onsdag den 14. august 2013

Sådan vurderer du risikoen ved at bevæge dig ud i skyen

Der kan være meget at vinde for forretningen ved cloud computing. Færre omkostninger, bedre effektivitet og højere sikkerhedsniveau er bare nogle af de fordele virksomheder kan få ved at flytte ud i skyen.

Men som med al anden it-outsourcing er der også mange trusler, så før du flytter ud i skyen, er det en god idé at lave en risikovurdering. Du skal beslutte dig for, hvilke data og applikationer du vil anbringe i skyen og hvilken type cloud-tjeneste, der passer til formålet. Du bør naturligvis også risikovurdere den udbyder, du overvejer at benytte.


Sikkerhedsniveauet i skyen afhænger af, hvilken løsning du ønsker at benytte dig af: Software as a Service (SaaS), Platform as a Service (PaaS) eller Infrastructure as a Service (IaaS). Som IaaS-kunde, vil du ofte skulle stå for store dele af sikkerheden selv, hvorimod du som SaaS-kunde i bund og grund abonnerer på udbyderens sikkerhed som en del af pakken.





Basér din risikovurdering på relevante trusler

Uanset hvilken type cloud-tjeneste, du vælger, skal du have risikostyringsprocessen for it-sikkerhed på plads. Processen bør baseres på best practice, så jeg anbefaler, at du tjekker ISO 27005-standarden - en trusselsbaseret metode, som indeholder retningslinjer for risikostyring inden for it-sikkerhed.

Et alternativ til den trusselsbaserede metode, er den kontrolbaserede tilgang. Neuparts risikostyringseksperter mener dog, at den trusselsbaserede metode  giver et mere præcist risikobillede, fordi du i vurderingsprocessen afdækker præcis de trusler, der medfører så høje risici, at de bør håndteres.


I modsætning hertil kan den kontrolbaserede tilgang resultere i en liste af kontroller, der ikke nødvendigvis alle har forretningsmæssig værdi.



Sammenhængen mellem ISO 27001 og ISO 27005 

Når du følger ISO 27005 vil du, som en ekstra bonus, være godt på vej til at efterleve kravene til risikostyring i ISO 27001.

The Cloud Security Alliance har udarbejdet en liste over de største trusler mod cloud sikkerhed. Listen kan være en hjælp, når du skal risikovurdere potentielle cloud-udbydere.


Du finder listen her: The Notorious Nine - Cloud Computing Top Threats in 2013



Vurdér de potentielle konsekvenser for din virksomhed

ISO 27005 foreslår, at du udfører forretningskonsekvensvurderinger, og det er også et godt råd, før du flytter ud i skyen. Du skal identificere dine kritiske og ikke-kritiske forretningsprocesser. »Kritiske forretningsprocesser« er de processer, der ikke kan afbrydes uden at det har alvorlige konsekvenser for din virksomhed.


Vurder sårbarhed eller sandsynlighed for hændelser

Sårbarhedsvurderinger er også en af ISO 27005's anbefalinger. De kan være tidskrævende at gennemføre, men heldigvis er der hjælp at hente. Cloud Security Alliance's STAR registry indeholder en oversigt over de sikkerhedstiltag, der er foretaget hos de registrerede cloud-udbydere. Alle udbydere i registret har udført selvevalueringer baseret på en kontrol-matrix fra CSA. Du kan finde Cloud Security Alliance STAR Registry her.

I stedet for at vurdere sårbarheder, kan det være hurtigere at vurdere, hvor sandsynligt det er, at en udbyder oplever sikkerhedshændelser. Mange virksomheder vælger at lægge en udbyders tidligere performance til grund for en sandsynlighedsvurdering.



Sandsynlighed x Konsekvens = Risiko

Når du kender den forretningsmæssige konsekvens af en hændelse, og du kender sandsynligheden for samme hændelse, kan du beregne dit risikoniveau og vurdere om dette er acceptabelt for din virksomhed eller ej. Hvis ikke du kan acceptere risikoniveauet, foreslår ISO 27005 at du enten:
  • accepterer risikoen
  • undgår risikoen
  • reducerer risikoen
  • deler risikoen (før kaldet "at overføre risikoen")

Er disse tips nyttige i vurderingen af din sikkerhed? Har du erfaringer på området? Lad gerne høre fra dig i kommentarfeltet her på bloggen.


Venlig hilsen

Lars Neupart

Blogger: Lars Neupart er grundlægger af Neupart A/S. Følg Lars på Twitter.


---------------------------------

PS! ISO 2700x standarderne er anerkendte og bredt implementerede i mange organisationer verden over - og med god grund. Derfor har vi, hos Neupart, designet SecureAware Risk TNG for at give dig et risikostyringsredskaber baseret på ISO 27005 og ISO 27001. Sådan kan SecureAware hjælpe dig med at styre din it-sikkerhed i skyen:


  • Ved at administrere din virksomheds konsekvensanalyser
  • Ved at administrere sårbarheds- eller sandsynlighedsvurderinger af din cloud-udbyder
  • Ved at hjælpe dig med at beregne, evaluere og rapportere risici
  • Ved at hjælpe dig med at behandle dine risici.

Lær mere om ISO 27005-implementering i værktøjet SecureAware Risk TNG - leveres som cloud-tjeneste eller onsite installation.

Måske vil du også være interesseret i at læse: It-risikostyring sikrer dig en positiv it-outsourcing oplevelse
Send en kommentar