Jan Bjelde

Jan Bjelde

Director, Consulting Delivery

I samtaler CGI har hatt med ledelsen i større virksomheter i Norge i år, går det igjen en bekymring for hvordan den digitale delen av virksomheten skal styres i en mer uforutsigbar verden. Det er et økende sikkerhetstrusselbilde, og det innføres nye lover og regler som skal etterleves. Dette fører til at IKT-strategien blir utfordret, ved at virksomhetene trenger fleksibilitet i alternative løsninger.

Gjennomgående spørsmål i disse diskusjonene har vært:

Hva er balansen mellom kontroll, fleksibilitet og innovasjon?

Det geopolitiske landskapet har de siste årene skapt en ny virkelighet. Forutsigbarheten i tilgang på digitale tjenester og utenlandsk teknologi er ikke der lenger. Samtidig øker sikkerhetstrusselen, og nye lover og reguleringer stiller stadig strengere krav til hvordan virksomheter skal beskytte sine data og sin infrastruktur. Kriminelle aktører tar i bruk kunstig intelligens, og mange virksomheter frykter lekkasje av data – både internt og eksternt – særlig gjennom bruk av KI. For mange organisasjoner er dette krevende å håndtere. I et sterkt digitalisert Norden er det en økende etterspørsel etter fleksibilitet og forutsigbarhet. Samtidig blir flere virksomheter omfattet av sikkerhetsloven og NIS2, noe som stiller krav til nasjonal kontroll, norsk datalagring og sikkerhetsgodkjenninger – både på løsning og personell. Beredskap, disaster recovery og backup blir derfor sentrale tiltak for å sikre at kritiske data og tjenester forblir tilgjengelige, helst i Norge eller i det minste innenfor EU/EØS.

Se våre tjenester innen Cybersikkerhet

Hvilke alternativer gir EU og skyleverandørene?

Der man tidligere primært har vært bekymret for Russland og Kina, vokser nå uroen for bindingene til amerikansk teknologi – spesielt innen skytjenester. Norske virksomheter er i stor grad avhengige av Microsofts tjenester (Azure og M365), men også Amazon og Google med andre. Flere uttrykker bekymring for både tilgjengelighet og kontroll, særlig risikoen for at teknologi, data og tjenester kan bli utilgjengelige – eller at lisensforhold endres ensidig. Det skal sies at de store skyleverandørene som Microsoft gjør også tiltak for at virksomheter skal bli sikrere og etterleve nye lover og regler. For eksempel har Microsoft suverene skyløsninger både for etterlevelse innenfor EU, men også for lokal kontroll og autonomi i løsninger som «Azure Local» on-prem. Det er også slik at sikkerheten ikke blir dårligere i offentlig sky. Snarere tvert i mot –her er det viktig å velge riktig medisin for ditt behov.

EU arbeider også for å styrke europeisk digital suverenitet gjennom initiativer som Eurostack, Data Spaces og Gaia-X. Flere europeiske land, blant annet Danmark, vurderer seriøst å erstatte amerikanske skyløsninger med europeiske alternativer. Likevel viser analyser at dette er kostbart, tar lang tid og europeiske løsninger dekker ikke fullt ut alle virksomheters behov. For mange norske aktører vil en full exit fra amerikanske skyer være svært krevende. Derfor handler det mye om å mitigere risiko – både for bortfall av tjenester, sikkerhetsbrudd og langvarig nedetid.

Hvordan håndtere et fragmentert IT-landskap?

De siste årene har mange jobbet målrettet med «skyreisen» for å øke innovasjonstakten. Nå møter de et nytt behov for kontroll – som igjen gjør landskapet mer komplekst og fragmentert. Gartner introduserte tidligere en bimodal modell, der man kombinerer tradisjonell IT med smidig sky og kontinuerlig utvikling. Vi begynner nå å se konturene av en ny trimodal modell – der virksomheter må håndtere både legacy-løsninger, skybaserte plattformer og en tredje, adskilt gradert plattform for å oppfylle krav om sikkerhet og etterlevelse av nye reguleringer.

