Cloud Security Image 3 - Labeled for ReuseVarför börja sitt bloggande med ett så tungt ämne som IT-säkerhet? Är jag masochist? Är jag en expert? Vill jag skrämma bort alla läsare?  Svaret på samtliga frågor är NEJ, däremot anser jag att det är ett generellt missförstått och undanskuffat ämne som jag har rätt bra koll på.

Säkerheten är en av de största, och första, frågorna som dyker upp i diskussioner om molntjänster och huruvida man verkligen kan ta steget. Inte ens prislappen, vilket traditionellt är ryggmärgsreflexfrågan hos alla människor i ledande ställning, brukar komma upp före detta. Jag var likadan när jag satt på ”den sidan bordet”.

Vad menar vi när vi säger säkerhet?

De allra flesta människor har en ganska snäv syn på säkerhet. Vissa tänker bara på lösenordsskydd eller antivirus, andra bara på backup och brandväggar. Jag anser att man måste tänka på säkerhet som en helhet och inte som enskilda delar och att allt säkerhetsarbete måste adressera helheten för att vara effektivt. Man bör dessutom ha definierat sin ”paranoid-nivå” korrekt. Frågan är hur coolt är det att hacka sig in i just min miljö, hur stora värden finns det att stjäla? Är jag en storbank är risken högre än om jag är ett uppstartsföretag i städbranschen, även om risken finns även där.

Här är en lista man bör fundera kring innan man pratar med en tilltänkt leverantör:

1. Medvetenhet

Förstår alla i min organisation vad de har för roll i systemet och varför? Inser alla att det är deras jobb som kanske försvinner om vi inte hjälps åt? (Värt att notera är att de flesta undersökningar pekar på att runt 80% av alla säkerhetsproblem kommer inifrån och inte från bovar och banditer …). Hur förklarar vi de nya förutsättningarna om vi går till molnet och hur kan vi öka medvetenheten?

Du borde tänka på det och hitta ett sätt att få in det naturligt i din verksamhet. Du kommer aldrig komma fram till slutpunkten, utan detta är som fakturor. Det kommer fler hela tiden. Du behöver ha ett sätt att hantera det. Utbildningar, säkerhetsdagar, temaveckor …

2. Fysisk access

Vem har access till våra maskiner och datahallar idag? Vilka lagkrav behöver vi uppfylla? Hur spårar vi vem som har varit var? Hur hanterar vi stölder eller sabotage? Är molntjänsten minst lika bra som det skydd vi har idag?

Den här punkten är ofta förbisedd och ignorerad. Om du har din utrustning hos en driftspartner har de rutiner på plats, men annars måste du se till att ingen “tekniker från XYZ” som skall kolla något odefinierat inte kan sätta i en USB-sticka i en server när ingen ser, för att ta ett exempel. En lösning är att inte ha några egna servrar alls …

3. Tillgänglighet

Hur bra är företagets internetanslutning? Vilket SLA (garanterad funktionalitet över tid) gäller? Räcker bandbredden, nu och i en överskådlig framtid? Hur resurskrävande är våra applikationer och tjänster? Hur hanterar vi en tillfällig topp i antalet förfrågningar? Hur hanterar vi övriga hårdvarukrav idag? Hur löser vi det i molnet?

Om du endast skall ha externt riktade tjänster så som webbsajter så är detta inget stort problem. Alla molntjänstleverantörer har lösningar för att skala ut och upp (för en peng, givetvis) men inte alltid automatiskt. Skall du däremot flytta interna tjänster så måste du veta hur mycket bandbredd som krävs för att arbetet skall flyta på för användarna. Har du dessutom planer på att flytta kritiska system måste du se till att du har redundans på plats och även en krisplan.

4. Anslutningar

Hur ansluter vi till vår miljö? Säkerhet via VPN, SSH? Använder vi certifikat och är de uppdaterade? Tillåter vi vilka enheter som helst att ansluta? Kan vi bestämma vad man har access till beroende på hur, var och med vad man ansluter? Hur hanterar vi antivirus, spam och andra externa hot? Vilka blir skillnaderna i molnet?

Dessa frågor blir bara mer och mer aktuella. Den senaste tankenöten är hur vi skall se på egen, privat, utrustning (BYOD) och om användare skall få välja vilken utrustning som helst (CYOD). Här finns en fördel med att molnet är nytt. Det finns redan lösningar på plats som hanterar detta hur du än beslutar att du vill ha det. Detta är ett av dessa problem som aldrig kommer att försvinna utan bara ökar i komplexitet.

