SecurityWorldMarket

13.05.2022

Slik sjekker du at leverandøren av skytjenester tar datasikkerheten på alvor

Sikkerhetsleder Jan Terje Sæterbø, F24 Nordics Foto: F24 Nordics

Ethvert datasystem kan «knekkes», og nettopp derfor er det viktig at du som har ansvaret for sikkerheten vet hva som kreves av et system som skal støtte deg gjennom virksomhetens kjerneprosesser og hjelpe deg i en krisesituasjon. F24 har satt sammen en sjekkliste som du kan bruke til å vurdere leverandører av ulike skytjenester.

Spionasje, sabotasje og utpressing truer bedrifter og myndigheter når alle typer datasystemer er koblet sammen via internett.

Denne hverdagen må vi leve med – det handler derfor om å velge leverandører og systemer som er motstandsdyktige og tar datasikkerhet på alvor.

Nasjonal sikkerhetsmyndighet kom tidligere i år med en rapport om norske datasenter og digital autonomi. Der etterlyser de bedre kontroll med sikkerhet og eierskap knyttet til datasenter:

– Vi ser økt risiko rundt oss. Norske selskaper og offentlige virksomheter utsettes for cyberoperasjoner i økende grad, og vi ser stigende risiko for oppkjøp og strategiske investeringer. Derfor er det desto viktigere å få på plass reguleringer slik at vi har bedre kontroll med sikkerhet og eierskap knyttet til datasenter. (Avdelingsdirektør Bente Hoff, Nasjonal Sikkerhetsmyndighet)

Vi jobber i skyen
Nettbaserte programvarer eller skytjenester har mange fordeler, og noen av dem er mer åpenbare enn andre:

  • Lavere kostander – du deler på hardware, lagring, programvare og infrastruktur
  • Redusert avhengighet av IKT ressurser i egen organisasjon – enklere å få tilgang til viktige funksjoner 24 timer døgnet
  • Kostnadseffektiv lagring av store datamengder
  • Fleksibilitet – tilpasning og skreddersøm utfra bedriftens behov
  • Lavere risiko og høyere sikkerhet. Mange leverandører har stålkontroll på informasjonen din. De imøtekommer krav til sikkerhet og beredskap, og de har godt etablerte og testede prosedyrer og rutiner for å operere dine data. De kan tilby samme eller høyere grad av sikkerhet enn både store og små virksomheter selv kan klare.

Det er likevel ikke helt enkelt å velge leverandør av skytjenester (eller driftstjenester) for sikkerhet og beredskap. Det er mange forhold som bør tas med i vurderingen. Her er noen som skaper bekymring:

  • Hvem har egentlig tilgang til din informasjon?
  • Hva har du lagret av informasjon?
  • Hvor (i verden) er dataene dine lagret, og hvilket lovverk regulerer tilgangen til disse?
  • Er reservelagring underlagt samme sikkerhet?
  • Får du tilgang til informasjonen din når du trenger den?
  • Hvordan kan du stole på dataene dine?
  • Hvordan forholder leverandøren seg til GDPR, sikkerhetsloven, arkivloven og annen lovgivning?
  • Hvem bryr seg om datasikkerheten?

– Som leverandør av sikre tjenester innen vårt fagområde mottar vi i F24 Nordics ofte kravdokumenter. Det kan være opptil 600 spørsmål om hvordan vår organisasjon er forberedt på å ivareta sikkerheten rundt de tjenestene vi tilbyr. Enkelte av kundene er imponerende godt forberedt på dette. Men det som kanskje overrasker mest, er hvor mange som overhodet ikke stiller disse spørsmålene, og som ikke kan gi svar når vi spør hvem, hva, hvor og hvordan. forteller sikkerhetsleder Jan Terje Sæterbø i F24 Nordics.

Sjekkliste
Før du velger leverandør av IKT-baserte skytjenester, anbefaler han at du gjør en grundig evaluering av tilbyderne, basert på disse trinnene:

  1. Gjennomgå en skikkelig risikovurdering iht. personopplysningsloven og personopplysningsforskriften, mm.
  2. Inngå en tilstrekkelig databehandleravtale med leverandøren
  3. Avklar om det er lovlig, eventuelt akseptabelt i henhold til firmaets retningslinjer, å lagre data i utlandet
  4. Forsøk å danne deg et bilde av hva slags kultur leverandøren forvalter når det gjelder håndtering av sensitiv eller sikker informasjon:
    • Arbeides det målrettet og kontinuerlig med sikkerhet?
    • Er det et firma med erfaring på dette området?
    • Spør om å få se et gyldig sertifikat, eller annen dokumentasjon, som viser at virksomheten er kompatibel med ISO 27001 – Information security management.
  5. Dersom leverandøren selv står for utviklingen av programvaren, bør du avdekke om sikkerhet er en gjennomgripende faktor i utviklingsprosessen. Be også om dokumentasjon på gjennomføring og oppfølging av penetrasjons- og sikkerhetstester. Dette gir ofte en pekepinn på leverandørens seriøsitet.

– Det handler om hvor motstandsdyktig leverandøren av løsninger for sikkerhet, beredskap og krisehåndtering er mot sikkerhetstrusler. Og i fall det skulle gå galt: Forviss deg om at leverandøren kan tilby en reserveløsning! sier Sæterbø.


Leverandører
Tilbake til toppen