Når virksomheten din skal ta i bruk en skytjeneste, er det viktig å kjenne til hele verdikjeden knyttet til skytjenesten. Verdikjeden i en skytjeneste består, blant annet, av IT-infrastruktur, dvs. servere og nettverk, som er plassert i et eller flere datasentre. IT-infrastrukturen er etablert med operativsystem, nettverkskontroll og applikasjoner/programvare. Identitets- og tilgangsstyring er også viktige komponenter i verdikjeden. Alle underleverandører er også en del av verdikjeden.
Du må også skaffe deg oversikt over dataflyten, dvs. hvor data oppstår (input), hvilke data som behandles, hvor data sendes (data in transit), hvor data lagres (data at rest), hvor data behandles (land) og hvem som har tilgang til data (tilgangsstyring).
Delt ansvarsmodell – Shared responsibility
Skaff deg en detaljert oversikt over hvem som har ansvar for de enkelte delene av verdikjeden. Modellen her viser hvordan ansvaret er fordelt mellom skyleverandør og deg som kunde.
Dataflyten
Skaff deg oversikt over dataflyten, spesielt med tanke på behandling av personopplysninger.
Modellen her viser hvordan personopplysninger kan bevege seg mellom ledd som er involvert i dataflyten. Du må være særlig oppmerksom på om personopplysninger behandles i land utenfor EU/EØS.
Se også: Schrems II-dommen: Privacy Shield-avtalen mellom USA og EU/EØS er opphevet | Datatilsynet.no
Kjenn verdikjeden, dataflyten og ansvarsmodellen
Verdikjeden til virksomheten
- Kjenn verdikjeden og kartlegg dataflyten
- Skaff oversikt over svakhetene i verdikjeden, herunder avvik mellom leverandørens tiltak for å sikre data, inkludert personopplysninger, og dine krav til tiltak på informasjonssikkerhet og personvern, og vurder risiko
Delt ansvarsmodell
Sikre at du forstår
- Hva du som oppdragsgiver har ansvaret for
- Hva skyleverandøren har ansvaret for
Sikre at alle som er involvert forstår
- Hvem som har ansvar for de ulike delene av verdikjeden
- Hva det betyr for prosessen, sikkerheten og robustheten i tjenesten
Risikovurdering
Når du har skaffet deg oversikt over verdikjeden, dataflyten og ansvarsmodellen, er du klar til å gjennomføre risiko- og sårbarhetsanalyse (ROS-analyse). Målet med vurderingen er å avdekke om det er mulig å redusere risikoer og sårbarheter knyttet til tjenesten ved hjelp av særskilte tiltak, og i så fall hvordan. Kjernen av en risikovurdering er datasikkerhet og personvern.
- Identifiser risiko, dvs. trusler og sårbarheter.
- Kartlegg tiltak for å håndtere risko.
- Vurder og etabler akseptkriterier
- Lag krav til kravspesifikasjonen for de tiltak som du har kommet frem til at leverandøren må eie og ta ansvaret for basert på tidligere vurderinger, slik som risiko- og sårbarhetsanalyse (ROS)
5 gode råd
Vi har samlet de beste rådene på ett sted, så det blir lettere for deg å komme i gang.
1 – Få oversikt og kontroll på livsløpet
Forberede
I forberedelsesfasen må virksomheten din:
- Utarbeide detaljerte forutsetninger for å ta i bruk en skytjeneste for angitte formål.
- Vurdere om skytjenester faktisk kan dekke de behov dere har, og eventuelt hvordan.
- Vurdere hvordan de skybaserte prosessene skal integreres med virksomhetens øvrige IKT-systemer, slik at nødvendig sikkerhetsnivå ivaretas.
Anskaffe
Ta utgangspunkt i forutsetningene og vurderingene dere har gjort gjennom forberedelsene for å:
- Evaluere tilbyder av skytjenester (skyleverandør)
- Etablere prosedyrer for verifisering og oppfølging av kontraktens leveransekrav
- Inngå kontrakt
- Iverksette leveransen av skytjenesten
Innholdet i kontrakten er svært viktig fordi kontrakten regulerer forholdet mellom virksomhet og leverandør, herunder leveransekvalitet, rapportering, endringsprosesser, revisjon og møtearenaer.
Forvalte
Forvaltningsfasen består av etablering, integrering og eventuell transisjon av tjenesten som settes ut i skyen.
Virksomhetens må sikre at kontraktsforpliktelsene oppfylles ved å:
- Følge opp leverandøren og leveransene
- Ivareta virksomhetens endringsbehov
- Vurdere tiltak hvis det oppstår avvik fra leveransekravene
Avslutte
Det kan være tilsiktede og utilsiktede grunner til at en virksomhet avslutter kontrakten.
