Hur väljer du rätt outsourcingpartner och hur ser du till att din utvalda partner tar väl hand om er den fysiska miljön som huserar er data?
De flesta företag outsourcar hela eller delar av sin IT. Oavsett om det är till olika molnlösningar eller colocation så handlar det alltid om en fysisk plats där servrarna för IT-miljöer faktiskt står placerade. Nya striktare regelverk och direktiv, i kombination med digitaliserade affärsprocesser, ökar också kraven på organisationers informationssäkerhetsarbete, och i sin tur på deras outsourcingpartners. Så hur vet du din leverantör faktiskt har koll på, hanterar, och redovisar den fysiska säkerheten?
När det gäller outsourcing till colocation är leverantörens ramverk för revisioner och certifieringar ett av de mest effektiva sätten för dig som kund att kontrollera om din leverantör möter upp och säkerställer den kvalitet ni ska efterleva” berättar Hanne Kløcker.
Låt oss ta tillfället att tillsammans med Hanne Kløcker, Nordic Quality Manager på Interxion, att djupdyka i några av våra mest välbekanta evisionsstandarder, rekommendationer och direktiv som vi på Interxion i Norden dagligen arbetar med och säkerställer.
Hur kommer det sig att Interxion använder ramverket SOC2 för sina datacenter i Norden?
På Interxion i Norden har man bland annat valt att använda SOC2 typ II som en revisionsstandard. SOC står för Service Organization Control, vilken bygger på Trust Service Principles från American Institute of Certified Public Accountants (AICPA), och syftar till att kontrollera att säkerhet och tillgänglighet, tillämpliga för datacenter- och colocation, är effektiva och riktigt implementerade.
Ramverket SOC2 kräver en hög detaljnivå. Precis som den europeiska revisionsstandarden ISAE3402, är SOC2 ett ramverk för kontroller utefter vilka Interxion ska granskas. Med en SOC2-revision verifierar det att Interxion utför självkontroller som är relevanta och omfattande. Interxion genomför löpande interna revisioner av sina egna rutiner och arbetsprocesser, dessa kontrolleras i sin tur två gånger per år av en extern revisor
Det SOC2 ramverk Interxions faller inom består av cirka 240 revisionsparametrar och täcker bland annat in säkerhet i accesskontroller, kontroll av fysisk åtkomst, riskbedömning och kontinuitet i företaget, anställningsriktlinjer och fortlöpande utbildning.
Många av våra kunder betonar att vår accesskontrollshantering är oerhört viktigt för dem - det vill säga att vi alltid dokumenterar vem som har haft tillgång till vilka områden inom vårt datacenter-campus. Här är nyckeln att vi har ett välbyggt system med bland annat videoövervakning, kortläsare, biometriska skannrar i man-traps. Dessutom har vi fysiska vakter som är närvarande 24/7/365 som kan kontrollera ID för alla gäster. Samtidigt som vi har ett ramverk för att dokumentera allt detta”, säger Hanne
Möt efterlevnadskrav för informationssäkerhetshantering och verksamhetskontinuitet
Hanne berättar vidare att SOC-revision ensamt inte täcker in alla aspekter huruvida en leverantör förvaltar säkerheten och efterlevnadskrav. Dessutom kan det finnas ytterligare regelverk och direktiv som företag behöver ha i beaktan för att kunna möta efterlevnadskrav när man ska välja rätt outsourcing-partner och datacenter.
Olika certifieringar och revisioner täcker olika områden och bör därför ses som ett omfattande ramverk som garanterar att din leverantör har beaktat de potentiella risker som kan finnas i en datacenter-miljö”, säger Hanne.
Förutom SOC2 innehar Interxion i Norden även de internationella certifieringarna ISO 22301, som handlar om verksamhetens kontinuitet, och ISO 27001, avseende informationssäkerhet.
Att ha kontroll på företagets information och data, är allt viktigare i takt med verksamheters digitalisering, och att inte ha det kan få allvarliga konsekvenser. Just därför investerar företag i att IT-miljöer som huserar värdefull data faktiskt skyddas. ISO 27001, som är ett att de mest väletablerade ramverken för att redovisa informationssäkerhetshantering, täcker in parametrar som sekretess, integritet och tillgänglighet av data.
Ramverket ISO 22301 har i syfte att identifiera potentiella hot och risker, hantering av affärskritiska incidenter samt till att stärka organisationens motståndskraft vid krishantering. Genom att vi på Interxion innehar denna certifiering visar det att vi aktivt arbetar med att bibehålla verksamhetskontinuitet, vilket ger en trygghet för våra kunder.
Varför har GDPR och Skyddsklass 3 fått stort fokus i Sverige?
Utöver olika certifieringar och revisioner finns det även myndighetsrekommendationer och lagstiftning som verksamheter många gånger behöver ta i beaktan vid val av IT-strategi och outsourcingpartner.
I takt med att data blir allt mer affärskritiska, blir samtidigt skyddet av data och information mer avgörande och reglerat. Här är den europeiska förordningen dataskyddsförordningen (GDPR) ett av de mest välkända exempel. GDPR reglerar behandling av personuppgifter och omfattar även var och hur denna typ av data lagras. Det kan innebära att data inte får lämna ett lands gränser och att företag behöver en strategi för att lagra och behandla data på olika marknader.
Ett krav från EU är att ett dataskyddsombud (DPO) ska finnas på företag som behandlar EU-medborgares personuppgifter, en roll och funktion som finns hos Interxion. Dataskyddsombuden är ansvarig för att kontrollera att GDPR efterlevs inom verksamheten genom att utföra kontroller, övervaka dataskyddsstrategin och via informationsinsatser. Ansvaret och krav på att ha ett dataskyddsombud åligger alltid den egna verksamheten även om ett företag outsourcar.
I Sverige har rekommendationen skyddsklass 3 fått ett centralt fokus när det gäller outsourcing och hantering av sitt datacenter gällande den fysiska miljön avsedd för IT-utrustning. Skyddsklass 3 är definierad av Myndigheten för samhällsskydd och beredskap (MSB) och är en vägledning för fysisk informationssäkerhet i IT-utrymmen, de vill säga för datorhallar och serverrum. Vägledningen täcker in en mängd fysiska direktiv kring själva anläggningen där IT-utrustning fysisk finns placerad. Här täcks allt in ifrån själva konstruktionen och skalskyddet av anläggningen, till kontroll av tillträde, intrångsskydd, samt omfattande kravspecifikationer för säkerhet, brand och funktioner relaterat till datorhallar.
Interxions sjätte datacenter i Stockholm, STO6, möter serverhallarna upp till skyddsklass 3 redan från start. Det betyder att de kunder, företag och organisationer som efterfrågar de regulatoriska kraven, specificerade av MSB, och har behov av den höga säkerheten, direkt kan placera sin kritiska IT-miljö i datacentret. Krav på utökat skalskydd är högst aktuellt och ligger idag högt på agendan för många verksamheter vid val av leverantörer och datacenter i Sverige.
Det finns många viktiga aspekter att överväga vid val av outsourcingpartner och datacenter. När man tänker på IT är det viktigt att tänka på helheten. I denna blogg har vi nu tittat närmare på en av alla parametrar i den helhet, nämligen säkerhet och efterlevnadskrav. Är du nyfiken på att veta mer om fler viktiga aspekter kan du här läsa om; hybrid it och access till moln, uppkoppling och konnektivitet eller datacenter med fokus på hållbarhet.