Slik sjekker du at leverandøren av skytjenester tar datasikkerheten på alvor

Ethvert datasystem kan «knekkes», og nettopp derfor er det viktig at du som har ansvaret for sikkerheten vet hva som kreves av et system som skal støtte deg gjennom virksomhetens kjerneprosesser og hjelpe deg i en krisesituasjon. Her gir vi deg en sjekkliste som du kan bruke til å vurdere leverandører av ulike skytjenester.

Spionasje, sabotasje og utpressing truer bedrifter og myndigheter når alle typer datasystemer er koblet sammen via internett. 

Denne hverdagen må vi leve med – det handler derfor om å velge leverandører og systemer som er motstandsdyktige og tar datasikkerhet på alvor.

Les mer: Dette er det svakeste leddet i virksomhetens IKT-sikkerhet

Vi jobber i skyen

Nettbaserte programvarer eller skytjenester har mange fordeler, og noen av dem er mer åpenbare enn andre:

  • Lavere kostander – du deler på hardware, lagring, programvare og infrastruktur
  • Redusert avhengighet av IKT ressurser i egen organisasjon – enklere å få tilgang til viktige funksjoner 24 timer døgnet
  • Kostnadseffektiv lagring av store datamengder
  • Fleksibilitet – tilpasning og skreddersøm utfra bedriftens behov
  • Lavere risiko og høyere sikkerhet. Mange leverandører har stålkontroll på informasjonen din. De imøtekommer krav til sikkerhet og beredskap, og de har godt etablerte og testede prosedyrer og rutiner for å operere dine data. De kan tilby samme eller høyere grad av sikkerhet enn både store og små virksomheter selv kan klare.

Det er allikevel ikke helt enkelt å velge leverandør av skytjenester (eller driftstjenester) for sikkerhet og beredskap. Det er mange forhold som bør tas med i betraktningen; her er noen som skaper bekymring:

  • Hvem har egentlig tilgang til din informasjon?
  • Hva har du lagret av informasjon?
  • Hvor (i verden) er dataene dine lagret, og hvilket lovverk regulerer tilgangen til disse?
  • Er reservelagring underlagt samme sikkerhet?
  • Får du tilgang til informasjonen din når du trenger den?
  • Hvordan kan du stole på dataene dine?
  • Hvordan forholder leverandøren seg til GDPR, sikkerhetsloven, arkivloven og annen lovgivning? 

Hvem bryr seg om datasikkerheten?

Som leverandør av sikre tjenester innen vårt fagområde mottar jeg ofte kravdokumenter. Det kan være opptil 600 spørsmål om hvordan vår organisasjon er forberedt på å ivareta sikkerheten rundt de tjenestene vi tilbyr. Jeg er imponert over hvor godt forberedt enkelte av kundene er på dette.

Men det som overrasker meg mest, er hvor mange som overhodet ikke stiller disse spørsmålene, og som ikke kan gi svar når vi spør hvem, hva, hvor og hvordan.

Les mer: Kan norske toppledere bli involvert i valgfusk og informasjonskampanjer?

Sjekkliste

Før du velger leverandør av IKT-baserte skytjenester vil jeg anbefale deg å gjøre en grundig evaluering av tilbyderne basert på disse trinnene:

  1. Gjennomgå en skikkelig risikovurdering iht. personopplysningsloven og personopplysningsforskriften, mm.
  2. Inngå en tilstrekkelig databehandleravtale med leverandøren
  3. Avklar om det er lovlig, eventuelt akseptabelt i henhold til firmaets retningslinjer, å lagre data i utlandet
  4. Forsøk å danne deg et bilde av hva slags kultur leverandøren forvalter når det gjelder håndtering av sensitiv eller sikker informasjon.
    1. Arbeides det målrettet og kontinuerlig med sikkerhet?
    2. Er det et firma med erfaring på dette området?
    3. Spør om å få se et gyldig sertifikat, eller annen dokumentasjon, som viser at virksomheten er kompatibel med ISO 27001 – Information security management.
  5. Dersom leverandøren selv står for utviklingen av programvaren, bør du avdekke om sikkerhet er en gjennomgripende faktor i utviklingsprosessen. Be også om dokumentasjon på gjennomføring og oppfølging av penetrasjons- og sikkerhetstester. Dette gir ofte en pekepinn på leverandørens seriøsitet.

Det handler om hvor motstandsdyktig leverandøren av løsninger for sikkerhet, beredskap og krisehåndtering er mot sikkerhetstrusler. Og i fall det skulle gå galt: Forviss deg om at leverandøren kan tilby en reserveløsning!

Dette er en oppdatert versjon av en artikkel som ble publisert på Beredskapsbloggen i august 2016.

Gratis e-bok:

Slik kommer du i gang med risikovurdering

Vet du hvor dataene dine lagres, og hvem som har tilgang til dem?

Folk som jobber med beredskap og krisehåndtering er opptatt av gode systemer der data lagres sikkert. I en verden der skybaserte tjenester er stadig mer utbredt, er det likevel ikke en selvfølge at det kun er din egen virksomhet som har tilgang til dine lagrede data. Dette avhenger av hvor maskinene til skylagringstjenesten befinner seg. […]

Les mer
Koronapandemien-6-tips-2020-blogg

Koronapandemien – 6 tips som gjør at du står sterkere hvis vi får en oppblomstring

Da sitter jeg her da – en erfaring rikere. Svaret på Covid-19 testen var negativ og jeg tenker at det var jammen nære på. Alle symptomer på Korona var der, ikke tap av smaksans, men samtlige andre. 6 dagers ventetid på test! Tenk det! Jeg trodde virkelig vi hadde lært nå, og fått på plass […]

Les mer

Har du spørsmål knyttet til våre produkt og tjenester?

Ta gjerne kontakt via telefon, e-post, eller i kontaktskjema under.
Send oss dine spørsmål og få svar.