Skyskolen del 4: Slik trygger du IT-sikkerheten fra hovedkontor til butikk

GDPR og skytjenester krever mer fokus på IT-sikkerhet

Skyskolen

GDPR og skytjenester krever mer fokus på IT-sikkerhet. FOTO: Colourbox

Stadig større bruk av skytjenester og GDPR, gjør at IT-sikkerhet aldri har vært viktigere i detaljhandelen. 

Skal ditt selskap starte på reisen mot skyen? Da må man ta hensyn til en rekke faktorer når det kommer til sikkerhet. På toppen kommer EUs nye personvernregler, GDPR, som innføres i slutten i mai 2018.

Går man på kompromiss med sikkerhetsspørsmål kan det få alvorlige konsekvenser og verste fall ødelegge relasjonene til kundene. Har man datainnbrudd eller dataspionasje, kan det føre til at utenforstående får innsyn i dine målgrupper og hva de foretrekker å kjøpe. Det kan gjøre at du mister din konkurransekraft.

–  Spør deg selv: I hvilken skytjeneste vil du legge dine data, hvor replikkeres dem og hvem har tilgang til den. Du må kontroll over hvem som har rettigheter til dine data, hvem som kan lese informasjonen du samler om dine kunder. Dette bør du ha svar på før du tar i bruk skytjenester, sier Thomas Widén i Microsoft. Han er ekspert på IT-løsninger for handelsbransjen.

Er skytjenester sikre?

Skal man ”gå i skyen” er det mange risikoer å være klar over. Widén mener at den største risikoen er at man ikke er klar over risikoene, og at man i stedet legger for mye vekt på kjerneprosessene. Derfor er det viktig at du har en trygg leverandør som har erfaringer med å flytte systemer i skyen.

– Gjør en grundig sjekk av skyleverandøren før du starter prosjektet. Hvilke internasjonale regler og lover jobber de etter? Sjekk hvilke sikkerhetstandarder de følger; hvem får tilgang til data og til serverhallene – der hvor dataene faktisk er lagret. Mitt tips er å spørre hvem som har nøklene til serverrommet: Får man et tydelig svar, har man med stor sannsynlighet ikke en sikker skytjeneste, siden leverandøren er avhengig av en enkeltperson. Da er du utsatt for høy risiko, både når det gjelder skytjenester og utseteing av IT-drift, sier Widén.

– Microsoft har ulike tilgangsnivåer til servere. Ansatte som erstatter harddiskene vet ikke hva de inneholder, i tillegg blir gamle disker alltid ødelagt på sikker måte. Vi har også visse regler for hvor lang tid det skal ta før en harddisk erstattes og før eventuelle avvik undersøkes. På toppen veies personalet før og etter at de har vært i serverhallen, fortsetter handelseksperten.

Moderne arbeidsliv krever sikkerhetsfokus

Ansatte som arbeider fra mange forskjellige steder og på ulike enheter, er en av utfordringene den moderne handelsbedriften bør ta på alvor. Åpner man for at de ansatte kan arbeide hjemmefra, får man et fleksibelt arbeidsmiljø som er attraktivt for nye arbeidstagere og som de eksisterende ansatte verdsetter. Imidlertid kreer den moderne arbeidsplassen at du har kontroll på sikkerhetsaspektene.

– I Microsoft arbeider vi etter følgende mantra: når som helst, hvor som helst og på hvilken som helst enhet. Du skal kunne gjøre de samme tingene i butikken som i hovedkvarteret, uansett hvilken enhet du bruker. Det aspektet er viktig når man ser på nye løsninger. Pass på at det finnes et enkelt system som fungerer uansett om du sitter på et kontor eller jobber i en butikk. Dette skaper et fleksibelt arbeidsmiljø som gjør det lettere å jobbe eksternt, fortsetter Widén.

– Det er også viktig at datatrafikken til din leverandøren er kryptert (vha. SSL). Deretter er spørsmål rundt tilgang viktig, spesielt for en butikk som behøver kontroll på hvilke enheter som er koblet mot skyen. Dernest må man ha kontroll på de ansattes tilgang og hva som skjer når noen slutter. Hvordan reagerer du om et nettbrett som er koblet til virksomhetskritisk informasjon forsvinner fra butikken? I verste fall har du mistet en enhet som har tilgang til virksomhetens forretningssystem. I dag er det løsninger som kan kontrollere at enhetene bare fungerer når de er koblet til butikkens nettverk, noe som kan være en god løsning for bedre sikkerhet, sier Widén.

God sikkerhet krever riktig IT-budsjett

Dagens forbrukere venter at detaljhandlere håndterer personopplysninger konfidensielt. Man må for eksempel tenke sikkerhet før man tar i bruk ulike apper. Du må også kunne gi kunden nøyaktige anbefalinger ved å utnytte mulighetene dine data gir.

