Gå videre til innhold
Slik sjekker du at leverandøren av skytjenester tar datasikkerheten på alvor

Nyhet -

Slik sjekker du at leverandøren av skytjenester tar datasikkerheten på alvor

Ethvert datasystem kan «knekkes», og nettopp derfor er det viktig at du som har ansvaret for sikkerheten vet hva som kreves av et system som skal støtte deg gjennom virksomhetens kjerneprosesser og hjelpe deg i en krisesituasjon. Her gir vi deg en sjekkliste som du kan bruke til å vurdere leverandører av ulike skytjenester.

Spionasje, sabotasje og utpressing truer bedrifter og myndigheter når alle typer datasystemer er koblet sammen via internett.

Denne hverdagen må vi leve med – det handler derfor om å velge leverandører og systemer som er motstandsdyktige og tar datasikkerhet på alvor.

Nasjonal sikkerhetsmyndighet kom tidligere i år med en rapport om norske datasenter og digital autonomi. Der etterlyser de bedre kontroll med sikkerhet og eierskap knyttet til datasenter:

– Vi ser økt risiko rundt oss. Norske selskaper og offentlige virksomheter utsettes for cyberoperasjoner i økende grad, og vi ser stigende risiko for oppkjøp og strategiske investeringer. Derfor er det desto viktigere å få på plass reguleringer slik at vi har bedre kontroll med sikkerhet og eierskap knyttet til datasenter. (Avdelingsdirektør Bente Hoff, Nasjonal Sikkerhetsmyndighet)

Vi jobber i skyen
Nettbaserte programvarer eller skytjenester har mange fordeler, og noen av dem er mer åpenbare enn andre:

  • Lavere kostander – du deler på hardware, lagring, programvare og infrastruktur
  • Redusert avhengighet av IKT ressurser i egen organisasjon – enklere å få tilgang til viktige funksjoner 24 timer døgnet
  • Kostnadseffektiv lagring av store datamengder
  • Fleksibilitet – tilpasning og skreddersøm utfra bedriftens behov
  • Lavere risiko og høyere sikkerhet. Mange leverandører har stålkontroll på informasjonen din. De imøtekommer krav til sikkerhet og beredskap, og de har godt etablerte og testede prosedyrer og rutiner for å operere dine data. De kan tilby samme eller høyere grad av sikkerhet enn både store og små virksomheter selv kan klare.

Det er likevel ikke helt enkelt å velge leverandør av skytjenester (eller driftstjenester) for sikkerhet og beredskap. Det er mange forhold som bør tas med i vurderingen. Her er noen som skaper bekymring:

  • Hvem har egentlig tilgang til din informasjon?
  • Hva har du lagret av informasjon?
  • Hvor (i verden) er dataene dine lagret, og hvilket lovverk regulerer tilgangen til disse?
  • Er reservelagring underlagt samme sikkerhet?
  • Får du tilgang til informasjonen din når du trenger den?
  • Hvordan kan du stole på dataene dine?
  • Hvordan forholder leverandøren seg til GDPR, sikkerhetsloven, arkivloven og annen lovgivning?
  • Hvem bryr seg om datasikkerheten?

- Som leverandør av sikre tjenester innen vårt fagområde mottar vi i F24 Nordics ofte kravdokumenter. Det kan være opptil 600 spørsmål om hvordan vår organisasjon er forberedt på å ivareta sikkerheten rundt de tjenestene vi tilbyr. Enkelte av kundene er imponerende godt forberedt på dette. Men det som kanskje overrasker mest, er hvor mange som overhodet ikke stiller disse spørsmålene, og som ikke kan gi svar når vi spør hvem, hva, hvor og hvordan. forteller sikkerhetsleder Jan Terje Sæterbø i F24 Nordics.

