Skab forretningsværdi og tillid til sikkerheden med cloud compliance

COVID-19 har været årsag til væsentlige forandringer for mange virksomheder og har accelereret overgangen til cloud-platformen. Webbaserede digitale services har gjort det muligt at arbejde hjemmefra og levere nye digitale services til hjemsendte forbrugere. 

Topledelsen har derfor et skærpet fokus på risikostyring, og har erkendt, at det er nødvendigt at vurdere risikoeksponeringen i forbindelse med den øgede mængde af data, der udveksles. Dette tydeliggøres i PwC’s seneste Cybercrime Survey 2021, hvor analysens resultater bl.a. viser, at mere end halvdelen af de virksomhedsledere, som deltog i analysen, forventer en stigning i deres cyber- og informationssikkerhedsbudget inden for de næste 12 måneder.

Cybersecurity som en accelerator for innovation

Hos PwC ser vi et stort potentiale i at se cybersecurity som en accelerator for innovation. Cloud-native sikkerheds- og overvågningsværktøjer har skabt en verden, hvor kompetencer indenfor full-stack cloud-sikkerhed kan bidrage til at accelerere implementering af cloud-løsninger som følge af hurtigere go-to-market timing og lavere omkostninger.

Først og fremmest skal en organisation definere en cloud-strategi og koble den til deres sikkerheds- og compliance-behov.

Cyberkriminelle udnytter typisk svagheder i it-infrastrukturen, så virksomheder er nødt til at have øje på såvel det store billede som de mindste detaljer. Cloud-sikkerhedsteamet skal have indsigt i, hvad et øget brug af cloud-services medfører sikkerhedsmæssigt.

Hjemmearbejde medfører øgede risici

Den hurtige omlægning fra traditionel on-premise it til remote, der blev gennemført i starten af 2020 som følge af COVID-19-pandemien, og behovet for at kunne arbejde hjemmefra medførte øgede risici. Servere og applikationer til brug for funktioner som fx Identity Management, løn og HR-administration, der traditionelt har været holdt isoleret i virksomhedens interne netværk, blev pludseligt eksponeret til internettet.

På samme tid har implementering af et væld af Software-as-a-Service (SaaS) applikationer gjort det muligt for virksomhedens ansatte at samarbejde effektivt via online videokonferencer og få adgang til deling af dokumenter. Disse applikationer tilfører yderligere kompleksitet, hvilket øger risikoen for fejlkonfigurationer af sikkerhedsindstillinger.

Det er præcis sådanne fejlkonfigurationer, som cyberkriminelle kontinuerligt scanner efter for at udnytte huller i sikkerheden. Således skal sikkerhedsteams kontinuerligt monitorere utallige devices, mens cyberkriminelle bare skal finde én svaghed.

Det betyder ikke, at cyberkriminelle er mere innovative og udmanøvrerer virksomhederne, men de har evnen til at udnytte en given situation til at gå efter de lavest hængende frugter ved at gå efter den mest sandsynlige indgang til at kompromittere målets systemer.

Eksponering af sensitive data er ikke den eneste risikofaktor ved cloud-migration. Andre sikkerhedsmæssige risici er mangel på gennemsigtighed og kontrol, øget kompleksitet (særskilt ved håndtering af flere serviceudbydere og IT øko-systemer), manglende kompatibilitet og kontrol med tredjepartsleverandører og transitioner.

Cloud-compliance understøtter virksomhedens sikkerhed

Compliance-krav, og de omkostninger det medfører, udgør ofte en potentiel barriere i forhold til cloud-migrering. Hvis en virksomhed ikke overholder sine regulatoriske forpligtelser kan det resultere i skade på virksomhedens omdømme, medføre økonomiske sanktioner og juridiske konsekvenser.

Når man bruger cloud, vil cloud-leverandøren opbevare organisationens data. Det indebærer også, at cloud-leverandøren som udgangspunkt vil have adgang til organisationens personoplysninger. Derfor er der nogle compliancekrav, som skal overholdes, særligt EU’s databeskyttelsesforordning (GDPR) og EU-Domstolens afgørelse i sagen ‘Schrems II’. PwC giver i denne artikel konkrete råd til dette.

Ifølge Schrems II-dommen er databeskyttelsesniveauet i USA, hvor langt de fleste cloud-leverandører har hovedsæde, ikke på højde med det databeskyttelsesniveau, man har i EU. Derfor skal virksomheder, som bruger cloud-services placeret i USA og derved overfører personoplysninger til USA, følge en trin-for-trin guide udarbejdet af Det Europæiske Databeskyttelsesråd. 

Guiden inkluderer bl.a., at man som virksomhed skal indgå en særlig kontrakt med sin leverandør og implementere supplerende foranstaltninger, som fx kryptering, som kan højne beskyttelsen af personoplysningerne. Læs mere om compliance-kravene til brugen af cloud i vores uddybende artikel. 

Selvom compliance-labyrinten således kan være kompliceret, så er den til at håndtere, og den vil være omkostningerne værd, når de forretnings- og sikkerhedsmæssige fordele ved cloud tages i betragtning.

Lav et cloud blueprint og vær ikke bange for at starte ud med små skridt

Hos PwC ser vi ofte, at organisationer kan være bekymrede over kompleksiteten ved at opretholde compliance i forbindelse med driften af cloud-platformen. For at håndtere kompleksiteten anbefales det at udvikle en cloud-governance funktion som en del af virksomhedens overordnede cloud blueprint. Det muliggør en effektiv og præcis håndtering af risiko- og compliance-aktiviteter ved hjælp af et mix af styrede arbejdsgange og software-baseret automatisering.

Risk og compliance vurderes bedst ud fra et ’shared-responsibility matrix’ for at sikre flere øjne på it-sikkerheden på tværs af organisationen, cloud-service leverandører og andre tredjeparter. Indbyggede værktøjer kan også anvendes til at opsætte og simplificere compliance-programmer.

Endelig kan det være en fordel at starte med en trinvis model. ’Minimum Viable Cloud’, der er en cloud-fokuseret tilgang til ’Minimum Viable Product’-modellen for software eller produktudvikling, der kan få projektet skudt i gang. 

Virksomheder kan have et ønske om at starte ud med en trinvis model, hvor man undervejs kan drage nytte af den erfaring, man opnår i projektet. Mange organisationer har unikke behov, og med de implikationer, der kan opstå fra en cloud migrering i forhold til mennesker, processer og teknologi, er det værd at overveje en agil og trinvis tilgang for at identificere, hvad der virker for den individuelle organisation.

Selvom det for topledelsen kan synes alt for nemt at træde forkert i forhold til compliance-krav, er det værd at huske på, hvem tilsynet er designet til at beskytte. Når alt kommer til alt, er det for at beskytte kunder, forbrugere, borgerne og samfundet. Derved understøtter cloud-compliance det digitale miljø ved at skabe sikkerhed og tillid.

Bliv klogere på, hvordan PwC hjælper virksomheder med at få styr på cloud-transitionen på vores side om Strategi & Transformation.

Uddrag af artiklen er udarbejdet af Insider Studios med PwC. Læs den originale artikel på engelsk her.