För att dra nytta av fördelarna med molnet behövs nya designprinciper. Det håller inte att damma av gamla datacenterprinciper. Det gäller inte minst för it-säkerhet.
Marcus Hilmersson är molnexpert och han har sett för många gånger varför vissa molnmigreringar gått fel, inte minst ur it-säkerhetssynpunkt. Han arbetar på säkerhetsföretaget Orange Cyberdefense, tidigare SecureLink som 9 mars blev en del av Orangekoncernen. När han kokar ner sina erfarenheter till en tumregel för molnmigreringar lyder den:
– Det är viktigt att man förstår att arbetssättet måste ändras och att nyttja nya typer av verktyg, för att uppnå en bra säkerhet.
Men det är inte så enkelt. Faktum är att det är nära på omöjligt att lyckas om vissa förutsättningar inte uppfylls. Vilka är då de vanligaste felen i migreringsprojekt?
– Det är tyvärr inte ovanligt att man designar nya molnlösningar utifrån gamla datacenterprinciper. Då tappar man kraften i monlösningen, och vitsen med att nyttja molnets styrka, säger Marcus Hilmersson.
Fler bör vara delaktiga
Det är de som har bäst kännedom om känsliga data och vad som är viktigt för företaget som bör designa de nya lösningarna. Slutanvändarna, i en bred bemärkelse, bör absolut vara delaktiga. Den här gruppen kan innefatta både utvecklare och de som jobbar med kärnverksamheten, till exempel med marknadsaktiviteter.
– Förut var det de som arbetade med it-säkerhet och infrastruktur som dikterade villkoren. Men med dagens allt snabbare utvecklingstakt är det mycket svårt för dem att ha koll på var information finns och vad som är mest värdefullt.
Vad händer när en ny, molnbaserad it-miljö till slut är på plats? Förstår utvecklare och annat teknikfolk vikten av it-säkerhet?
– Min erfarenhet är att utvecklare är mycket intresserad av säkerhet, men att tempot i projekten ofta är så högt att säkerheten prioriteras ned. Men det finns metoder för att ordna snabba leveranser som är säkra.
Fördjupa samarbetena
En sak att tänka på är att ”bra applikationer har färre attackytor”. Men i stället för att bara konstatera att bra applikationer är bättre gäller det att hitta metoder för att systematiskt förbättra systemutvecklingen. Till exempel att fördjupa samarbeten mellan utvecklare och andra aktörer, och att utnyttja de verktyg som finns att tillgå.
Att enbart behålla samma gamla processer i nya, molnbaserade it-miljöer fungerar inte. Det krävs nya samarbeten, nya typer av lösningar och utbildning.
– Man kan fundera på om den befintliga it-säkerhetspolicyn är applicerbar eller om den bör revideras. En annan förändring är att skapa nya team med flera kompetenser, i stället för att jobba avskilt i olika avdelningar. Framför allt att automatisera olika flöden.
Marcus Hilmerssons erfarenhet är att det är lättare att automatisera arbete i molnet, vilket är något som man bör dra nytta av. Vad gäller hans eget arbete handlar det om många olika typer av projekt: ibland om att ta fram ett övergripande förslag för en molnmigrering, vilket ofta inkluderar att föreslå arbetssätt, ibland om att han och andra konsulter från Orange Cyberdefense hjälper till med att skapa en design för migreringen eller hjälper till med själva implementationen.
