Riskhantering • Artikel

Så skyddar du dina outsourcade tillgångar

Idag väljer många företag att lägga ut driften av sina system hos externa leverantörer. Outsourcing i allmänhet, och molntjänster i synnerhet, är attraktiva då dessa i många fall erbjuder en problemfri och kostnadseffektiv drift. Men att lämna ifrån sig data, och i vissa fall hela eller delar av sin kärnverksamhet, till en extern part innebär inte nödvändigtvis att din data är säker. Inte minst har Spectre och Meltdown har påvisat riskerna med att ha en delad molninfrastruktur.

Trots att molnleverantören hanterar/driftar din information är det upp till dig att ta ansvar för dina outsourcade tillgångar och säkerställa att de är skyddade i den utsträckning som anses nödvändig. Här är våra tips på förebyggande insatser för att höja säkerheten för din outsourcade information:

Upprätthåll en beredskapsplan

En beredskapsplan underlättar hanteringen av allvarliga säkerhetsbrister och andra incidenter som riskerar att ha påverkan på fortsatt verksamhetsutövande. Dels genom att begränsa skadeverkan, men även genom att utgöra en handlingsplan för att så snabbt som möjligt kunna återgå till normala omständigheter. En sådan plan bör ta höjd för allvarliga säkerhetsbrister i det fall dessa riskerar att påverka upprätthållandet av verksamheten negativt.

Öka kravställningen

Se över dina avtal med dina outsourcingleverantörer i allmänhet och med dina molnleverantörer i synnerhet. Utforma en gemensam långsiktig plan för incidenthantering, revision och policys; Vad händer när en incident inträffar, hur ska den hanteras och vad har leverantören för skyldigheter gentemot dig som kund? Hur ofta ska avtalet följas upp, och vad händer om leverantören har brutit mot det? Är skyldig- respektive rättigheter formaliserade underlättar det hanteringsarbetet om leveransen påverkas av omständigheter som Meltdown och Spectre.

Skapa förutsättningar för flexibla leverantörsbyten

Säkerställ att du kan byta molnleverantör på kort varsel om den råkar ut för intrång eller på något annat sätt inte kan leva upp till de avtalade kraven. Utveckla interna metoder för hur du flyttar dina lösningar till nya servrar så effektivt som möjligt för minimal nedtid. Om avtalet sägs upp är det även viktigt att leverantören inte får behålla någon information. Kravställ att få veta var all information lagras så att du på ett smidigt sätt kan ta bort den om du lämnar leverantören. Säkerställ även att metoderna för borttagning av data är så pass goda att data inte går att återskapas.

Arbeta aktivt med processer för att analysera samt hantera risker

Genom att regelbundet analysera risker relaterade till sina tillgångar samt hur de förhåller sig till omvärlden, kan man nå insikt kring vilken riskbild som existerar. Den insikten skapar i sin tur förutsättningar att på ett strukturerat och prioriterat sätt hantera risker. Genom att ha en etablerad struktur för att hantera risker samt sina tillgångar (exempelvis enligt ISO 27001), har man på så vis ett försprång vid omvälvande sårbarheter som Spectre och Meltdown.

Sammanfattningsvis: ta kontroll över situationen och se till att vara väl förberedd, både inför svallvågor från Meltdown och Spectre men även inför ännu okända hot.

Kontakta oss

Vi erbjuder flera kontaktvägar och återkopplar så snart som möjligt. Har du känslig information ber vi dig att maila krypterat.

Ta kontroll över din säkerhet

Boka kostnadsfri rådgivning

I samråd med dig pratar vi om din organisations säkerhetsutmaningar och diskuterar hur vi på Sentor kan hjälpa dig att uppnå dina mål. Om du hellre vill bli kontaktad, ange dina uppgifter i kontaktformuläret.