Molnskolan del 4: Så tryggar du it-säkerheten- från huvudkontor till butik

Säkerhet är viktigare än någonsin inom detaljhandeln. Med molnet och GDPR runt hörnet ställs frågan på sin spets. Vi har intervjuat Retailexperten Thomas Widén, PMM på Microsoft.

Molnskolan datasäkerhet

Ska din verksamhet påbörja resan mot molnet? Då finns det ett antal viktiga faktorer att ta hänsyn till när det kommer till säkerhet. Med GDPR runt hörnet ställs frågan på sin spets inom detaljhandeln. Det menar retailexperten Thomas Widén på Microsoft.  

Att kompromissa med säkerhetsfrågan inom detaljhandeln kan få allvarliga konsekvenser och värsta fall skadas dina kundrelationer. Att bli utsatt för dataläckage eller spionage kan leda till att utomstående får insyn i dina målgrupper och deras preferenser. Därmed riskerar du att försvaga din konkurrenskraft.

- Se till att du ställer sig frågan: i vilket moln lägger du din data, var replikeras den och vem har tillgång till den? Du måste ha koll på vem som har rättigheter till din data, vem kan tolka den information som du samlar in om dina kunder? Detta bör du ha svar på innan resan mot molnet påbörjas, inleder Thomas Widén.

Är molntjänsten säker?

Molnresan är kantad av flera risker. Thomas Widén menar att den största ligger i att man inte uppmärksammar dessa, utan istället fokuserar för mycket på kärnprocesserna. Därför är det viktigt att du har en trygg leverantör som kan sin sak.

- Se till att du kollar upp molnleverantören ordentligt innan projektet inleds. Vilka internationella lagar och regler arbetar de efter? Ta också reda på vilken standard de följer, både gällande tillgång till data och serverhallar. Mitt tips är att fråga vem som har nycklarna till serverrummet. Får man ett tydligt svar så har man med största sannolikhet inte en säker molntjänst, eftersom leverantören har förlitat sig på en enskild individ. Då är du utsatt för en hög risk, både gällande molnet och hosting, säger Thomas Widén.

- Microsoft arbetar med olika nivåer för åtkomst till servrar. Medarbetarna som byter ut hårddiskarna vet inte vad dessa innehåller, dessutom förstörs gamla diskar alltid för säkerhets skull. Vi har också bestämda regler för hur lång tid det ska ta att byta en hårddisk och eventuella avvikelser utreds. Personalen vägs också innan och efter att de varit i serverhallen, fortsätter retailexperten.

En sömlös och modern arbetsmiljö kräver säkerhetfokus

Att kunna arbeta från olika platser och enheter är en viktig arbetsmiljömässig fråga som den moderna detaljhandlaren bör ta på allvar. Möjligheten att arbeta hemifrån skapar en flexibel arbetsmiljö som attraherar nya medarbetare och gör att de befintliga trivs. Men den moderna arbetsplatsen kräver att du har koll på säkerhetsaspekten.

- Vi på Microsoft arbetar enligt mantrat: anytime, anywhere och any device. Du ska kunna göra samma saker i butik som på huvudkontoret, oavsett vilken enhet du använder. Den aspekten är viktig när du tittar på nya lösningar. Se till att det finns ett samlat system som fungerar oavsett om man sitter på ett kontor eller arbetar i butik. På så sätt skapas en flexibel arbetsmiljö som gör det enklare att arbeta på distans, säger Thomas Widén.

- Det är också viktigt att du kan köra krypterad trafik mot din leverantör (SSL-kopplingar). Sedan är accessfrågan är också viktig, speciellt för en detaljhandlare som behöver titta på vilka typer av enheter man arbetar med mot molnet. Har personalen access och vad händer när någon slutar? Hur agerar du om en surfplatta med kopplingar till affärskritisk information försvinner från butiken? I värsta fall står du med en förlorad enhet med access till verksamhetens affärssystem. Idag finns det funktioner som kan styra så att enheterna endast fungerar på butikens nät, det kan vara en bra lösning som förbättrar säkerheten, tipsar Thomas Widén.

Säkerhet – en trovärdighetsfråga som kräver rätt it-budget

Dagens konsumenter förväntar sig är att detaljhandlare hanterar personuppgifter på ett konfidentiellt sätt. Det gäller exempelvis att ha ett aktivt säkerhetstänk vid användning av appar. Du måste även kunna ge kunden träffsäkra rekommendationer genom att utnyttja de möjligheter som din data erbjuder.

