Magma topp logo Til forsiden Econa

Skytjenester – et godt valg om det gjøres sikkert

figur-authorfigur-authorfigur-authorfigur-authorfigur-author

Skytjenester – et godt valg om det gjøres sikkert

Sammendrag

Artikkelen drøfter hvordan virksomheter best mulig møter utfordringene som følger av en rask teknologisk utvikling. Stadig økende kompleksitet i leverandørkjeder, nettverksstrukturer og IT-systemer skaper et uoversiktlig miljø, og gjør det vanskelig å ta gode beslutninger. Digitalisering skaper også nye sårbarheter og dermed også nye muligheter for å skade eller utnytte digitale systemer og plattformer. Med dette bakteppet diskuteres skytransformasjon som løsning på de utfordringene som nå melder seg. Det er fremdeles lite kunnskap om hvordan virksomheter best ivaretar sikkerheten ved en tjenesteutsetting til sky. Frykten for å ta i bruk skyteknologi går for mange på bekostning av potensielle gevinster. Artikkelen vil presentere en metodikk som setter virksomhetene i stand til å gjennomføre overgangen til skyleveranser på en sikker måte gjennom en helhetlig tilnærming. Metodikken viser også hvilken omfattende kompetansereise den enkelte virksomhet må gjennomføre for å lykkes med sikkerhet i skyen.

1 Bakteppe

Fremveksten av informasjonsteknologi har ført til fundamentale endringer for offentlige og private aktører. Der budbringere en gang fraktet nedskreven informasjon mellom to virksomheter, kom etter hvert telefaksen som en banebrytende teknologi på 1980-tallet og erstattet fort behovet for fysiske leveranser av brev og dokumenter (Fang, 1997). Den teknologiske utviklingen har gitt enorme effektiviseringsgevinster samtidig som det har skapt nye mulighetsrom for utvikling av varer og tjenester.

De fleste virksomheter erkjenner i dag at informasjonsteknologi ikke lenger er en støttetjeneste, men at det har blitt den viktigste innsatsfaktoren for å oppnå konkurransefortrinn. Konsekvensene av å ikke holde tritt med den teknologiske utviklingen kan skape mulighetsrom for etablerte konkurrenter så vel som potensielle inntrengere i markedet som ser muligheter for å kapre markedsandeler ved hjelp av innovativ teknologi. Skal virksomheter overleve over tid, må de evne å fornye forretningsstrategien fortløpende i takt med teknologiske muligheter. Charles Darwin er stadig like aktuell: «It is not the strongest of the species that survives, nor the most intelligent that survives. It is the most adaptable to change.» Teknologi må tas i bruk for å understøtte strategien så vel som kundens behov. Å lykkes i dagens teknologiske verden handler om å kunne utnytte informasjonsteknologi som innsatsfaktor og samtidig forstå at IT er en viktig premissgiver for strategi og forretningsmodeller.

Verdien av digitalisering er betydelig for private så vel som offentlige virksomheter. Norske myndigheter har gjennom Digitaliseringsstrategi for offentlig sektor 2019–2025 (Kommunal- og moderniseringsdepartementet, 2019), formulert en hensikt om å øke digitaliseringen ved å understøtte digital transformasjon i hver enkelt virksomhet og i offentlig sektor som helhet. Digital transformasjon betyr å endre den grunnleggende måten virksomheten løser oppgavene sine på, ved hjelp av teknologi. En slik transformasjon handler like mye om endringsledelse og kompetanse- og organisasjonsutvikling som den handler om teknologi.

Den mest fremtredende digitaliseringstrenden i dag er overgang til skytjenester, og skyteknologi inngår etter hvert som en viktig del av de fleste virksomheters digitaliseringsstrategi. En av hovedgrunnene til denne trenden er de kommersielle aktørenes tilbud av ferdige løsninger som direkte understøtter digitaliseringen. Det er knyttet store teknologiske og virksomhetsmessige fordeler til bruk av skyteknologi, hvilket er rasjonalet bak myndighetenes anbefaling om å bruke skytjenester der det er hensiktsmessig (Kommunal- og moderniseringsdepartementet, 2019). Samtidig må kunnskap om og kjennskap til kompleksiteten i virksomhetens infrastruktur og det trusselbildet den aktuelle virksomheten står overfor, inngå som viktige komponenter i valg av strategi.

