SaaS solutions og datasikkerhed i skyen

SaaS tilbyder innovativ og omkostningseffektiv teknologi solutions men giver anledning til bekymring for datasikkerheden. Brugerne skal vælge mellem fleksibiliteten i cloud-modeller og kontrollen med lokale opsætninger. Effektiv SaaS-sikkerhed indebærer valg af pålidelige leverandører, fastsættelse af klare regler for brug af skyen og overvejelse af ekstra sikkerhedsværktøjer. Tillid mellem leverandører og brugere er afgørende.
Mand arbejder i Acubiz med 2 skærme

Indhold

Der er rigtig mange fordele ved Software-as-a-Service (SaaS), eller det man også kalder cloud-baserede softwareprodukter. Som kunde får du adgang til hurtig, stabil, innovativ og omkostningseffektiv teknologi og applikationsinfrastruktur. Det er der efterhånden mange, som kan se fordelene i. Derfor er SaaS også blevet den foretrukne leverancemodel på mange områder. Men vi ved alle, at der som regel en bagside af medaljen, som man skal huske at forholde sig til.

Når det gælder SaaS, så kan forholdene omkring datasikkerhed nemt være bagsiden af medaljen, og derfor er det et vigtigt element at forholde sig til.

Spørgsmålet er: "“Har du har gjort dit forarbejde ordentligt, når det handler om at vurdere dine SaaS leverandørers tilgang til datasikkerhed?”

Cloud eller on-premise?

I dag er de fleste nok klar over, hvad henholdsvis cloud og on-premise betyder, men for yderligere at sætte scenen, vil jeg helt kort opridse forskellene mellem de to leveranceformer. Ved en cloud-baseret tilgang ligger software og data eksternt. Når vi taler on-premise, så ligger hele setup’et med hardware og servere til at afvikle applikationer og opbevare data derimod hos dig selv – deraf betegnelsen, on-premise. Den primære fordel ved cloud-tilgangen, er at den er mere fleksibel og omkostningseffektiv. Som virksomhed, skal du ikke investere i den nødvendige hardware og software til selv at kunne afvikle applikationer. Derudover skal du heller ikke bekymre dig om vedligeholdelse og opdatering af de respektive softwareprodukter. Til gengæld har du dog ikke selv den fulde kontrol med tilgangen til datasikkerhed.

Når vi taler SaaS, så deler du og din leverandør i realiteten ansvaret for datasikkerheden – leverandøren tager sig af den del der handler om at sikre den underliggende infrastruktur, og du tager ansvaret for, at anvendelsen af selve applikationen sker korrekt og sikkerhedsmæssigt forsvarligt.

Spørgsmålet er: ”Kan du kan stole på, at din leverandør tager sin del af opgaven seriøst?”

Hvad du skal overveje

Jeg har 3 tips, som jeg vil dele med dig, når det gælder sikkerhed og SaaS løsninger. De er relevante, dels når du er ude og analysere markedet ift. ny software, og dels når du gennemgår dine eksisterende leverandører. Det er i øvrigt sundt at gøre med jævne mellemrum.

De 3 tips kommer her:

1. Vælg dine SaaS-leverandører med omhu

Det første tip er, efter min mening, det allervigtigste. Det handler om tillid.

Udbuddet af SaaS-baserede løsninger og services er stort. Du har rigeligt med valgmuligheder. F.eks. indenfor vores ekspertiseområde, Expense Management og indenfor løsninger til at håndtere rejseafregning, er der efterhånden et stort udbud. Faktum er som sagt, at en stor del af ansvaret for datasikkerheden ligger hos den enkelte leverandør, så vær omhyggelig, når du vælger samarbejdspartner.

Du skal kigge efter leverandører, som tilbyder god kontrol over brugernes rettigheder og adgang til data i løsningen og, hvis muligt, skal leverandøren også gerne tilbyde kryptering af data. Det er også vigtigt, at du spørger leverandørerne, hvor og hvordan de opbevarer data. Opbevares data her i landet, i EU, udenfor EU eller i en kælder et eller andet sted? Hvordan er server setup’et og sikkerheden omkring dette? Derudover skal du også undersøge hvordan procedurerne omkring backup og gendannelse af data fungerer.

Endelig skal du sikre dig, at du laver solide databehandleraftaler med dine SaaS leverandører – uden sådanne aftaler på plads, kan du komme til at stå i en vanskelig situation, hvis der sker brud på datasikkerheden hos leverandøren.

Husk også på, at det ikke er gratis for en SaaS leverandør, at etablere og vedligeholde et stærkt sikkerheds-setup med veldokumenterede omkringliggende processer. Pas derfor på med at tage den billigste løsning på din liste – det kan ende med at blive uhyggeligt dyrt i længden!

2. Indfør regler omkring anvendelsen af cloud løsninger​

Dette tip relaterer sig til din del af opgaven – dvs. den del, der handler om, at sikre den sikkerhedsmæssige korrekte anvendelse af SaaS produkterne. Du skal sørge for at formulere og implementere en tydelig politik og et regelsæt for anvendelsen af cloud baseret software.

