CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Artikel top billede

(Foto: Computerworld)

Hvor pokker i skyen er mine data…?

For mange blæser svaret i vinden. Data kan nemlig flyde som en blid brise på tværs af både datacentre og landegrænser – uden at virksomheden har nogen som helst mulighed for at kontrollere, hvor de befinder sig. Derfor bør man være helt skarp i sin kravsspecifikation, når der indgås aftale med en cloud-udbyder. Sådan lyder opfordringen fra en af landets største koncerner.

2. maj 2016 kl. 12.59

Af Tom Madsen, Alt om Data

Denne artikel er oprindeligt bragt på Alt om Data. Computerworld overtog i november 2022 Alt om Data. Du kan læse mere om overtagelsen her.

Udbuddet af professionelle cloud-løsninger samt -services er omfattende og bruges flittigt af dansk erhvervsliv. I dag er der således ikke nogen, som rynker på næsen over, at personfølsomme eller forretningskritiske data befinder sig i skyen. Og selv hvis man vækker virksomhedens systemansvarlige midt om natten, vil han formentlig kunne svare på, hvor i skyen hans data befinder sig. Nemlig på en server hos den leverandør, der er indgået en aftale med.

Men hvis man bagefter stiller det supplerende spørgsmål ”Er du helt sikker…?”, kan det godt være, der bliver sat nogle interessante mareridtstanker i gang. For hvis ikke man i kontrakten har sørget for at få sat ord på præcis, hvorledes leverandøren må behandle data, kan de i princippet flyde ukontrolleret rundt i cyberspace uden, at virksomheden har nogen som helst kontrol over dem.

For nylig afholdt Dansk IT sin årlige IT-sikkerhedskonference, og her fortalte Poul Otto Schousboe, der er Head of Group IT Security i Danske Bank, hvad der skal til, for at han sover trygt om natten. Danske Bank benytter nemlig en større cloud-baseret Microsoft Office 365 løsning til alle sine ansatte.

Ansvaret kan ikke outsources
Poul Otto Schousboe gennemgik, hvorledes it-sikkerheden sikres i de outsourcing-kontrakter Danske Bank indgår med sine leverandører, og efter eget udsagn er det at være paranoid omkring bankens datasikkerhed ganske enkelt en del af hans jobbeskrivelse. Når anvendelsen af it ændres fra ens egen platform til en leverandørs dedikerede platform eller til en delt platform i skyen, er det nemlig vigtigt at overveje, hvorledes man bevarer den nødvendige kontrol. For som han siger:

”Ansvaret for eksempelvis persondata kan ikke outsources. Derfor skal kontrakten både indeholde de forpligtigelser, leverandøren skal leve op til, og de redskaber kunden skal råde over for til hver en tid at kunne kontrollere såvel sikkerheden i datahåndteringen som, hvor data rent fysisk befinder sig”, siger Poul Otto Schousboe. Desuden pointerer han vigtigheden af en exit-klausul, der definerer retningslinjer for tilbagelevering af data den dag, samarbejdet med leverandøren ophører.

Debut på en delt platform
Danske Bank er med sine 313 filialer, aktiviteter i 15 lande samt ikke mindst næsten 19.000 medarbejdere en af de absolut større danske organisationer, og Group IT, som Poul Otto Schousboe altså har ansvaret for, består af ca. 2800 medarbejdere i Danmark, Lithauen samt Indien. Han har været involveret i flere af bankens outsourcingprojekter, der startede med outsourcing af sikkerhedsadministrationen til DMdata i 1996. DMdata var et fælles selskab ejet af Danske Bank og Mærsk, som siden blev solgt til IBM.

Derefter fulgte outsourcing af bankens driftsafdeling til netop IBM i 2004, og endelig kom aftalen med Microsoft omkring Office 365, der blev indgået i 2013 og betød Danske Banks debut på en delt platform. I den forbindelse var den vigtigste udfordring, hvorledes Poul Otto Schousboe som ansat i en finansiel virksomhed kunne anvende en cloud-platform og garantere overfor såvel ledelse som Finanstilsynet, at virksomheden stadig var i kontrol over egne data.

”Mens vores data lå på den dedikerede IBM-platform, havde vi fortsat egen revision. Den mulighed har vi ikke på den delte platform i skyen, så skridtet fra egen kontrol til ekstern kontrol var ganske stort for os. Blandt andet fordi Office 365-projektet involverer samtlige medarbejdere i koncernen”, siger han – og medgiver, at starten bød på et par sværdslag.

Microsoft måtte rette ind
Under de indledende samtaler med Microsoft var man meget langt fra hinanden. Danske Bank stillede blandt andet krav om, at man ønskede mulighed for at besøge Microsofts datacenter for ved selvsyn at se, præcis hvor data blev opbevaret. Dette krav blev – sammen med kravet om, at man i øvrigt ville vide alt om datahåndteringen – blankt afvist, men siden blev tonen en anden.