Hva er en skytjeneste?

En skytjeneste er en skalerbar, databasert tjeneste som leveres over nett. Skyen tilgjengeliggjør nettverkstilgang til et utvalg dataressurser som raskt kan leveres og frigjøres med minimal ledelsesinnsats eller interaksjon mellom tjenesteleverandørene. Skytjenester fordeles gjerne på følgende tre kategorier:

  • Software as a Service (SaaS): Muligheten til å benytte leverandørens applikasjoner, som kjører på en skyinfrastruktur.
  • Platform as a Service (PaaS): Muligheten til å utvikle og benytte egenutviklede applikasjoner eller benytte anskaffede applikasjoner på en skybasert plattform.
  • Infrastructure as a Service (IaaS): Muligheten til å kjøre programvare, herunder operativsystemer og applikasjoner, direkte på en skyinfrastruktur bestående av servere, lagringsenheter, nettverk og andre grunnleggende databehandlingsressurser.

NIST, Special Publication 800–145, The NIST Definition of Cloud Computing

2 Økende kompleksitet

Implementering av stadig nye systemer og plattformer skaper utfordringer for mange virksomheter i form av uoversiktlige IT-miljøer og infrastruktur der sikkerhetsmessige svakheter er vanskelig å unngå. Virksomheter uten en godt implementert IT-strategi vil raskt oppleve at kompleksiteten øker i et tempo virksomheten ikke er i stand til å håndtere.

Økende kompleksitet i egen infrastruktur gjør det vanskelig for ledere å vurdere sikkerheten når ny teknologi tas i bruk. Det er fundamentale forskjeller mellom cyberdomenet og den fysiske verden som det kan være vanskelig å få grep om. Cyberdomenet er av natur mer komplekst (Limnéll et al., 2014). Der tid og sted er selvfølgeligheter i den fysiske verden, er disse begrepene lite håndfaste i det digitale rom. Hendelser kan oppstå momentant og foregå simultant.

Nettverkstrafikk inn og ut av Norge undersøkes ikke for å avdekke uønsket og mistenkelig aktivitet. I praksis kan hvem som helst fra hvor som helst sjekke om din virksomhets brannmur er konfigurert riktig, uten at myndighetsorganer kan oppdage eller stoppe trafikken. 5 I den fysiske verden er virkeligheten en annen. Biltrafikken inn i Norge kan enkelt kontrolleres. Tollvesenet står på grensen og sjekker mistenkelige kjøretøy. Om personer med ondsinnede hensikter planlegger å krysse grensen, kan politiet kontrollere trafikken for å oppdage og eventuelt stanse de mistenkte. I cyberdomenet har ikke myndighetene det samme mulighetsrommet, og ulike trusselaktører kan banke på hver eneste dør i Norge. Det er opp til hver enkelt å ta ansvar for å oppdage og håndtere disse truslene.

Globaliseringen gjør at internett blir tilgjengelig for stadig flere mennesker. Antallet internettbrukere i verden er derfor fortsatt i betydelig vekst. Bare det siste året har 366 millioner nye brukere tatt i bruk teknologien, og det totale antallet har nå passert 4,39 milliarder brukere. Det betyr potensielt at 4,39 milliarder mennesker i praksis kan sjekke om din virksomhets brannmur er riktig konfigurert. Det finnes en rekke grunner til at en andel av disse menneskene faller innenfor kategorien trusselaktør. En trusselaktør er en person eller organisasjon med evne og vilje til å kompromittere tilgjengeligheten til tjenester, integriteten og/eller konfidensialiteten til data, som igjen kan føre til finansielle tap, omdømmetap og til og med skade på liv og helse.

