Η μετάβαση στο cloud σπάνια αποτελεί μια κίνηση τύπου «όλα ή τίποτα». Επιλέξτε προσεκτικά το τι θα ανεβάσετε στο cloud, κατανοήσετε πλήρως τους κινδύνους που ενέχει κάθε επιλογή και καταλήξτε στο σωστό SLA.

Οι περισσότεροι CEOs ήδη γνωρίζουν αρκετά σχετικά με τα δυνητικά οφέλη και κινδύνους των υπηρεσιών cloud. Αρκεί να θυμηθούν τον όρο application service provider (ASP) από την περίοδο του 2000.

Ακόμη και τότε, το κόστος, η ευελιξία και η υπόσχεση κατάργησης μέρους της υποδομής Πληροφορικής της επιχείρησης αποτελούσαν τα βασικά επιχειρήματα υπέρ των λύσεων ASP. Ηταν η ίδια εποχή που έμπαινε στο λεξικό μας ο όρος Service level agreements (SLAs) και γεννιόταν η έννοια του information security.

Παράλληλα, ένας από τους κεντρικούς προβληματισμούς ήταν το κατά πόσο ήταν θεμιτή η παράδοση του ελέγχου των κρίσιμων εφαρμογών στον προμηθευτή. Αν και αυτός ο προβληματισμός πάει μάλλον ακόμα πιο πίσω και έχει τις ρίζες του στα μέσα της δεκαετίας του ’80, με την άνοδο των συμφωνιών outsourcing.

Ας επιστρέψουμε τώρα στο 2012, σε ένα περιβάλλον που χαρακτηρίζεται από:
• το public cloud (υποδομή διαθέσιμη στο ευρύ κοινό)
• το private cloud (υποδομή διαθέσιμη σε συγκεκριμένους πελάτες)
• το hybrid cloud (ένα συνδυασμό public και private cloud)
• και τα διάφορα μοντέλα υπηρεσιών cloud: software as a service (SaaS), platform as a service (PaaS) και infrastructure as a service (IaaS).

Οι εμπλεκόμενες τεχνολογίες (όπως για παράδειγμα το virtualization) έχουν εξελιχθεί αλλά, σε τελική ανάλυση, το private cloud παραμένει ένα απομακρυσμένο data center και το SaaS είναι μια εξέλιξη του ASP. Με κάποιες μικρές εξαιρέσεις, η σημερινή συζήτηση μεταξύ ενός CEO και ενός CIO σχετικά με κάποια συγκεκριμένη υπηρεσία cloud δεν θα πρέπει να είναι και τόσο διαφορετική από μια αντίστοιχη συζήτηση του για μια λύση ASP το 2000. Δεν υπάρχει κανένας λόγος να επανεφεύρετε τον τροχό προκειμένου να βοηθήσετε τον CEO σας να κατανοήσει τον επιχειρηματικό αντίκτυπο της λύσης που του προτείνετε.

Αν και θα πρέπει σαφώς να χρησιμοποιήσετε ένα τυποποιημένο πλαίσιο για την αξιολόγηση της κάθε υπηρεσίας cloud που σκέφτεστε να χρησιμοποιήσετε, κάθε επιμέρους αξιολόγηση θα είναι εξ ορισμού διαφορετική από τις υπόλοιπες. Αλλο το email, άλλο το ERP και άλλο το CRM. Είτε η εταιρεία σας δραστηριοποιείται σε κλάδο που υπάγεται σε αυστηρό κανονιστικό πλαίσιο, είτε όχι, θα πρέπει να είστε ιδιαίτερα προσεκτικοί στην επιλογή μιας συγκεκριμένης υπηρεσίας cloud.

Η επιλογή αυτή θα πρέπει να πραγματοποιείται σε τρία βήματα:
1. κατανόηση όλων των παραμέτρων της υφιστάμενης λύσης
2. διενέργεια ενδελεχούς έρευνας (τεχνολογικής, οργανωτικής και οικονομικής) της υποψήφιας υπηρεσίας/παρόχου και
3. μετρίαση του κινδύνου μέσω της διαπραγμάτευσης μέτρων προστασίας στο SLA και με τη λήψη προληπτικών μέτρων ανεξαρτήτως αυτού.


