Er vi enige om fordelene og risiciene ved cloud?

Når vi taler om cloud, har der været en tendens til, at synspunkterne er langt fra hinanden. Den ene side fremhæver, uden forbehold, cloud'ens fortræffeligheder til alle formål og brugere, mens den anden side - ofte med stærke interesser i cybersikkerhed - hejser advarselsflag. For at kaste lidt lys over relevansen af argumenterne fra begge sider relevans har vi talt med Jennie Hagman, Director Consulting Expert i cybersikkerhed hos CGI, og Christian Dahlgren, leder af CGI's cloud-rådgivning i Sverige og Norge.

Hvornår, hvor og hvorfor er cloud bedst?

Mange virksomheder har været på vej mod cloud'en i lang tid. At bestille IT som en service har mange fordele. Det kan fremskynde organisationens it-udvikling. Det kan også frigøre ressourcer og reducere omkostninger, som i stedet kan investeres i mere innovation.

Men at lægge IT i andres hænder er ikke en enkel proces. Det er vigtigt, at organisationen har en overordnet strategi, og at servicen stemmer overens med strategien. Det er også vigtigt at undgå lock-ins, som kan være dyre - og at både aftalen og selve løsningen tager højde for udviklingen og langsigtede behov.
For nogen tid siden var "Cloud First" et begreb, hvor udgangspunktet var altid at bevæge sig mod cloud. Er pendulet nu ved at svinge den anden vej?

”Der er stadig mange fordele ved cloud, selv om vi nu har et meget mere modent og nuanceret syn på, hvornår og til hvad cloud er bedst,” siger Christian Dahlgren.

”Fleksibiliteten og hastigheden i cloud er stadig svær at slå. Hvis du har brug for at kunne skalere din IT-infrastruktur op og ned, eller hurtigt at få adgang til ekstra ressourcer, kan du virkelig drage nytte af fordelene ved cloud."

"Desuden har de store cloud-udbydere ofte automatiseret styringen af deres infrastruktur i stor skala, hvilket også gør det omkostningseffektivt at bruge cloud. Fra et teknisk perspektiv har cloud meget at byde på, selv om de fleste virksomheder har indset, at det måske ikke er alt i deres IT-miljø, som er egnet til cloud.”

Fuld sikkerhed eller risici med offentlige clouds

Et område, der længe har været på dagsordenen, når vi taler om cloud, er sikkerhedsrisikoen. I 2020 meddelte National Security Agency (NSA), at fejlkonfigurationer i cloud'en fremover vil udgøre langt den største trussel mod sikkerheden i cloud.

I Crowdstrike's '2023 Global Threat Report' nævnes udnyttelsen af cloud fra et trusselsperspektiv som et af de fem vigtigste temaer i 2024, og Palo Alto Networks fremhævede for nylig ”cloud security and identity access management” som et af de fem vigtigste områder for virksomheder i år.

Hvor sikker er cloud'en egentlig?

”De store cloud-udbydere har enorme ressourcer til at håndtere sikkerheden - ressourcer der langt overgår hvad de fleste virksomheder selv kan købe eller bruge," siger Jennie Hagman.

"Når det er sagt, er det vigtigt at man ikke har for stor tillid til sikkerheden i cloud'en. Hvis man stoler for meget på sikkerheden i clouden, er der risiko for, at organisationen overser sikkerhedshuller på sin egen side - altså mod cloud'en."

Det er et faktum, at brud på sikkerheden i offentlige clouds er meget sjældne. Men da der er en anden aktør involveret, bliver det vigtigere at foretage en klar risikoanalyse, at have procedurer og processer, og at have en klar ansvarsfordeling mellem sin egen organisation og cloud-leverandøren.

”Når det gælder ansvarsfordelingen, kan det være godt at bruge en RACI-matrix (Responsible, Accountable, Consulted and Informed) for sig selv og den cloud-udbyder, man vil bruge eller har indgået aftale med”, siger Christian Dahlgren.

”Det er en måde at identificere roller og ansvar for forskellige opgaver eller leverancer på, baseret på hvem der har det endelige ansvar, hvem der bliver konsulteret, og hvem der bliver informeret. Det kan lette og tydeliggøre, hvem der er ansvarlig for hvilke dele, om der er huller i ansvarsfordelingen, om visse ansvarsområder skal håndteres i fællesskab - og hvordan det i så fald skal organiseres."

Clouden eliminerer ikke informationsstyring

Det er afgørende for virksomheder at have procedurer og klassificeringer af deres informationer og data. Det er normalt en del af informationsstyringen, og det hjælper med at tydeliggøre hvilken information, der kan håndteres i cloud'en, om data skal være placeret inden for landets grænser, og hvilken information, der skal forblive on-prem i virksomheden.

”Når det kommer til sikkerhed, skal virksomheder se på sikkerheden ud fra hele miljøet, så de kan vurdere risici og træffe beslutninger på et solidt grundlag”, siger Jennie Hagman.

"Hvis organisationen har en klassificeringsmodel, er det vigtigt at gennemgå og opdatere den, når der kommer en ny cloudtjeneste eller en cloududbyder til, så modellen er opdateret og tager højde for eventuelle nye parametre. En vigtig del, som ofte bliver glemt når det drejer sig om at flytte data, er punkterne mellem on-prem og cloud. Det er her, der let kan opstå svagheder eller huller, som kan have ødelæggende konsekvenser."

CGI er partner med alle større offentlige cloud-udbydere og gennemfører ofte en evaluering og vurdering på vegne af kunder for at afgøre, hvordan hver enkelt kunde kan få de største fordele ud af cloud. CGI hjælper også ofte med at udvikle en klar cloudstrategi, informationsklassifikation og et miljø baseret på forretningsbehov, modenhed og strategi.

Med stor ekspertise inden for IT-sikkerhed kan CGI hjælpe virksomheder, der har brug for - eller vil opdatere - deres informationsklassifikation, informationsstyringssystem eller risikoanalyse af hele IT-miljøet for at identificere risikoområder eller sikkerhedshuller.

Kontakt CGI's eksperter og få en uforpligtende dialog om cloud. Vi kan for eksempel hjælpe med din virksomheds cloudstrategi, hvordan du får mere ud af din cloud-leverandør og/eller dit hybride miljø og med at kvalitetstjekke din sikkerhed ud fra et holistisk perspektiv.