Detta blogginlägg är baserat på en intervju med Carsten Lillelund Pedersen, Thinking as a Service, i podcasten Regnskabets Time, säsong 2 avsnitt 3
Vi pratade med en av de danska pionjärerna inom molninfrastruktur och datasäkerhet, Carsten Lillelund Pedersen från Thinking as a Service, för att få lite mer perspektiv på vilka initiativ företag bör ta och vad de kan förvänta sig av leverantörer av SaaS. Vi diskuterade också varför det gammalmodiga talesättet "if it ain't broke, don't fix it" inte längre är ett bra förhållningssätt till IT-system och datasäkerhet.
Intervjuare: Välkommen Carsten. Kan du berätta lite om Thinking as a Service?
Carsten: Sedan människor började arbeta professionellt med IT för cirka 30-40 år sedan har det funnits olika trender när det gäller hur IT ska betraktas och användas. I början ansågs IT vara att leverera tekniska tjänster. Det kunde vara i form av support eller att sätta upp lokala nätverk eller servrar. Idag ser vi IT som en tjänst som levereras. Det är därför molntjänster som Software as a Service, Platform as a Service, Infrastructure as a Service och Back up as a Service är standard idag och normen för vad som levereras när vi talar om IT. Det är arkitekturen bakom dessa begrepp och rådgivningen som vi hanterar i Thinking as a Service.
Intervjuare: Carsten, du har arbetat med datasäkerhet de senaste 25 åren. Jag undrar om du kan berätta något för oss om utvecklingen inom datasäkerhet och cyberbrottslighet?
Carsten: Ja. Utvecklingen har följt samma våg som jag nämnde tidigare: IT har blivit mer tjänsteorienterat. För 25 år sedan betraktades cyberbrottslighet av några killar som satt i en källare där de försökte hacka sig in på alla möjliga platser som inte var skyddade. Detta har naturligtvis utvecklats till något mer sofistikerat. Den senaste trenden inom cyberbrottslighet är faktiskt att det nu också har blivit en tjänst. Det betyder att precis som det finns verktyg för att skydda ett företags data, använder kriminella nu IT-verktyg för att dra pengar ur företag som inte har 100% kontroll över sin säkerhet. Det har blivit möjligt att erbjuda en sådan tjänst på grund av ökningen av ospårbara kryptovalutor.
Intervjuare: När vi förberedde oss för den här intervjun nämnde du något som förvånade mig. Du sa att det inte alltid är en bra idé att lagra data i en molnlösning. Kan du utveckla det?
Carsten: Det kan vara överraskande för vissa, men en molnlösning är inte alltid den bästa lösningen när det gäller att lagra data. Det är dock viktigt att förstå sammanhanget. I början hade företag data och nätverk i serverrum i källaren. Och med ganska få personer och resurser var företaget sedan tvunget att försöka tillhandahålla alla IT-verktyg som behövdes. Det innebär att IT-avdelningen ska tillhandahålla webbservrar, e-postsystem, ekonomisystem, filsystem, administrationssystem etc. När du har så många tjänster att tillhandahålla, och det samtidigt inte är företagets kärntjänst, kommer ingen av tjänsterna att bli så bra.
Det är inte ett alternativ längre. Det är därför jag rekommenderar företag att leta efter en molnlösning som levereras som SaaS. Men om det å andra sidan är företagets kärntjänst - det kan t.ex. vara en leverantör av Expense Management - då måste det vara on-premise. Då är det företaget självt som ansvarar för drift, utveckling och underhåll. Men leverantören av tjänsten i fråga måste också ha 100% kontroll över sin kärntjänst, vilket är anledningen till att det är en bra idé att hosta lösningen on-premise. Allt annat än kärntjänsten måste outsourcas.
Intervjuare: Som ett resultat av denna utveckling köps många tjänster som moln solutions i danska företag. Jag undrar om det inte finns några saker som man bör vara medveten om i förhållande till vem som är ansvarig för säkerheten?
Under de första 20 åren som jag arbetade inom IT fanns det ett talesätt: Om det inte är trasigt ska du inte fixa det". Det berodde på att varje gång något uppdaterades följde misstag. Det var lättare att låta saker vara tills de inte fungerade längre. Det är naturligtvis farligt. Brottslingarna avstår inte från att uppdatera sina metoder. Det är just därför du behöver outsourca allt som inte är företagets kärntjänst. Detta beror på att det är SaaS-leverantörerna i fråga som måste underhålla de applikationer och verktyg som du använder själv. Detta överför ansvaret till din SaaS-leverantör. Det finns flera faktorer som man kan använda för att bedöma hur bra SaaS-leverantören är på att skydda dina data. Ett bra sätt att bedöma detta är att gå till App Store eller Google Play och titta på hur ofta applikationen uppdateras. Ju mer, desto bättre. Det säger inte nödvändigtvis allt om säkerhet, men det ger en fin antydan.
Det är därför en bra idé att se till att någon håller ett öga på dina SaaS-leverantörer. Det är inte nödvändigtvis sant att det är mycket lättare att hantera solutions och tjänster om du outsourcar dem. Uppgifterna kommer dock att vara säkrare. Du kan inte lösa alla problem själv. Det måste göras klart.