Αποτιμήστε την ασφάλεια της πληροφορίας
Η κατανόηση όλων των παραμέτρων της υφιστάμενης λύσης μοιάζει προφανής, αλλά η σημασία της δεν μπορεί να τονιστεί αρκετά. Αναλογιστείτε την ασφάλεια της πληροφορίας, η οποία και συνεχίζει να αντιμετωπίζεται σαν ένα από τα μεγαλύτερα εμπόδια στην υιοθέτηση των υπηρεσιών cloud.

Η ελάχιστη απαίτηση από μια αξιολόγηση δεν αφορά μόνο το ποια μέτρα λαμβάνετε για την προστασία της υποδομής Πληροφορικής της επιχείρησης, αλλά και το πόσο καλά εφαρμόζονται τα συγκεκριμένα μέτρα. Η ενδελεχής έρευνα αποτελεί μια σαφώς πιο σύνθετη δραστηριότητα. Αν και συνήθως δεν χρειάζεται ένα RFP (request for proposal), θα πρέπει κανείς να φροντίζει να κατανοεί πραγματικά εάν μια υπηρεσία cloud αποτελεί πραγματικά μια σύνθετη υπηρεσία που συνδυάζει τις υπηρεσίες άλλων παρόχων και να ζητά το σωστό SLA.

Η εταιρεία σας θα πρέπει να κατανοεί πλήρως το πώς αντιμετωπίζει ο προμηθευτής το θέμα της ασφάλειας των δεδομένων και της πληροφορίας και να έχει γνώση των εργαλείων που χρησιμοποιεί, του ιστορικού των παραβιάσεων και των αιτίων αυτών καθώς και τη διαθεσιμότητά του να σας βοηθήσει να προσαρμοστείτε σε κανονιστικές ρυθμίσεις.

Διεκδικήστε το σωστό SLA
Οταν επιλέγετε έναν πάροχο υπηρεσιών cloud, είναι σημαντικό να εξετάσετε την οικονομική του σταθερότητα και την οργανωτική του εμπειρία στη λειτουργία ενός data center ή στην παροχή hosted (cloud) υπηρεσιών. Τα αποτελέσματα της έρευνας αυτής θα πρέπει να σας καθοδηγήσουν στον τρόπο με τον οποίο θα διαπραγματευτείτε το συμβόλαιό σας. Το συμφωνητικό των υπηρεσιών cloud αποτελεί ένα σύνθετο θέμα.

Πολλές από τις συμφωνίες αυτές δεν είναι διαπραγματεύσιμες οπότε και θα πρέπει να δίνετε ιδιαίτερη προσοχή όσον αφορά τις κρίσιμες εφαρμογές και τα ευαίσθητα δεδομένα που θα εμπιστευτείτε σε έναν προμηθευτή υπηρεσίας cloud. Εάν ασκήσετε κάποια πίεση, οι περισσότεροι προμηθευτές θα αφήσουν κάποια περιθώρια για διαπραγμάτευση. Οι προσπάθειές σας θα πρέπει να εστιάζουν σε ολόκληρο τον κύκλο ζωής των δεδομένων.

Ανάμεσα στα σημεία που θα πρέπει να περιλαμβάνονται στο συμφωνητικό σας είναι και τα παρακάτω:
• Τα δεδομένα των πελατών σας ανήκουν στην εταιρεία σας και θα πρέπει να αντιμετωπίζονται σαν εμπιστευτική πληροφορία.
• Διευκρινίσεις σχετικά με το πού θα αποθηκεύονται τα δεδομένα, σε τι είδους επεξεργασία θα υπόκεινται και για πόσο χρόνο θα διατηρούνται.
• Διαβεβαίωση ότι τα δεδομένα θα είναι άμεσα διαθέσιμα στην εταιρεία σας κατόπιν σχετικού αιτήματος, ανεξάρτητα από το αν υπάρχει κάποια διαφωνία μεταξύ των δύο μερών ή αν εκκρεμεί κάποια πληρωμή.
• Διασφάλιση της προθυμίας του προμηθευτή υπηρεσιών cloud να συνεργαστεί με την εταιρεία σας και με τυχόν νέους προμηθευτές για το migration των δεδομένων όταν λήξει το συμβόλαιο.
• Καθορισμό της συχνότητας των backup και της τιμολόγησης για επιπρόσθετα backup και αποθηκευτικές ανάγκες.

