virksomheder.

Kommentarer (1)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Log ind eller Opret konto for at kommentere