Cloud-, GRPR- og anden compliance

Støvet har netop lagt sig i mange virksomheder efter GDPR-deadlinen tidligere i år, men der er stadig mange udfordringer, der skal takles.

Hvis man anvender cloud som en del af sin it-infrastruktur, møder man samme budskab fra de store cloud-providere:

”Vores løsninger er GDPR-compliante, så brugen af cloud er uproblematisk”.

Det budskab er sandt, og der bør ikke være tvivl om, at den basale erstatning af services fra eget datacenter til en cloud-provider ikke bør give udfordringer med GDPR-compliance.

Det undrer mig dog fortsat, hvor lidt fokus der er på fordelingen af ansvar mellem cloud-leverandør og anvender. En cloud-løsning, som ikke er implementeret korrekt, bliver aldrig GDPR-compliant i sin helhed, selvom cloud-provideren isoleret set er compliant.

AWS har en glimrende illustration af en responsibility matrix, der viser ansvarsfordelingen mellem AWS og kunden:

Det understreger endnu engang nødvendigheden i at sikre sit cloud-setup på fornuftig vis ved at bruge de muligheder, der ligger i opsætningen via CloudFormation-templates, CloudTrail og AWS Config, som sikrer overvågning. Endvidere giver en cloud-løsning som AWS mulighed for at have værktøjer, som tager overvågningen af compliance et skridt videre.

Med de mange muligheder for overvågning af AWS-infrastrukturen, får man som virksomhed mulighed for at gå fra en statisk compliance-rapportering til en dynamisk afvigelsesrapportering hvor, afvigelser fra de fastsatte compliance-regler rapporteres real-time – muligheden bliver at forbedre rapporteringen fra et statisk værktøj, som kun har anvendelse i rapporteringsøjeblikket til et værktøj, som kan anvendes løbende til at sikre compliance og hermed også sikkerhed i virksomhedens cloud-løsning langt bedre end tidligere.

Link til vores eget tool:
KeyCore compliance rapport

Et par nyttige links fra AWS:
AWS’ compliance reports
Record and evaluate configurations of your AWS resources
Track user activity and API usage

Comments are closed.