Θα πρέπει να δίνεται ιδιαίτερη προσοχή στη λεπτομερή καταγραφή των πρακτικών ασφαλείας του προμηθευτή και της διαπραγμάτευσης του ρόλου του προμηθευτή στην υπεράσπιση της εταιρείας, σε περίπτωση που προκύψει κάποια καταγγελία εκ μέρους τρίτου (για παράδειγμα, από πελάτη της εταιρείας σας) για παραβίαση δεδομένων.

Μια σημαντική παράμετρος της διαχείρισης κινδύνου είναι και η ασφάλιση, συμπεριλαμβανομένης μιας πολιτικής τύπου «no-fault» για παραβιάσεις ασφαλείας και στην οποία η εταιρεία σας θα πρέπει να κατονομάζεται ως επιπρόσθετος ασφαλιζόμενος. Οσον αφορά την πνευματική ιδιοκτησία, υπάρχει -όπως και στην περίπτωση του παραδοσιακού on-site deployment-, η πιθανότητα να πραγματοποιηθεί καταγγελία από τρίτο.


Μετρίαση του κινδύνου
Ακόμα και αν το συμφωνητικό σας με τον πάροχο υπηρεσιών cloud δεν είναι διαπραγματεύσιμο (ή είναι ελάχιστα διαπραγματεύσιμο), υπάρχουν κάποια μέτρα που μπορούν να ληφθούν για τη μείωση του κινδύνου.

Για παράδειγμα, εάν ο προμηθευτής δεν συμφωνήσει να δώσει κάποιες εγγυήσεις όσον αφορά την ασφάλεια της πληροφορίας, τότε το έργο θα πρέπει να πάρει δομή τέτοια που όλη η προσωπική ή ευαίσθητη πληροφορία δεν θα περάσει στον προμηθευτή.

Επίσης, κάποιες βασικές καλές πρακτικές σε επίπεδο διαχείρισης συστημάτων Πληροφορικής μπορούν να βοηθήσουν στη μετρίαση του κινδύνου. Εγκαταστήστε, για παράδειγμα, λογισμικό antivirus σε όλες τις φορητές συσκευές, σε laptops και σε desktops που έχουν πρόσβαση σε μια συγκεκριμένη υπηρεσία cloud μέσω Web browser ώστε να μειώσετε την πιθανότητα μιας παραβίασης ασφαλείας. Δημιουργήστε και δευτερεύουσες συνδέσεις με το Internet.

Καταρτίστε εκ των προτέρων ένα πλάνο δράσης σε περίπτωση παραβίασης ασφαλείας. Δημιουργήστε ένα σχέδιο εκτάκτου λειτουργίας σε περίπτωση που προκύψει διακοπή της υπηρεσίας cloud διάρκειας μεγαλύτερης από εκείνη που προβλέπεται στο SLA.Η μετάβαση στο cloud σπάνια αποτελεί μια κίνηση τύπου όλα ή τίποτα. Η επιχείρηση μπορεί να ξεκινήσει με μια εφαρμογή που δεν είναι κρίσιμη για τη λειτουργία της και να αναπτύξει σταδιακά το redundancy.

Σαν ενδιάμεσο βήμα, η επιχείρηση μπορεί επίσης να δοκιμάσει μια λύση private cloud πριν να περάσει ορισμένες εφαρμογές στο public cloud. Αυτό που θα πρέπει να κάνετε είναι να κατανοήσετε τους κινδύνους που ενέχει κάθε επιλογή και να προβείτε στον αντίστοιχο σχεδιασμό.

Cloud Computing Conference
Hands-on Cloud: Cloud transition in practice

Tρίτη 24 Απριλίου 2012, Αθήνα
Βρείτε απαντήσεις σε όλα τα κρίσιμα, πρακτικά ερωτήματα που αφορούν τη διαμόρφωση του δικού σας cloud στο φετινό Cloud Computing Conference.
Επιστρατεύοντας διεθνείς experts, συγκεντρώνοντας επιτυχημένα case studies και αναλύοντας τις βέλτιστες πρακτικές, το συνέδριο αυτό θα σας βοηθήσει να αναπτύξετε το δικό σας business case για το Cloud Computing.

Περισσότερες πληροφορίες σχετικά με το συνέδριο στο www.cloudforum.gr.