SaaS løsninger og datasikkerhed i skyen

Del på linkedin
Del på facebook
Del på email

Skrevet af

Der er rigtig mange fordele ved Software-as-a-Service (SaaS), eller det man også kalder cloud-baserede softwareprodukter. Som kunde får du adgang til hurtig, stabil, innovativ og omkostningseffektiv teknologi og applikationsinfrastruktur. Det er der efterhånden mange, som kan se fordelene i. Derfor er SaaS også blevet den foretrukne leverancemodel på mange områder. Men vi ved alle, at der som regel en bagside af medaljen, som man skal huske at forholde sig til.

Når det gælder SaaS, så kan forholdene omkring datasikkerhed nemt være bagsiden af medaljen, og derfor er det et vigtigt element at forholde sig til.

Spørgsmålet er: “Har du har gjort dit forarbejde ordentligt, når det handler om at vurdere dine SaaS leverandørers tilgang til datasikkerhed?”

Cloud eller on-premise?

I dag er de fleste nok klar over, hvad henholdsvis cloud og on-premise betyder, men for yderligere at sætte scenen, vil jeg helt kort opridse forskellene mellem de to leveranceformer. Ved en cloud-baseret tilgang ligger software og data eksternt. Når vi taler on-premise, så ligger hele setup’et med hardware og servere til at afvikle applikationer og opbevare data derimod hos dig selv – deraf betegnelsen, on-premise. Den primære fordel ved cloud-tilgangen, er at den er mere fleksibel og omkostningseffektiv. Som virksomhed, skal du ikke investere i den nødvendige hardware og software til selv at kunne afvikle applikationer. Derudover skal du heller ikke bekymre dig om vedligeholdelse og opdatering af de respektive softwareprodukter. Til gengæld har du dog ikke selv den fulde kontrol med tilgangen til datasikkerhed.

Når vi taler SaaS, så deler du og din leverandør i realiteten ansvaret for datasikkerheden – leverandøren tager sig af den del der handler om at sikre den underliggende infrastruktur, og du tager ansvaret for, at anvendelsen af selve applikationen sker korrekt og sikkerhedsmæssigt forsvarligt.

Spørgsmålet er: ”Kan du kan stole på, at din leverandør tager sin del af opgaven seriøst?”

Det skal du tænke over

Jeg har 3 tips, som jeg vil dele med dig, når det gælder sikkerhed og SaaS løsninger. De er relevante, dels når du er ude og analysere markedet ift. ny software, og dels når du gennemgår dine eksisterende leverandører. Det er i øvrigt sundt at gøre med jævne mellemrum.

De 3 tips, kommer her:

1. Vælg dine SaaS leverandører med omhu

Det første tip er, efter min mening, det allervigtigste. Det handler om tillid.

Udbuddet af SaaS-baserede løsninger og services er stort. Du har rigeligt med valgmuligheder. F.eks. indenfor vores ekspertiseområde, Expense Management og indenfor løsninger til at håndtere rejseafregning, er der efterhånden et stort udbud. Faktum er som sagt, at en stor del af ansvaret for datasikkerheden ligger hos den enkelte leverandør, så vær omhyggelig, når du vælger samarbejdspartner.

Du skal kigge efter leverandører, som tilbyder god kontrol over brugernes rettigheder og adgang til data i løsningen og, hvis muligt, skal leverandøren også gerne tilbyde kryptering af data. Det er også vigtigt, at du spørger leverandørerne, hvor og hvordan de opbevarer data. Opbevares data her i landet, i EU, udenfor EU eller i en kælder et eller andet sted? Hvordan er server setup’et og sikkerheden omkring dette? Derudover skal du også undersøge hvordan procedurerne omkring backup og gendannelse af data fungerer.

Du bør også altid sikre dig, at leverandørernes interne processer for databehandling er acceptable ift. aktuelle krav og standarder, herunder kravene omkring opbevaring og behandling af persondata jf. persondataforordningen / GDPR. Du kan f.eks. undersøge, om de enkelte leverandører får gennemført ekstern revision af deres procedurer, og dermed kan fremvise certificeringer, der dokumenterer en solid tilgang til behandling af data. Det kunne f.eks. være en ISAE 3402 Type II, ISAE 3000 en ISO 27001 certificering. Endelig skal du sikre dig, at du laver solide databehandleraftaler med dine SaaS leverandører – uden sådanne aftaler på plads, kan du komme til at stå i en vanskelig situation, hvis der sker brud på datasikkerheden hos leverandøren.