5. Autentisering

Vem är du, vem är jag? Hur håller vi koll på vem som ansluter? Vem eller vad godkänner anslutning? Räcker det med användarnamn och lösenord eller skall vi ha fler nivåer? Hur administrerar vi listan med användare? Vilka hjälpmedel finns att tillgå i molnet?

När du ansluter till din miljö från alla möjliga håll är det viktigt att alla inblandade är säkra på att vi dels ansluter till rätt ställe och att det verkligen är du som ansluter. Användarnamn och lösenord kan knäckas, adresser förfalskas och en massa läskiga saker kan hända, men med relativt enkla (och numera standardiserade) medel kan de flesta risker minimeras. Det behöver inte vara krångligare än att du kräver fingeravtrycks-inloggning, men kan också innebära krav på certifikat eller motringning från operatör med muntliga kodord. Det är upp till dig. Lösningarna finns.

6. Tillståndsgivning

Hur bestämmer vi vem som har access var och till vilka filer och system? Styr vi det via roller eller per person? Vem äger materialet? Hur administrerar vi det nu och i molnet? Gör vi skillnad på vilken typ av enhet som har anslutit?

Vem som kommer åt vad och varför är ofta ganska otydligt i en miljö. Lägg sedan till att du kanske inte vill att man skall kunna komma åt ekonomisystemen från en smart telefonlur, så ökar komplexiteten lavinartat. Ett AD behöver ses över och revideras med jämna mellanrum. Har du inte gjort det förut så är det dags nu. Det finns verktyg att tillgå för att hitta de rena felen, men allt kan inte hittas maskinellt. Det viktigaste är att du definierar hur du vill ha det innan du börjar göra förändringar. För att ge en morot: När detta är på plats så är det enkelt att sätta upp SSO (Single Sign-On).

7. Regeluppfyllnad

Vilka regler uppfyller vi idag (exempelvis ISO 27000 och/eller EU:s Dataskyddsförordning)? Finns det nya regelkrav framöver som vi behöver uppfylla? Vilka analyser genomförs? Vilka rapporter tas fram? Kan vi bevisa regeluppfyllnad om vi måste?

Just nu pågår det ett massivt arbete från diverse myndigheter som syftar till att öka säkerheten och integriteten inom IT. Vad detta arbete kommer att betyda för dig är det ingen som vet just nu, men det kommer med största sannolikhet innebära att du kommer att behöva uppfylla en hel del nya kriterier och som det ser ut kommer bevisbördan att ligga på dig … En stor fördel med molnet är att de stora leverantörerna (med Microsoft i framkant) redan uppfyller flera av de tuffaste reglerna och har rapporteringsverktyg på plats. Det är du som har bollen.

8. Övervakning

Vad övervakar vi idag? Hur hanterar vi larm? Vilka rutiner finns på plats? Efterlevs de rutiner som finns?

Med dagen krav på tillgänglighet vill du veta att det är problem innan dina användare vet det. Ett problem med egen övervakning är att övervaka rätt saker. Allt visar grönt, men det funkar inte? I molnet kan du se allt och lite till och vara säker på att det du ser är korrekt, men du måste fortfarande veta vad du skall göra när det händer.

9. Kryptering

Krypterar vi data idag? På vilka nivåer (aktivt data, dataöverföringar, lagrat data)? Krypteras hårddiskarna på bärbara datorer?

Med en modern infrastruktur kan du bestämma exakt vad du vill kryptera och när till och med ner på enskilda filer. Du kan även få en dator att raderas om den skulle stjälas eller tappas. Det är en fantastisk möjlighet, men igen så krävs det att du tänker efter före och förstår vad det innebär. En workshop kanske?

10. Katastrofhantering

Hur tar vi backup? På vad? Hur återställer vi data vid katastrof? Hur stor dataförlust är acceptabel? Hur länge kan vi vara utan tjänsten eller informationen?

Det är frestande att ta backup på “allt” men det är oftast ett slöseri med lagringsyta och den tid det tar att genomföra. Det är dock i vissa lägen smart att göra en “snapshot” på en hel server för att garantera återställande av tjänsten. Vad du behöver för lösning är helt avhängigt på dessa frågor (RTO och RPO). Oavsett vad du har för krav så finns det färdiga lösningar att tillgå. Och bara för att vara tydlig: Du kan återställa enskilda mail i Office 365.

Slutligen…

Vad har då allt detta med Office 365 att göra? En hel del, men framför allt är det viktigt för ditt beslut om du skall ta vidare steg ut i molnet och med vilka system. Office 365 kan vara allt du behöver, men det kan också vara början på ett totalt avvecklande av egna servrar och övrig infrastruktur.

Microsoft har tankar, idéer och lösningar på samtliga av dessa frågor, och vad dessa är kommer jag att gå igenom lite noggrannare framöver.