Dette indlæg er AI-assisteret og gennemlæst af Simon Grevang. Indholdet afspejler praksisnær erfaring med bestyrelsesarbejde i danske SMV'er.
Cloud sikkerhed SMV er et emne, der deler vandene. Nogle direktører svarer kontant: 'Vi ligger i skyen, og det kører bare.' Andre er mere nervøse: 'Hvad nu hvis vi mister adgangen? Hvad nu hvis nogen hacker sig ind?' Begge holdninger er forståelige, men ingen af dem er præcise nok til at beskytte din virksomhed.
Sandheden er, at cloud-løsninger generelt er mere sikre end det, de fleste SMV'er selv kan bygge op. Men 'mere sikkert end alternativet' er ikke det samme som 'sikkert nok uden videre indsats'. Der er en ansvarsfordeling, du skal forstå. Der er konfigurationsfejl, der kan koste dig dyrt. Og der er dansk lovgivning, der stiller krav til dig uanset, om du bruger skyen eller ej.
I dette indlæg gennemgår vi det hele: hvad cloud faktisk er, hvad udbyderne tager sig af, hvad du selv er ansvarlig for, og hvilke konkrete tiltag der giver dig reel sikkerhed. Du kan også læse mere om den brede digitale kontekst i vores Digitalisering og AI i SMV'er: hvad du bør vide i 2026.
Hvad er cloud egentlig, og hvad er forskellene?
Mange direktører bruger ordet 'sky' som om det er én ting. Det er det ikke. Der er tre grundlæggende modeller, og de har meget forskellig sikkerhedsprofil.
SaaS (Software as a Service) er det, de fleste kender fra hverdagen: Microsoft 365, Google Workspace, Dinero, e-conomic, HubSpot. Her leverer udbyderen alt fra infrastruktur til selve applikationen. Du logger ind og bruger det. Udbyderen er ansvarlig for, at selve platformen er sikker. Du er ansvarlig for, hvem der har adgang, og hvordan I bruger den.
PaaS (Platform as a Service) er typisk relevant for virksomheder, der selv bygger software eller digitale services. Her leverer udbyderen infrastruktur og udviklingsplatform, men din kode og dine data er dit ansvar.
IaaS (Infrastructure as a Service) er det mest fleksible og det mest krævende. Her lejer du virtuelle servere hos f.eks. Amazon Web Services, Microsoft Azure eller Google Cloud. Udbyderen sikrer den fysiske infrastruktur. Alt andet, herunder operativsystem, netværkskonfiguration, adgangsstyring og patches, er dit ansvar.
De fleste SMV'er bruger primært SaaS-løsninger. Det er en god nyhed, fordi SaaS generelt giver den bedste sikkerhedsprofil for penge. Men det fjerner ikke dit ansvar. Det forskyber det.
Den delte ansvarsmodel: hvem passer på hvad?
Det vigtigste begreb i cloud-sikkerhed er 'shared responsibility model', altså modellen for delt ansvar. Alle de store cloud-udbydere beskriver den eksplicit i deres dokumentation, og den er afgørende for din forståelse af, hvad du selv skal styre.
Kort sagt: udbyderen tager sig af sikkerheden i skyen. Du tager dig af sikkerheden i dit brug af skyen.
Konkret betyder det:
- Udbyderen sikrer: Fysisk datacenteradgang, netværksinfrastruktur, hypervisor-lag, den grundlæggende platform og i SaaS-tilfælde selve applikationen.
- Du sikrer: Brugeradgange og rettigheder, stærke passwords og MFA, konfiguration af adgangspolitikker, hvilke data du lægger i løsningen, og om du overholder GDPR i din brug af platformen.
Det er her, de fleste brud sker. Ifølge Gartners analyser er langt de fleste sikkerhedshændelser i cloud-miljøer ikke udbyderens fejl, men fejlkonfigurationer og menneskelige fejl på kundesiden. En medarbejder der deler et dokument med 'alle med linket'. Et system der har stået åbent med et standardpassword i måneder. En tidligere ansat hvis konto aldrig blev lukket ned.