Husk også på, at det ikke er gratis for en SaaS leverandør, at etablere og vedligeholde et stærkt sikkerheds-setup med veldokumenterede omkringliggende processer. Pas derfor på med at tage den billigste løsning på din liste – det kan ende med at blive uhyggeligt dyrt i længden!

2. Indfør regler omkring anvendelsen af cloud løsninger

Dette tip relaterer sig til din del af opgaven – dvs. den del, der handler om, at sikre den sikkerhedsmæssige korrekte anvendelse af SaaS produkterne. Du skal sørge for at formulere og implementere en tydelig politik og et regelsæt for anvendelsen af cloud baseret software.

Ideelt set skal den både henvende sig til brugerne og til de beslutningstagere, som indkøber software. Det skal være et regelsæt, som definerer hvilke typer af medarbejdere, der skal have adgang til hvilke produkter, herunder også hvilke adgangsniveauer forskellige medarbejdere skal tildeles. Ligeledes skal det præciseres, hvordan produkterne kan tilgås – dvs. via hvilke enheder.

Herudover bør en sådan politik også koble sig til, hvordan din virksomhed opdrager medarbejderne i den rette adfærd omkring anvendelsen af internetbaserede softwareløsninger. Dvs. hvordan beskytter den enkelte medarbejder sig selv, sin identitet, brugernavne og adgangskoder bedst muligt?

3. Overvej om du skal implementere et selvstændigt værktøj til at beskytte dine SaaS data

Måske anvender du SaaS produkter fra flere respekterede udbydere med sikkerheden i orden, men samtidig er dit applikationslandskab muligvis også ved at være så tilpas komplekst, at det nu giver mening at investere i dit eget sikkerhedslag.

Dette tip kommer naturligvis i forlængelse af tip nummer 2, fordi der findes løsninger på markedet, som netop hjælper dig med at styre din del af opgaven. Det er dog en rigtig god idé at have rammeværket for regler og politikker på plads først (jf. tip nr. 2). Sikkerhedsbrud kan ske på mange forskellige måder, f.eks. igennem uhensigtsmæssig deling af data, tyveri (medarbejdere, der stjæler data), kompromitterede brugerkonti pga. dårlig sikkerhed med passwords, tildeling af for mange brugerrettigheder osv. Det er den slags sikkerhedsbrud du skal til livs.

Pointen er, at når du indfører regler for anvendelsen af din organisations cloudbaserede værktøjer, så skal du også kunne sikre, at reglerne overholdes, og netop det kan være svært hvis landskabet efterhånden er blevet stort. Der findes mange løsninger derude, som kan hjælpe dig og indledningsvist kan du starte med at orientere dig hos de store spillere, som f.eks. McAfee og RSI.

Et delt ansvar

Som jeg har været inde på i dette indlæg, så deler du og din leverandør ansvaret for sikkerheden, når vi taler SaaS løsninger. Netop det, er efter min mening vigtigt at huske på. Og det er der, jeg vil hen med disse 3 tips. Så tænk på, at hvor god og omhyggelig din organisation end måtte være ift. sikkerheden omkring jeres SaaS løsninger, så nytter det ikke ret meget, hvis du har valgt en leverandør, som ikke er sin del af opgaven voksen. Og omvendt, naturligvis.

Min egen forretning, Acubiz, er en veletableret udbyder af cloud-baseret software til at håndtere medarbejderrelaterede udgifter og rejseafregninger. Vi tager vores del af opgaven omkring datasikkerhed seriøst. Meget seriøst endda. Det er en væsentlig komponent i vores produktstrategi, fordi vi tror på, at et stærkt setup omkring datasikkerhed er med til at beskytte den investering, som vores kunder har gjort i vores service.

Husk, at det er tilladt at stille krav til sine leverandører. Sådan skal det være i et tillidsforhold.

Spørgsmålet er: ”Stoler du på dine nuværende SaaS leverandører?”

Acubiz bibliotek
Find og download e-bøger, whitepapers, webinarer mm. om alt inden for Expense Management.
Nyhed

Andre blog indlæg

Gratis og uforpligtende