Figuren illustrerer risiko og policybasert sikkerhetsstyring og faren for et fragmentert landskap

Figuren illustrerer faren for et fragmentert landskap og at virksomheter kan ende opp i en trimodal modell med ulike teknologier, leveransemodeller og operasjonsmodeller over 3 adskilte miljøer (I realiteten kan det være enda mer komplisert med ytterligere behov for adskillelse i data/plattformer etc.).

  1. Legacy-applikasjoner har de siste årene blitt modernisert til «native cloud» og smidig kontinuerlig forbedring.
  2. Nye behov og reguleringer fører til at både legacy og «native cloud»-applikasjoner må sikres og muligens flyttes til andre plattformer og miljøer
  3. Virksomheter må lage løsninger som ivaretar behov for de applikasjonene som må skilles ut for lokal/nasjonal kontroll og for å etterleve lover og regler.

I et slikt fragmentert landskap er det viktig at sikkerhet og løsninger styres top down der ende til ende optimalisering må være i fokus for kontroll, kost og effektivitet. Løsningen reguleres helhetlig gjennom et sikkerhetsrammeverk (gjerne basert på ISO 27001) og at man følger prinsipper som NSM-grunnprinsippene for å implementere sikkerhet riktig og at man oppdager sårbarheter i tide. Sikkerhetsovervåkning og hendelseshåndtering må innarbeides utenfra og inn sammen med en god sikkerhetsløsning. Det finnes felles teknologi og tilsvarende løsninger som kan implementeres i alle de adskilte miljøene (for eksempel Kubernetes, mikrosegmentering og felles løsning i Zero Trust) som gjør at man tilnærmet kan utvikle, forvalte og drifte på samme måte fra on-prem til offentlig sky og dermed redusere behovet for ulike tilnærminger i de ulike miljøene. Det er også viktig at arkitekturen er bygget på løst koblede byggeklosser slik at det er enkelt å erstatte deler av løsningen eller innføre nytt ved behov.  Gjør man det riktig kan man bruke en moderne operasjonsmodell for hele virksomheten. Altså; behov for et fragmentert landskap betyr ikke at man må ha fragmentert håndtering på tvers.

Oppsummert er det flere grep virksomheter kan ta for å styrke kontroll, få effektivitet og beholde innovasjonen:

  • Sikre digital suverenitet

    • Ha kontroll på data, jurisdiksjon og kritisk infrastruktur.
    • Bygg «sovereign» og trusted skyløsninger med sterk tilgangskontroll for samfunnskritiske funksjoner.
  • Reduser leverandøravhengighet

    • Bruk hybrid- og multicloud-strategier for fleksibilitet og kontroll.
    • Etabler klare exit- og migrasjonsstrategier.
  • Styrk beredskap og kontinuitet

    • Integrer beredskap, backup og krisehåndtering i IKT-styringen.
    • Øv jevnlig på tverrsektorielle hendelsesscenarioer.
  • Balanser innovasjon og kontroll

    • Sikre fleksibilitet uten å miste styring.
    • styr sikkerhet og etterlevelse top down gjennom alle domener og på tvers av teknologier.
  • Gjør IKT til et ledelsesansvar

    • Forankre sikkerhet og teknologisk resiliens i toppledelsen.
    • Mål risiko og modenhet med styringsdata og KPI-er.

Disse tiltakene reduserer sårbarhet, optimaliserer på tvers av et fragmentert landskap uten å nødvendigvis hemme innovasjon.

Kan norske virksomheter klare å kombinere kontroll, fleksibilitet og innovasjon? Svaret er ikke svart-hvitt. Men med bevisste tiltak, riktig arkitektur og gode rammeverk kan man oppnå en digital hverdag som både er trygg, effektiv og fremtidsrettet.

Ta kontakt med forfatter om du ønsker en samtale om temaet.

Se våre tjenester innen Business Consulting

About this author

Jan Bjelde

Jan Bjelde

Director, Consulting Delivery

Jan Bjelde har jobbet med løsningssalg, rådgivning og som ledende arkitekt i store outsourcing avtaler de siste 25 årene. Han har bred teknisk bakgrunn med erfaring relatert til styring av IKT, outsourcing, transformasjoner, sikkerhet og skyreisen.

View profile