Det er ikke tekniske problemer. Det er ledelsesmæssige problemer.
Cloud sikkerhed SMV: de reelle trusler du skal kende
Inden vi taler løsninger, er det værd at sætte trusselsbilledet i perspektiv. Cyberangreb mod SMV'er er steget markant i Danmark. Center for Cybersikkerhed (CFCS) konstaterede i deres seneste trusselsvurdering, at ransomware og phishing fortsat er de dominerende angrebstyper mod danske virksomheder, og at SMV'er i stigende grad er i målgruppen, netop fordi de typisk har svagere forsvar end store virksomheder.
De fem hyppigste cloud-relaterede sikkerhedshændelser for SMV'er er:
- Phishing og kontoovertagelse: En medarbejder klikker på et link, opgiver sine loginoplysninger, og en angriber overtager kontoen. Herfra kan de tilgå alle virksomhedens filer, emails og systemer.
- Svage eller genbrugte passwords: Stadig en af de hyppigste indgangsvinkler. Brug af det samme password til både private og arbejdsmæssige tjenester er ekstremt udbredt og ekstremt farligt.
- Manglende MFA: Multi-faktor autentificering er den enkeltfaktor, der reducerer risikoen for kontoovertagelse mest markant. Alligevel er det ikke aktiveret i mange SMV'er.
- Forkert konfigurerede delingsindstillinger: En salgsmedarbejder deler et tilbud via et cloud-link og vælger ved en fejl 'alle på internettet' frem for 'modtager'. Pludselig er fortrolige priser og kundedata tilgængelige for alle.
- Manglende offboarding: En medarbejder stopper. Kontoen forbliver aktiv i uger eller måneder. Tidligere ansatte med utilfredse afsked kan i princippet tilgå alle data.
Ingen af disse angreb kræver sofistikerede hackere. De kræver blot, at din virksomhed ikke har styr på de basale processer.
GDPR og cloud: hvad loven kræver af dig
Mange SMV-direktører tror fejlagtigt, at de overfører deres GDPR-ansvar til cloud-udbyderen, når de vælger en cloud-løsning. Det er en misforståelse, der kan koste dyrt.
Datatilsynet er krystalklar: du er dataansvarlig for de personoplysninger, din virksomhed behandler, uanset om de ligger på en server hos jer eller hos en cloud-udbyder. Når du bruger en cloud-løsning til at behandle personoplysninger, er udbyderen typisk databehandler, og du skal have en databehandleraftale på plads.
De tre vigtigste GDPR-krav i relation til cloud:
1. Databehandleraftale: Du skal have en skriftlig aftale med alle cloud-udbydere, der behandler personoplysninger på dine vegne. De fleste store udbydere som Microsoft og Google tilbyder standardiserede DPA'er (Data Processing Agreements), som du typisk accepterer som del af servicebetingelserne. Men du skal have taget stilling til det aktivt.
2. Overførsel til tredjelande: Hvis din cloud-udbyder behandler data i lande uden for EU/EØS, kræver det særligt grundlag. Bruger du amerikanske tjenester som AWS, Azure eller Google Cloud, er de alle underlagt EU-US Data Privacy Framework fra 2023, som foreløbig giver tilstrækkeligt grundlag. Men du skal have dokumenteret det.
3. Tekniske og organisatoriske sikkerhedsforanstaltninger: GDPR artikel 32 kræver, at du implementerer passende tekniske og organisatoriske foranstaltninger for at sikre et sikkerhedsniveau, der passer til risikoen. Det inkluderer kryptering, adgangsstyring og procedurer for håndtering af brud.
Datatilsynet kan og har givet bøder til danske virksomheder for mangelfuld cloud-sikkerhed. Det er ikke et teoretisk problem.
De basale sikkerhedsforanstaltninger der faktisk virker
Lad os komme til det konkrete. Hvad skal du som SMV-direktør sørge for? Her er de tiltag, der giver størst effekt for mindst ressourceindsats.
