Det kan kjennes trygt å lene seg på solide skyleverandører som Microsoft eller Amazon. Mange tar for gitt at dataene er trygge i skyen, men slik er det ikke. Alle virksomheter må selv ta høyde for sikkerhetshull i skyløsningene sine og fjerne sårbarheter for dataangrep.
Mange virksomheter bruker naturlig nok de største skytjenestene på markedet. Amazon og Microsoft er svært kjente merkevarer. Det skaper tillit, og mange tar derfor for gitt at dataene er trygge i skyer som administreres av disse store selskapene. I realiteten er det dessverre ingen automatikk i at IT-sikkerheten er godt ivaretatt, uansett hvor stor skyleverandøren din er.
Alle virksomheter må ta egne grep for å tette eventuelle sikkerhetshull i IT-infrastrukturen. Den viktige jobben med å sette opp kritiske sikkerhetsmekanismer må du enten gjøre selv eller sette bort til et selskap med ekspertise på området.
Tre viktige IT-sikkerhetsmekanismer du må sette opp
Det er mulig å sette opp skytjenester på egen hånd eller via en tredjepart som videreselger, installerer og drifter dem. I begge tilfeller er det viktig at du ikke tar for gitt at IKT-sikkerheten er ivaretatt. Som jeg allerede har vært inne på, er IT-sikkerhetsmekanismene til de store skytjenestene noe du eller leverandøren din aktivt må konfigurere selv.
Konfigurering er ofte noe partnerbedriften din kan levere, men du er nødt til å spesifikt bestille og betale for at det blir gjort. Veldig ofte ser vi at prioritering nummer én er å få tjenesten på plass og tilgjengelig for bruk, mens sikkerheten knapt nok ofres en tanke.
- Bare noe så enkelt som tofaktorautentisering vil sørge for beskyttelse mot trusler og dataangrep. Til tross for dette er det fortsatt ytterst få som bruker det konsekvent for å sette opp et ekstra lag av beskyttelse.
- Et annet viktig punkt er å sette opp restriksjoner for hvilke brukere som har administrasjonsrettigheter. Da har du mer kontroll over hvilke personer som har mulighet til å gjøre hva. Dermed begrenses muligheten til å gjøre kritiske feil.
- Du bør også sperre av IP-adresser utenfor kontornettverket eller landegrensene mot skytjenestene. Selv om det ofte er satt opp VPN-tunneler mellom skytjenestene, med tilhørende servere og kontornettverk, er det dessverre vanlig at selve serveren ligger åpen og tilgjengelig på nett.
Ofte er hovedprioriteten til din IT-partner å få skyløsningen klar, mens sikkerheten går i glemmeboka. Da lever du veldig farlig og gjør bedriften svært sårbar for angrep. Det er derfor viktig at du som daglig leder sørger for at IT-sikkerheten er en viktig del av skyetableringen.
Les også: Tar du IT-sikkerhet så alvorlig som du burde? Antagelig ikke.
Logging og overvåking er nøkkelen til IT-sikkerhet i skyen
Angrepsmetodene til de cyberkriminelle blir stadig mer sofistikerte. Sikkerhetsmekanismene som ligger innebygget i de store skytjenestene er ikke nok til å beskytte systemene mot datainnbrudd. Årsaken er at du ofte ikke har tilgang til informasjonen du trenger for å oppdage inntrengere i systemene dine.
Forskjellige tjenester og applikasjoner kan ha solid IT-sikkerhet i seg selv, men du har ingen måte å få et fullt overblikk over hva som rører seg på tvers av dem. Du er nødt til å overvåke helheten, enten selv eller via en tredjepart, slik at all IT-trafikk logges og du har tilgang til informasjonen i et oversiktlig brukergrensesnitt.
Har du tilgang til en portal, hvor du kan se hvor i verden IT-trafikken kommer fra? Uten verktøy som kan oppdage mistenkelig aktivitet, for eksempel at en bruker plutselig logget inn fra Kina klokken to på natten, vil det gå fullstendig ubemerket hen.
Du må sørge for at IT-sikkerheten er ivaretatt til enhver tid
I nesten alle tilfeller, vil du oppdage uønskede inntrengere i nettverket ditt. Det er det som er faren med sky kontra private servere; ved å flytte trafikk og applikasjoner over i skyen åpner du opp for hele internett, dersom det finnes den minste vei inn.
Dermed må du sørge for at veiene inn i IT-systemene dine oppdages og at dørene lukkes umiddelbart. Du må ha noen som følger med. Du trenger en tredjepart som verifiserer at IT-sikkerheten er ivaretatt til enhver tid. Dette er antageligvis ikke noe du har ekspertise eller ressurser til å gjøre selv.
Les også: Hvor sikker er egentlig skyen din? En sjekkliste i 3 faser
Du må ha gode rutiner for IT-sikkerhet som alle ansatte følger opp
Sikkerheten til skytjenestene dine er totalt avhengig av at det etableres gode IT-sikkerhetsrutiner i hele bedriften. Én uforsiktig bruker kan sette døra inn til IT-systemene dine på vidt gap.
Det er viktig at alle ansatte følger enkle rutiner som å ikke bruke samme passord flere steder. Det er også viktig å alltid dobbeltsjekke forespørsler om tilgang til IT-systemer. Tilsynelatende troverdige avsendere, særlig over e-post, kan fort lede til at noen får tilganger de ikke skulle hatt.
Sørg for at både du og dine ansatte har tydelige rutiner å forholde dere til. Datakriminelle venter ikke på noen og kan være ekstremt raske til å handle.
Utgangspunktet ditt bør være at du allerede er i faresonen. Deretter må du følge opp med nødvendige tiltak. En antakelse om at du er trygg er IT-sikkerhetens verste fiende. Konfigurer, logg og overvåk skysikkerheten regelmessig slik at du alltid har så god oversikt som mulig.
Vil du lese mer om hvordan du kan sikre deg i skyen? Last ned vår guide for skysikkerhet:
Cloud Security Day - Hvordan sikre tjenestene i skyen
Bli med på seminar 25. april. Her skal vi blant annet se på hvordan man benytter seg av «shift left» for å sørge for at sikkerhet er på plass før infrastruktur og applikasjon blir satt i drift i skyen?
Les mer her