Eksempler kan være kontraktsbrudd eller uakseptable forhold ved leverandøren og/eller vertslandet, som oppstår i kontraktsperioden.
Ved opphør av tjenesten må virksomheten:
- Allerede ha utviklet en exitstrategi (som nevnt i dokumentet for Skystrategi)
- Planlegge og iverksette tilbakeføring eller overføring av tjenesten til annen leverandør
- Planlegge og iverksette at data som tilhører virksomheten blir forsvarlig slettet av leverandøren
2 – Sørg for god bestillerkompetanse
Virksomheten | Sikkerhet | Integrasjoner | Anskaffelser | Juridisk |
---|---|---|---|---|
Definerer behov og stiller krav | Vurderer risiko og stiller krav. - Fysisk sikkerhet - Personellsikkerhet - Informasjonssikkerhet | Hvordan integrere tjenesten i virksomheten | Sikrer at anskaffelsen ivaretar virksomhetens behov, både kommersielt og funksjonelt | Sikrer at de juridiske krav og behov ivaretas og at kontrakten kan oppfylles |
3 – Gode risikovurderinger for å kunne ta riktig beslutning
Risikovurdering er en avgjørende prosess som må ligge til grunne ved anskaffelser av skytjenester. Optimalt vil en virksomhet kunne gjennomføre prosesser som identifisere alle relevante risikoer for deres måloppnåelse. Tross dette vil virksomheter ha ulik kapasitet til å utføre risikovurderinger, avhengig av en rekke faktorer, slik som kompetanse, budsjett og tid. En virksomhet må derfor vurdere hvilke risikoområder som er mest relevante for deres anskaffelse av skytjenester. En virksomhet burde derfor vurdere de følgende områdene:
- Økonomisk risiko
- Prosjektrisiko
- Landrisiko
- Statlige styringsindikatorer
- Cybersikkerhetstilstanden
- IKT-infrastruktur
- Forretningsstabilitet
Eksempler på områder som bør risikovurderes
- Geografisk og fysisk lokalisering av utstyr og driftspersonale.
- Hvem som har innsyn i virksomhetens informasjon.
- Hvor og hvordan informasjon behandles og lagres, samt hvordan informasjonen er adskilt fra andre kunder.
- Tilgangsstyring, inkludert kryptering, aktivitetslogging og fysisk og logisk sikkerhet.
- Rutiner for hendelseshåndtering og avviks- og sikkerhetsrapportering.
- Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer.
- Bruk av underleverandører.
- Fremtidige endringer i leverandøren og underleverandørers eierskapsstruktur.
- Mulighet for avslutning av kontrakten og overføring av tjenester og data til ny leverandør.
Landrisiko
Hvis skytjenesten skal leveres fra utlandet, anbefaler Nasjonal sikkerhetsmyndighet (NSM) at virksomheten vurderer risikoer i vertslandet (landrisikovurdering) hvor leverandøren holder til og hvor tjenesten tilbys fra. Årsaken er at slike nasjonale forhold kan påvirke leverandørens mulighet til å tilby tjenester. Risikoen kan knytte seg til alt fra korrupsjonsrisiko til risiko ved den digitale infrastrukturen i landet.
Forhold i landet kan også innebære at personopplysninger blir utsatt for en uholdbar risiko, slik som at lokal etterretning overvåker kommunikasjon uten særlige begrensninger. For risiko knyttet til overføring av personopplysninger til land utenfor EU/EØS, har Det europeiske personvernrådet (EDPB) utviklet retningslinjer for å gjennomføre slike landrisikovurderinger. Disse finnes her.
Basert på det man avdekker som risiko, kan det bli et behov for kompenserende sikringstiltak. Kanskje må man også velge andre leverandører som leverer en sikrere tjeneste.
I den totale risikovurderingen bør virksomheten:
Gjennomføre landrisikovurdering for landet som leverandøren tilbyr tjenester fra eller via (for eksempel ved bruk av underleverandører) .
Vurdere risiko knyttet til leverandørens datasikkerhet og sikring av informasjon, herunder personopplysninger. Hvis de ansatte kan påvirke risikonivået når de bruker tjenesten/systemet, bør man øke de ansattes bevissthet rundt dette. For eksempel kan risikoen kanskje reduseres ved at man regelmessig sletter lagrede dokumenter som man ikke trenger lenger, eller ved at man kobler seg til VPN når man er på hjemmekontor hvis dette ikke skjer automatisk. Man bør også sørge for at de ansatte har gode og tilgjengelige retningslinjer for bruk, og regelmessig opplæring i bruk av tjenesten/systemet. om hvilken grad av usikkerhet/merrisiko å benytte en skytjeneste levert fra utlandet medfører.