Multi-faktor autentificering (MFA)
Aktiver MFA på alle forretningskritiske systemer. Det betyder, at login kræver både password og en ekstra faktor, typisk en kode fra en app som Microsoft Authenticator eller Google Authenticator. Ifølge Microsoft blokerer MFA alene over 99 procent af kontoovertagelsesforsøg. Det tager fem minutter at sætte op og koster ingenting udover en app på telefonen.
Passwordpolitik og passwordmanager
Indfør en klar passwordpolitik: unikke, lange passwords til alle systemer. Tilbyd medarbejdere en virksomhedsabonnement på en passwordmanager som 1Password eller Bitwarden. Det fjerner undskyldningen for at genbruge passwords og gør det håndterbart i praksis.
Adgangsstyring efter mindste privilegium
Medarbejdere skal kun have adgang til de systemer og data, de har brug for i deres arbejde. Gennemgå adgangsrettigheder mindst én gang om året, og luk straks adgange ned, når medarbejdere stopper.
Backup og recovery
Cloud er ikke backup. Gentag: cloud er ikke backup. Hvis en medarbejder ved en fejl sletter et vigtigt dokument, eller hvis I rammes af ransomware, er det ikke sikkert, at cloud-udbyderen kan gendanne det. I skal have en separat backup-strategi. For de fleste SMV'er er en kombineret løsning med automatisk backup til en anden cloud-tjeneste og eventuelt en lokal kopi tilstrækkelig.
Opdateringer og patches
SaaS-løsninger opdaterer sig selv. Men software på jeres computere, herunder operativsystemer, browsere og lokale applikationer, gør det ikke automatisk medmindre I sætter det op. Automatiske opdateringer er den nemmeste måde at lukke kendte sårbarheder på.
Medarbejderuddannelse
Tekniske tiltag hjælper ikke, hvis medarbejdere klikker på phishing-links. Simpel, regelmæssig træning i at genkende mistænkelige emails er effektivt og billigt. Der findes gratis ressourcer fra bl.a. Erhvervsstyrelsen og Center for Cybersikkerhed.
Valg af cloud-udbyder: hvad skal du tjekke?
Alle cloud-udbydere er ikke skabt lige. Når du evaluerer en ny cloud-løsning, er der en række konkrete ting, du bør tjekke inden underskrift.
Datacenterplacering: Hvor gemmes dine data fysisk? For personoplysninger er det relevant, om data behandles inden for EU/EØS eller ej. De fleste store udbydere tilbyder nu EU-baserede datacenterregioner, men du skal aktivt vælge dem.
Certificeringer: Seriøse cloud-udbydere dokumenterer deres sikkerhed via tredjepartscertificeringer. ISO 27001 er den vigtigste for informationssikkerhed. SOC 2 Type II er relevant for amerikanske udbydere. Spørg udbyderen efter dokumentation, og accepter ikke blot en forsikring om, at de 'tager sikkerhed alvorligt'.
SLA og oppetidsgaranti: Hvad garanterer udbyderen af tilgængelighed? 99,9 procent lyder godt, men det svarer til ca. ni timers nedetid om året. For forretningskritiske systemer bør I overveje, hvad I gør i de timer.
Dataportabilitet og exit-strategi: Hvad sker der, hvis I vil skifte udbyder? Kan I eksportere jeres data i et brugbart format? Leverandørlåsning er et reelt problem i cloud-verden, og det er klogt at tænke exit-strategien ind fra start.
Incident response: Hvad gør udbyderen, hvis der sker et sikkerhedsbrud? Og hvad er jeres forpligtelse til at underrette Datatilsynet? GDPR kræver, at I underretter inden 72 timer, hvis et brud sandsynligvis medfører risiko for de registreredes rettigheder.
Læs mere om, hvordan du vælger de rette digitale platforme i artiklen Sådan vælger du de rigtige digitale værktøjer til din SMV.
Hvad koster det at gøre det ordentligt?
