Har du styr på sikkerheden i jeres Cloud-løsninger?

Sådan sikrer du din virksomhed i en Cloud-verden

Forventer du, at Cloud håndterer de sikkerhedsmæssige behov igennem centraliserede Cyber Security-standardløsninger? Hvis ja, bør denne forventning ikke føre til, at du slækker på jeres eget Cyber Security-beredskab. Det kan få katastrofale konsekvenser.

Cyber-angreb på Cloud stiger med hastige skridt

Antallet af Cyber-angreb på Cloud-baserede netværk steg fra 2021-2022 med:

  • 48% for hele verden
  • 60% i Asien
  • 50% i Europa
  • 28% i Nordamerika

Kilde: Check Point Research

Er du i proces med at flytte dele af jeres IT til Cloud? Så har du formodentlig en forventning om, at jeres driftsomkostninger bliver flyttet fra jeres egen IT-afdeling til faste månedlige betalinger til en eller flere af de store Cloud-leverandører. Det er ikke forkert, men dog en sandhed med modifikationer.
Cloud-benefits som ”Continous delivery”, ”Agile DevOps-strukturer” og “Skalerbar infrastruktur” stiller nye krav til din IT-organisation.

Arkitektur og governance bliver endnu mere vigtige i takt med, at hastighed og fleksibilitet stiger. Arkitektur og governance har tidligere været betragtet som omstændige og støvede, og mange forretningsmæssige ideer blev forkastet af udsagn som: ”Vores næste release er om 9 måneder”, ”Projektet skal først godkendes i IT Council”, ”En interaktiv brugergrænseflade kan ikke leveres fra et batch-system”.

Imødegå Cyber-angreb baseret på arkitektur og metoder:

Service Arkitektur:
Hvis hver enkelt del-system i en IT-løsning udstiller og beskytter egne ”ydelser”, kan virus, orme, trojanske heste m.fl. forhindres i at sprede sig.

Netværkssegmentering:
På tilsvarende vis kan risikoen for og konsekvensen af Cyber-angreb begrænses ved at styre, hvilke komponenter af jeres IT-løsningers tekniske arkitektur, der må kommunikere med hinanden.

I en Cloud-verden skal arkitektur og governance omlægges fra reaktion og restriktion til indlejret og proaktiv. En arkitektur, der er designet og ikke kan omgås, sikrer ikke alene ”time-to-market” og fleksible brugeroplevelser. Den er samtidig det bedste værn imod Cyber-trusler.
Du kan spare din virksomhed penge og undgå dårlige kundeoplevelser ved at investere i de bedste Hybrid Cloud-arkitekter. De kan hjælpe dig med at sikre sammenhængende IT-løsninger baseret på principper som ”Zero trust” og ”Least privilege”.
Anvender du samtidig sikkerheds- og standardiseringsløsninger på flere niveauer, kan risikoen for Cyber-angreb begrænses væsentligt.

Dét skal du være opmærksom på, når du skifter til Cloud

Moderne Cloud-leverandører er særdeles opmærksomme på at begrænse risikoen for cyber-incidents. Du skal derfor ikke forsøge at begrænse sandsynligheden for generelle angreb på de Cloud-ydelser, I anvender. Hvis – og når – en standard Cloud-løsning ”lægges ned” af malware, skal du i stedet sørge for at have fuld kontrol over dine data for at begrænse konsekvensen af Cyber-angrebet. De allervigtigste midler hertil er risikovurdering, business continuity plan og data governance.
Når du flytter IT-tjenester til skyen, er der flere ting, du skal være opmærksom på for at sikre, at data og systemer er sikre. Her er de vigtigste ting, du bør overveje:

Disse Cyber Security-risici skal du være i kontrol med – Cloud eller ej

Datakompromittering:
Data er livsnerven i enhver virksomhed. Uanset om dit produkt er store komplekse maskiner, lynhurtige forretningstransaktioner eller serviceydelser, er det et stort problem, hvis dine data:

  • Stjæles af konkurrenter
  • Blokeres af afpressere
  • Ødelægges af terrorister

Overbelastning af applikationer:
En meget anvendt angrebsmetode i Cyber Space er det såkaldte ’Denial of Service’ - ved hjælp af målrettede masse-kald af sårbare dele af et applikationslandskab.

