25. feb 2019

Hvor sikker er skyen til erhvervsbetalinger?

I sin enkleste form er skyen blot internettet. Så når vi taler om cloud-baseret software, taler vi ganske enkelt om et softwareprogram, der er gemt på eksterne servere og er tilgængeligt via internettet.

Salesforce, Xero og Slack er alle almindelige eksempler på arbejdspladsen.

Men er cloud-hostede applikationer sikre nok til, at virksomheder og organisationer i den offentlige sektor kan betro dem følsomme finansielle data og bankforbindelser?

For at besvare dette spørgsmål korrekt er der tre aspekter af cloud-sikkerhed, der skal tages i betragtning:

a) sikkerheden i de fjerndatacentre, der forvaltes af cloud-udbyderen
b) de sikkerhedsforanstaltninger, som leverandører af cloud-baseret software bygger ind i deres egne produkter
c) personalets bevidsthed om at beskytte sig selv online

Det giver god mening at starte med at sammenligne sikkerheden og pålideligheden af cloud-baserede applikationer med alternativet: lokale løsninger.

Det er langt mere risikabelt at have lokale servere på dit kontor

I en rapport fra Oracle, 83% af respondenterne vurderede cloud-sikkerheden som god eller bedre end sikkerheden på stedet. I samme rapport kategoriserede 90% af organisationerne halvdelen eller mere af deres cloud-data som følsomme, hvilket viser en høj grad af tillid til cloud-sikkerhed. Her er grunden til dette:

1. Datacentre er veludstyrede

On-premise-software opbevares i et serverrum et sted bag på dit kontor. Hvis dette serverrum bliver ødelagt ved brand, oversvømmelse, strømafbrydelse eller indbrud, bliver dine data ødelagt uden backup.

Faktum er, at ethvert pålideligt datacenter har langt flere ressourcer end din it-afdeling. Selv om du måske kan se den server, der hoster din lokale applikation, jonglerer dit it-team sandsynligvis med flere projekter og har simpelthen ikke tid eller budget til at investere et 6 eller 7-cifret beløb i en solid grundlæggende sikkerhed, som et pålideligt datacenter kan.

2. Ekstra sikkerhed, færre omkostninger

Sikkerhedstrusler ændrer sig hele tiden, og organisationer, der hoster on-premise software, må selv tage højde for dette ved at investere i dyre, men passende sikkerhedsforanstaltninger - uanset om det er fysisk sikkerhed, firewalls eller andre løsninger til trusselsdetektion.

Cloudbaseret software er understøttet af forebyggende foranstaltninger fra både datacenteret og softwareleverandøren, så organisationer, der benytter sig af cloud, nyder effektivt godt af en højere grad af sikkerhed inden for en overholdt ramme til en lavere pris.

3. Genopretning i tilfælde af katastrofer

De fleste pålidelige cloud-udbydere vil tilbyde en eller anden form for genopretning i tilfælde af katastrofer (DR), der er udviklet specifikt til at forhindre uplanlagte udfald og giver en tryghed, som de fleste lokale servere ikke kan konkurrere med.

Et eksempel på dette er geo-redundans, som betyder, at hvis der opstår et problem i et datacenter, træder en anden server (normalt i en anden del af verden) automatisk til, hvilket medfører minimale forstyrrelser og i værste fald tab af data på få sekunder.

4. Offsite-backup og -lagring

Skyen fungerer effektivt som et sikkert eksternt lager, der har sine egne automatiske sikkerhedskopier. de gennemsnitlige omkostninger ved phishing- og social engineering-angreb for britiske virksomheder er 960.000 £ - og det kan tage 20 dage at håndtere dem, så det er næsten uundværligt for enhver virksomhed at have en eller anden form for sikkerhedskopi på plads.