Norske myndigheter beskriver hvert år trussel- og risikobildet i det digitale rom (Etterretningstjenesten, 2020; PST, 2020; NSM, 2020). Kjennetegnene ved disse analysene er at trusselbildet er komplekst og i stadig endring. Norske virksomheter, organisasjoner og privatpersoner må forholde seg til denne virkeligheten og ta grep for å beskytte sine verdier. Kryptering, skjuling av spor og bruk av flere identiteter gjøre det mulig for aktører å bevege seg tilnærmet anonymt på internett, og derfor er ondsinnet aktivitet vanskelig å oppdage. Det er ikke nødvendigvis noen sammenheng mellom trusselaktørens størrelse og evne til å skade. Avanserte verktøy for utnyttelse av sårbarheter og kompromittering blir stadig lettere tilgjengelig og kan benyttes av statlige og statssponsede aktører, organiserte kriminelle grupper, hacktivister og enkeltpersoner som har kapasitet og vilje til å volde stor skade. Det betyr i praksis at enkeltpersoner kan ramme din virksomhet hardt, til tross for at store ressurser er allokert til sikring av informasjon og IT-systemer.

I rapporten Trusler og trender 2019–2020 beskriver Norsk senter for informasjonssikring (NorSIS) hvordan kriminelle stadig blir mer profesjonelle, og hvordan menneskene i organisasjonen utgjør en større sårbarhet enn noensinne. Dette betyr at trusselaktører utnytter ansatte og privatpersoner i sine cyberangrep i enda større grad enn tidligere.

I Næringslivets sikkerhetsråds (NSR) KRISINO-undersøkelse for 2019 oppgir 15 prosent av virksomhetene at de har vært utsatt for løsepengevirus i 2019 (NSR, 2019). Angrepet på Hydros IT-infrastruktur er anslått til å ha kostet virksomheten nærmere 650 MNOK. Hendelsen har også synligjort hva organiserte kriminelle kan forårsake av skade. Ifølge NorSIS (2020) har 56 prosent av Norges virksomheter vært angrepet eller forsøkt angrepet med ondsinnet e-post, og én av fire virksomhetsledere har opplevd nedetid eller driftsavbrudd som konsekvens av sikkerhetsbrudd. 6

Kriminelle enkeltpersoner og grupperinger benytter cyberoperasjoner for å tilegne seg finansielle verdier. Terrorceller og hacktivister kan skape frykt og skade statlige aktører. Utfordringene i det digitale rom er grenseoverskridende – på tvers av land, sektorer og virksomheter – og hver enkelt virksomhet har et ansvar for å håndtere truslene for å beskytte egne ansatte, kunder og samfunnet som helhet.

NorSIS – ti betydelige trusler
Løsepengevirus
ID-tyveri
Falske trusler og utpressingskrav
Phishing
Ekte utpressing/svindel
Kontohacking
Datainnbrudd
Menneskelige feil
Krenkelser
Verdikjedeangrep

3 Hvorfor ta i bruk skyteknologi i en kompleks verden?

Det forventes fortsatt stor vekst i bruken av skytjenester i årene som kommer. I henhold til Gartner vil andelen virksomheter med skyteknologi overstige 90 prosent innen 2022 (Gartner, 2019). Utviklingen er et resultat av at stadig flere ledere ser verdien av å benytte skyteknologi i egen virksomhet. De bedriftsøkonomiske fordelene ved å ta i bruk skyteknologi fremfor å selv drifte egen IKT-infrastruktur er ikke ubetydelige, og kostnadsbesparelser trekkes gjerne frem som et nøkkelargument. Adopsjon av skyteknologi vil kunne gi lavere IT-kostnader som en følge av lavere implementerings- og vedlikeholdskostnader samt lavere investeringskostnader. Infrastrukturkostnader som strøm, kjøling og lokaler vil overføres til en tjenesteleverandør (Caroll & Kotzé, 2011). I tillegg trekkes disse fordelene ofte frem:

