Hvordan ved du, om din colocation-leverandør har styr på compliance og sikkerhed?

Hvordan vælger du den rigtige partner til outsourcing på colocation-området? Og hvordan kontrollerer du, at din partner passer godt på din data?

De fleste virksomheder outsourcer størstedelen af deres IT. Nogle endda det hele. Men også i tilfælde hvor din virksomhed benytter en cloud-løsning, er det vigtigt at være opmærksom på det fysiske fundament for cloud-løsningen – det vil sige, hvor de fysiske servere opbevares. Det vil typisk være hos en colocation-leverandør eller i cloud-udbyderens eget datacenter. 

Hanne Kløcker, Nordic Quality Manager i Interxion, forklarer her, hvordan du sikrer, at din colocation-leverandør tager alle nødvendige forholdsregler ift. at passe godt på din data.
 

Framework for revisioner og certificeringer er effektivt

”Når det gælder outsourcing til en colocation-leverandør, er framework for revisioner og certificeringer én af de mest effektive måder at tjekke, om din leverandør gør det, de lover,” siger Hanne Kløcker, Nordic Quality Manager i Interxion.
 
Interxion i Danmark og resten af Norden benytter SOC2 type II – en amerikansk revisionsstandard fra American Institute of Certified Public Accountants (AICPA), som sikrer, at kontrol af sikkerhed og tilgængelighed blandt datacentre- og colocationleverandører er effektivt og tilstrækkeligt implementeret.

Ligesom den europæiske revisionsstandard ISAE3402 er SOC2 et framework af kontroller, som benyttes til at revidere Interxion. Interxions SOC2-framework består af ca. 240 kontroller, der bl.a. dækker fysisk og logisk adgang, tilgængelighed for drift, risikovurdering og business continuity, personaleprocedurer samt løbende træning af teknisk personale.

Interxion foretager løbende egenkontrol med egne procedurer og arbejdsgange, som ydermere kontrolleres to gange årligt af en ekstern revisor, som verificerer, at egenkontrollen er relevant og dækkende.

”Vores kunder fremhæver vores adgangskontrol og dokumentationen af samme. De bemærker, at vi til enhver tid kan dokumentere, hvem der har haft adgang til hvilke områder af vores datacenter. Nøglen er, at vi har et velfungerende fysisk setup med bl.a. videoovervågning, kortlæsere, biometriske scannere i vores man-traps. Hertil kommer døgnbemanding i form af fysiske vagter, som kan kontrollere alle vores gæsters ID i kombination med et moderne framework til dokumentation,” siger Hanne Kløcker.
 

Tjek anmærkninger i revisionsrapporten

Interxion i Danmark og resten af Norden benytter også ISO-certificeringerne ISO 22301 og ISO27001, der omhandler hhv. business continuity og information security. I kombination med audits udgør de et samlet framework, der garanterer, at din leverandør har overvejet de risici, der kan være i datacenteret.

”Hvis din colocation-leverandør har en SOC2-rapport, er det et udtryk for, at de er dygtige til at dokumentere egenkontroller, og at de verificeres af en ekstern revisor. Det giver de fleste kunder et godt indblik i, om der er styr på compliance. En SOC2-rapport er ikke nødvendigvis uden anmærkninger. Derfor er det vigtigt, at du som kunde årligt modtager en SOC2-rapport, så du kan tjekke, om din leverandør har fået anmærkninger. Hvis det er tilfældet, bør du følge op på, om leverandører får udbedret alle anmærkninger,“ slutter Hanne Kløcker.