Sjekkliste

Før du velger leverandør av IKT-baserte skytjenester, anbefaler han at du gjør en grundig evaluering av tilbyderne, basert på disse trinnene:

  1. Gjennomgå en skikkelig risikovurdering iht. personopplysningsloven og personopplysningsforskriften, mm.
  2. Inngå en tilstrekkelig databehandleravtale med leverandøren
  3. Avklar om det er lovlig, eventuelt akseptabelt i henhold til firmaets retningslinjer, å lagre data i utlandet
  4. Forsøk å danne deg et bilde av hva slags kultur leverandøren forvalter når det gjelder håndtering av sensitiv eller sikker informasjon:
    - Arbeides det målrettet og kontinuerlig med sikkerhet?
    - Er det et firma med erfaring på dette området?
    - Spør om å få se et gyldig sertifikat, eller annen dokumentasjon, som viser at virksomheten er kompatibel med ISO 27001 – Information security management.
  5. Dersom leverandøren selv står for utviklingen av programvaren, bør du avdekke om sikkerhet er en gjennomgripende faktor i utviklingsprosessen. Be også om dokumentasjon på gjennomføring og oppfølging av penetrasjons- og sikkerhetstester. Dette gir ofte en pekepinn på leverandørens seriøsitet.

- Det handler om hvor motstandsdyktig leverandøren av løsninger for sikkerhet, beredskap og krisehåndtering er mot sikkerhetstrusler. Og i fall det skulle gå galt: Forviss deg om at leverandøren kan tilby en reserveløsning! sier Sæterbø.



>> Les også: Nasjonal Sikkerhetsmyndighets "Temarapport om norske datasentre og digital autonomi
"

Emner

Kontakter

  • skytjenester
    skytjenester
    Lisens:
    All rights reserved
    Filformat:
    .jpg
    Størrelse:
    1600 x 900, 196 KB
  • Jan Terje Sæterbø
    Jan Terje Sæterbø
    Lisens:
    Bruk i media
    Filformat:
    .jpg
    Opphavsrett:
    F24 Nordics
    Størrelse:
    7298 x 4473, 11 MB
    Last ned

Relatert innhold

  • BCI Emergency & Crisis Communications Report

    BCI Emergency & Crisis Communications Report

    BCI har publisert årets Emergency & Crisis Communications Report. Rapporten er sponset av F24 og et innblikk i hvordan organisasjoner kommuniserer i krisesituasjoner.

  • Slik sikrer du bedriften bedre mot cyberangrep

    Slik sikrer du bedriften bedre mot cyberangrep

    – Det er ikke lenger et spørsmål om man blir utsatt for et cyberangrep, men mer et spørsmål om når det inntreffer. Da er det blant annet viktig at du alt har på plass en god beredskapsplan, sier Jan Terje Sæterbø, sikkerhetsleder hos F24 Nordics AS.

  • Pro-aktiv krisehåndtering og stabsmetodikk i kriseledelsen gir gevinst

    Pro-aktiv krisehåndtering og stabsmetodikk i kriseledelsen gir gevinst

    Pro-aktiv tilnærming til hendelsehåndtering og stabsmetodikk i den operative kriseledelsen gjør at Vy håndterer uønskede hendelser i en tidlig fase, før de får eskalert til større kriser. Samtidig holder de ressursbruken og kostnadene til beredskapsorganisasjonen lave.

  • Slik skriver du sjekkliste for krisehåndtering

    Slik skriver du sjekkliste for krisehåndtering

    Sjekklister for krisehåndtering er et viktig verktøy for alle organisasjoner som trenger å strømlinjeforme kriseresponsen sin. Her viser vi deg, steg-for-steg, hvordan du går fram for å skrive den på best mulige måte.

  • Slik etablerer du gode varslingsrutiner for it-sikkerhet

    Slik etablerer du gode varslingsrutiner for IT-sikkerhet

    Melder dine ansatte fra om merkelige e-poster? Har du et system for å avsløre slue e-poster og telefoner? Vet dine ansatte i det hele tatt når de blir forsøkt lurt? Vet de hva de skal gjøre hvis de tror de kan ha blitt lurt? Dette er spørsmål du bør stille deg dersom du ønsker å ta det digitale trusselbildet på alvor i din organisasjon.

  • De syv vanligste feilene ved en beredskapsplan

    De syv vanligste feilene ved en beredskapsplan

    Kriser inntreffer ofte på de verst tenkelige tidspunkt. Normale operasjonsprosedyrer sendes rett vest, og dårlig forberedte organisasjoner ut i kaos. Ingen kan helt forhindre at kriser oppstår, men med en velstrukturert beredskapsplan er det mulig å begrense skadevirkningene.