Software as a Service (SaaS) løsninger har buldret frem de seneste mange år. Tendensen ser ikke ud til at stoppe foreløbigt. Tværtimod kigger det globale SaaS marked ind i en solid vækst de kommende år en rapport fra Gartner. Din virksomhed har med garanti gjort sig erfaringer med SaaS allerede, men der vil komme endnu flere SaaS-løsninger til i fremtiden. Med god grund. I kan nemlig få adgang til hurtig, stabil, innovativ og omkostningseffektiv teknologi og applikationsinfrastruktur.
Din virksomhed skal tage højde for flere forhold, inden I beslutter jer for at investere i en SaaS-løsning. Dorthe, én af vores dygtige konsulenter, har tidligere skrevet en artikel om forhold, der er med til at sikre en succesfuld implementering af en SaaS-løsning. Det er rigtigt nok vigtigt at undersøge hvordan softwaren bliver implementeret men faktorerne; funktionalitet, økonomi og datasikkerhed er lige så vigtige. Hvilke behov skal løsningen imødekomme, hvordan ser økonomien ud og bliver data behandlet sikkert af leverandøren?
Jeg kigger specifikt på sikkerhedsaspektet i denne artikel. Det kan nemlig hurtigt blive en grim fornøjelse, hvis uheldet er ude og den valgte leverandør ikke er sin opgave voksen og ikke lever op til sine forpligtelser omkring datasikkerhed.
Nye teknologier, flere data, øget risiko
Danske virksomheder omfavner i stor stil nye teknologier og løsninger. Med dem følger også en større mængde af data der flyder gennem løsningerne. De store mængder data medfører også en større udfordring med at sikre data. Det viser rapporten "Global Data Protection Index" fra Dell Technologies.
Rapporten viser også, at nye teknologier som fx kunstig intelligens og 5G- og edgeinfrastruktur gør databeskyttelse mere kompleks. Sådan svarer 71% af de adspurgte IT-beslutningstagere i rapporten. De svarer også, at nye teknologier potentielt udgør en reel trussel mod datasikkerheden.
Pointerne er blot med til at understrege blogindlæggets berettigelse; gå grundigt til værks når I undersøger SaaS-leverandørers måde at behandle jeres data på.
Hvem er ansvarlig for datasikkerheden?
Datasikkerhed er et vidt begreb og dækker over alt fra firewalls, adgangskodekontrol, softwareopdateringer, backup, persondata mv. I dette blogindlæg taler jeg primært om beskyttelsen af de data, som løber igennem den pågældende SaaS-løsning.
Forskellige løsninger håndterer forskellige typer af data. Fx håndterer CRM-systemer kundedata og lønsystemer håndterer løn- og personaledata. I Visma Acubiz håndterer vi selv kreditkortdata, faktura data og data om medarbejderes tidsforbrug.
Jeg har nævnt denne sætning i nogle af mine tidligere blogindlæg, men den er vigtig og jeg gentager den gerne: Du og din SaaS-leverandør deler ansvaret for datasikkerheden. Leverandøren tager sig af alt, hvad der har med den underliggende infrastruktur at gøre, mens du er ansvarlig for korrekt, sikker og tryg brug af applikationen.
Med dette menes, at SaaS-leverandøren naturligvis påtager sig ansvaret for at holde kundens data i et sikkert miljø. Altså sørge for at server setup’et er sikkert, at der er installeret gode firewallforanstaltninger, at data er krypteret, at backup og gendannelsesprocedurer er på plads, at softwaren løbende bliver opdateret, at interne processer for databehandling foregår ansvarligt mv. For virksomheden gælder det, at de naturligvis skal sikre, at brugere ikke genanvender kodeord eller skriver dem ned tilgængelige steder. Derimod skal virksomheden sikre, at brugere er beviste om at beskytte sig selv, sin identitet, brugernavn og adgangskode.
Hvilke sikkerhedsaspekter skal du overveje?
SaaS-løsninger kan rumme en stor mængde virksomheds- og personfølsomme data, og da de samtidig kan tilgås fra enhver enhed af rigtig mange brugere, kan de potentielt udgøre en signifikant sikkerhedsrisiko. Derfor er det vigtigt, at I husker at gøre jeres forarbejde og undersøge den pågældende SaaS-leverandørs tilgang til datasikkerhed. Det kan jeg ikke understrege nok gange. For sandheden er, at det er ønskværdigt at undgå et sikkerhedsbrud – både for SaaS-leverandøren og jer som virksomhed.
Alt dette er SaaS-leverandører udmærket klar over. Langt størstedelen har solide og stærke sikkerhedsforanstaltninger og et enormt stort fokus på datasikkerhed. De benytter sig ofte af sofistikerede og sikre cloud-infrastrukturer, der overvåges og kontrolleres døgnet rundt. Lad os alligevel gennemgå hvad du med fordel kan undersøge, når I er på markedet efter en ny SaaS-løsning.
