Når vi gennemfører markedsundersøgelser og taler med virksomheder, støder vi ofte på to typiske tilgange til cloudsikkerhed. To – vil vi tillade os at kalde det – misforståelser om cloudsikkerhed.
Den første misforståelse er, at fordi man har købt et moderne, cloudbaseret forretningssystem, er der automatisk styr på sikkerheden. Den opfattelse trives i endnu højere grad, hvis forretningssystemet er købt hos én af markedets største leverandører.
Den anden misforståelse er, at man ved at plukke avancerede sikkerhedsværktøjer ned fra hylden i en cloudplatform kan købe sig til et højt sikkerhedsniveau. At det er de avancerede sikkerhedsværktøjer i sig selv, der leverer beskyttelsen.
Der findes ikke færdige løsninger
Den første misforståelse først.
Vi kan ikke udtrykke det mere klart, end at der ikke findes færdige løsninger. Det kan godt være, at en leverandør vil slå på, at et forretningssystem er klar til at blive taget i brug “right out of the box”, men sådan ser virkeligheden ikke ud. Og da slet ikke indenfor sikkerhedsverdenen. Selv de nyeste og lækreste cloudbaserede forretningssystemer passer ikke ind i jeres eksisterende sikkerhedsmodel som en anden Tetris-figur, der bare falder på plads. Ifølge den delte ansvarsmodel, der er gældende for cloudløsninger (SaaS), vil det altid være jer, der er ansvarlige for konfiguration og data.
Opsætning og implementering af sikkerhedsmodellen er en lige så stor og væsentlig opgave som for de funktionelle moduler. Brugen og beskyttelsesforanstaltningerne skal flugte med jeres eksisterende sikkerhedspolitikker og forretningsregler. Hvis I ikke har haft fokus på sikkerhed under tidligere implementeringer, er det en god ide at få det genbesøgt. Stærk sikkerhedsopsætning af jeres forretningssystemer – om det er i cloud, on premise eller en hybridform – har en stor effekt på, hvor godt systemet står imod angreb, og hvor effektivt I kan monitorere det.
Brug for et gennemtænkt sikkerhedsdesign
Så til den anden misforståelse.
Det er rigtigt, at clouden giver mulighed for at vælge teknologier og værktøjer, som det enten er meget dyrt at købe eller vedligeholde on premise, eller som slet ikke findes i andre versioner end cloududgaver. Men avancerede sikkerhedsværktøjer har absolut ingen effekt på organisationens sikkerhedsniveau, hvis ikke værktøjerne implementeres på baggrund af et gennemtænkt sikkerhedsdesign.
Zero Trust er et godt eksempel på et gennemtænkt sikkerhedsdesign. Det baserer sig på princippet om, at “tillid er godt, kontrol er bedre”. Hver gang en bruger eller enhed spørger om adgang til entiteter på netværket, bliver brugeren og enheden automatisk valideret af en intelligent data- og adgangskontrol. Zero Trust er altså hverken tooling eller teknologi. Det er et blueprint for et ønsket sikkerhedsdesign, som giver indkøbet af nye sikkerhedsprodukter retning.
Balance mellem sikkerhed og ansvar
Noget af det mest overbevisende ved cloudsikkerhed er, at løsningerne er baseret på standardteknologi med en meget specifik varedeklaration. På baggrund af det bagvedliggende sikkerhedsdesign og den ønskede risikoappetit kan et sikkerhedsteam udvælge præcis de sikkerhedsværktøjer i cloud, der skal løse en meget specifik opgave. Der findes eksempelvis cloudbaserede værktøjer, der kan mappes op imod databeskyttelsesstandarder, rammeværktøjer såsom ISO eller særlige compliance-hensyn. Det vil sige, at man kan indføre en security by design-proces, hvor de tilgængelige værktøjer i cloud udgør hegnspælene for den udviklingsenhed, der skal bygge applikationen, og den driftsenhed, der skal monitorere og reagere på hændelser.
Der findes som skrevet ikke færdige løsninger. Men der findes smarte værktøjer og processer, som kan være med til at sætte nye og højere standarder for cybersikkerhed med en klar forståelse af den delte ansvarsmodel.