"At insistere på, at data skal forblive på stedet, er som at argumentere for, at penge skal opbevares under en madras eller begraves i baghaven. Den ekstra kontrol bliver faktisk et ansvar for pengene, og en bunke penge under sengen kan ikke investeres, og de er heller ikke sikre." - Rick Spicklmier, CTO for Birst

Hvilke andre sikkerhedsforanstaltninger har cloud-applikationer på plads?

Sikkerhedsstandarderne varierer fra applikation til applikation. Men alle cloud-baserede leverandører, der er deres salt værd, har mindst tre typer sikkerhedslag indbygget i deres applikation:

1. Adgang - Leverandørerne søger at beskytte brugerkonti ved at anbefale politikker for autentificering og godkendelse og tilbyder sikkerhedsværktøjer som to-faktor-autentificering og IP-whitelisting for at sikre, at onlineadgang er kontrolleret.
2. Datasikkerhed - Leverandørerne søger at beskytte data i transit og "i hvile" med flere lag af sofistikeret end-to-end-kryptering. Så i tilfælde af et brud er der større sandsynlighed for, at meget følsomme oplysninger forbliver sikre i tilfælde af et brud. Disse krypteringslag kan faktisk implementeres i intern software, men ikke uden betydelige forudgående omkostninger.
3. Overvågningskontrol - Disse bestemmelser registrerer trusler og alarmerer de relevante personer, så de kan kontrollere situationen.

Den store fordel for organisationer er, at cloud-baserede leverandører vil tage sig af alle de ovennævnte forhold uden ekstra omkostninger, fordi levering af et sikkert og pålideligt arbejdsmiljø er kernen i deres service.

Selv med alle disse ekstra sikkerhedslag er der stadig nogle få ting, du kan gøre internt for at beskytte din organisation yderligere.

Hvad kan du gøre?

Uanset om du kan lide det eller ej, siger statistikkerne, at den største risiko for sikkerheden ved cloud-applikationer er kunderne selv: "I løbet af 2022 vil mindst 95% af cloud-sikkerhedsfejl vil være kundens skyld". De fleste brud forventes at involvere privilegerede legitimationsoplysninger som f.eks. adgangskoder.

Jay Heiser, Research VP hos Gartner, siger som svar herpå, at CIO'er skal ændre deres spørgsmål fra "er skyen sikker" til "er skyen sikker".bruger jeg skyen på en sikker måde"?

Hvis du overvejer at migrere fra on-premise til skyen, skal du starte med at tage dig tid til at overveje leverandørens sikkerhedspolitikker og dem hos den cloud-udbyder, der hoster tjenesten.

Udnyt også de sikkerhedslag, du har adgang til. Det kan være så simpelt som at indføre politikker for personalets adgangskoder og bruge sikkerhedsværktøjer i apps som to-faktor-autentifikation eller adskillelse af opgaver; en "wall-up"-tilgang, som mange leverandører tilbyder som en del af deres service.

Kort sagt...

Det er sandt, at mange cloud-baserede applikationer havde startvanskeligheder i starten, hvilket gav anledning til de rygter om upålidelighed, som stadig plager bestyrelseslokalerne i dag.

Men teknologien er blevet meget mere moden siden da og er uden tvivl den bedste løsning for moderne virksomheder.

Det giver ikke kun virksomheder og organisationer i den offentlige sektor bedre sikkerhed og solide mekanismer til genopretning efter katastrofer i forhold til lokale servere, men det kan også give langt flere fordele i form af integration, realtidsdataapplikation og omkostningsbesparelser.

Selvfølgelig er ikke alle cloud-applikationer lige gode, så undersøg dine muligheder, og vælg din softwareleverandør med omtanke. En god leverandør vil altid arbejde sammen med et velrenommeret hostingfirma og vil have sine egne robuste sikkerhedsforanstaltninger på plads for at beskytte din organisation.

Så længe du har en pålidelig leverandør og en veluddannet arbejdsstyrke, er cloud-baseret software uden tvivl den sikreste løsning for dit finans- og likviditetsteam.