– Som kunde ønsker jeg at forhandlere skal hjelpe meg i mitt neste kjøp. De må lære mitt shoppingmønster og kombinere det med data fra andre kunder. På denne måten er det mulig å forstå hva jeg ønsker på et dypere nivå. Jeg forventer service og innsikt som forbruker. Mange synes det er vanskelig og komplisert å jobbe med personalisering, men med en standardisert skyløsning er det enkelt å komme i gang, sier Widén.

 

– I dag gir manglende sikkerhet et troverdighetsproblem, og med GDPR rundt hjørnet, blir handelsbedrifter tvunget til å ta personvern alvorlig. Mitt råd er å løfte kostnadene til sikkerhet ut av IT-budsjettet, slik at man både synliggjør og forstår hva dette koster. Med skytjenester er det også mulig å unngå kostbare internettforbindelser mellom butikkene og hovedkontoret. Mange forhandlere har kjøpt dyre VPN-tjenester, men bruk av skytjenester og HTTPS-kommunikasjon gjør det mulig å spare store beløp, legger Widén til.

Ubegrunnet skyfrykt

Detaljhandelen er preget av frykt for skyen, og mange myter oppstod da teknologien ble introdusert. En vanlig misforståelse er at skyen ikke er trygg, og at man mister kontroll over dataene sine.

– I skyens barndom var det en viss grunn til bekymring, men det er ikke lenger. Skyetjenester har forbedret seg betydelig siden da, og utvikler seg kontinuerlig. Mange tror også at det er dyrere å flytte til skyen, sammenliknet med å ha systemer på lokale servere. Det skyldes ofte at de ikke har splittet opp IT-kostnadene. De ser heller ikke besparelsene stordriftsfordeler gir, fortsetter Widén.

Microsoft-eksperten advarer mot å være for rask til å hoppe på skytjenester fra forskjellige leverandører. Husk at du skal kunne legge til nye brukere eller trekke fra gamle. Det kan bli kostbart om du har for mange systemer. Widén mener også at det også er viktig å ha respekt for problemer rundt mange integrasjoner.

– Handelsbedrifter har vanligvis mange integrasjoner. Selv om 99 prosent av plattformen er moderne og kommuniserer på en god måte, risikerer du at den siste prosenten er en representerer en svakhet. Jeg råder derfor å klassifisere ulike integrasjoner med ulike sikkerhetsnivå. Spør deg selv hva som kan fjernes hvis du velger en annen løsning. Pass på at du får dette inn i beregningen av det totale kostnadsbildet, råder Widén.

Konsekvensanalyse og risikovurdering

Før du går til skyen, er det viktig å bestemme hvilket nivå du skal håndtere sikkerhetsspørsmål. For noen handelsbedrifter er det et sikkert nettverk, mens andre har GDPR (EUs nye personvernlov) i fokus og andre igjen er opptatt av mobile apper for de ansatte.

– Lag en omfattende konsekvensanalyse og vurder risikoen ved de ulike systemene. Du kan for eksempel jobbe med tre risikonivåer: lav, middels eller høy. List opp områder som programvare og individer, samt tekniske aspekter. Med en prioriteringsliste har du en plan å jobbe med. Husk at enkelte ting kanskje løser seg automatisk i en skytjeneste, mens andre spørsmål, som GDPR, er strategiske, selv om det finnes systemstøtte for anonyme kunder. Vær også oppmerksom på at også skyen krever sikkerhetskopiering og ha en plan for hva som skjer hvis datasentrene er ute av drift, råder Widén.

Sikker fremtid

 

Etter migreringen til skyen er det viktig å opprettholde et høyt sikkerhetsnivå. Pass på at alle enhetene er koblet til systemet, akkurat som for de ansatte. Sørg også for at du har en oversikt over alle enheter og personer som har tilgang til dataene dine. Det er også viktig å holde systemene oppdatert.

– Hold orden på leverandørene. Har de en tydelig strategi og jobber de aktivt med sikkerhet? Vi ser at dette problemet vil bli enda tøffere i fremtiden. Når butikkene bytter til trådløse nettverk, betyr det høyere sårbarhet. For eksempel øker risikoen for at kassesystemer blir utsatt for hackerforsøk, sier Widén.

Det er viktig at det er åpenhet og bevissthet rundt sikkerhet hos alle aktørene man samarbeider med. Microsoft-eksperten mener at man bør legge mest vekt på å skape en felles tilnærming. Sikkerhetsnivået aldri blir sterkere enn den svakeste lenken.

 

Risikoen ved å vente med å ta i bruk skytjenester

  • Økte kostnader
  • Du går glipp av funksjonalitet som kun kommer som skytjenester
  • Du lykkes ikke i jakten på nye, talentfulle ansatte, som er vant med moderne systemer

 

Dette må du tenke på før reisen til skyen

  • Sett GDPR (EUs nye personvernlov) på agendaen
  • Lag en prioriteringsliste
  • Lag en tydelig plan med fastsatte mål