En af de mest udbredte misforståelser er, at ordentlig cloud-sikkerhed kræver store investeringer. Det gør det ikke, i hvert fald ikke for de basale foranstaltninger.
Her er et realistisk budget for en SMV med 10-30 medarbejdere:
- MFA: Gratis via Microsoft Authenticator, Google Authenticator eller lignende apps. Inkluderet i Microsoft 365 Business abonnement.
- Passwordmanager: 1Password Business koster ca. 190 kr. per bruger per år. Bitwarden Business koster ca. 60 kr. per bruger per år. For 20 medarbejdere er det 1.200 til 3.800 kr. om året.
- Backup: Afhænger af datamængde og løsning. En kombination af Microsoft 365 Backup (tilkøb) og en ekstern løsning som Veeam eller Backblaze B2 kan komme til under 5.000 kr. om året for en typisk SMV.
- Medarbejdertræning: Center for Cybersikkerhed tilbyder gratis materialer. KnowBe4 og Proofpoint tilbyder betalte træningsplatforme fra ca. 150 kr. per bruger per år.
- Ekstern gennemgang: En indledende sikkerhedsgennemgang fra en IT-sikkerhedskonsulent koster typisk 10.000 til 30.000 kr. og anbefales mindst hvert andet år.
Samlet set kan en SMV med 20 medarbejdere komme langt for under 50.000 kr. om året, inklusive konsulentbistand. Det lyder måske af meget, men det er ingenting sammenlignet med konsekvenserne af et alvorligt sikkerhedsbrud. Gennemsnitlige omkostninger ved et databrud for en SMV i Europa anslås af IBM Cost of a Data Breach Report 2023 til over 3 millioner kr., inkl. nedetid, genopretningstid og eventuelle bøder.
Særlige overvejelser for specifikke brancher
Cloud-sikkerhed er ikke ens for alle. Afhængigt af din branche er der særlige krav og risici, du skal kende.
Sundhed og behandling af helbredsoplysninger: Helbredsoplysninger er følsomme personoplysninger efter GDPR artikel 9 og kræver særligt beskyttelsesniveau. Klinikker, tandlæger og andre sundhedsaktører, der bruger cloud-baserede journalsystemer, skal sikre, at systemerne er GDPR-compliant og at der foreligger korrekte databehandleraftaler.
Finans og regnskab: Bruger I cloud-baserede regnskabssystemer som e-conomic eller Dinero, håndterer I finansielle data, der kan være attraktive for angribere. Stærk adgangsstyring og logging af adgang er særlig vigtig her.
Handel og e-commerce: Webshops, der håndterer betalingsdata, skal overholde PCI DSS-standarden. De fleste bruger betalingsgateways som Stripe, Nets eller Quickpay, der håndterer selve kortdataene, men I skal stadig have procedurer for, hvad I gør ved et brud.
Rådgivning og advokatfirmaer: Fortrolighedspligt og tavshedspligt stiller særlige krav til, hvordan klientdata opbevares og deles. Valg af cloud-løsning skal afspejle disse forpligtelser.
For alle brancher gælder, at det er klogt at konsultere en brancheorganisation eller en specialiseret rådgiver, når I fastlægger jeres cloud-sikkerhedsstrategi.
Hvornår er cloud faktisk ikke sikkert nok?
Det er redeligt at anerkende, at der er situationer, hvor cloud-løsninger ikke er den rette løsning, eller i hvert fald ikke i standardopsætning.
Klassificerede oplysninger: Virksomheder, der arbejder med statsklassificerede oplysninger eller kontrakter med forsvar og efterretningstjenester, er underlagt særlige regler, der kan begrænse brug af kommercielle cloud-løsninger.
Ekstremt følsomme forretningshemmeligheder: Patenter under udvikling, opkøbsforhandlinger eller prismodeller, der er kernen i jeres konkurrencefordel, kan I overveje at håndtere med ekstra forsigtighedsforanstaltninger. Det kan betyde kryptering, der er kontrolleret af jer selv frem for udbyderen (customer-managed encryption keys).