Ideelt set skal den både henvende sig til brugerne og til de beslutningstagere, som indkøber software. Det skal være et regelsæt, som definerer hvilke typer af medarbejdere, der skal have adgang til hvilke produkter, herunder også hvilke adgangsniveauer forskellige medarbejdere skal tildeles. Ligeledes skal det præciseres, hvordan produkterne kan tilgås – dvs. via hvilke enheder.

Herudover bør en sådan politik også koble sig til, hvordan din virksomhed opdrager medarbejderne i den rette adfærd omkring anvendelsen af internetbaserede softwareløsninger. Dvs. hvordan beskytter den enkelte medarbejder sig selv, sin identitet, brugernavne og adgangskoder bedst muligt?

3. Overvej, om du har brug for et separat værktøj til at beskytte dine SaaS-data

Måske anvender du SaaS produkter fra flere respekterede udbydere med sikkerheden i orden, men samtidig er dit applikationslandskab muligvis også ved at være så tilpas komplekst, at det nu giver mening at investere i dit eget sikkerhedslag.

Dette tip kommer naturligvis i forlængelse af tip nummer 2, fordi der findes løsninger på markedet, som netop hjælper dig med at styre din del af opgaven. Det er dog en rigtig god idé at have rammeværket for regler og politikker på plads først (jf. tip nr. 2). Sikkerhedsbrud kan ske på mange forskellige måder, f.eks. igennem uhensigtsmæssig deling af data, tyveri (medarbejdere, der stjæler data), kompromitterede brugerkonti pga. dårlig sikkerhed med passwords, tildeling af for mange brugerrettigheder osv. Det er den slags sikkerhedsbrud du skal til livs.

Pointen er, at når du indfører regler for anvendelsen af din organisations cloudbaserede værktøjer, så skal du også kunne sikre, at reglerne overholdes, og netop det kan være svært hvis landskabet efterhånden er blevet stort. Der findes mange løsninger derude, som kan hjælpe dig og indledningsvist kan du starte med at orientere dig hos de store spillere, som f.eks. McAfee og RSI, har at tilbyde.

Et fælles ansvar

Som jeg har været inde på i dette indlæg, så deler du og din leverandør ansvaret for sikkerheden, når vi taler SaaS løsninger. Netop det, er efter min mening vigtigt at huske på. Og det er der, jeg vil hen med disse 3 tips. Så tænk på, at hvor god og omhyggelig din organisation end måtte være ift. sikkerheden omkring jeres SaaS løsninger, så nytter det ikke ret meget, hvis du har valgt en leverandør, som ikke er sin del af opgaven voksen. Og omvendt, naturligvis.

Min egen forretning, Acubiz, er en veletableret udbyder af cloud-baseret software til at håndtere medarbejderrelaterede udgifter og rejseafregninger. Vi tager vores del af opgaven omkring datasikkerhed seriøst. Meget seriøst endda. Det er en væsentlig komponent i vores produktstrategi, fordi vi tror på, at et stærkt setup omkring datasikkerhed er med til at beskytte den investering, som vores kunder har gjort i vores service.

Husk, at det er tilladt at stille krav til sine leverandører. Sådan skal det være i et tillidsforhold.

Spørgsmålet er: ”Stoler du på dine nuværende SaaS leverandører?”

Relaterede artikler

Mød Visma Acubiz: Rebecca fra Legal

I Ansigt på Acubiz møder vi Rebecca, Legal & Compliance Specialist hos Visma Acubiz. Hun har hurtigt sat et meget positivt præg i virksomheden med hendes skarpe sans for detaljer, imponerende samarbejdesevner og sociale væsen. Følg med og læs om Rebeccas arbejdsdag.

Acubiz og efacto indgår strategisk partnerskab for effektivisering af kreditorbogholderiet med automatiseret digital fakturabehandling

Visma Acubiz og efacto er gået sammen om at gøre fakturahåndtering nemmere og smartere for virksomheder. Dette nye partnerskab samler det bedste inden for automatiseret udgiftshåndtering og fakturateknologi.

Ny bogføringslov: Kend fordelene med et godkendt digitalt regnskabsprogram

Den nye bogføringslov kræver digital bogføring, hvilket stiller specifikke krav til den software, du bruger. Ved at vælge et godkendt digitalt regnskabsprogram sikrer du overholdelse, sparer tid og penge, garanterer en backup af dine optegnelser og forbedrer sikkerheden for dine finansielle data.

Dit regnskab skal være digitalt: Den nye bogføringslov 

Bogføringsloven trængte til en modernisering for at blive tidssvarende. Derfor trådte en ny bogføringslov i kraft 1. juli 2022.

Ifølge den nye bogføringslov skal du føre dit regnskab digitalt – og det stiller krav til det regnskabsprogram, du anvender. Klarer du din bogføring i Excel, vil det med stor sandsynlighed betyde, at du ikke lever op til den nye lovs digitaliseringskrav.

Varme hveder skal stadig spises på en fridag

Den sidste dag i februar i år blev Store Bededag afskaffet som helligdag i 2024 af et flertal i Folketinget. Men hos Visma Acubiz mener vi stadig, at "Hveder" skal nydes på en fridag.