Slik sjekker du at leverandøren av skytjenester tar datasikkerheten på alvor

Ethvert datasystem kan «knekkes», og nettopp derfor er det viktig at du som har ansvaret for sikkerheten vet hva som kreves av et system som skal støtte deg gjennom virksomhetens kjerneprosesser og hjelpe deg i en krisesituasjon. Her gir vi deg en sjekkliste som du kan bruke til å vurdere leverandører av ulike skytjenester.

Spionasje, sabotasje og utpressing truer bedrifter og myndigheter når alle typer datasystemer er koblet sammen via internett. 

Denne hverdagen må vi leve med – det handler derfor om å velge leverandører og systemer som er motstandsdyktige og tar datasikkerhet på alvor.

Les mer: Dette er det svakeste leddet i virksomhetens IKT-sikkerhet

Vi jobber i skyen

Nettbaserte programvarer eller skytjenester har mange fordeler, og noen av dem er mer åpenbare enn andre:

  • Lavere kostander – du deler på hardware, lagring, programvare og infrastruktur
  • Redusert avhengighet av IKT ressurser i egen organisasjon – enklere å få tilgang til viktige funksjoner 24 timer døgnet
  • Kostnadseffektiv lagring av store datamengder
  • Fleksibilitet - tilpasning og skreddersøm utfra bedriftens behov
  • Lavere risiko og høyere sikkerhet. Mange leverandører har stålkontroll på informasjonen din. De imøtekommer krav til sikkerhet og beredskap, og de har godt etablerte og testede prosedyrer og rutiner for å operere dine data. De kan tilby samme eller høyere grad av sikkerhet enn både store og små virksomheter selv kan klare.

Det er allikevel ikke helt enkelt å velge leverandør av skytjenester (eller driftstjenester) for sikkerhet og beredskap. Det er mange forhold som bør tas med i betraktningen; her er noen som skaper bekymring:

  • Hvem har egentlig tilgang til din informasjon?
  • Hva har du lagret av informasjon?
  • Hvor (i verden) er dataene dine lagret, og hvilket lovverk regulerer tilgangen til disse?
  • Er reservelagring underlagt samme sikkerhet?
  • Får du tilgang til informasjonen din når du trenger den?
  • Hvordan kan du stole på dataene dine?
  • Hvordan forholder leverandøren seg til GDPR, sikkerhetsloven, arkivloven og annen lovgivning? 

Hvem bryr seg om datasikkerheten?

Som leverandør av sikre tjenester innen vårt fagområde mottar jeg ofte kravdokumenter. Det kan være opptil 600 spørsmål om hvordan vår organisasjon er forberedt på å ivareta sikkerheten rundt de tjenestene vi tilbyr. Jeg er imponert over hvor godt forberedt enkelte av kundene er på dette.

 

Men det som overrasker meg mest, er hvor mange som overhodet ikke stiller disse spørsmålene, og som ikke kan gi svar når vi spør hvem, hva, hvor og hvordan.

 

Les mer: Kan norske toppledere bli involvert i valgfusk og informasjonskampanjer?

Sjekkliste

Før du velger leverandør av IKT-baserte skytjenester vil jeg anbefale deg å gjøre en grundig evaluering av tilbyderne basert på disse trinnene:

  1. Gjennomgå en skikkelig risikovurdering iht. personopplysningsloven og personopplysningsforskriften, mm.
  2. Inngå en tilstrekkelig databehandleravtale med leverandøren
  3. Avklar om det er lovlig, eventuelt akseptabelt i henhold til firmaets retningslinjer, å lagre data i utlandet
  4. Forsøk å danne deg et bilde av hva slags kultur leverandøren forvalter når det gjelder håndtering av sensitiv eller sikker informasjon.
      1. Arbeides det målrettet og kontinuerlig med sikkerhet?
      2. Er det et firma med erfaring på dette området?
      3. Spør om å få se et gyldig sertifikat, eller annen dokumentasjon, som viser at virksomheten er kompatibel med ISO 27001 - Information security management.
  5. Dersom leverandøren selv står for utviklingen av programvaren, bør du avdekke om sikkerhet er en gjennomgripende faktor i utviklingsprosessen. Be også om dokumentasjon på gjennomføring og oppfølging av penetrasjons- og sikkerhetstester. Dette gir ofte en pekepinn på leverandørens seriøsitet.

Det handler om hvor motstandsdyktig leverandøren av løsninger for sikkerhet, beredskap og krisehåndtering er mot sikkerhetstrusler. Og i fall det skulle gå galt: Forviss deg om at leverandøren kan tilby en reserveløsning!

Dette er en oppdatert versjon av en artikkel som ble publisert på Beredskapsbloggen i august 2016.

New Call-to-action

 

Av Frode Lien Otnes

Frode er gründer og direktør i One Voice. Han er utdannet innen økonomi og administrasjon ved Handelshøyskolen BI. I 2006 startet han One Voice for å utvikle et elektronisk krisestøtteverktøy. Frode har ledet utviklingen av CIM i One Voice og har aktiv prosjekterfaring fra implementeringen av CIM i blant annet regjeringens krisestøtteenhet og den omfattende implementeringen av krisehåndteringsverktøy hos DSB, fylkesmenn og kommuner. Sammen med Helsedirektoratet implementerte han også HelseCIM i alle landets helseforetak i 2012.

Flere artikler fra denne forfatter

Abonner på bloggen