  • forbruksbasert prismodell – fra kapitalkostnader til operasjonelle kostnader
  • stordriftsfordeler gir lavere kostnader
  • ansvarsdeling og vekt på kjerneoppgaver fremfor å vedlikeholde, administrere, kapasitetsplanlegge, feilsøke og sikkerhetskopiere IT-løsninger
  • skalerbarhet gir evne til å tilpasse seg nye behov

En annen åpenbar fordel ved å gjennomføre en skytransformasjon er potensialet for styrket sikkerhetsnivå. Dersom skyteknologien tas i bruk på riktig måte, kan sikkerheten heves betraktelig, og for mange virksomheter vil en skytransformasjon trolig være det beste alternativet for å oppnå et forsvarlig sikkerhetsnivå. En tjenesteutsetting gir tilgang til oppdatert teknologi og moderne løsninger, i tillegg til rett kompetanse. Å ha oversikt over egne systemer og kapasitet til å oppdage mistenkelig trafikk viser seg å være en tilnærmet umulig oppgave for de fleste virksomheter. Situasjonen blir ikke bedre av at trusselaktørene stadig tilegner seg ny kunnskap og finner nye måter å utnytte virksomhetens manglende oversikt over egen infrastruktur på. Dette innebærer at det blir svært kostbart og arbeidskrevende å bygge kapasitet interntfor å redusere og håndtere cyberrisiko. Det vil være nødvendig å ha en egen sikkerhetsorganisasjon som står for vedlikehold og sikring av IKT-systemene.

Utfordringene rundt cybersikkerhet har skapt et mulighetsrom for store teknologiselskaper som har innlemmet sikkerhetsfunksjonalitet i sine skytjenester. Deres stordriftsfordeler og spesialiserte kompetanse gir tjenester med et sikkerhetsnivå som er vanskelig å oppnå dersom man selv drifter løsningene. Teknologiselskapenes enorme datamengder gir også grunnlag for styrket sikkerhet gjennom bruk av maskinlæring. Analyse av disse datamengdene kan styrke evnen til å oppdage unormal nettverkstrafikk eller mistenkelig brukeraktivitet. Når det gjelder sikring av PC-er, nettbrett, smarttelefoner og servere, kan stordriftsfordeler og skyteknologi gi store gevinster (Gartner, 2019). Ved å dra nytte av moderne skyarkitektur kan leverandøren levere adaptive løsninger som holder tritt med et trusselbilde i endring.

Det er mye som tyder på at overgang til skyløsninger er den mest fremtidsrettede digitaliseringsstrategien. Skytjenestene har bedriftsøkonomiske fordeler samtidig som de kan gi sikkerhetsmessige gevinster. I et sikkerhetsperspektiv er likevel ikke skytransformasjonen uproblematisk. Det er noen fundamentale forskjeller i hvordan sikkerheten styres i virksomheter som selv drifter sin IT-infrastruktur, kontra virksomheter som har tjenesteutsatt sine IT-løsninger til en skyleverandør. Ledelsen må være klar over at det stilles andre krav til sikkerhetsmessige vurderinger i de to tilfellene. Dersom sikkerheten skal ivaretas i transformasjonsprosessen, er det noen helt nødvendige vurderinger som må foretas i forkant av skytransformasjonen.

4 Hvordan ivareta sikkerhet ved en skytransformasjon?

Mange toppledere ønsker et enkelt og entydig svar på om virksomhetens data og tjenester kan flyttes sikkert ut i skyen slik at de kan få gjennomført ønsket digitaliseringsstrategi. Dessverre er dette et spørsmål topplederen ikke får et entydig svar på, hvilket resulterer i frustrasjon på flere nivåer i organisasjonen. Hvorfor er det slik at de sikkerhetsmessige vurderingene knyttet til skytransformasjon er så vanskelige å gjennomføre?