1. Statlige styringsindikatorer
- Korrupsjon (Corruption perception index)
- Politisk stabilitet
- Lov og orden
- Regulatorisk kvalitet
- Statens effektivitet
- Fredelighet (Global peace index)
2. Cybersikkerhetstilstanden
- Er IKT-sikkerhet prioritert i landet
- Har de en nasjonal IKT-sikkerhets strategi
- Hvordan organiserer landet sikkerhetsarbeidet
- Hvordan vil vertslandet håndtere en større hendelse?
- Indikator: Global Cybersecurity Index
3. IKT infrastruktur
- Har landet en stabil og robust infrastruktur
- Er nasjonale IKT-tjenester utbygd?
- Tilgang på relevant kompetanse i landet
4. Forretningsstabilitet
- Forretningsfrihet
- Har privat næringsliv råderett uten statlig innblanding?
- Respekteres inngåtte kontrakter?
- Har landet en velfungerende finansnæring som støtter opp under privat næringsliv?
4 – Riktige og gode krav til tjenesten og leverandør
En kritisk suksessfaktor er å stille riktige og gode krav
Virksomheten må stille riktige og gode krav.
Kravene uttrykker et behov. Virksomheten må formulere kravene slik at de kan verifiseres. Kravene beskriver hva virksomheten ber om, og spesifiserer hva skyleverandøren skal levere eller hvilke behov som skal dekkes.
Fra et kontraktsperspektiv er kravene, og verifikasjon av disse, bindeleddet mellom virksomhetens behov og tjenesten som skytjenesteleverandøren leverer.
Sikkerhetskravene en virksomhet stiller til konfidensialitet, integritet og tilgjengelighet må gjelde uavhengig av geografisk lokasjon og nasjonal lovgivning. Forhold som kan påvirke risikoen, må identifiseres og vurderes, og kompenserende tiltak må iverksettes.
NSM anbefaler at NSMs grunnprinsipper for IKT-sikkerhet brukes i utarbeidelse av kravene som stilles til IKT-tjenester.
Ved kjøp av skytjenester bør det som minimum stilles krav til:
- Styringssystem for informasjonssikkerhet og sertifisering i henhold til internasjonale standarder, for eksempel ISO 27001.
- Innsyn i sikkerhetsarkitekturen som benyttes for å levere skytjenesten.
- Utviklingsplaner for sikkerhet i skytjenesten i tråd med utvikling i teknologi og trusselbildet over tid.
- Oversikt over hvem som skal ha tilgang til kundens data, hvor og hvordan denne skal behandles og lagres samt grad av mekanismer for segregering fra andre kunder.
- Tilgangsstyring som inkluderer kryptering, aktivitetslogging og fysisk og logisk sikkerhet.
- Sikkerhets- og penetrasjonstester, og et program som setter dette i system og sikrer strukturert oppfølging og prioritering av identifiserte sårbarheter.
- Sikkerhetsovervåkning egnet til å avdekke hendelser og handlinger i tråd med virksomhetens trusselbilde og relevante trusselaktører.
- Rutiner for hendelseshåndtering og avviks- og sikkerhetsrapportering.
- Krise- og beredskapsplaner som skal harmonisere med virksomhetens egne planer.
- Godkjenningsprosedyrer for bruk av underleverandører og deres bruk av underleverandører.
- Spesifisering av hvilke aktiviteter som skal utføres ved avslutning av kontrakten, blant annet tilbakeføring/flytting/sletting av kundens data.
5 – Riktig beslutning på riktig nivå
Bortfall av IKT-tjenester vil ofte påvirke hele eller store deler av virksomheten. Dersom virksomhetskritiske tjenester er avhengige av skytjenester, kan dette øke risikoen for både tilsiktede og utilsiktede hendelser, slik som bortfall av tjenester eller tap/endring av data.
Beslutningen om å sette tjenester ut i skyen er en virksomhetsbeslutning hvor det er nødvendig med god involvering av riktig interessenter og kan ikke utelukkende tas av virksomhetens IKT-miljø.Valg av leveransemodell og bruken av skytjenester er en viktig strategisk del av virksomhetsstyringen, og bør forankres i virksomhetens skystrategi. Leder i virksomheten bør sørge for en godt forankret prosess for alle berørte parter i virksomheten.
Når man tar en beslutning om å bruke skytjenester, bør beslutningen baseres på risikovurderinger som beskriver påvirkning på hele virksomheten, herunder leveranseevne, IKT-portefølje, økonomi og behov for kompetanse. Restrisiko bør også tydeliggjøres og forankres hos virksomhetens ledelse. Restrisiko er risiko man sitter igjen med etter at aktuelle tiltak er implementert.
Kontakt
Har du spørsmål eller tilbakemeldinger? Ta kontakt med oss!
E-post: markedsplassen [at] dfo.no (markedsplassen[at]dfo[dot]no)