1. Hvordan er leverandørens interne processer for databehandling?
De fleste kan nok blive enige om at det ikke er den rette arbejdsgang, hvis person- og/eller kundedata fx flyver frem og tilbage i e-mails mellem medarbejdere og samarbejdspartnere. SaaS-leverandører skal løbende teste og validere egne processer for at sikre den rette håndtering af jeres data. Og samtidig stille krav til hostingpartnere, samarbejdspartnere og andre leverandører, som de måtte samarbejde med. Det er vigtigt at afgrænse hvem og hvor mange, der får adgang til specifikke kundedata. Ligeledes er det vigtigt at have dokumenterede datahåndteringsprocesser for at yde den rette datasikkerhed.
Så tænker du måske: "Hvordan finder vi ud af det?". Det er også et godt spørgsmål. Det simple svar er at spørge leverandøren ind til deres interne processer. Eller at undersøge om leverandøren får gennemført ekstern revision af sine procedurer og dermed kan fremvise certificeringer, der dokumenterer en sikker tilgang til behandling af data. Det kan være en ISAE 3402 Type II, ISAE 3000 eller en ISO 27001-certificering. Førstnævnte er en certificering, som Acubiz har modtaget siden 2016. Certificeringen er en international standard, som benyttes af IT-serviceleverandører, hvor en høj grad af sikkerhed og kontrol er nødvendig.
2. Lav databehandlingsaftaler med SaaS-leverandøren
Punktet spiller sammen med forrige ift. at undersøge hvorvidt SaaS-leverandøren lever op til aktuelle sikkerhedsmæssige krav og standarder – herunder krav om opbevaring og behandling af persondata jf. persondataforordningen.
Jeg anbefaler på det kraftigste at lave individuelle databehandleraftaler. En databehandleraftale er en aftale mellem to virksomheder der beskriver, hvordan virksomheden, der behandler dataen, skal behandle dem. Husk at databehandleraftalen skal leve op til de forskellige krav og fortolkninger, som gør sig gældende i de lande, hvor I driver forretning. Databehandleren kan også indgå databehandleraftaler med eventuelle underleverandører, hvilket kan være nødvendigt for at få SaaS-løsningen til at fungere ordentligt.
Uden en databehandleraftale kan du risikere at stå i en vanskelig situation, hvis der sker brud på datasikkerheden hos leverandøren. Brud skal anmeldes til datatilsynet. Hvilke konsekvenser et brud på datasikkerheden betyder for de involverede afhænger naturligvis af hvilket brud der er tale om. Det kan potentielt medføre identitetstyveri, finansielle tab, ophævelse af pseudoanonymisering, tab af fortrolighed mv.
En databehandleraftale forhindrer selvsagt ikke bruddet i at ske, men den sikrer, at der er en proces for at tage hånd om det og en beskrivelse af hvordan data behandles.
3. Hvad tilbyder SaaS-leverandøren ellers af sikkerhedsfremmende foranstaltninger?
Undersøg også om SaaS-leverandøren tilbyder services som styrker sikkerheden yderligere. Adgangskontrol gennem Single Sign-On er et eksempel på en service, som bidrager til at holde data mere sikkert.
Single Sign-On er adgangskontrol af flere, men uafhængige, IT-systemer og applikationer. Virksomheden kan give brugeren adgang til flere forskellige systemer med blot ét enkelt login. Det øger datasikkerheden, da identitets- og adgangsstyringen kan styres centralt. Samtidig reducerer Single Sign-On antallet af forskellige brugernavne og kodeord hos brugere, tiden anvendt på indtastning af loginoplysninger samt færre henvendelser til IT-afdelingen angående glemte kodeord. I Acubiz kan vi tilbyde både Single Sign-On til vores web- og mobilapplikation, hvilket både skaber fordele for vores brugere og kunder.
Opsætningen af Single Sign-On kræver adgang til jeres ADFS (Active Directory Federation Services) infrastruktur. Single Sign-On er i sig selv ikke nogen vidtfavnende sikkerhedsforanstaltning som med ét øger jeres datasikkerhed markant. Men i det store billede, er det med til at højne den samtlige sikkerhedsindsats sammen med øvrige sikkerhedsforanstaltninger.
Jeg anbefaler derfor, at I kigger efter SaaS-leverandører som kan tilbyde yderligere sikkerhedsforanstaltninger end hvad der er ”need to have”. Det kunne eksempelvis være Single Sign-On, men fx også en løsning til digital arkivering.
Her er, hvad du skal huske på
Du er godt på vej mod at finde en SaaS-leverandør der tager sin opgave omkring datasikkerhed seriøst, hvis du kan sætte flueben ved mine pointer i denne artikel:
- SaaS-leverandøren har styr på interne processer for databehandling og har eventuelt en ISAE 3402 Type II certificering
- SaaS-leverandøren tilbyder, up front, at indgå heldækkende databehandleraftaler
- SaaS-leverandøren kan tilbyde yderligere sikkerhedsforanstaltninger end hvad der er ”need to have”
Udgangspunktet er at SaaS-leverandøren har styr på firewallinstallationer, kryptering af data, softwareopdateringer mv. Det har langt de fleste. I Acubiz er vi meget bevidste om vores ansvar omkring vores kunders datasikkerhed. Vi er af den overbevisning, at et stærkt setup omkring datasikkerheden er med til at beskytte den tillid og den investering, som vores kunder har gjort i vores service til udgiftshåndtering.