27-01-2023

Sikkerhet i skyen krever planlegging og dedikert fagkunnskap

Lead Architect Kato Kristiansen er klar på at Atea aldri skal selge skyløsninger uten at et minimum av sikkerhet følger med. Her er Kristiansens råd til hvordan bedrifter bør sikre sine skyløsninger.

Mange virksomheter ønsker å flytte IT-systemene og løsningene sine over i skyen. Kanskje har de startet i det små med Office 365, og så ser de etter hvert at de kanskje vil droppe serverrommet og ta i bruk Microsoft Azure, Amazon Web Services (AWS) eller andre offentlige skyplattformer for å bygge nye og smarte løsninger. Eller kanskje de går for en hybridløsning.

– Vi har derfor laget Atea CloudTrack, som er et veikart for bedrifter som skal ut i skyen. Veikartet gjør det mulig å akselerere skyreisen gjennom godt definerte prosesser bygget rundt Microsofts Cloud Adaption Framework, sier Kristiansen.

Han mener såkalt «lift and shift» der on-prem-baserte applikasjoner flyttes direkte over i skyen ofte gir liten gevinst for kunden.

– I de fleste tilfeller vil det lønne seg å gjøre et godt forarbeid for å finne ut hva du bør videføre, og for å se om det er noe som bør utvikles på nytt. Det er ofte mulig å forenkle og fornye løsninger, eller det kan være nye SaaS-tjenester som kan gi stor verdi for bedriften.

Å skaffe seg oversikt er nyttig, også med tanke på IT-sikkerhet.

– Du kan redusere angrepsrisikoen med 80 % hvis du vet hva du har, har god inventarkontroll, gode rutiner for patching, og ikke minst innfører MFA (flerfaktorautentisering) overalt.

Last ned vår guide til IT-sikkerhet her.

Et våpenkappløp

Sikkerhet er en egen modul i Atea CloudTrack, og for kunder som velger Office 365 kommer denne med en minimumsanbefaling som Atea kaller «CloudTrack M365 Baseline».

– Den inneholder de viktigste sikkerhetstjenestene, som endepunktbeskyttelse og administrering av endepunkter. Vi selger ikke løsninger uten at denne baseline-sikkerheten er med, sier Kristiansen.

Baseline-sikkerheten kan bygges ut med enda mer avansert sikkerhet, som for eksempel et SIEM-verktøy som Microsoft Sentinel som samler inn data fra brukere, enheter, programmer og infrastruktur, analyserer dataene og varsler ved mistenkelig aktivitet.

– Det er imidlertid ikke bare å si til IT-drift at de skal følge med på Sentinel. Det krever dedikert fagkunnskap.

Nettopp denne fagkunnskapen er det Atea kan bidra med, gjennom blant annet tjenester som SOC+ som gir bedrifter sikkerhetsovervåking 24/7/365.

Kristiansen sammenligner dagens trusselbilde med et våpenkappløp som bare går raskere og raskere, og forteller at det finnes aktører som har bygget en hel forretningsmodell rundt skadevare. Det gjør at det er vanskelig å være ajour hvis du ikke driver med IT-sikkerhet på heltid.

”Hvis du skal jobbe med IT-sikkerhet, bør det være ditt daglige virke. Ting skjer så fort.”

IT-sikkerhet har blitt forretningsstrategi

Tidligere var det gjerne slik at det var IT-avdelingen som tok alle beslutningene om hvilke IT-systemer og sikkerhetsløsninger bedriften skulle ha, og så måtte forretningen innordne seg. Dette har endret seg veldig de siste årene, mener Kristiansen.

– Nå er IT-sikkerhet noe vi snakker med forretningsledelsen om. Når vi snakker med bedrifter om IT-sikkerhet, begynner vi gjerne med å diskutere hva som er bedriftens sikkerhetsstrategi.

Selv i dag har mange bedrifter en tradisjonell tankegang rundt IT-sikkerhet, og tenker at det først og fremst omfatter brannmur og antivirus. Men i en skybasert verden er det identitet og såkalt zero trust som er det som må til for å sikre bedriftens løsninger.

Zero trust innebærer at du som utgangspunkt ikke skal stole på noen, verken brukere eller enheter – og at du gir tilgang til bestemte ressurser basert på identitet.

– Zero trust er en rød tråd i alt vi gjør på sikkerhet i sky. Gjøres det på riktig måte får du også en god og sømløs opplevelse for brukerne.

God IT-sikkerhet handler ikke bare om beskyttelse mot cyberangrep. Ifølge Kristiansen forårsakes 60-70 prosent av bedrifters datatap av interne brukere. Det behøver ikke nødvendigvis være bevisste handlinger, det kan like gjerne være at en ansatt i et ubetenksomt øyeblikk lagrer bedriftsdata på en privat skytjeneste som for eksempel Dropbox.

– Det finnes gode løsninger som kan hindre at noen lagrer eller sender bedriftssensitive data på feil sted eller til feil mottaker, såkalt «data loss prevention». Sluttbrukeren skal få en så enkel arbeidsdag som mulig, men samtidig må vi beskytte bedriftens data.