ANNONSEBILAG FRA ACCENTURE

Sikkerhetsarbeid kan øke tempoet på skyreisen

Sikkerhet og etterlevelse av regelverk blir ofte sett på som bremseklosser på skyreisen. I realiteten kan de bidra til ønsket progresjon.

ANNONSEBILAG FRA ACCENTURE
ANNONSEBILAG FRA ACCENTURE

På samme måte som det ville vært bortimot utenkelig for en startup å basere seg på eget datasenter, har etter hvert også de fleste etablerte organisasjoner en «cloud first»-strategi. Løftene om økt fleksibilitet og redusert kostnad er for lovende til å kunne ignoreres.

Der startupen har fordelen av å kunne starte med blanke ark, har imidlertid den etablerte organisasjonen en stor utfordring med å få eksisterende løsninger og oppsett fungere effektivt under nye drifts- og sikkerhetsparadigmer.

Faktisk sier 6 av 10 at de sliter med å få full effekt av skyinvesteringene. Flesteparten av disse igjen sier at sikkerhet og regelverksetterlevelse er den viktigste hindringen som gjør at gevinstene uteblir.

Sikkerhetsrisiko i feil konfigurasjon

Felles for både store og små virksomheter er at enhver skyreise er forbundet med en viss sikkerhetsrisiko. Riktignok tilbyr skyleverandørene sikker basis infrastruktur og et rikt sett med sikkerhetsfunksjonalitet, men det er virksomheten selv som er ansvarlig for å benytte og konfigurere disse riktig.

Feilkonfigurerte skyløsninger er den vanligste årsaken til sikkerhetshendelser i skyen.

For mange virksomheter blir også skyens fleksibilitet et tveegget sverd. Det det tidligere var et lite miljø som var ansvarlig for virksomhetens infrastruktur og datasentre, er det nå nærmest fritt frem for ulike mindre grupper å etablere sine egne skyløsninger – uten at det nødvendigvis baseres på en helhetlig plan for sikker drift. Med ett har virksomhetens risikobilde blitt langt mer sammensatt.

Sikkerhetsregimer vanskelig å overføre

Skytjenester er vesentlig forskjellige fra tradisjonelle driftsmiljøer. En god sikkerhetsstrategi må ta høyde for dette. Det vil fungere dårlig å overføre virksomhetens gamle sikkerhetsregime til skyen, på samme måte som det fungerer dårlig å flytte alle systemer til skyen, uendret og ukritisk.

Eirik Gjesteland, direktør i Accenture Security
Eirik Gjesteland, direktør i Accenture Security

Alle med ansvar for informasjonssikkerhet føler godt på dette. De opplever det som lite aktuelt å gå i skyen uten tydelige rammeverk, system for overvåking og opplegg for avvikshåndtering. Mangel på dette kan bremse skyreisen, sier Eirik Gjesteland, direktør i Accenture Security.

Dersom du underveis oppdager at sikkerhet og samsvar ikke er ivaretatt, må arbeidet kanskje stoppe eller bremse ned. Da kan det bli nødvendig å ta et langt skritt tilbake. Slikt tar tid, koster penger og fører til misnøye og friksjon.

Fundament fra begynnelsen av

Måten å gå frem på er å tenke både sikkerhet og etterlevelse av regelverk fra første stund. Virksomhetens skystrategi må være tydelig på plassering av ansvar, etablere styringsstrukturer på tvers av forretning og IT og sørge for at skyreisen er i tråd med virksomhetens risikoappetitt.

Sikkerhetsavdelingen bør anerkjenne skyens fordeler – også sikkerhetsmessige, og innse at den krever ny tilnærming.

Virksomheter flest vil søke seg til flere forskjellige skyer, og har i tillegg tradisjonelle kjernesystemer som fortsatt vil være i bruk lenge. Derfor vil informasjonssikkerhet i overskuelig fremtid handle om hybrid sky (kombinasjon av sky og egne datasentre) og multisky (flere skyleverandører). Skystrategien må adressere dette.

Tilpasset skyen

Mange blir positivt overrasket når de erfarer hvordan de store skyleverandørene i høyt tempo bygger og tilbyr nye sikkerhetstjenester. Det kan være fornuftig å ha en bevisst strategi på om og hvor raskt ny funksjonalitet skal tas i bruk, og i hvor stor grad skyleverandørens tjenester skal foretrekkes foran tredjepartsverktøy.

Tradisjonelle arbeidsprosesser rundt sikkerhet og etterlevelse endres. I stedet for selv å søke etter ny sikkerhetsteknologi, blir en strøm av muligheter servert virksomhetene. For å hente ut mest mulig effekt fra både teknologien og egen kompetanse er det viktig å planlegge for dette, sier Gjesteland.

Klar for neste skyreise

En skyreise består gjerne av mange mindre transformasjons- og flytteprosesser. Hver prosess er unik, men det er også mange likheter på tvers. Ved å legge litt ekstra innsats i de første etappene – etablere et godt fundament og i størst mulig grad automatisere gjenbrukbare oppsett – går de neste etappene i reisen lettere og raskere.

En annen grunn til å tilrettelegge for automatisering er mangel på tilgjengelig kompetanse og kapasitet innenfor sikkerhetsområdet. La automatikken håndtere alt som kan automatiseres og bruk sikkerhetsressursene dine til andre, mer kreative arbeidsoppgaver.

Vil du vite mer? Kontakt Eirik!

IFire steg i en vellykket skyreise

  1. Konsolidering og rasjonalisering Tenk nøye gjennom hvilke systemer, verktøy og leverandører som skal være med på skyreisen. Planlegg for avvikling av gamle systemer som ikke understøtter moderne forretningsprosesser. Ikke bruk energi på å flytte systemer til skyen som du uansett har tenkt å kvitte deg med. Husk at midlertidige løsninger som regel blir permanente.
  2. Modernisering Moderniser applikasjoner som skal flyttes til skyen slik at du i størst mulig grad kan dra nytte av underliggende sikkerhets- og robusthetsfunksjonalitet i skyen. En ren flytteoperasjon uten tilpasninger gir som regel negative effekter – både kostnadsmessig og sikkerhetsmessig.
  3. Orkestrering Få eksisterende systemer og prosesser til å fungere godt sammen med de nye. Sørg for at det som fungerte godt tidligere blir videreført på en måte som minimerer ekstraarbeid og friksjon med det nye.
  4. Automatisering Først når oppgaver kan automatiseres vil du få full effekt av skyinvesteringen. Høst gevinst ved å flytte ressurser fra automatiserte rutineoppgaver til nyskapning og kontinuerlig forbedring.