Home » Erhverv » Hvor pokker i skyen er mine data…?
Hvor pokker i skyen er mine data…?

Hvor pokker i skyen er mine data…?

Share

For mange blæser svaret i vinden. Data kan nemlig flyde som en blid brise på tværs af både datacentre og landegrænser – uden at virksomheden har nogen som helst mulighed for at kontrollere, hvor de befinder sig. Derfor bør man være helt skarp i sin kravsspecifikation, når der indgås aftale med en cloud-udbyder. Sådan lyder opfordringen fra en af landets største koncerner

Udbuddet af professionelle cloud-løsninger samt -services er omfattende og bruges flittigt af dansk erhvervsliv. I dag er der således ikke nogen, som rynker på næsen over, at personfølsomme eller forretningskritiske data befinder sig i skyen. Og selv hvis man vækker virksomhedens systemansvarlige midt om natten, vil han formentlig kunne svare på, hvor i skyen hans data befinder sig. Nemlig på en server hos den leverandør, der er indgået en aftale med.

Men hvis man bagefter stiller det supplerende spørgsmål ”Er du helt sikker…?”, kan det godt være, der bliver sat nogle interessante mareridtstanker i gang. For hvis ikke man i kontrakten har sørget for at få sat ord på præcis, hvorledes leverandøren må behandle data, kan de i princippet flyde ukontrolleret rundt i cyberspace uden, at virksomheden har nogen som helst kontrol over dem.

For nylig afholdt Dansk IT sin årlige IT-sikkerhedskonference, og her fortalte Poul Otto Schousboe, der er Head of Group IT Security i Danske Bank, hvad der skal til, for at han sover trygt om natten. Danske Bank benytter nemlig en større cloud-baseret Microsoft Office 365 løsning til alle sine ansatte.

Ansvaret kan ikke outsources
Poul Otto Schousboe gennemgik, hvorledes it-sikkerheden sikres i de outsourcing-kontrakter Danske Bank indgår med sine leverandører, og efter eget udsagn er det at være paranoid omkring bankens datasikkerhed ganske enkelt en del af hans jobbeskrivelse. Når anvendelsen af it ændres fra ens egen platform til en leverandørs dedikerede platform eller til en delt platform i skyen, er det nemlig vigtigt at overveje, hvorledes man bevarer den nødvendige kontrol. For som han siger:

”Ansvaret for eksempelvis persondata kan ikke outsources. Derfor skal kontrakten både indeholde de forpligtigelser, leverandøren skal leve op til, og de redskaber kunden skal råde over for til hver en tid at kunne kontrollere såvel sikkerheden i datahåndteringen som, hvor data rent fysisk befinder sig”, siger Poul Otto Schousboe. Desuden pointerer han vigtigheden af en exit-klausul, der definerer retningslinjer for tilbagelevering af data den dag, samarbejdet med leverandøren ophører.

Debut på en delt platform
Danske Bank er med sine 313 filialer, aktiviteter i 15 lande samt ikke mindst næsten 19.000 medarbejdere en af de absolut større danske organisationer, og Group IT, som Poul Otto Schousboe altså har ansvaret for, består af ca. 2800 medarbejdere i Danmark, Lithauen samt Indien. Han har været involveret i flere af bankens outsourcingprojekter, der startede med outsourcing af sikkerhedsadministrationen til DMdata i 1996. DMdata var et fælles selskab ejet af Danske Bank og Mærsk, som siden blev solgt til IBM.

Se også:  BenQ LK970 [TEST]: Evighedsmaskinen

Derefter fulgte outsourcing af bankens driftsafdeling til netop IBM i 2004, og endelig kom aftalen med Microsoft omkring Office 365, der blev indgået i 2013 og betød Danske Banks debut på en delt platform. I den forbindelse var den vigtigste udfordring, hvorledes Poul Otto Schousboe som ansat i en finansiel virksomhed kunne anvende en cloud-platform og garantere overfor såvel ledelse som Finanstilsynet, at virksomheden stadig var i kontrol over egne data.

”Mens vores data lå på den dedikerede IBM-platform, havde vi fortsat egen revision. Den mulighed har vi ikke på den delte platform i skyen, så skridtet fra egen kontrol til ekstern kontrol var ganske stort for os. Blandt andet fordi Office 365-projektet involverer samtlige medarbejdere i koncernen”, siger han – og medgiver, at starten bød på et par sværdslag.

Microsoft måtte rette ind
Under de indledende samtaler med Microsoft var man meget langt fra hinanden. Danske Bank stillede blandt andet krav om, at man ønskede mulighed for at besøge Microsofts datacenter for ved selvsyn at se, præcis hvor data blev opbevaret. Dette krav blev – sammen med kravet om, at man i øvrigt ville vide alt om datahåndteringen – blankt afvist, men siden blev tonen en anden.

”Microsoft lancerede nemlig et såkaldt compliance program for finansielle virksomheder til de platforme, vi benytter, som består af Office 365, Azure samt Dynamics. Det indeholder blandt andet muligheden for indsigt i risici, ret til revision, mulighed for at påvirke det arbejde, tredjeparts revisorer udfører, adgang for tilsynsmyndigheder samt ikke mindst godkendelsesklausul for under-leverandører og en exit-klausul”, siger Poul Otto Schousboe.

Dermed understreger han et vigtigt punkt i virksomhedens sikkerhedsstrategi. Uanset hvor god en leverandør selv mener at være, er dennes fornemmeste opgave at rette ind og gøre, som Danske Bank siger ud fra ønsket om uhindret kontrol i alle aspekter af samarbejdet.

