Sikker nok? Blog om informationssikkerhed

Ofte stillede spørgsmål om Cloud Computing

[fa icon="calendar"] 10. februar 2012 / af Lars Neupart

Hvad er cloud computing?

Cloud computing har en række kendetegn. Primære kendetegn er it-ydelser "on-demand", stor cloud-240.giffleksibilitet og skalérbarhed (på engelsk: "elasticity") og et miljø, hvor ressourcer i et eller andet omfang deles med andre brugere af samme sky (på engelsk "multi tenancy").

Kan man have persondata i skyen?

I princippet er der ikke noget i vejen for at behandle og opbevare persondata i skyen, men alle regler og vejledninger skal selvfølgelig efterleves. Arten af persondata kan også være afgørende. Både email-adresser og sygdomsoplysninger kan eksempelvis være "persondata", men sikkerhedskravene til dem vil være forskellige. Det er vigtigt at notere sig, at persondatalovgvningen er en del ældre end cloud computing. Det betyder at når Datatilsynet anvender lovens tekst på cloud computing, dukker der derfor oftest en række spørgsmål op som både brugere og leverandører kan have mere end svært ved at svare på. I sommeren 2010 forhindrede en sådan situation Odense Kommune i at bruge cloud computing fra Google i et konkret pilotprojekt.

Hvad er SPI-modellen?

SPI er en forkortelse for "Software as a Service", "Platform as a Service" og "Infrastructure as a Service".

Hvordan er sikkerheden i cloud computing?

Det afhænger af mange forskellige faktorer; blandt andet om du vælger SaaS, PaaS eller IaaS, og om skyen er privat, offentlig, hybrid- eller "community"-baseret. For virksomheder uden specielle it-sikkerhedskompetencer, for eksempel mindre virksomheder uden en dedikeret it-sikkerhedsfunktion, vil cloud computing formentlig kunne give bedre sikkerhed end de selv ville kunne etablere og ikke mindst vedligeholde.

Er cloud computing mest for større eller mest for mindre organisationer?

Både og... Men af forskellige årsager. For nogle store virksomheder er den business-case der kan laves bedre end hvad små virksomheder kan opnå. Samtidigt giver cloud computing mindre virksomheder nem og økonomisk attraktiv adgang til professional it-drift og til ressourcer som tidligere var forbeholdt virksomheder med langt større it-budgetter.

Er cloud computing for offentlige virksomheder?

Det er der masser af udenlandske eksempler på, for eksempel i Japan, Australien og USA. I Danmark gennemfører blandt andet IT- og Telestyrelsen en række projekter der benytter cloud computing. Persondata-spørgsmål og sikkerhedsspørgsmål står ofte i vejen.

Skal sikkerhedsfolk advare mod cloud computing?

Ja, hvis sikkerhedsfolk ikke ønsker at blive taget med på råd i fremtiden skal de blot sige nej til skyen nu.

Er der forskel på sikkerheden hos de forskellige udbydere?

Ja da. Udover de naturlige forskelle, afhængig af om udbyderen leverer Software, Platform eller Infrastruktur som en service, er der også stor forskel på hvilke sikkerhedsfaciliteter som leveres fra forskellige leverandører.

Hvad er Cloud Security Alliance?

Cloud Security Alliance (CSA) er en "non-profit"-forening, som gennemfører en lang række initiativer csa-240.gifinden for cloud security. For eksempel udgives en gratis guide og vejledning i cloud security. Man kan som person være gratis medlem, og foreningen udmærker sig ved at bestå af en lang række leverandører og virksomhedsbrugere af cloud computing. Det giver en god tyngde bag foreningen og dens initiativer. Ud over vejledningen er der frigivet en "control matrix" med en række "controls" med relevans for cloud security som er mappet op i mod blandt andet ISO 27001, PCI og Cobit.

Hvad siger EU om cloud computing?

EU's sikkerhedskontor, ENISA, har udgivet en udmærket vejledning i, hvordan man som potentiel virksomhedsbruger kan risikovurdere cloud leverandører.

Læs mere om cloud sikkerhed hos Enisa

Bliver der mere eller mindre behov for it-sikkerhedskompetencer i skyen?

Adskillige undersøgelser peger på at sikkerhedsspørgsmål sammen med persondata-forhold er blandt de største forhindringer for virksomheders brug af cloud computing. Det kunne tyde på at kompetencer indenfor disse områder bliver efterspurgte.

Bliver der mere eller mindre behov for it-kompetencer i skyen?

Alting tyder på at cloud computing kun bliver mere udbredt i fremtiden. England og Australien har allerede indført en "cloud-first" politik og flere virksomheder er begyndt at tage springet ud i skyen.

Hvis den udbredelse fortsætter bliver it-kompetencer i stil med  "jeg er god til at installere operativsystemer på servere og servicere alt i vores serverrum" nok ikke de mest efterspurgte i fremtiden.

Sikker Nok?

Neuparts blog er gode råd og viden om effektiv it-sikkerhedsledelse, it-sikkerhedsstrategier, risikostyring, efterlevelse af standarder og andre krav, beredskabsplanlægning, ISO2700x, EU persondatakrav, PCI DSS etc.

Populære indlæg