”Microsoft lancerede nemlig et såkaldt compliance program for finansielle virksomheder til de platforme, vi benytter, som består af Office 365, Azure samt Dynamics. Det indeholder blandt andet muligheden for indsigt i risici, ret til revision, mulighed for at påvirke det arbejde, tredjeparts revisorer udfører, adgang for tilsynsmyndigheder samt ikke mindst godkendelsesklausul for under-leverandører og en exit-klausul”, siger Poul Otto Schousboe.

Dermed understreger han et vigtigt punkt i virksomhedens sikkerhedsstrategi. Uanset hvor god en leverandør selv mener at være, er dennes fornemmeste opgave at rette ind og gøre, som Danske Bank siger ud fra ønsket om uhindret kontrol i alle aspekter af samarbejdet.

Poul Otto Schousboe er Head of Group IT Security i Danske Bank og fortalte på Dansk IT’s sikkerhedskonference om outsourcing og sikkerhed ved cloud data. Poul Otto Schousboe er Head of Group IT Security i Danske Bank og fortalte på Dansk IT’s sikkerhedskonference om outsourcing og sikkerhed ved cloud data.

5 gode råd til din outsourcingaftale

Dansk IT har udgivet to hæfter – ”Cloud Computing kontrakter” samt ”Sikkerhed ved IT-outsourcing” – der er en god hjælp, når en aftale eller kontrakt skal indgås. Men Poul Otto Schousboe fra Danske Bank har også et par gode råd til overvejelser, man som kunde bør gøre sig. En vurdering af den strategiske risiko ved håndtering af personfølsomme eller forretningskritiske data bør således omfatte følgende punkter:

Råd 1: Hvorfra skal leverancen ske? Datacentret bør eventuelt besøges fysisk med henblik på en analyse af, om eventuelle nabovirksomheder er potentielle terrormål.

Råd 2: Virksomheden skal have detaljeret kendskab til leverandørens sikkerhedsprocedurer samt ret til inspektion og revision.

Råd 3: Det skal være klart defineret, om data må flyttes uden forudgående aftale eller flyttes til andre datacentre uden for EU.

Råd 4: Procedurer for eventuel skift af underleverandører skal være præcist formuleret.

Råd 5: Leverandørens forpligtelser i forbindelse med skift til anden leverandør eller hjemtagning af data skal være aftalt.

 

Danske Banks 5 hovedkrav til Microsoft

Krav 1: Indsigt i leverandørens sikkerhedsmetoder, inklusive it-kontroller samt adgang til revisionsrapporter, der dækker hele leverancekæden.
Løsning: Leverandøren skal årligt sende relevante revisionsrapporter, f.eks. ISAE 3402, ISO27001– certificeringer samt dokumentation for gennemførelse af kontroller, revisionsobservationer inklusive afhjælpning af disse.

Krav 2: Mulighed for at anmode om yderligere indsigt i den eksterne revisors dokumentation.
Løsning: Etablering af forum med minimum to årlige møder til drøftelse af revisionsobservationer og Danske Banks feedback. Forum kan være fælles med andre af leverandørens kunder med samme leverance.

Krav 3: Mulighed for at påvirke yderligere eller ændrede revisionselementer.
Løsning: Gennem det etablerede forum skal det være muligt at kunne tilføje nye revisionskontroller, som den eksterne revision gennemfører.

Krav 4: Mulighed for at foretage inspektion af relevante datacentre inklusive relevante driftslokationer.
Løsning: Tilsynsmyndigheder skal have mulighed for at foretage inspektion.

Krav 5: Mulighed for at godkende eller afvise underleverandører, herunder flytning af data til anden lokation.
Løsning: Kan kontraktligt formuleres som en escape, hvis der ikke er enighed mellem parterne.

 

Sikkerhed er et konkurrenceparameter

Ifølge Ole Kjeldsen, der er Teknologi- og Sikkerhedsdirektør i Microsoft Danmark er datasikkerhed et konkurrenceparameter – og har altid været det – siden Microsoft for alvor satte stikket i sine datacentre. Ifølge Ole Kjeldsen er netop muligheden for, at kunden selv kan bestemme i hvilken del af verdenen, data skal placeres, derfor en af de faktorer, der gør, at man kan differentiere sig fra andre cloududbydere.

Nu er der selvfølgelig forskel på virksomheder, og langt fra alle har samme strenge krav til sine leverandører som Danske Bank. Men Ole Kjeldsen understreger, at der i kundekredsen generelt ér kommet større fokus på sikkerhed, og da man gerne vil kunne servicere virksomheder i alle størrelser og alle brancher, tilbyder man udover compliance programmet til den finansielle sektor ligeledes sikkerhedscertificering til eksempelvis healthcare-sektoren.

”Desuden giver outsourcingbekendtgørelsen mulighed for, at en kunde kan besøge det datacenter, der håndterer dennes data. I praksis er det naturligvis umuligt, at alle kunder kan det, og derfor er det vigtigt, at vi samarbejder med pålidelige revisionspartnere som f.eks. Deloitte, Ernst & Young samt KPMG. Deres rapporter er tilgængelige for alle kunder, men skulle eksempelvis

Finanstilsynet ønske at komme på besøg på vegne af finanssektoren, skal de naturligvis være velkommen”, siger Ole Kjeldsen.