Industrisystemer og OT-miljøer: Produktionssystemer, SCADA-systemer og industrielt udstyr bør som udgangspunkt ikke kobles direkte på internettet eller kommercielle cloud-tjenester uden meget grundige sikkerhedsvurderinger.
Regulerede data med specifikke lokalitetskrav: Visse sektorer og kontrakttyper stiller krav om, at data forbliver på dansk eller europæisk jord. Verificer altid, at den cloud-løsning I vælger, kan overholde disse krav teknisk og juridisk.
For de fleste SMV'er er ingen af disse undtagelser relevante i hverdagen. Men det er god praksis at lave en risikovurdering af jeres data og identificere, hvad der er forretningskritisk og særligt følsomt, inden I beslutter, hvad der kan leve i skyen.
Sådan bygger du en enkel cloud-sikkerhedspolitik
Mange SMV'er mangler en skriftlig IT-sikkerhedspolitik. Det er et problem, ikke bare af hensyn til GDPR, men fordi medarbejdere ellers ikke ved, hvad der forventes af dem.
En cloud-sikkerhedspolitik for en SMV behøver ikke være et 50-siders dokument. Den skal dække:
- Godkendte cloud-tjenester: Hvilke tjenester er virksomheden aktiv i at understøtte og godkende? Shadow IT, altså medarbejderes brug af ikke-godkendte tjenester til arbejdsformål, er et udbredt problem og en reel sikkerhedsrisiko.
- Krav til passwords og MFA: Minimumskrav til passwordlængde, forbud mod genbrug, og krav om MFA på specifikke systemer.
- Datahåndtering: Hvilke typer data må gemmes hvor? Personoplysninger, finansielle data og fortrolige forretningsdokumenter skal have klare retningslinjer.
- Onboarding og offboarding: Konkret procedure for oprettelse og nedlukning af adgange ved henholdsvis ansættelse og fratrædelse.
- Håndtering af sikkerhedshændelser: Hvem kontakter hvem, hvis en medarbejder opdager et potentielt brud? Hvem er ansvarlig for at vurdere og evt. anmelde til Datatilsynet?
- Revisionsfrekvens: Politikken skal revideres mindst én gang om året og ved væsentlige ændringer i jeres IT-setup.
Hold det enkelt, konkret og forståeligt. En god sikkerhedspolitik, som alle læser og forstår, er langt mere værd end et avanceret dokument, der samler støv i et drev.
Du kan finde inspiration og yderligere perspektiver på digital transformation i Sådan kommer du i gang med AI i din virksomhed.
Fremtidens cloud-sikkerhed: hvad kommer der?
Cloud-sikkerhedslandskabet udvikler sig hurtigt, og der er tendenser, du som direktør bør holde øje med.
AI-drevet sikkerhed: Cloud-udbyderne integrerer i stigende grad AI i deres sikkerhedsværktøjer. Microsoft Copilot for Security, AWS GuardDuty og Googles Security AI Workbench er eksempler på platforme, der bruger AI til at opdage anomalier og trusler i realtid. Det bliver mere tilgængeligt og mere overkommeligt for SMV'er.
Zero Trust-arkitektur: Princippet om, at ingen bruger eller enhed automatisk er betroet, blot fordi de er inden for netværkets grænse, vinder frem. For SMV'er betyder det i praksis strengere adgangsstyring, løbende verifikation og segmentering af systemer.
NIS2-direktivet: EU's opdaterede direktiv om net- og informationssikkerhed trådte i kraft i Danmark i 2024. Det udvider kredsen af virksomheder og sektorer, der er underlagt sikkerhedskrav. Nogle SMV'er i kritiske sektorer som energi, transport og digitale infrastrukturtjenester kan falde inden for direktivets scope. Det er værd at tjekke, om det gælder jer.
