Mange tror, at når løsningen ligger i cloud, så ligger sikkerheden også dér. Så enkelt er det ikke.
Cloud-leverandøren sikrer infrastrukturen: datacentre, hardware og den underliggende platform.
Virksomheden har stadig ansvar for:
De fleste sikkerhedshændelser i cloud skyldes ikke svigt hos leverandøren. De skyldes for brede rettigheder, manglende kontrol eller forkert opsætning.
Cloud er robust. Fejlkonfiguration er ikke.
Tidligere beskyttede man netværket. I dag beskytter man identiteten.
Medarbejdere arbejder fra forskellige lokationer og enheder. Systemer er tilgængelige via internettet. Derfor er login’et ofte den primære angrebsflade.
En moderne cloud-sikkerhed bør som minimum indeholde:
Hvis alle har adgang til alt, er det kun et spørgsmål om tid, før noget går galt.
Cloud betyder ikke, at endpoints er irrelevante. Tværtimod.
En kompromitteret enhed med adgang til Microsoft 365, ERP eller andre SaaS-systemer er en direkte indgang til forretningen.
Derfor bør enheder:
Sikkerhed stopper ikke i datacentret. Den starter hos brugeren.
Cloud er ikke en backup-strategi i sig selv.
Data kan slettes. Brugere kan begå fejl. Konti kan kompromitteres. Derfor skal der være:
Ikke som en PDF på intranettet. Men som en del af driften.
Flere virksomheder møder i dag krav fra kunder, samarbejdspartnere og regulering. Det handler ikke kun om at være sikker – men om at kunne dokumentere det.
Hvem har adgang til hvad?
Hvordan håndteres hændelser?
Hvordan overvåges miljøet?
Cloud kan understøtte compliance effektivt. Men kun hvis governance og processer er på plads.
Man kan købe licenser.
Man kan købe firewall.
Man kan købe sikkerhedsværktøjer.
Men man kan ikke købe ansvar.
IT-sikkerhed i cloud handler om struktur, løbende vedligehold og klare beslutninger. Det kræver overblik over både teknologi og forretning.
Når det fungerer, mærker man det ikke.
Når det ikke fungerer, mærker man det med det samme.