Säkerhet i molnet enligt Microsoft

Microsoft har släppt en tredje paper om informationssäkerheten för infrastrukturen till Microsofts molntjänster. Den här handlar om informationssäkerhetsstyrningen, och hur denna är anpassad för att efterleva standarder som ISO27001, SOX och PCI DSS.

Det här är bra gjort av Microsoft. Genom att öppet publicera hur de sköter säkerheten får Microsoft flera positiva effekter:

• För kunder som verkligen är intresserade av informationssäkerhet finns informationen tillgänglig
• Publik granskning medger att Microsoft kan få in kvalificerade frågor och förbättringsförslag
  
• Signaler sänds om hur seriöst Microsoft ser på informationssäkerhet i sina molntjänster
• Signaler sänds om att Microsoft är så pass bra på informationssäkerheten att de inte har något att dölja.
  

Ett par mindre negativa effekter kan dock också tänkas:

• "The Bad Guys" kan hitta luckor utifrån det publicerade materialet, eller använda sig av det på annat sätt, så som social engineering eller att välja ett annat angrepssätt. MEN, "The Bad Guys" är sannolikt endast ett fåtal och jobbar oftast på andra sätt.
  
• Fokus kan riktas mot den oro som redan finns kring informationssäkerheten i molnet. MEN, den oron har ofta redan nått sådan omfattning att den ändå inte kan tigas ihjäl.

Det är inte alltid som situationen är så fördelaktig för att vara öppen med sitt säkerhetsarbete, men i det här fallet är det klockrent.

Update: En kollega till mig på Cybercom påminde oss i veckan om att vissa av de här molntjänsterna är väldigt tillgängliga för amerikansk underrättelsetjänst. Rekommendationen är fortfarande att inte lägga ut någon som helst information i utländska moln om ditt bolag konkurrerar med stora kommersiella intressen. Oavsett hur bra säkerhet de har i övrigt renderas den null and void när administratören glatt hjälper till att kopiera ut all information.