Kvantecomputing og kryptering: Inden for fem til ti år vil kvantecomputing potentielt kunne bryde mange af de krypteringsalgoritmer, der bruges i dag. Det lyder futuristisk, men store cloud-udbydere arbejder allerede på kvanteresistent kryptering. Det er ikke noget, I skal handle på i dag, men noget I bør følge.
Du kan læse mere om AI og digitalisering i bredere forstand i vores artikel Hvad kan AI faktisk gøre for en SMV i dag?.
Sæt cloud-sikkerhed på bestyrelsesdagsordenen
Cloud-sikkerhed er ikke kun et IT-spørgsmål. Det er et ledelsesansvar. Direktøren og bestyrelsen ejer det ultimative ansvar for, at virksomheden har en forsvarlig sikkerhedsprofil, og at man overholder relevant lovgivning.
I praksis ser jeg for mange SMV'er, hvor IT-sikkerhed er delegeret til en medarbejder eller en ekstern IT-leverandør, uden at ledelsen stiller de rigtige spørgsmål eller kræver den rette dokumentation. Det er en risiko, I bærer som ledelse.
Spørgsmål, du bør stille din IT-ansvarlige eller -leverandør:
- Hvilke cloud-tjenester bruger vi, og har vi overblik over alle af dem?
- Er MFA aktiveret på alle forretningskritiske systemer?
- Hvornår har vi sidst gennemgået adgangsrettigheder?
- Har vi en databehandleraftale med alle relevante cloud-udbydere?
- Hvad er vores backup-strategi, og hvornår har vi sidst testet en restore?
- Har vi en procedure for, hvad vi gør ved et sikkerhedsbrud?
Hvis du ikke kan få klare svar på disse spørgsmål, er det et signal om, at der er arbejde at gøre.
Få cloud-sikkerhed på bestyrelsesdagsordenen med BoardPanel
Som SMV-direktør har du brug for at kunne sparke strategiske og operationelle spørgsmål om IT-sikkerhed, digitalisering og cloud op på et struktureret niveau. Uden at skulle indkalde en dyr bestyrelse eller vente på næste kvartalsmøde.
BoardPanel er en AI-drevet bestyrelseplatform bygget til dig. Platformen giver dig adgang til et AI-bestyrelsespanel ledet af AI-formand Morten Krarup og fire specialiserede AI-rådgivere: Strategen, CFO'en, CMO'en og Djævelens Advokat. Du kan stille spørgsmål som: 'Er vores nuværende cloud-setup forsvarligt?', 'Hvad er de strategiske risici ved vores afhængighed af Microsoft 365?', eller 'Hvad bør vi prioritere af IT-sikkerhedsinvesteringer i det kommende år?'
Du kan holde strukturerede bestyrelsesmøder med panelet, uploade dine board packs, få panelanalyse og afstemning og generere formelle mødereferater. Det er den sparring, mange SMV-direktører mangler, tilgængelig når du har brug for den.
Start med AI-panelet på boardpanel.dk og tag cloud-sikkerhed fra mavefornemmelse til strategisk beslutning.
Kilder og referencer
- Center for Cybersikkerhed (CFCS): Trusselsvurdering 2023-2024, cfcs.dk
- Datatilsynet: Vejledning om cloud-tjenester og GDPR, datatilsynet.dk
- IBM Security: Cost of a Data Breach Report 2023, ibm.com/security
- Gartner: Cloud Security Research 2023, gartner.com
- Microsoft: Shared Responsibility in the Cloud, learn.microsoft.com
- Erhvervsstyrelsen: Vejledning om cybersikkerhed for SMV'er, erhvervsstyrelsen.dk
- Europa-Kommissionen: EU-US Data Privacy Framework, ec.europa.eu
- NIS2-direktivet (EU 2022/2555), eur-lex.europa.eu
- Datatilsynet: Anmeldelse af brud på persondatasikkerheden, datatilsynet.dk
FAQ — de 10 vigtigste
spørgsmål
Generelt ja, men kun hvis du tager dit eget ansvar alvorligt. Cloud-udbydere sikrer infrastrukturen, men du er ansvarlig for adgangsstyring, konfiguration og overholdelse af GDPR. De fleste sikkerhedshændelser skyldes fejlkonfigurationer og menneskelige fejl på kundesiden, ikke udbyderfejl. Med MFA, stærke passwords og en klar sikkerhedspolitik kan de fleste SMV'er opnå et godt sikkerhedsniveau.
