Säkerhet är inte en knapptryckning – och det gäller även i molnet
Sergio Molero är IT-säkerhetsexpert på Konkret.
Hej Sergio - och grattis! Du har nyligen certifierat dig inom molnsäkerhet.
Vad innebär det att man är en Certified Cloud Security Professional (CCSP)?
Det innebär att man har gedigen praktisk och teoretisk expertkunskap inom molnsäkerhet. Certifikatet utfärdas av organisationen (ISC)² som är en internationell, ideell medlemsförening för yrkesverksamma inom IT-säkerhet. En certifiering från (ISC)² är ett tungt, pålitligt bevis på att man kan det man säger sig kunna. Certifikatet styrker ditt CV och är även internationellt gångbart.
Vad krävs för att certifiera sig?
Man måste lägga ned oerhört mycket arbete på certifieringar via (ISC)², och det är en av anledningarna till att de anses vara så meriterande. Det är inte en certifiering som du enbart kan plugga dig till. Frågorna tar upp scenarier som kräver att du står stadigt på en praktisk erfarenhetsgrund inom de olika domänerna (områdena) för att kunna svara. Själva provtillfället följs dessutom upp av en endorsement-process (som tar 4-6 veckor) där man måste kunna påvisa relevant arbetslivserfarenhet inom varje domän. Och det räcker inte att man själv enbart skickar in sitt CV – du måste även bli sponsrad av någon som redan har certifikatet, d.v.s. en person som kan gå i god för dig, att dina inlämnade uppgifter och erfarenheter stämmer.
Det här är alltså ett certifikat som du inte bara pluggar till och sedan får efter godkänt resultat, det är en process. Certifikatet ska sedan underhållas och omprövas vart tredje år.
Inför själva certifieringstillfället gick jag en kurs och läste kursbokens 600 sidor två ggr från pärm till pärm. Jag gjorde specifika tester till varje kapitel. Man får 4 timmer på sig att göra testet och jag var ute efter ca en timme. Jag såg till att jag var redo till 100%.
Känner du att certifieringen hjälper dig i ditt jobb?
Ja, det tycker jag definitivt. Under certifieringen blev det dessutom tydligt att jag kunde bekräfta min befintliga kunskap – jag kunde dra många paralleller till mina tidigare kunduppdrag. Det har även lett till att jag kompletterat min kompetens, fått mera kött på benen.
Var det någon del som du tyckte var särskilt intressant?
Jag hittade något inom varje domän som var extra intressant. Men kanske inte inom området applikationssäkerhet, där upplevde jag att jag hade mer kunskap än det som togs upp i boken. Men till exempel kring kontinuitetsplanering och Disaster Recovery har jag kunnat komplettera mina kunskaper ytterligare.
Även det område som handlade om planering o styrning, det organisatoriska arbetet som krävs innan implementering, var mycket nyttigt. Organisationer har ofta bråttom in i molnet innan de har hela styrningen på plats. Det krävs att du identifierar och tillsätter tydliga roller o ansvar, vem som ansvarar för vilka tjänster, hur man ska utvärdera leverantörer etc innan implementering. Det är en oerhört kritisk del i hela molnresan för att det inte ska bli en osäker och kostsam historia. Nyckeln är att se till att governance finns på plats innan man tittar på tekniken och kontroller. Arbeta fram strukturen först så att du kan göra informerade och medvetna val.
Vad ser du att det brister mest vad gäller molnsäkerhet i svenska företag?
Det är just området som handlar om planering och styrning. Många företag och organisationer behandlar molnet som en förlängning av den egna datahallen. De kör en ”lift and shift”, utan molnstrategi och policies. Du kan ha jätteduktiga tekniker som slår på säkerhetsfunktioner men det läcker data ändå eftersom det krävs att man tänker igenom och inför arbetsprocesser och rutiner, nya roller och ansvar som kan bevaka och agera på händelser. Säkerhet i molnet kan kosta mycket, men hur ska du kunna motivera en kostnad innan du vet var du står någonstans och vad du behöver, vilka kontroller du behöver slå på och vilken säkerhetsnivå som krävs? Om du har koll på policies, informationssäkerhetsbehov, ansvar och roller, och har rätt avtal på plats med leverantören – då kan du kan känna dig trygg att påbörja resan.
Många har även en övertro på att molnleverantören har ett större ansvar än vad dom faktiskt har. Man resonerar att ”vi har inte lika stora resurser att lägga på säkerhet som Microsoft, så vi lägger över allt dit, och då behöver vi inte tänka på säkerheten”. Och visst har Microsoft/Azure stora muskler, och visst håller de en hög möjlig säkerhetsnivå. Molnet förklaras även som en delad ansvarsmodell vilket kan vara vilseledande, för i slutänden det är du och ditt företag som bär det yttersta ansvaret för ditt företags säkerhet.
Om ditt företag utsätts för någon form av granskning måste ni kunna påvisa hur ni hanterar er information, oavsett ni kör on-prem eller via molnleverantör. Du måste kunna påvisa att din molnleverantör uppfyller tillräckliga säkerhetskrav, ni måste själva säkerställa att er information hanteras på ett korrekt sätt och att du kan få ut den information du behöver av leverantören i händelse av att du behöver utreda en incident. Och då faller vi tillbaka till det fundamentala som måste vara på plats innan man flyttar till molnet; molnstrategi och policies, att identifiera nya roller och ansvarsområden så att någon är mottagare av tjänsten, någon som vet vad man ska agera på och vilka åtgärdar som ska vidtas.
Den ökande graden av automatisering och det faktum att vi inte har direkt tillgång till underliggande infrastruktur och i allt högre grad använder API:er för administration innebär dessutom att mycket av säkerheten styrs via kod. Och då blir det extra viktigt att skydda dessa gränssnitt, själva koden och även att säkerställa att koden i sig är robust och säker.
Säkerhet är inte en knapptryckning – och det gäller även i molnet
Sergio Molero är en expert inom cybersäkerhet med närmare 25 års erfarenhet från IT-branschen, varav 18 år inom säkerhetsdomänen. Han har en bakgrund som utvecklare och hans huvudsakliga område är applikationssäkerhet med en särskild förkärlek för arkitektur, DevSecOps, molnsäkerhet samt Identity and Access management (IAM).
Molnet kan upplevas som en snårig djungel. Välkommen att höra av dig till oss om
du vill prata om molnsäkerhet eller om ni vill veta mer om hela molnresan »