Dette blogindlæg er skrevet på baggrund af et interview med Carsten Lillelund Pedersen, Thinking as a Service, i podcasten Regnskabets Time, sæson 2 episode 3.
Til at gøre os klogere på hvad virksomheder selv kan gøre, og hvad de skal forvente af en ekstern leverandør af SaaS, har vi haft en af pionererne inden for cloud-infrastruktur og datasikkerhed i en dansk kontekst, Carsten Lillelund Pedersen, forbi til en snak. Vi diskuterede hvorfor det gamle, fortærskede mundheld “if it ain’t broke, don’t fix it” bestemt ikke er en anbefalelsesværdig tilgang til IT-systemer og datasikkerhed længere.
Interviewer: Velkommen til Carsten. Kan du ikke lige starte med at fortælle, hvad Thinking as a Service er for en virksomhed?
Carsten: Siden man startede med at arbejde professionelt med IT for 30-40 år siden, har der været skiftende tendenser i forhold til, hvordan man anser og udnytter IT. I starten ansås IT som værende det at levere tekniske ydelser. Det kunne være i form af support eller opsætning af lokale netværk og servere. I dag har vi bevæget os over mod at vi nu anser IT som værende en service, der bliver leveret. Derfor er cloud-services som Software as a Service, Platform as a Service, Infrastructure as a Service og Back up as a Service i dag standarden og normen for, hvad der bliver leveret, når vi taler IT. Det er arkitekturen bag de koncepter og rådgivning herom, som vi beskæftiger os med i Thinking as a Service.
Interviewer: Carsten, du har i de sidste 25 år beskæftiget dig med datasikkerhed. Jeg tænkte derfor på, om du ikke kan fortælle hvordan udviklingen har været inden for datasikkerhed og IT-kriminalitet i den tid, du har været i branchen?
Carsten: Jo. Udviklingen har fulgt lidt den samme bølge som jeg nævnte før, hvor vi inden for IT er blevet meget serviceorienterede. Men for at give et billede på, hvordan kriminaliteten foregik før i tiden, så sad der måske nogle drenge i en kælder og hackede sig adgang til et sted, som ikke var beskyttet. Det har naturligvis udviklet sig i en mere sofistikeret retning, og den nyeste trend inden for IT-kriminalitet er, at det nu også er blevet en service. Det betyder, at lige som at der er værktøjer der skal beskytte en virksomheds data mod angreb, så bruger de kriminelle nu IT-værktøjer til at hive penge ud af de virksomheder, som ikke har 100% styr på deres sikkerhed. Og det er i høj grad blevet en mulighed at tilbyde en sådan service pga. indtoget af untraceable kryptovaluta.
Interviewer: Da vi talte sammen som forberedelse til det her interview, der nævnte du noget, som kom lidt bag på mig. Du sagde nemlig, at det ikke altid er hensigtsmæssigt at have sine data liggende i en cloud-løsning. Kan du ikke prøve at fortælle lidt mere om det?
Carsten: Det er nok overraskende for nogen, men det er ikke altid den bedste løsning at have sine data liggende i en cloud. Men igen er det her nødvendigt lige at have konteksten med. I starten havde virksomheder data og netværk liggende i serverrum i kælderen. Og med ret få mennesker og ressourcer har virksomheden så skulle forsøge at levere alle de IT-værktøjer, som den havde brug for. Det vil sige, at IT-afdelingen skulle levere webservere, mailsystemer, økonomisystemer, filsystemer, administrationssystemer osv. Faktum er, at når man har så mange services at levere, og det samtidig ikke er virksomhedens kerneydelse, så bliver ingen af delene særlig godt.
Det kan vi ikke have længere. Derfor vil jeg altid anbefale, at virksomheder kigger sig om efter en cloud-løsning, som bliver leveret som SaaS. Men hvis det på den anden side er virksomhedens kerneydelse – det kunne være en leverandør af Expense Management f.eks. – så må den gerne være on-premise. Så står virksomheden selv for drift, udvikling og vedligeholdelse. Men udbyderen af den pågældende ydelse skal også have 100% styr på netop sin kerneydelse, hvorfor det er en god ide at hoste løsningen on-premise. Alt andet end kerneydelsen skal outsources.
Interviewer: Som følge af den her udvikling er der rigtig mange services, som i dag er købt som cloud-løsninger rundt omkring i danske virksomheder. I den forbindelse tænker jeg, om der ikke er nogle ting som man skal være opmærksom på i forhold til ansvar for sikkerheden?
I de første 20 år jeg arbejdede med IT, så sagde man ”If it works, don’t fix it”. Det gjorde man fordi der som regel skete fejl, når man opdaterede. Derfor ville man hellere lade det, som virkede, køre så længe som muligt. Det er naturligvis farligt. For de kriminelle lader ikke være med at opdatere sine metoder. Det er netop derfor man skal outsource alt det, som ikke er virksomhedens kerneydelse. Så er det nemlig de pågældende SaaS-leverandører, som skal vedligeholde de applikationer og værktøjer, som man selv bruger. Dermed lægger man ansvaret over til sin SaaS-leverandør.
Her er der så en lang række faktorer, hvor man kan gå ind og vurdere, hvor god SaaS-leverandøren er til at beskytte dine data. En god måde at vurdere det på, er ved at gå ind og kigge i App Store eller på Google Play, og se på hvor tit applikationen bliver opdateret. Jo oftere, des bedre. Det fortæller ikke nødvendigvis alt om sikkerheden, men det giver et fint prej.
Det er altså en god ide at dedikere en medarbejder til at holde øje med ens SaaS-leverandører. For det er ikke nødvendigvis sådan, at det bliver meget nemmere at håndtere sine løsninger og services ved at outsource dem, men det bliver alt andet lige meget mere sikkert. Man kan ikke løse alle problemer selv. Det skal man gøre sig klart.
