Indsigt

Skyen har potentiale, men sikkerheden halter

Virksomheder og offentlige organisationer kan hente store gevinster ved at lagre deres data i skyen, og det øger dens popularitet i BI-kredse. Mens skyen tilbyder en høj kvalitet i serviceniveau, er teknologien ikke risikofri, siger to eksperter fra Deloitte.

Er the cloud, eller skyen, den optimale løsning til at opbevare forretningsdata? Det spørgsmål bliver i øjeblikket debatteret flittigt i BI-kredse. På den ene side er der tungtvejende fordele som større omkostningseffektivitet, agilitet og fleksibilitet, mens der på den anden side er skepsis om teknologiens sikkerhed.

”På plussiden kan skyen spare både tid og ressourcer,” forklarer senior manager Kirsten Lei Hansen, der har mange års erfaring med rådgivning inden for den strategiske og praktiske brug af data til analyse og digitalisering. Hun forklarer, at skyen fungerer som et datacenter, der kan opbevare og give nem adgang til data, og at udbyderne ofte er højt specialiserede og tilbyder såvel døgnbemanding som stor funktionalitet og bekvemmelighed til deres kunder, som man tidligere har kunne læse i Business Intelligence & Analytics-nyhedsbrevet. (https://www2.deloitte.com/dk/da/pages/technology/articles/Drag-nytte-af-skyen.html)

”Det giver en række stordriftsfordele, som særligt mindre og mellemstore virksomheder kan drage nytte af. Både på medarbejdersiden og på kapacitetssiden kan det være en rationel løsning,” siger hun.

Og potentialet bliver ikke mindre interessant, når skyen kobles sammen med moderne analyse- og databearbejdningsværktøjer, der kan trække indsigter ud af dataene automatisk – uden at dataene først er tilrettelagt, sorteret og struktureret på forhånd. En proces, der typisk kræver både tid og know-how.

”Selvom værktøjerne ikke er bundet til skyen, er der et sammenfald, og det er både spændende og potentielt vigtigt, hvis man kan gøre dataforståelsen lettere,” siger Kirsten Lei Hansen, men understreger, at det naturligvis er altafgørende, at dataene bearbejdes korrekt og sikkert uden at overfortolke eller overse informationer undervejs i processen.

Sikker sky?
På minussiden er cloududbydernes løsninger ikke nødvendigvis sikrere, end hvis man har sine data opbevaret på en intern server, understreger partner i Risk Advisory Jesper Helbrandt.

”De har selvfølgelig en stor drift- og performancestabilitet qua deres størrelse, og ja, de har døgnovervågning. Men de har også tilsvarende meget at holde øje med,” siger han og påpeger, at der har været en række eksempler på, at data i skyen er blevet kompromitteret, som følge af både udbydernes sikkerhed og deres kunders brugeradfærd.

”Udbyderne stiller opbevaring og tilgængelighed til rådighed, men det er ikke nødvendigvis dem, der konfigurerer sikkerheden – altså hvilken kryptering og hvor gode passwords, brugerne skal benytte sig af. Derfor har køberne et stort ansvar,” siger han og supplerer:

”Der er talrige eksempler på, at ransomware har ramt en PC i en virksomhed, og hvor krypteringen efterfølgende har spredt sig til al den data, der lå i skyen, fordi det hele var forbundet. Kæden er altså ikke stærkere end det svageste led, og hvis der ikke er styr på, hvem der har adgang og hvordan, halter sikkerheden,” siger Jesper Helbrandt.

Flere fordele forude
Med tiden kan skyen dog tilbyde mere end blot bekvemmelighed, agilitet og en ressourcebesparelse. Der forskes nemlig i, hvordan man teknisk kan samkøre data, og dermed få gavn er større puljer, uden at dataene reelt bliver delt og kompromitteret af eksempelvis konkurrenter eller uvedkommende. Det er særligt interessant for et land som Danmark, hvor det i både det private og det offentlige kan være svært at indsamle tilstrækkelige datamængder til at udarbejde solid statistik.

”Eksempelvis er der i forbindelse med reguleringen af den finansielle sektor lagt større og større vægt på databaseret risikoovervågning, som kræver statistik,” siger Kirsten Lei Hansen og fortsætter: ”Men da mange mindre pengeinstitutter har ikke data nok til at udarbejde statistikken, bliver de nødt til at samarbejde og dele data med andre. Selvom det kan gøres uden skyen, kan den medvirke til at gøre det nemmere og mere tilgængeligt - hvis det vel at mærke er sikkert.”

Med de nye og endnu ikke modne metoder er der altså ikke tale om en reel deling af data, hvor de implicerede får alle oplysninger og de fulde datasæt. Derimod er konstellationen sådan, at parterne udelukkende har mulighed for at analysere på den samlede mængde af data.

”Det har enorm interesse for mange mennesker, hvis man kan dele data på en sikker måde, hvor den enkelte myndighed eller virksomhed kan analysere på en stor datapulje, uden at de har adgang til de enkelte informationer i dataene, såsom personfølsomme oplysninger,” siger Kirsten Lei Hansen.

Hvad er din risikoappetit?
Mens persondata er omdrejningspunktet for visse virksomheder, kan patenter og opfindelser agere eksistensgrundlaget for andre. For den enkelte virksomhed eller myndighed gælder det derfor om at klassificere sine data, analysere sikkerhedsniveauet ved de opbevaringsmuligheder, man har til rådighed og træffe sit valg om, hvorvidt de bør ligge i skyen eller opbevares på egen server, mener Jesper Helbrandt.

”Skyen kan være sikrere, end det man har in-house, og man må gøre op med sig selv, hvor kritisk det ville være, hvis ens data bliver manipuleret, stjålet eller forsvinder og så træffe sit valg på den baggrund,” siger han.

På fagsprog kaldes det at finde sin risikoappetit, og grundlæggende handler det om at kende risikoen ved sine forskellige muligheder og træffe sit valg på et oplyst grundlag.

I forhold til dataopbevaring i skyen gælder det om at kortlægge svagheder og finde ud af, hvilke konsekvenser en kompromittering ville medføre. Eksempelvis bør den enkelte sætte sig ind i sikkerheden forbundet med dataflowet, hvem der har adgang til hvilke data, og hvordan man regulerer det, hvis en medarbejder skal have mere eller mindre adgang. Derudover bør man også tage stilling til, om kommunikationen med udbyderen og applikationen, der giver adgang til dataene, er sikker.

”Spørgsmålet er, hvor kritisk en kompromittering vil være for ens virksomhed. Er det et mindre set-back eller er det hele ens eksistensgrundlag? Kend din risikoappetit og vælg den rigtige løsning på den baggrund,” siger Jesper Helbrandt.

Fandt du dette nyttigt?

Relaterede emner