For det første er det manglende forståelse for at ny teknologi ikke lenger kun er teknologi alene, men en integrert del av forretningen. Moderne teknologi og skytjenester tilbyr fleksibilitet til å utvikle nye IT-tjenester og -verktøy. Det er derfor svært viktig at toppledelsen forstår hva teknologien kan tilby, og hvordan den kan understøtte forretningen. For de fleste virksomheter er forretningsmålene knyttet til produktene eller tjenestene de tilbyr i markedet. IKT understøtter både produkter og tjenester ved å prosessere eller foredle rådata. Dermed vil både selve prosesseringen og rådata være verdier for virksomheten som den må beskytte. Disse verdiene tilbys som enten informasjon eller tjenester direkte til kunden.

Hensikten med et IKT-system er dermed å tilby forvaltning av virksomhetens digitale verdier og tilby foredling av verdiene for så å tilgjengeliggjøre dem. For at man skal kunne understøtte eller realisere denne visjonen i en moderne IKT-plattform, må man ha en betydelig mer helhetlig tilnærming enn man hadde i klassiske IKT-systemer og driftsmodeller.

For det andre hindres gode sikkerhetsmessige vurderinger av fraværet av felles informasjonsgrunnlag og manglende kommunikasjon på ledernivå. Svaret på hvordan skyløsninger kan gjøres sikre, er ikke lenger et spørsmål toppledelsen i en virksomhet kan stille til IKT-ledelsen. Vi må se sikkerhet som en sirkulær prosess. IKT-ledelsen er avhengig av beslutninger tatt av toppledelsen, mens toppledelsen er avhengig av vurderinger fra IKT-avdelingen for å fatte beslutninger. I tillegg må også andre deler av organisasjonen inkluderes i arbeidet, for eksempel linjeledere med ansvar for kundeleveranser. Dette er årsakene til at det er tilnærmet umulig å gi et universelt svar på hvordan man oppnår tilfredsstillende sikkerhet i sky.

4.1 Helhetlig tilnærming

I de fleste IKT-systemer benytter brukeren en klient for å nå verdiene gjennom sentrale tjenester som for eksempel et system for Enterprise Resource Planning (ERP). For å kunne gjøre bruk av denne tjenesten har virksomheten behov for en rekke drifts- og støttesystemer, sentrale tjenester, arkitektur, et sett prosesser samt en organisasjon og styringsprinsipper som gir tilgang til verdien. Skal virksomheten lykkes med digitalisering, må alle disse elementene inkluderes og sees i sammenheng. Først da vil den ønskede tjenestekvaliteten i ERP-systemet, og også sikkerheten, kunne ivaretas på en tilfredsstillende måte.

Sikker digitalisering stiller krav til en ny sikkerhetsfaglig tilnærming. Sikkerhetsarbeidet må knyttes opp mot alle elementer som inngår i et vellykket digitaliseringsløp (se figur 1).

figur

Figur 1 KPMGs helhetlige tilnærming for sikker skytransformasjon.

KPMG Norge benytter en egenutviklet metodikk (figur 1) for å sikre at virksomheten har en helhetlig tilnærming til sikkerhetsarbeidet ved en skytransformasjon. Det å beskytte virksomhetens sentrale verdier – materielle og immaterielle – er utgangspunktet for godt, helhetlig sikkerhetsarbeid. Modellen viser hvordan alle elementer, fra tekniske tiltak på klientnivå til risikostyring, til sammen bidrar til et hensiktsmessig sikkerhetsnivå. Ved en skytransformasjon flyttes eierskapet til sikkerhetstiltakene i de ytre sirklene over til en leverandør, mens virksomheten selv må etablere og styre sikkerheten gjennom de innerste sirklene. En skytransformasjon vil derfor stille nye krav til kompetanse for å ivareta virksomhetens sikkerhet.

Vi har illustrert sammenhengen mellom forretnings- og tjenesteutvikling og sikkerhet i tabellen under. Tabellen er ikke uttømmende, men gir noen eksempler. Den kan benyttes for å illustrere hva som kan legges inn i de ulike elementene når man jobber med å etablere en helhetlig modell.

