Håll koll på riskerna i molnlösningen


2019-10-07 - TEMA. Även om leverantörerna lovar trygghet så finns det anledning till sund skepsis. Särskilt kring molntjänster finns det anledning att vara uppmärksam när fler applikationer läggs till.

När personalavdelningen får allt fler applikationer ökar också risken. Särskilt gällande de som ligger i molnet. Detta påtalar Jonas Andersson som är partner på Herbert Nathan, ett konsultföretag som bland annat gör analyser och marknadsöversikter över hr-system i Sverige.

– Plötsligt ska man hantera en mångfald av ­integrationer, som lönesystem, rekryteringssystem, schemaplanering och belöningssystem i molnet, och här uppstår det säkerhetshål.


Jonas Andersson

Med endast en eller två molnapplikationer är läget ganska säkert. Det är om man har många molnapplikationer som det uppstår risker för ­säkerhetshål mellan dessa applikationer.

– Det är således den fragmenterade miljön som är problemet och inte själva molntjänsten, säger Jonas Andersson.

Som konsult på området skulle Jonas Andersson inte rekommendera annat än molntjänster vid upphandling av hr-system. Skälen är bland andra att det är få leverantörer som erbjuder något annat än molntjänster och dessutom har flertalet leverantörer arbetat med molntjänster i många år.

– Vårt synsätt är att molntjänster är en självklarhet men det gäller att skaffa sig insikt om förutsättningarna och konsekvenserna. Det passar bra för vissa kunder och sämre hos andra.

Oavsett val av system behövs en riskanalys. Den ökande mängden data och möjligheten att komma åt persondata ger en förändrad riskbild och att området därför får större uppmärksamhet från kriminella.

– Persondata har blivit alltmer intressant för elaksinnade, då digitala kontaktuppgifter är grunden och ingången till väldigt många applikationer, säger Jonas Andersson.

För att få en bild över systemrisker råder Jonas Andersson att:

1. Skapa en informationskarta med klarhet i vilka applikationer som varje dataobjekt finns lagrad. Ofta finns personalens information i en mångfald av system.

2. Fastställa vilken information som kan, får och bör lagras innanför eller utanför organisationens brandväggar.

3. Skapa klarhet i säkerheten kring de integrationer som upprättas mellan applikationerna (där finns ofta säkerhetshål).

4. Kartlägga, definiera och reglera vilken data som får skickas via mejl (helst ingen data alls).

5. Säkerställa trygghet kring de applikationer som ligger i molnet och hur denna data är skyddad.

6. Se över avtalen med leverantörerna av molnbaserade system och villkor, krav och ­regelverk kring säkerhet.

7. Säkerställa rutiner och regelverk för hur återställande av data kan ske (efter intrång eller systemhaveri).

8. Säkerställa höga krav på modell för inloggning och lösenord. Den svagaste länken är oftast den enskilde individen och hantering av lösenord.

9. Lägga stor vikt vid att analysera och fastställa vilken eller vilka applikationer som ska vara master för all persondata i det totala landskapet av applikationer.

JENNIE JENSEN

Läs också:

Hr är måltavla för cyberattacker

"Var hälsossamt paranoida"

Hr:s ansvar. Utbilda medarbetarna i säkerhet

Hr behöver lära mer om it-säkerhet