Den delte ansvarsmodel beskriver, hvem der er ansvarlig for hvad i cloud-sikkerhed. Udbyderen sikrer den fysiske infrastruktur og grundlæggende platform. Du er ansvarlig for brugeradgange, konfiguration, datahåndtering og overholdelse af lovgivning som GDPR. I SaaS-løsninger tager udbyderen sig af selve applikationen, men du ejer stadig ansvaret for, hvem der har adgang og hvordan data bruges.
GDPR kræver, at du indgår databehandleraftaler med alle cloud-udbydere, der behandler personoplysninger for dig. Du skal sikre, at data behandles lovligt, og at der er passende tekniske og organisatoriske sikkerhedsforanstaltninger. Ved databrud skal du vurdere og evt. anmelde til Datatilsynet inden 72 timer. Ansvaret kan ikke overdrages til cloud-udbyderen.
MFA, eller multi-faktor autentificering, kræver at brugeren bekræfter sin identitet med mindst to faktorer, typisk password plus en kode fra en app. Ifølge Microsoft blokerer MFA over 99 procent af automatiserede kontoangreb. Det er en af de mest effektive og billigste sikkerhedsforanstaltninger, du kan implementere, og det bør være obligatorisk for alle forretningskritiske systemer.
Nej. Cloud-opbevaring er ikke det samme som backup. Hvis en fil slettes eller et system kompromitteres af ransomware, er der ingen garanti for, at cloud-udbyderen kan gendanne data. Du skal have en separat backup-strategi med automatiserede kopier til en anden lokation eller tjeneste, og du bør teste restore-proceduren regelmæssigt for at sikre, at det faktisk virker.
ISO 27001 er den vigtigste internationale standard for informationssikkerhed og bør være et minimumskrav for cloud-udbydere, du betroer forretningskritiske data. SOC 2 Type II er relevant for amerikanske udbydere og dokumenterer løbende sikkerhedskontroller. Spørg altid udbyderen om dokumentation fremfor blot at stole på markedsføring.
Shadow IT er medarbejderes brug af cloud-tjenester og apps, som virksomheden ikke har godkendt eller kender til. Det er et problem, fordi det betyder, at forretningsdata havner i systemer uden databehandleraftaler, uden sikkerhedskontroller og uden overblik. En klar politik for godkendte tjenester og åben dialog om behov er den bedste måde at reducere shadow IT på.
Aktiver din incident response-procedure straks. Isoler det kompromitterede system eller den berørte konto. Vurder omfanget af bruddet med hjælp fra din IT-ansvarlige eller ekstern bistand. Hvis bruddet involverer personoplysninger og sandsynligvis medfører risiko for de berørte, skal du anmelde til Datatilsynet inden 72 timer. Dokumenter alle tiltag løbende.
Ja, overordnet set. EU-US Data Privacy Framework fra 2023 giver grundlag for overførsel af personoplysninger til certificerede amerikanske virksomheder. Alle store udbydere som Microsoft, Google og Amazon er certificerede. Du skal dog verificere, at din specifikke aftale med udbyderen inkluderer korrekte databehandleraftaler og evt. EU-datacentre for særligt følsomme data.
De basale foranstaltninger er overraskende billige. MFA er gratis. En passwordmanager til 20 medarbejdere koster typisk 1.200 til 3.800 kr. om året. Backup kan løses for under 5.000 kr. om året. En ekstern sikkerhedsgennemgang koster 10.000 til 30.000 kr. Samlet kan en SMV komme langt for under 50.000 kr. om året, et beløb der er minimalt sammenlignet med konsekvenserne af et alvorligt brud.

