Har du koll på företagets molnsäkerhet?

Säkerheten i molntjänster är ett delat ansvar mellan leverantörer och användare. Ansvaret fördelas bland annat utifrån vilken typ av molntjänst som används. Samtidigt ser de säkerhetsmässiga utmaningarna olika ut beroende på vilken fas i “molnresan” företaget är i. Här kan du läsa våra tips om hur du kan agera.

- Det finns inte en lösning som passar alla företag utan utmaningarna och behov av molntjänster och molnsäkerhetskraven är unika, säger Burak Özgirgin som arbetar med molnsäkerhet på PwC.

Molnanvändningen står högt på agendan i de flesta organisationer och enligt PwC:s undersökning Global Digital Trust Insights ser en majoritet av företagsledare molntjänster både som en del av företagets affärsstrategi och den dagliga verksamheten:

• 74 procent av företagsledarna är involverade i företagets molnstrategi
• 56 procent av vd:arna ser molnet som en strategisk plattform för tillväxt och innovation
• 53 procent av företagen har ännu inte realiserat ett konkret värde av deras molninvesteringar.

Arbeta förebyggande

När användningen ökar blir även hoten och riskerna fler. Enligt undersökningen tror företagsledare att attacker och incidenter mot företagets molntjänster kommer att öka. Det betyder inte att molnet är mindre säkert än äldre system utan det handlar om att löpande analysera och arbeta förebyggande för att minska risken för attacker och olaga intrång. Det finns en missuppfattning att det är leverantören av molntjänsten som ansvarar för att hantera dessa hot och risker, men ansvaret vilar självklart även på användaren.

Det är alltid ett delat ansvar mellan leverantören och användaren. Men beroende på vilken typ av molntjänst man använder ökar eller minskar ansvaret. Ju mer vi rör oss mot högra sidan av tabellen nedan desto större blir ansvaret för tjänsteleverantören.

Faser på “molnresan”

På väg mot en total, eller näst intill total, molnmigration går företag igenom olika faser som har sina specifika syften, säkerhetskrav och utmaningar. För att lyckas behöver säkerhetsenheten på företaget vara med från början och ses som en naturlig del av utvecklingsarbetet.

Utforskningsfasen - resan startar och företaget gör en strategisk planering och utvärderar erbjudanden och möjligheter. Man ställer kostnader mot investeringsfördelar och vad molnet kan erbjuda organisationen. Hur detta ser ut skiljer sig mellan branscher, till exempel har hälsoföretag andra drivkrafter och krav på säkerhet/integritet än edtech-företag. I den här fasen tar företaget fram en strategi för molnsäkerhet och förbereder ett ramverk för styrning och compliance-frågor. Ramverket bör bygga på Noll förtroende-modellen som handlar om att inte lita på någon enhet eller förfrågan som kommer in och att alltid verifiera allt. Man ska anta att ett intrång redan ägt rum.

Införandefasen - förutom att företag går från lokala system i den gamla miljön till molnanvändning så innebär denna fas även en kultur-, organisations-, och arbetssättsförändring där man jobbar mer agilt. Samtidigt kommer vissa delar arbeta kvar i den gamla miljön parallellt och med det finns en risk att gapet mellan affärsverksamheten och säkerhet ökar. Därför behöver man ta höjd för att det fortsatt är en hög säkerhetsnivå hela vägen tills man når ett helt säkert molnäkta tillstånd. Men det slutar inte där utan när allt är implementerat måste man fortsätta arbeta med ständiga förbättringar vad gäller säkerhet, inklusive styrning, kompatibilitet, integritet och cybersäkerhet även i nästa fas.

Den molnäkta fasen - företaget har nu självorganiserade team och har implementerat nya arbetssätt. Det tar dock tid att känna sig hemma i en kulturförändring och under tiden måste bland annat oväntade kostnader hanteras. Dessutom måste säkerhetsenheten ta sig an den komplexa miljön med överlappande verktyg och system. Självständiga produktteam kommer att arbeta parallellt och kontinuerligt göra förändringar i molnmiljön så efterlevnaden av säkerhetskontrollerna måste ständigt övervakas och alltid verifieras. Det finns ett verktyg, Cloud security posture management (CSPM), som har utvecklats specifikt för att hantera säkerhet i molnplattformar. 

Det finns många åtgärder man kan göra för att förstärka cybersäkerheten och i det har alla ett ansvar. Men då behöver man också se att det hela tiden kommer nya utmaningar att agera på och förhålla sig till. När företag tar till sig ny teknologi eller nya funktioner bör säkerheten vara en drivkraft likvärdig andra drivkrafter till utveckling, inte ses som en bromskloss.

Tre sammanfattande tips: 

• Ha ett kraftigt styrningsramverk som följer Noll förtroende-modellen.
• Välj ut och verifiera de kontroller som företaget ska ha. De kommer att användas i hela molnmiljön och de måste övervakas och testas oavbrutet.
• Produktteamen måste erbjudas säkra DevOps- eller DevSecOps-verktyg och tjänster*

*DevOps är en uppsättning arbetsprocesser, metoder och verktyg som gör processen från utveckling till drift och underhåll av programvara effektivare. DevSecOps erbjuder ett sätt att göra säkerheten synligare i er organisation. Säkerhet handlar om både kultur och processer. Med DevSecOps skapar ert team produkter som är designmässigt säkra, istället för att försöka lägga till säkerheten i ett senare skede. Dev står för Development (utveckling), Sec står för Security (säkerhet) och Ops står för Operations (drift).