Computerworld ... grobund for markante meninger om it
Har du en holdning? Del din viden på Computerworld »
Mogens Nørgaard
Mogens Nørgaard
Jonathan Løw
Jonathan Løw
Jeanette Carlsson
Jeanette Carlsson
David Guldager
David Guldager
Jacqueline Johnson
Jacqueline Johnson
Andreas Holbak Espersen
Andreas Holbak Espersen
Erik David Johnson
Erik David Johnson
Mogens Nørgaard
Mogens Nørgaard
opinion
Mogens Nørgaard
Mogens Nørgaard
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Læs indlæg
Artikel teaser billede

Jonathan Løw

Når virksomheder bytter ledere – en fremtidig it-ledelsestrend?

Artikel teaser billede

Jeanette Carlsson

Vores perspektiv i debatten om diversitet er alt for binær - for det handler om meget mere end køn

Artikel teaser billede

David Guldager

Guldager: Jeg har bare tre enkle ønsker til min næste bil

Artikel teaser billede

Jacqueline Johnson

Dansk IT: Hvad du som CIO bør vide om AI Act

Mest læste klummer og blogs
Nørgaard: Bedst som man troede, at det ikke kunne blive værre end Ejendomsvurderingen dukkede AI op
Klumme: ChatGPT opfører sig som en høflig og tålmodig, amerikansk DJØF'er, og den vil SÅ gerne please os. Der er stadig brug for os.
Af: Mogens Nørgaard
Generativ AI i praksis: To vigtige begreber bag nutidens AI-modeller - og hvorfor de ikke kan blive til AGI'er lige nu
Klumme: Nutidens AI-modeller aner ikke, hvad det vil sige at være et menneske eller en menneskelig samtalepartner, men udnytter blot de dybe mønstre, som de har fundet i sproget. Faktisk vil jeg argumentere for, at man skal til at designe fremtidens AI helt anderledes, end man gør i dag
Af: Erik David Johnson
Nørgaard: Som jeg altid har sagt: Man ansætter altid nye folk på udseendet, for det er det eneste, som en kandidat ikke kan fuske med
Klumme: Hvis der er en kollektiv løgn, som nordsjællænderne og djøferne har påduttet os alle sammen, så er det dén med, at løn og dygtighed hører sammen. Selvfølgelig er det komplet nonsens, og vi ved det alle sammen.
Af: Mogens Nørgaard
David Guldager
opinion
David Guldager
Guldager: Jeg har bare tre enkle ønsker til min næste bil
opinion Andreas Holbak Espersen
Derfor er den nye digitale taskforce det helt rigtige initiativ
Læs indlæg

Premium
Teaser billede
Medarbejderne fik udleveret badetøfler ved indflytningen: Kom med inden for i IBM Danmarks nye topmoderne hovedkontor
Læs mere »
Cyber-gidselforhandler løfter sløret: Sådan undgår du at blive ramt af den frygtede 'double whammy'
Her er de 10 bedste arbejdspladser i den danske it-branche
Sådan har Novo sat AI i arbejde: Læs Computerworlds store temanummer om AI i forretningen
Se alle »
Computerworld
Teaser billede
Du bør vente med at købe ny bærbar: En pc-revolution vil ramme allerede til sommer
Læs mere »
Test af ny generation af video-overvågning: Her tilbydes de bedste features – nu til en skarpere pris
Guldager: Jeg har bare tre enkle ønsker til min næste bil
Taler til sanserne: Den sjoveste elbil, som du overhovedet kan få, ser ud til at blive kinesisk
Se alle »
CIO
Teaser billede
Aldrende SAP-konsulenter er et kæmpe problem i markedet: Virksomheder tør ikke uddanne nye
Læs mere »
Kæmpe prisstigninger på vej fra Microsoft: Dynamics 365 bliver op til 16 procent dyrere
Danske CloudNordic går konkurs efter stort ransomware-angreb
Stort angreb skyller ind over en lang række VPN-tjenester: Løsninger fra Cisco, Fortinet og andre ramt
Se alle »
Job & Karriere
Teaser billede
NNIT flytter til det centrale København: Her er selskabets nye hovedkvarter
Læs mere »
Får havudsigt: IBM Danmarks 700 medarbejdere flytter til nyt hovedkvarter om få dage
Knap 40 procent af disse it-folk tjener tjener mindst 57.000 kroner om måneden
Fujitsu Danmark fyrer medarbejdere og udfaser al nysalg af cloud
Se alle »
White paper
Teaser billede
Opdag fordelene ved cloud-baseret backup og recovery
Læs mere »
Det behøver ikke at gøre ondt: Sådan gør du livet lettere for kunder med multicloud
Sæt turbo på din cloudperformance og minimér risikoen for DDoS-angreb
Guide: Sådan udvikler du en moderne netværksstrategi
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »