Η μείωση του λειτουργικού κόστους που υπόσχονται οι τεχνολογίες cloud είναι ιδιαίτερα ελκυστική στην τρέχουσα οικονομική συγκυρία. Συνυπολογίζοντας και τα οφέλη, το cloud φαίνεται ότι θα αποτελεί δικαίως προτεραιότητα του IT για τα επόμενα χρόνια

Είναι, όμως, όλα ιδανικά στο cloud; Σύμφωνα με την Παγκόσμια Ερευνα της PWC για την Ασφάλεια Πληροφοριών 20131,  στην Ελλάδα είμαστε ακόμη δύσπιστοι ως προς την ασφάλεια των επιχειρησιακών λειτουργιών στο cloud, με βασικές ανησυχίες την ικανότητα των παρόχων να εφαρμόζουν ορθά τις πολιτικές ασφαλείας και να δρουν στο εκάστοτε κανονιστικό πλαίσιο, στο οποίο υπόκεινται. Η δυσπιστία των επιχειρήσεων είναι βάσιμη, εφόσον η ίδια έρευνα κατέδειξε ότι τους τελευταίους 12 μήνες στην Ελλάδα το 27% των επιχειρήσεων αντιμετώπισαν 1-2 περιστατικά ασφαλείας, ενώ το 11% περισσότερα από τρία αντίστοιχα περιστατικά.

Μερικά παραδείγματα των κινδύνων που μπορεί να εμπεριέχει το cloud computing για μια επιχείρηση περιλαμβάνουν:
 Τη λάθος επιλογή παρόχου. Η οργάνωση του εκάστοτε παρόχου, η μεθοδολογία και οι αρχιτεκτονικές που εφαρμόζει, η κουλτούρα και οι πολιτικές του ως προς το cloud, αποτελούν χαρακτηριστικά που θα πρέπει να μελετηθούν εις βάθος. Επιπλέον, στοιχεία όπως η αξιοπιστία, η προηγούμενη εμπειρία, καθώς και η βιωσιμότητά του είναι απαραίτητα, με σημαντικότερο, ίσως, την εμπειρία.
• Οι μεγάλοι πάροχοι υπηρεσιών Public Cloud επιτυγχάνουν οικονομίες κλίμακας μέσω τεράστιων shared multitenant υποδομών. Σε αυτή την περίπτωση, απαιτείται η υλοποίηση εξελιγμένων λύσεων ασφαλείας, ώστε να εξασφαλίζεται η ακεραιότητα και ο ασφαλής διαχωρισμός των δεδομένων ανά πελάτη.
• Η συμμόρφωση με συγκεκριμένα πρότυπα, κανονισμούς και νόμους που υπάρχουν σε διαφορετικές γεωγραφικές περιοχές, αποτελεί πρόκληση για τους παρόχους. Η κατάλληλη νομική συμβουλευτική είναι απαραίτητη, ώστε να καταρτιστεί συγκεκριμένο πλαίσιο ευθυνών, τόσο για τον πάροχο, όσο και για την επιχείρηση.
• Μετά από μερική ή ολική καταστροφή, υπάρχει πιθανότητα τα δεδομένα να μην είναι εύκολα προσβάσιμα. Για την περίπτωση αυτή θα πρέπει να έχει σχεδιαστεί και τεθεί σε εφαρμογή σχέδιο Επιχειρησιακής Συνέχειας (Business Continuity) και Ανάκτησης Δεδομένων (Disaster Recovery), με διαθέσιμα αντίγραφα ασφαλείας και άμεση ανάκτηση, με συγκεκριμένο χρόνο αποκατάστασης.

Το Service Level Agreement, ως ο σύνδεσμος που καθορίζει τη σχέση μεταξύ της επιχείρησης και του παρόχου, είναι ένα από τα πιο αποτελεσματικά εργαλεία που μπορεί να χρησιμοποιήσει μια επιχείρηση για να διασφαλίσει την επιθυμητή προστασία των δεδομένων που εμπιστεύεται στο cloud. Ολες οι απαιτήσεις που αφορούν στη διαχείριση, χρήση, αποθήκευση και διαθεσιμότητα των δεδομένων, καθώς και οι απαιτήσεις επιχειρησιακής συνέχειας, πρέπει να περιγράφονται ξεκάθαρα σε αυτό. Επιπλέον, μια επιχείρηση, πριν την οριστική συμφωνία με κάποιο πάροχο, θα πρέπει να έχει καταγράψει και κατατάξει τα δεδομένα της ανάλογα με το πόσο ευαίσθητα ή/και κρίσιμα είναι.

Η διαδικασία αυτή θα αποτελέσει τη βάση σύνταξης του SLA, ώστε αυτό να συμπεριλαμβάνει ανάγκες κρυπτογράφησης δεδομένων κατά τη μετάδοση και την αποθήκευσή τους, αλλά και πρόσθετους ελέγχους για ευαίσθητα και ιδιαίτερης αξίας δεδομένα. Οπως προκύπτει από έρευνα του οργανισμού ISACA2, σε ένα περιβάλλον cloud η προστασία των δεδομένων αποτελεί μια από τις μεγαλύτερες προκλήσεις. Ο ίδιος οργανισμός, αποφαίνεται ότι η προστασία των δεδομένων προκύπτει ως αποτέλεσμα ενός ισχυρού και ολοκληρωμένου Service Level Agreement, που υποστηρίζεται από μια εξίσου ολοκληρωμένη διαδικασία διασφάλισης των δεδομένων.

Πηγές:
1. Παγκόσμια Μελέτη της PWC για την Ασφάλεια των Πληροφοριών 2013
2. Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives, a White Paper by ISACA