- Som kund vill jag att detaljhandlare ska hjälpa mig i mitt nästa köpbeslut. De måste lära sig mina köpmönster och kombinera dessa med data från andra kunder. På så sätt är det möjligt att på ett djupare plan förstå vad vi vill ha. Den tjänsten och insikten förväntar jag mig som konsument. Många tror att det är svårt och komplicerat att arbeta med personifiering, men med en standardiserad molnlösning är det enkelt att komma igång, säger Thomas Widén.  

- Idag är säkerhet en trovärdighetsfråga och med GDPR runt hörnet tvingas detaljhandlare att ta integritet på allvar. Det är en viktig fråga som måste få lov att kosta. Mitt råd är att lyfta ut kostnaderna för säkerhet ur it-budgeten, så att du både ser och förstår dessa bitarna. Genom att gå i molnet är det också möjligt att undvika kostsamma internetuppkopplingar i dina butiker. Många detaljhandlare har köpt dyra WPN-tjänster mellan servrarna på huvudkontoret och butik, men genom att istället använda HTTPS-kommunikation är det möjligt att göra stora besparingar, tillägger Thomas Widén.

Rädslan för molnet är obefogad

Detaljhandeln präglas av en rädsla för molnet och det finns många myter som uppstod när tekniken introducerades. En vanlig missuppfattning är att molnet inte är säkert och att man kommer att förlora kontrollen över sin data.

- I molnets vagga fanns det ett visst fog för oro, men så är det inte längre. Molnet har förbättrats avsevärt sedan dess och utvecklas ständigt. Det är också vanligt att man missförstår kostnadsaspekten i tron om att det blir dyrare än att fortsätta med on-premises. Ofta beror det på att man inte har differentierat sina it-kostnader. Många ser heller inte besparingarna som massdrift kan bidra till, fortsätter Thomas Widén.

Samtidigt varnar retailexperten för vara alltför snabb med att hoppa på tjänster från olika molnleverantörer. Tänk på att du ska sätta upp och ta bort användare, något som kan bli kostsamt om du har för många system. Thomas Widén menar också att det är också viktigt att ha respekt för integrationsfrågan.

- Detaljhandlare har oftast många integrationer. Även om 99 procent av lösningsplattformen är modern och klarar av att kommunicera på ett bra sätt så riskerar du att den sista procenten utgör ett säkerhetshål. Mitt råd är att klassificera säkerhetsnivån för de olika integrationerna. Fråga dig själv vad som kan tas bort om du väljer en annan lösning. Se till att du får in detta i din TCO-kalkyl, säger Thomas Widén.

Gör en konsekvensanalys med riskbedömning

Innan du går i molnet är det viktigt att bestämma på vilken nivå du ska hantera säkerhetsfrågan och vad som ska ingå. För vissa detaljhandlare handlar det om säkert nät, medan andra menar att GDPR är ett fokusområde och för vissa är mobila appar till personalen i fokus.

- Gör en omfattande konsekvensanalys och bedöm riskerna med systemen. Du kan exempelvis arbeta med tre risknivåer: låg, medel eller hög. Lista upp mjuka aspekter såsom programvaror och individer. Så småningom listar du även de tekniska aspekterna. Med en prioriteringslista har du en plan att arbeta utefter. Tänk på att vissa saker kanske löser sig genom molnet, medan frågor som GDPR är strategiska, även om systemstöd för anonymisering av kunder finns på plats. Tänk också på att även molnet kräver backup, ha en plan för vad som händer om serverhallen strular, säger Thomas Widén.

Trygga säkerheten på sikt

Efter migreringen gäller det att upprätthålla säkerhetsnivån. Se till att alla enheter är anslutna till systemet, precis som de anställda. Säkerställ också att du har en överblick över alla enheter och individer som har tillgång till din data. Det är även viktigt att hålla systemen uppdaterade. En modern plattform har alltid testversioner, så att kan känna dig trygg med uppdateringarna.

- Håll koll på dina leverantörer, har de en tydlig strategi och arbetar de aktivt med säkerhet? Vi ser att denna frågan kommer att bli ännu tuffare framöver. När butiker går över till att använda wifi-drift innebär det högre sårbarhet, t.ex. riskerar kassasystem att bli mer utsatta för hackerförsök, säger Thomas Widén.

I samarbetet med partners är det viktigt att det finns en öppenhet och medvetenhet hos alla aktörer. Thomas Widén menar att man bör fokusera på att skapa ett gemensamt synsätt, eftersom säkerhetsnivån aldrig blir bättre än den svagaste länken. 

Riskerna med att vänta:

  • Dina kostnaderna ökar
  • Du går miste om funktionalitet som levereras i onlinetjänsterna
  • Du lyckas inte attrahera nya talanger som är vana vid moderna system 

Detta ska du tänka på inför molnresan:

  • Sätt GDPR på agendan
  • Gör en prioriteringslista
  • Skapa en tydlig plan med givna mål