  1. Databeskyttelse: Data skal være beskyttet mod uautoriseret adgang, bortkomst eller ødelæggelse.
  2. Infrastruktur: Cloud-infrastrukturen skal være sikker, herunder at netværk, servere og storage er konfigureret korrekt.
  3. Adgangskontrol: Du skal have kontrol over adgange til data og systemer – kun autoriserede personer skal have adgang.
  4. Overvågning: Cloud-miljøet skal overvåges for at opdage potentielle trusler, så du kan reagere hurtigt.
  5. Compliance: Du skal overholde relevant lovgivning og branchestandarder, såsom GDPR og ISO-27001, for at sikre, at sensitive data håndteres korrekt.
  6. Leverandørvalg: Vælg en pålidelig og erfaren Cloud-leverandør, der kan give en høj grad af sikkerhed og compliance.
  7. Business Continuity Planning: Lav en plan for, hvordan forretningen fortsætter i tilfælde af nedbrud eller anden katastrofe.
  8. Risikovurdering: Foretag en risikovurdering for at identificere potentielle trusler og sårbarheder, og implementer passende beskyttelsesforanstaltninger.
  9. Data Governance: Hav en data governance strategi, så data er kontrolleret, sikret og overholdt i henhold til love og regler.
  10. Cloud migration-strategi: Hav en strategi for migrationen til skyen, så du kan planlægge og udføre processen på en sikker og effektiv måde.
Hvorfor sikrer Cloud ikke automatisk imod Cyber-trusler?
Ingen kæde er stærkere end det svageste led: Levetiden for IT-løsninger skal ofte måles i dekader og er som regel udviklet og udvidet i hele deres levetid. Særligt større virksomheder har IT-løsninger, der er strikket sammen af adskillige del-systemer af vidt forskellige aldre og kvalitet. Disse del-systemer udveksler data og forretningsregler. Kompromittering kan ske i et hvilket som helst af disse. Tilsvarende kan overbelastning af det samlede system opnås ved målrettede angreb på de mest sårbare delsystemer.

 

Den største sandsynlighed for, at din virksomhed rammes af et cyber-angreb, ligger i de delsystemer, som Cloud-løsningen deler data med. En usikker URL-adresse, en ubeskyttet gammel server eller en forældet applikation, som har adgang til data, der er skabt af/anvendes i Cloud-løsningen, vil være nemme mål for en Cyber-forbryder. Det er derfor vigtigt at fokusere på beskyttelsen af disse delløsninger. Sandsynligheden for angreb kan mindskes betydelig ved hjælp af effektiv governance og god servicearkitektur.

kaastrup|andersen som din samarbejdspartner

Er du på vej over i skyen med dine IT-løsninger? Har du tænkt sikkerheden ind? Vi hjælper dig gerne videre. Ud fra dine behov sammensætter vi et unikt team af fx IT-projektledere, sikkerhedskonsulenter og IT-arkitekter. De kan blandt andet hjælpe dig med at afdække, hvilke tiltag der skal til for at løse din udfordring og sørge for intelligent træk på dine interne ressourcer, når en implementering skal foretages.

Vi står altid klar til at tage en uforpligtende snak med dig om din IT-infrastruktur og sikkerhed. Kontakt Department Manager, Business Infrastructure & Security, Tina Hentze +45 7027 7719 eller tlh@kaastrupandersen.dk.

Læs mere om vores services inden for IT-infrastruktur og sikkerhed her.

Vil du vide mere?

Tina Lykke Skafsgaard Hentze

Department Manager, Business Infrastructure & Security
+45 70 27 77 19
Kontakt mig