 Forretnings- og tjenesteutviklingSikkerhet
VerdiData, informasjon, tjenesteData, informasjon, tjeneste
Governance Roller, ansvar og myndighet innen forretnings- og tjenesteutviklingKontrakt og leverandørstyring, rammeverk for eierskap til forretnings- og tjenesteutvikling Roller, ansvar og myndighet i sikkerhetsarbeidetKontrakt- og leverandørstyring, rammeverk for og eierskap til sikring av verdier
Organisasjon Organisasjonsenheter involvert i forretnings- og tjenesteutviklingen Organisasjonsenheter involvert i arbeidet med sikring av verdier
Prosesser Leveranse, forvaltnings- og driftsprosesser som støtter forretnings- og tjenesteutvikling Leveranse, forvaltnings- og driftsprosesser som støtter sikring av verdier
Arkitektur Informasjons- og teknisk arkitektur som støtter forretnings- og tjenesteutvikling Informasjons-, sikkerhets- og teknisk arkitektur som støtter sikring av verdier
Drifts- og støttesystemer Systemer som understøtter effektiv forretnings- og tjenesteutvikling av høy kvalitet:IAMKonfigurasjonsstyring Systemer som understøtter sikringen av verdier:IAM/PAMTanke/patche-systemerSikkerhetsovervåkning
Sentrale tjenester Sentrale tjenester og applikasjoner som støtter kjernevirksomheten:ExchangeERPSharePoint Sentrale tjenester og applikasjoner som skal sikres:ExchangeERPSharePoint
Klienter Klienter for å nå tjenester og forretningsinformasjon:LaptopMobilNettbrettTynnklienter Klienter som skal sikres:LaptopMobilTynnklienterPrinterIoT
Brukere, konsumenter, kunder Tjenester, kunder eller brukere som anvender data og tjenester fremskaffet gjennom forretnings- og tjenesteutviklingen Mennesker og tjenester som må arbeide eller settes opp etter gjeldende retningslinjer for å sikre verdier

4.2 Tradisjonell tilnærming til sikkerhet utfordres

Den helhetlige metodikken slik vi presenterer den her, utfordrer en mer tradisjonell tilnærming. Mange sikkerhetsmiljøer har studert hvordan sikkerhet i dybden kan oppnås gjennom å etablere flere tekniske og fysiske barrierer innover mot verdiene. Sikkerhetsbarrierene kombinert med deteksjonskapasitet har vært det klassiske bildet av sikkerhet i dybden. En slik metodikk innebærer at sikkerheten ivaretas gjennom å implementere et sett med enkelttiltak som sammen skal gi tilfredsstillende sikkerhet. Denne klassiske tilnærmingen kommer til kort ved overgang til skytjenester siden de tekniske sikkerhetsvirkemidlene nå er flyttet over til leverandør.

Sikkerhet i virksomhetens IKT-systemer har gjerne handlet om å sikre klienter og sentrale tjenester, og i mindre grad om viktigheten av drifts- og støttesystemer og gode prosesser og styringsmekanismer. Introduksjonen av moderne løsninger og metoder endrer hvordan virksomheter kan oppnå et forsvarlig sikkerhetsnivå. En vesentlig endring ved moderne skyløsninger er at de i kraft av sin design og gjennom ulike drifts- og støttetjenester effektivt bidrar til å løse en del av de tidligere største sikkerhetsutfordringene. Løpende programvareoppdatering og proaktivt vedlikehold, identitetsstyring, kontroll med klienter og tjenester, logg og deteksjon er eksempler på områder som ivaretas av leverandøren av skytjenesten. Automatisering av drifts- og støttetjenestene er en forutsetning for å kunne håndtere kompleksitet kombinert med fleksible og skalerbare skytjenester. Dette medfører at roller, ansvar og fokus ved sikkerhetstiltak endres radikalt. Kontrolloppgaver som tidligere var manuelle, må nå ivaretas gjennom automatiseringsmekanismer. Rask utrulling av nye tjenester og produkter medfører at kvalitetsstyring og sikkerhetskontroll endres fra å kontrollere produksjonssetting (sikker tilstand) til å påse at sikkerhet er inkludert i utviklingsprosessene som leder opp til produksjonssetting. Sikkerhetsmekanismer implementeres for alle lag i løsningene fremfor å fokusere på segmentering av nettverk. Arkitekturen må understøtte kontinuerlig endring og forbedring fremfor prosjektbaserte endringer.

