9-PUNKTS SJEKKLISTE
Slik blir du trygg i skyen.
Med en skyløsning befinner servere, programvare og data seg i en ekstern infrastruktur. Dine verdisaker flyttes ut av ditt eget hus og opp i skyen. Med det vil det ofte følge betydelige sikkerhetsmessige forandringer.
Med flytting av servere, programvare og data er det ikke lenger i samme grad din bedrift som har ansvaret for verdisakene. Driftsikkerhet, oppdateringer, overvåkning, sikkerhetsmekanismer og mye annet blir nå i hovedsak flyttet til leverandøren.
Her er noen gode tips til deg før du velger leverandør.
Før du velger driftsleverandør, system eller skyløsning bør du ha et forhold til hvordan din systemleverandør eller samarbeidspartner håndterer sikkerheten i skyløsningene du skal jobbe i.
1. FOREGÅR Innloggingen GJENNOM EN KRYPTERT FORBINDELSE?
Edward Snowdens avsløringer satte et sterkt søkelys på kryptering av datastrømmer på internett, ikke minst for e-post og websider. HTTPS (Hypertext Transfer Protocol Secure) vil kryptere informasjonen som sendes mellom deg som bruker og nettsiden.
2. HAR LØSNINGEN EN BRANNMUR FOR Å HINDRE UAUTORISERT TILGANG?
En brannmur hindrer utenforstående tilgang til dine data. Brannmuren kan sees på som en vegg mellom dine trygge data og verden utenfor der kun godkjent trafikk kommer gjennom døra i veggen.
3. HAR LØSNINGEN ET VARSLINGSSYSTEM OG FOREBYGGENDE SYSTEMER SOM HINDRER BRANN, TYVERE OG ANDRE RISIKOMOMENTER?
Til tross for at dataen ligger i skyen, er den faktisk på en server ett eller annet sted. Serverne på denne lokasjonen må være sikret fysisk med dører, kameraovervåkning og avansert adgangskontroll, samt alarm for både brann, tyveri, vann osv.
4. ER LEVERANDØREN EN SOLID OG STABIL AKTØR I MARKEDET?
Det er viktig å vurdere produsenten av programvaren og partneren som skal implementere. Kan begge vise til soliditet, lønnsomhet og erfaring?
5. HAR LEVERANDØREN KONTINUERLIG OVERVÅKNING AV PROGRAMVARE OG TEKNISKE KOMPONENTER?
En av fordelene med å velge en skyløsning er at om en kunde får en feil, så vil denne gjelde alle. Det er da viktig at produsenten har overvåkning og varsling av slike feil. En feil kan for eksempel være at en integrasjonsmotor går ned, at en oppgradering skaper en følgefeil eller lignende. Varslingen må nå deg som kunde, og riktig personell hos produsenten.
6. ER LEVERANDØREN SERTIFISERT ETTER STANDARDER OG NORMER SOM GJELDER? (EKS. ISO 9001, ISO 20001 OSV)
Sertifiseringen er ikke bare noe som er kjekt å ha. Det setter høye krav til for eksempel sikkerhet, kvalitet, HMS, miljø eller andre viktige deler av det leverandøren skal løse for deg som kunde. En riktig sertifiseringen er et kvalitetsstempel.
7. ER LØSNINGEN/SERVERE PLASSERT I ET LAND DER MYNDIGHETENE VIL RESPEKTERE DIN BEDRIFTS INTEGRITET?
Data trenger ikke nødvendigvis være plassert i Norge, men den bør være plassert i et land der myndighetene ikke kan kreve innsyn helt uten videre.
8. LIGGER SIKKERHETSKOPIER AV DIN DATA FLERE PLASSER?
Backup har alltid vært viktig, og det er derfor viktig å vurdere leverandørens backuprutiner. Backup skal ligge minimum to plasser, og helst med en gang data er registrert. Det må også finnes rutiner for å rulle tilbake om det for eksempel skulle skje noe med datastruktur.
9. KAN DERE LOGGE INN VED HJELP AV TO FAKTORER? SOM EKS. BRUKERNAVN, PASSORD OG EN KODE PÅ MOBILEN/I APP?
I dag holder det ikke med et brukernavn og passord. Alle innlogginger på tjenester bør ha minimum brukernavn, passord og passordgenerering via app, sms eller lignende.