Skyen er klar til finans! Men er finans klar til skyen?

Det er et spørgsmål jeg ofte møder, og svarene bærer præg af personlige holdninger og præferencer i sektoren, hvilke ikke afspejler de reelle muligheder for cloud.

 

 

 

News / 220119

For mig udgør den optimale sikkerhed en kombination af mennesker, processer og teknologi. Med det i tankerne er det selvsagt vigtigt, at man tager et kig på hele virksomheden og alle faktorer, der kan spille ind. Klichéen om at man ikke er stærkere end det svageste led lever faktisk i bedste velgående (og det er ikke kun i finanssektoren, at dette gør sig gældende).

Et godt visuelt eksempel på en sikkerhedsmodel, er ”ISACA´s Business model for information Security”. Dette er et rammeværktøj hvor de forskellige kategorier beskrives og bedst muligt bindes sammen (illustreret nedenfor).Figur_blog2_nyAlle kategorier skal overvejes og inkluderes i ”Risk Management” rammeværktøjet for at sikre at alle potentielle risici er afdækket.

Denne ’øvelse’ tegner det reelle trusselsbillede mod virksomheden, og med det på plads kan løsninger til at minimere, acceptere eller undgå truslen findes.

Dette er et klassisk aspekt af sikkerhed. Intet af ovenstående er nyt eller ændrer sig fordi IT afvikles i skyen. ‘Det nye’ ligger i vurderingen af truslerne, og derved hvilke foranstaltninger, der kan benyttes til at sikre sig imod dem.

Et lille udsnit af de trusler cloud kan introducere er:

  • Tab af kontrol
  • Leverandør ”Lock-in”
  • Isoleringsfejl
  • Usikre grænseflader & API´s

Der findes gode rammeværktøjer, der beskriver hvilke trusler cloud introducerer, og metoder til at håndtere disse trusler på. Hvis man ønsker at grave dybere vil jeg personligt anbefale, at man ser på ”Cloud Security Alliance” og ”ENISA Cloud Computing Risk Assesment”. 

Et argument jeg har mødt for ikke at gå i skyen centrerer om lovgivning. Altså at gældende lovgivning skulle udelukke at flytte i skyen. Det er et støvet argument, der ikke holder vand. Lovgivningen sikrer at virksomheden – ikke leverandøren - er i kontrol når det omhandler outsourcing. De største cloudleverandører udviser stort hensyn til dette, hvorfor bl.a. Microsoft har tæt kontakt og dialog med alle landes autoriteter af relevans – i Danmark Finanstilsyn.  

eyes_screen_giphy

 

Microsoft har selv lavet et rammeværktøj, hvor de bl.a. ser på lovgivningen i den finansielle sektor og redegør for hvordan disse overholdes af Microsoft, samt hvilke krav det stiller til kunden.

Derudover opdaterer Finanstilsynet EBA ”European Banking Associations” omkring lovændringer, der er gældende for sektoren vedrørende cloud- outsourcing og leverandører. Det har stor betydning, da det vedrører de (tidssvarende) retningslinjer for finansielle virksomheder som EBA sendte til høring den 22. juni 2018. Dette for at imødekomme outsourcing til cloud.

Da de forrige retningslinjer for outsourcing er fra 2006, kommer jeg lige med en hurtig bemærkning; det var på tide.

De nye ændringer har syv områder
med særligt fokus:

  • Placering af data
  • System- og datasikkerhed
  • Brug af underleverandører
  • Vurderingen af væsentlighed
  • ”Contingency”-planer
  • Exit-strategi
  • Audit

Det kunne være spændende at gå i detaljer med ovenstående emner, men det hører hjemme i en længere e-bog. Uden at gå i detaljer omkring ovenstående, så har jeg i egen person hørt Finanstilsynet udtale (Cloud Computing i den finansielle sektor konference), at de ikke har noget imod, at finansielle virksomheder går i cloud, når blot man har styr på processerne og de lovmæssige krav.

Jeg har selv haft dialog med flere kunder, der er underlagt Finanstilsynet, og som er gået i skyen. Undervejs har de haft flere møder med Finanstilsynet og alle har været åbne for at undersøge muligheder, og finde de rigtige løsninger, der både dækker virksomhedens behov og, ikke mindst, Finanstilsynets krav.

Så argumentet; ”lovgivningen står i vejen for cloud i finanssektoren” er ikke sandt. EBA har endog vurderet cloud som en væsentlig strategi til outsourcing. Dermed har man også vurderet, at sikkerheden som minimum er på omgangshøjde med den, man kan skabe i sit eget datacenter.

Så sikkerheden er klar, det kræver blot at virksomhederne selv er klar til den nye æra, da mennesker, teknologi og processer alt sammen er en del af rejsen til en IT sikker løsning.

Vil du vide mere om cloud-sikkerhed, står vi klar til at give sparring og rådgivning.
 
Udfyld formen herunder, så kontakter vi dig snarest: