Molntjänster är vardag för många småföretag: filer finns i Microsoft 365, kunddata i CRM-systemet och produktionens eller ekonomiförvaltningens data i SaaS-lösningar. Fördelen är tydlig, men samtidigt uppstår en praktisk fråga: vem ansvarar egentligen för säkerheten när datan inte längre finns i den egna serverrummet?
ISO 27001 ger en tydlig ram för detta. Den hjälper till att bygga ett styrningssystem, det vill säga ett systematiskt sätt att identifiera risker, fastställa ansvar, välja rätt skyddsåtgärder och följa upp att dessa också fungerar i praktiken. I denna artikel går vi igenom vad som är viktigt att beakta i säkerheten för molntjänster och hur ni kan gå fram steg för steg så att säkerheten inte lämnas åt leverantörens marknadsföringslöften.
Varför kräver säkerheten i molntjänster ett annat synsätt?
Molntjänsten tar inte bort säkerhetsansvaret, utan delar det på ett nytt sätt. Tjänsteleverantören ansvarar oftast till exempel för datacentrets fysiska säkerhet, plattformarnas underhåll och delar av de tekniska skydden. För kundföretaget återstår ansvaret för hur tjänsten används, vem som har tillgång till informationen och vilken information som överhuvudtaget lagras i tjänsten.
Detta är en fallgrop för många företag. Har ni någonsin tänkt "leverantören sköter väl säkerheten"? I praktiken handlar de flesta avvikelser ofta om helt andra saker än lås i serverrummet.
Typiska risker för molntjänster är till exempel:
- för vida åtkomsträttigheter
- avsaknad av multifaktorsautentisering
- föråldrade användarkonton hos tidigare anställda
- oklara avtal om underleverantörer och data-lokalisering
- otillräckligt testad backup eller återställning
- lagring av konfidentiell information i fel tjänst
Observera
ISO 27001 betyder inte att alla molntjänster ska tas ur bruk eller flyttas till eget datacenter. Syftet med standarden är att identifiera risker och hantera dem på en affärsmässigt rimlig nivå.
När man ser på molntjänster från ett riskhanteringsperspektiv blir diskussionen genast mer konkret. Istället för att fråga “är denna tjänst säker?” bör man fråga:
- vilken information behandlas i tjänsten
- vad skulle hända om informationen läcker, ändras eller försvinner
- vem kan göra vad i tjänsten
- hur snabbt upptäcks fel eller avvikelse
- hur fortsätter verksamheten om tjänsten inte är tillgänglig
Vad tillför ISO 27001 i praktiken för molntjänster?
ISO 27001 är en internationell standard för ledning av informationssäkerhet. Kärnan är inte ett tekniskt verktyg, utan en arbetssätt för att systematiskt styra informationssäkerheten. I en molntjänstemiljö är detta särskilt värdefullt eftersom det ofta finns flera olika leverantörer, användargränssnitt och integrationer.
Med hjälp av standarden definierar företaget exempelvis tillämpningsområdet, det vill säga vilka delar av verksamheten, system och information som styrsystemet för informationssäkerhet omfattar. Om ni använder fem olika molntjänster men ingen har helhetsansvaret, riskerar riskerna att falla mellan stolarna.
Ur molntjänstperspektiv hjälper ISO 27001 särskilt med dessa områden:
| Område | Vad frågas i praktiken? | Exempel på mätvärde |
|---|---|---|
| Ansvar | Vem äger tjänsten, användare och leverantörsrelation? | Ägare utsedd för varje kritisk tjänst |
| Åtkomsträttigheter | Vem har tillgång till information och på vilket grund? | Genomgång av åtkomsträttigheter 4 gånger per år |
| Leverantörshantering | Vad lovar leverantören i avtal och rapporter? | 100 % av kritiska leverantörer utvärderade årligen |
| Avvikelsehantering | Hur upptäcks och hanteras säkerhetsavvikelser? | Avvikelse dokumenterad inom 24 timmar |
| Kontinuitet | Hur fortsätter verksamheten vid störning? | Återställningstest utfört minst 1 gång per år |
Många småföretag märker här att teknologin inte är största problemet. Det största problemet är ofta att rutinerna är splittrade: en beställer tjänsten, en annan hanterar användarna och en tredje godkänner avtalen. När helheten samlas blir informationssäkerheten hanterbar.
Delat ansvar är molnets viktigaste princip
I molntjänster talas ofta om delat ansvar. Det betyder helt enkelt att leverantören och kunden ansvarar för olika saker. Om detta inte klargörs tydligt uppstår lätt en farlig förutsättning att “någon annan tar väl hand om det”.
I praktiken är det bra att beskriva ansvaret åtminstone för de mest kritiska tjänsterna. Detta kan göras med en enkel tabell som även kan användas i ledningsgranskning.
| Säkerhetsområde | Tjänsteleverantör | Kundföretag |
|---|---|---|
| Datacentrets fysiska säkerhet | Ansvarar | Vanligen inget ansvar |
| Teknisk drift av plattformen | Ansvarar | Övervakar avtalets nivå |
| Användarkonton och roller | Tillhandahåller funktioner | Ansvarar för praktisk hantering |
| Multifaktorsautentisering | Möjliggör | Implementerar och övervakar |
| Klassificering av lagrad data | Saknar insikt i verksamheten | Ansvarar |
| Intern hantering av avvikelser | Rapporterar egna störningar | Ansvarar för egen respons |
Vill ni snabbt testa er egen situation, ställ dessa tre frågor:
- vet ni var kritisk data finns?
- tas användarkonton bort inom 24 timmar efter anställningens avslut?
- finns en utsedd ägare för varje kritisk molntjänst?
Om bara ett svar är oklart finns en tydlig utgångspunkt för utveckling.
Varning
En vanlig felaktighet är att lita enbart på leverantörens certifikat. Även om molntjänstleverantören har ISO 27001-certifiering omfattar det inte automatiskt hur er egen organisation använder tjänsten.
Vilka kontroller är viktigast i molntjänster?
Bilaga A i ISO 27001 beskriver en mängd kontroller, det vill säga praktiska skyddsåtgärder. Alla genomförs inte på samma sätt i varje företag, men i molntjänster lyfter vissa frågor nästan alltid fram.
Börja med dessa 3–5 centrala risker och motsvarande kontroller:
| Risk | Rekommenderad kontroll | Praktisk implementering |
|---|---|---|
| Konto hamnar i fel händer | Stark autentisering | Implementera multifaktorsautentisering för 100 % av adminkonton |
| Alltför breda rättigheter | Hantering av åtkomsträttigheter | Kontrollera administratörsrättigheter varje månad |
| Data lagras på fel plats | Dataklassificering | Definiera vilken data som får lagras i respektive tjänst |
| Leverantörsrisk | Leverantörsutvärdering | Utvärdera kritiska leverantörer före inköp och årligen |
| Avbrott stoppar arbetet | Kontinuitetsplanering | Testa återställning minst 1 gång per år |
Utöver dessa bör ni åtminstone säkerställa följande rutiner:
- logginsamling från kritiska händelser
- separat hantering av huvudkonton
- lista över godkända molntjänster
- säkerhetskrav i upphandlingsprocessen
- checklista för borttagande av användare
Tips
Välj en kritisk molntjänst, till exempel Microsoft 365 eller CRM, och gör en 60 minuters snabbbedömning. Gå igenom ägare, användare, MFA, loggar, backuper och avtal. Ni får snabbt fram de största bristerna.
Hur startar man det praktiska ISO 27001-arbetet?
Enbart en kravlista hjälper inte om arbetet inte går framåt. Därför är det bra att strukturera säkerheten för molntjänster i några tydliga steg. På så sätt blir arbetet inte en engångsrevision utan en kontinuerlig process.
Lista alla kritiska molntjänster
Börja med att synliggöra vilka tjänster ni faktiskt använder. Skriv ner minst tjänstens namn, ägare, användningssyfte, behandlad information och leverantör. I de flesta småföretag tar detta arbete 1–2 veckor om antalet tjänster är under 20.
Utvärdera risker per tjänst
Välj först de viktigaste tjänsterna och bedöm associerade risker ur konfidentialitets-, integritets- och tillgänglighetsperspektiv. I praktiken räcker det initialt att poängsätta påverkan och sannolikhet på en skala från 1–5 och prioritera de högsta riskerna.
Fastställ ansvar och minimikontroller
Utnämn en ägare för varje kritisk tjänst och enas om minimikraven. En bra grund är multifaktorsautentisering, regelbunden översyn av åtkomsträttigheter, borttagning av användare, loggövervakning och årlig leverantörsgranskning.
Dokumentera rutiner som en del av styrsystemet
För att minska beroendet av enskild persons minne, dokumentera besluten. Exempelvis riktlinjer för godkännande av molntjänster, hantering av åtkomsträttigheter, avvikelsehantering och modell för leverantörsutvärdering. Detta är exakt vad styrsystemet bidrar med för ordning i vardagen.
Följ upp på månads- och årsbasis
Kom överens om några nyckeltal som ni följer regelbundet. Till exempel: borttagna konton inom 24 timmar, MFA används av 95–100 % av användarna, åtkomstgranskning sker kvartalsvis och kritiska leverantörer granskas årligen.
Vanligaste misstagen som bromsar utvecklingen
I molntjänsters informationssäkerhet är problemet oftast inte att inget görs. Problemet är att lite av varje görs men utan prioritering. Då går mycket tid åt och effekten blir liten.
Undvik särskilt dessa misstag:
- försöka hantera alla tjänster lika djupt direkt från början
- kopiera kontroller från mallar utan egen riskbedömning
- inte involvera verksamhetsägare i tjänsteutvärderingen
- inte granska leverantörsavtal före driftstart
- inte definiera mätvärden, vilket gör utvecklingen svår att visa
Ett bra tumregel är: börja med tjänster där avbrott stoppar verksamheten en arbetsdag eller där en dataläcka skulle orsaka betydande skada för kunder, personal eller rykte. Ofta begränsar detta den första granskningen till 3–5 tjänster.
Hur förenklar Tietoturvapankki hanteringen av molntjänster?
När det finns flera molntjänster sprids säkerhetsarbetet lätt ut i olika dokument, tabeller och mejl. Då försvinner helhetsbilden: vad har beslutats, vad saknas och vem ansvarar för vad? Just detta kräver en tydlig arbetssätt och ett verktyg som stödjer detta.
Tietoturvapankki kombinerar en applikation och expertstöd för att bygga ISO 27001-baserade styrsystem för informationssäkerhet. Praktiskt innebär det att risker, åtgärder, ansvar, dokumentation och uppföljning samlas på samma ställe. Om ni redan har erfarenhet av exempelvis ISO 9001-utveckling eller Kvalitetsbanken — Koncernens kvalitetsledningsvarumärke-lösningar, är tänkesättet bekant: målet är systematisk, inte byråkratisk ledning.
Lösningar med bakgrund från Softapankki Oy och QMClouds Oy har skapats just för att småföretag inte ska behöva bygga allt själva från grunden. Detta är särskilt värdefullt i molntjänstemiljöer där förändringar sker ständigt och informationssäkerheten måste följa med.
Sammanfattning
- Molntjänster flyttar inte ansvaret för informationssäkerhet bort från företaget utan förändrar det till ett delat ansvar.
- ISO 27001 hjälper till att bygga ett tydligt styrsystem runt risker, ansvar, kontroller och uppföljning.
- Börja praktiskt med att lista kritiska molntjänster och bedöma tillhörande 3–5 centrala risker.
- Säkerställ minst hantering av åtkomsträttigheter, multifaktorsautentisering, leverantörsgranskning och kontinuitetstest.
- Följ upp med konkreta mätvärden, såsom borttagning av konton inom 24 timmar och kvartalsvisa genomgångar.
Behöver ni hjälp med informationssäkerhet?
Våra experter hjälper er vidare.