Denne nye virkeligheten stiller nye krav til kompetanse. For å kunne styre sikkerhet hos en underleverandør trengs det annen kompetanse enn teknisk sikkerhetskompetanse. Kontraktskriving, revisjon, felles prosesser og styring seiler opp som de viktigste verktøy for å etablere og vedlikeholde et hensiktsmessig sikkerhetsnivå. Sikkerhet kan derfor ikke håndteres av IKT-avdelingen alene. Ledelsen må etablere en styringsmodell som setter rammene for de ulike delene av organisasjonen slik at helheten blir ivaretatt

4.3 Risikobasert tilnærming

Vi har beskrevet behovet for en helhetlig modell for å oppnå sikre skyløsninger. Det er viktig å bruke en modell som støtter prosesser, og tiltak som er i tråd med virksomhetens risikoappetitt. Sikkerhetstiltak sees fortsatt i altfor stor grad som en kostnad for de fleste virksomheter. Skal man lykkes med sikkerhet, er det avgjørende at virksomhetens ledelse og styre ser verdien av tiltakene og hvordan de bygger oppunder virksomhetens mål og styringsprinsipper. Dette medfører at valg av tiltak må balanseres mot virksomhetens akseptable risikonivå. Behovet for sikkerhet bør balanseres mot leveranseevne og økonomisk konsekvens. Tiltakene bør vurderes opp mot forventet effekt, sees i sammenheng med krav og føringer fra virksomhetens sentrale interessenter og tilpasses styringsbehovene.

En slik risikobasert tilnærming er også en forutsetning for å kunne etterleve lover og regler. Ny personvernforordning har lenge vært et sentralt tema, mens ny sikkerhetslov og dens utvidede omfang får stadig større oppmerksomhet. Den nye loven stiller blant annet funksjonelle krav til de forebyggende sikkerhetstiltakene, slik at man kan oppnå et forsvarlig sikkerhetsnivå og redusere sikkerhetstruende risiko. For å oppnå et forsvarlig sikkerhetsnivå må sikkerhetstiltak tilpasses den enkelte virksomhet, basert på det aktuelle trussel- og risikobildet for virksomheten. Det innebærer at det ikke konkretiseres hvilke sikkerhetstiltak den enkelte virksomhet skal gjennomføre, men at loven stiller krav til hva sikkerhetstiltakene skal oppnå.Hvilke sikkerhetstiltak som velges innenfor de ulike tiltakskategoriene, vil være avhengig av objektets eller infrastrukturens klassifiseringsnivå, hvor lenge det er akseptabelt at objektet eller infrastrukturen svikter, muligheten til å gjenopprette eller erstatte funksjonalitet, og hvilke sårbarheter objektet eller infrastrukturen har. Loven stiller også krav til at virksomheten vurderer risiko dersom det planlegges, gjennomføres eller inntreffer endringer som kan påvirke skjermingsverdige verdier i vesentlig grad. En konsekvens av dette er at det stilles høye krav til forvaltning av de løsninger som utvikles, slik at planlagte eller uforutsette endringer i løsning, trussel- eller sårbarhetsbilde håndteres på en slik måte at forsvarlig sikkerhet ivaretas.

