När vi pratar om moln har det funnits en stark trend där åsiktsriktningarna står långt ifrån varandra. Ena sidan kan reservationslöst hävda molnets förträfflighet för alla syften och användare, medan andra sidan, ofta med starka cybersäkerhetsintressen, larmat och hissat varningsflagg. För att bringa lite klarhet i relevansen hos de båda sidorna har vi pratat med Jennie Hagman, Director Consulting Expert in Cybersecurity, och Christian Dahlgren, ansvarig för CGI:s cloud-konsulting i Sverige och Norge.
När, var och varför är molnet bäst
Många verksamheter har varit på väg mot molnet under lång tid. Att beställa IT som tjänst har många fördelar. Det kan göra IT-utvecklingen snabbare för verksamheten. Resurser kan också frigöras, vilket kan sänka kostnader som i stället kan investeras i mer innovation. Att lägga ut IT på någon annan är inte en alltigenom enkel process. Det är viktigt att verksamheten har en övergripande strategi och att det säkerställs att tjänsten är i linje med denna. Det är också viktigt att undvika inlåsningar, vilket kan bli en kostsam historia, samt att avtal och lösning tagit höjd för långsiktig utveckling och behov. För ett tag sedan var ”Cloud First” ett begrepp där utgångspunkten var att alltid gå mot molnet för allt. Har pendeln svängt?
De många fördelarna med molnet kvarstår även om vi nu har en mycket mer mogen och nyanserad syn på när och för vad molnet är bäst, säger Christian Dahlgren. Flexibiliteten och snabbheten med moln är fortfarande svårslagna. Har du behov av att kunna skala upp och ner din IT-infrastruktur eller snabbt få tillgång till ytterligare resurser kan du verkligen dra nytta av molnets fördelar. De stora molnleverantörerna har också en storskalig och ofta automatiserad hantering av sin infrastruktur, vilket gör att det även blir kostnadsmässigt förmånligt att använda molnet. Utifrån ett tekniskt perspektiv har molnet väldigt mycket att erbjuda, även om de allra flesta verksamheter har insett att allt i deras IT-miljö kanske inte passar för molnet.
Full säkerhet eller risker med publika moln
Ett område som varit på tapeten länge när vi pratar moln är ju säkerhetsriskerna. 2020 gick National Security Agency (NSA) ut med att felkonfigureringar av moln kommer att vara det överlägset största hotet mot molnsäkerheten framöver[1], i Crowdstrikes "2023 Global Threat Report"[2] utnämns utnyttjandet av moln utifrån ett hotperspektiv som ett av de fem viktiga temana för 2024, och Palo Alto Networks listade nyligen "cloud security and identity access management" som ett av de fem allvarligaste problemområden för verksamheter under året[3]. Hur säkert är molnet egentligen?
De stora molnleverantörerna har mycket stora resurser för att hantera säkerhet, resurser som vida överstiger de som de flesta verksamheter kan köpa eller utnyttja själva, säger Jennie Hagman. Med det sagt, så är det viktigt att inte ha en övertro på molnsäkerhet heller. Litar man för mycket på säkerheten i molnet finns det en risk att verksamheten missar säkerhetshål på den egna sidan, mot molnet.
Det är ett faktum att intrång i publika moln är mycket sällsynta. Eftersom ytterligare en aktör är inblandad blir det dock viktigare att göra en tydlig riskanalys, att ha rutiner och processer samt att ha en tydlig ansvarsfördelning, mellan den egna verksamheten och molnleverantören.
När det handlar om ansvarsfördelningen så kan det vara bra att använda sig av en RACI-matris för sig själv och den molnleverantör du tänker eller har anlitat, säger Christian Dahlgren. Det är ett sätt att identifiera roller och ansvar för olika uppgifter eller leveranser, utifrån vem som är, responsible, accountable, consulted och informed. Det kan underlätta och förtydliga vem som har ansvar för vilka delar, om det finns luckor i ansvarsfördelningen och om visst ansvar måste hanteras gemensamt, samt hur det då ska organiseras.
Molnet eliminerar inte informationsledning
Ett viktigt område för verksamheter är att ha rutiner och klassificeringar av verksamhetens information och data. De är vanligtvis del av verksamhetens informationsledning. De kan också klargöra vilken information som kan hanteras i molnet, om datan måste finnas innanför landets gränser och vilken information som måste finnas on-prem hos verksamheten.
När det kommer till säkerhet måste verksamheten titta på säkerheten utifrån hela miljön, så att de kan värdera risker, och fatta beslut utifrån ett solitt underlag, säger Jennie Hagman. Har verksamheten en klassifikationsmodell är det viktigt att se över och uppdatera den när en molntjänst eller molnleverantör kommer in, så att den är uppdaterad och tar eventuella nya parametrar i beaktan. En viktig del som ofta glöms bort när det gäller att flytta data är punkterna mellan on-prem och molnet. Där kan det lätt uppstå svagheter eller luckor som kan få förödande konsekvenser.
CGI har partnerskap med alla stora publika molnleverantörer och gör för kundernas räkning ofta en utvärdering och en bedömning av hur varje kund kan dra de största fördelarna av molnet. CGI bistår ofta också med att ta fram en tydlig molnstrategi, en informationsklassning och en miljö utifrån verksamheters behov, mognad och strategi framåt. CGI har också stor kompetens inom IT-säkerhet och kan stötta verksamheter som behöver ha eller vill uppdatera sin informationsklassning, sitt informationsledningssystem eller vill göra en riskanalys av hela IT-miljön för att kunna identifiera riskområden eller säkerhetshål.
Vill du diskutera din molnstrategi, hur du kan få ut mer av din molnleverantör, din hybridmiljö eller för att göra en kvalitetskontroll av din säkerhet ur ett helhetsperspektiv, kontakta våra experter Jennie Hagman eller Christian Dahlgren.
Läs NSA rapport om att minska sårbarheter i molnet I Läs CrowdStrike rapport "2023 Global Threat Report" I Läs Palo Alto Networks lista