Poul Otto Schousboe er Head of Group IT Security i Danske Bank og fortalte på Dansk IT’s sikkerhedskonference om outsourcing og sikkerhed ved cloud data.

Poul Otto Schousboe er Head of Group IT Security i Danske Bank og fortalte på Dansk IT’s sikkerhedskonference om outsourcing og sikkerhed ved cloud data.

5 gode råd til din outsourcingaftale

Dansk IT har udgivet to hæfter – ”Cloud Computing kontrakter” samt ”Sikkerhed ved IT-outsourcing” – der er en god hjælp, når en aftale eller kontrakt skal indgås. Men Poul Otto Schousboe fra Danske Bank har også et par gode råd til overvejelser, man som kunde bør gøre sig. En vurdering af den strategiske risiko ved håndtering af personfølsomme eller forretningskritiske data bør således omfatte følgende punkter:

Råd 1: Hvorfra skal leverancen ske? Datacentret bør eventuelt besøges fysisk med henblik på en analyse af, om eventuelle nabovirksomheder er potentielle terrormål.

Se også:  Lenovo ThinkSmart Hub 500 [TEST]: Effektive video­møder uden stress og besvær

Råd 2: Virksomheden skal have detaljeret kendskab til leverandørens sikkerhedsprocedurer samt ret til inspektion og revision.

Råd 3: Det skal være klart defineret, om data må flyttes uden forudgående aftale eller flyttes til andre datacentre uden for EU.

Råd 4: Procedurer for eventuel skift af underleverandører skal være præcist formuleret.

Råd 5: Leverandørens forpligtelser i forbindelse med skift til anden leverandør eller hjemtagning af data skal være aftalt.

 

Danske Banks 5 hovedkrav til Microsoft

Krav 1: Indsigt i leverandørens sikkerhedsmetoder, inklusive it-kontroller samt adgang til revisionsrapporter, der dækker hele leverancekæden.
Løsning: Leverandøren skal årligt sende relevante revisionsrapporter, f.eks. ISAE 3402, ISO27001– certificeringer samt dokumentation for gennemførelse af kontroller, revisionsobservationer inklusive afhjælpning af disse.

Krav 2: Mulighed for at anmode om yderligere indsigt i den eksterne revisors dokumentation.
Løsning: Etablering af forum med minimum to årlige møder til drøftelse af revisionsobservationer og Danske Banks feedback. Forum kan være fælles med andre af leverandørens kunder med samme leverance.

Krav 3: Mulighed for at påvirke yderligere eller ændrede revisionselementer.
Løsning: Gennem det etablerede forum skal det være muligt at kunne tilføje nye revisionskontroller, som den eksterne revision gennemfører.

Krav 4: Mulighed for at foretage inspektion af relevante datacentre inklusive relevante driftslokationer.
Løsning: Tilsynsmyndigheder skal have mulighed for at foretage inspektion.

Krav 5: Mulighed for at godkende eller afvise underleverandører, herunder flytning af data til anden lokation.
Løsning: Kan kontraktligt formuleres som en escape, hvis der ikke er enighed mellem parterne.

 

Sikkerhed er et konkurrenceparameter

Ifølge Ole Kjeldsen, der er Teknologi- og Sikkerhedsdirektør i Microsoft Danmark er datasikkerhed et konkurrenceparameter – og har altid været det – siden Microsoft for alvor satte stikket i sine datacentre. Ifølge Ole Kjeldsen er netop muligheden for, at kunden selv kan bestemme i hvilken del af verdenen, data skal placeres, derfor en af de faktorer, der gør, at man kan differentiere sig fra andre cloududbydere.

Nu er der selvfølgelig forskel på virksomheder, og langt fra alle har samme strenge krav til sine leverandører som Danske Bank. Men Ole Kjeldsen understreger, at der i kundekredsen generelt ér kommet større fokus på sikkerhed, og da man gerne vil kunne servicere virksomheder i alle størrelser og alle brancher, tilbyder man udover compliance programmet til den finansielle sektor ligeledes sikkerhedscertificering til eksempelvis healthcare-sektoren.

”Desuden giver outsourcingbekendtgørelsen mulighed for, at en kunde kan besøge det datacenter, der håndterer dennes data. I praksis er det naturligvis umuligt, at alle kunder kan det, og derfor er det vigtigt, at vi samarbejder med pålidelige revisionspartnere som f.eks. Deloitte, Ernst & Young samt KPMG. Deres rapporter er tilgængelige for alle kunder, men skulle eksempelvis

Finanstilsynet ønske at komme på besøg på vegne af finanssektoren, skal de naturligvis være velkommen”, siger Ole Kjeldsen.


TAGS
erhverv
Outsourcing
skyen

DEL DENNE
Share


Mest populære
Populære
Nyeste
Tags

Find os på de sociale medier

Modtag dagligt IT-nyhedsbrev

Få gratis tech-nyheder i din mail-indbakke alle hverdage. Læs mere om IT-UPDATE her

Find os på FaceBook

AOD/AOD.dk

Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
redaktion@aod.dk

Audio Media A/S

CVR nr. 16315648,
Brogårdsvej 22
DK-2820 Gentofte
Telefon: 33 91 28 33
info@audio.dk
Annoncesalg:
Lars Bo Jensen: lbj@audio.dk Telefon: 40 80 44 53
Annoncer: Se medieinformation her


AOD/AOD.dk   © 2020
Privatlivspolitik og cookie information - Audio Media A/S