For å kunne vurdere og velge riktige sikringstiltak anbefaler vi at virksomheter støtter seg på egnede rammeverk. Det finnes en rekke alternative rammeverk som vil danne et godt utgangspunkt, men vi anbefaler at virksomheten velger ett som involverer hele virksomheten. NIST CSF er et godt alternativ. Et slik rammeverk bidrar til å sikre en helhetlig tilnærming og gir en oversikt over hvilke tiltak som må vurderes og prioriteres. Bruk av et slikt rammeverk gir derimot ikke føringer for risikoappetitt og viser heller ikke sammenhengen mellom ulike tiltak. Det er derfor smart å komplettere med scenariometodikk for å velge egnede tiltak. Trussel- og risikobildet, egne verdier og egne sårbarheter er viktig å inkludere i etableringen av relevante scenarioer.

Vi har presentert en modell der alle lag mellom verdi og dataforbruker til sammen danner grunnlag for et ønsket, helhetlig sikkerhetsregime.

5 Konklusjon

De fleste virksomheter erkjenner i dag at informasjonsteknologi ikke lenger er en støttefunksjon, men har blitt den viktigste innsatsfaktoren for å oppnå konkurransefortrinn. Stadig flere virksomheter utnytter derfor mulighetene som kommer ved bruk av ny, innovativ teknologi i sine forretningsprosesser.

Adopsjon av skyteknologi kan gi store økonomiske og virksomhetsmessige gevinster. Gjennom skyteknologi kan virksomheter få tilgang til omfattende funksjonalitet som gir økt kvalitet og fleksibilitet og mulig kostreduksjon. Skytjenester kan også bidra til å løse mange av de tradisjonelt sett mest krevende sikkerhetsutfordringene og dermed øke tilliten til tjenestene og løsningene virksomheten tilbyr, og samtidig frigjøre ressurser. Til tross for betydelige gevinster følger det nye sikkerhetsmessige utfordringer når virksomheten flytter til skyen.

En skytransformasjon vil kreve en ny tilnærming til informasjonssikkerhet. Det er avgjørende at sikkerhet knyttes tettere til virksomhetens øvrige prosesser og initiativ for å lykkes. Ettersom tekniske sikringstiltak i stor grad tillegges skyleverandøren, må virksomheter styrke sin kompetanse på en rekke andre områder. Verdivurdering av egen informasjon og verdikjeder, informasjonsarkitektur samt etablering av avtaler og nødvendige prosesser står helt sentralt. Virksomheter må også evne å stille relevante krav til leverandørene og etablere hensiktsmessige kontrollmekanismer. En slik tilnærming med godt definert ansvarsfordeling vil kunne styrke sikkerheten rundt virksomhetens verdier.

Om den raskt voksende skyteknologien kan gi et tilfredsstillende sikkerhetsnivå, er et spørsmål som opptar mange, og som er sentralt ved etablering og operasjonalisering av en virksomhets digitaliseringsstrategi. En vellykket skytransformasjon krever en helhetlig tilnærming til sikkerhet der verdivurdering av informasjon og verdikjeder, riktige kontrakter og velfungerende prosesser står sentralt. Som en konsekvens av at skytransformasjonen treffer hele virksomheten, vil sikkerhetsnivået bestemmes av virksomhetens evne til å tenke og handle helhetlig. Ledere må i større grad forstå hvilke interne og eksterne aspekter som påvirker cybersikkerhet og -risiko. Sikker skytransformasjon krever en helhetlig tilnærming og løses ikke av IT-avdelingen alene.

  • 5: Aktivitet mot et representativt utvalg av virksomheter innen samfunnskritisk infrastruktur vil kunne oppdages av NSM gjennom VDI-sensornettverket.
  • 6: NorSIS: Trusler og trender 2019–2020.

Econa er foreningen for høyt utdannede innen økonomi og administrasjon. Er du ikke medlem?
Sjekk medlemstilbudene og meld deg inn i dag.

© Econas Informasjonsservice AS, Rosenkrantz' gate 22 Postboks 1869 Vika N-0124 OSLO
E-post: post@econa.no.  Telefon: 22 82 80 00.  Org. nr 937 747 187. ISSN 1500-0788.

RSS