The Strategic CIO: The exit strategy game (part III)

Όπως λένε όλοι οι δικηγόροι καθώς και όλοι οι νομικοί κύκλοι, οι συμβάσεις υπάρχουν για τις κακές ημέρες. Οι καλές ημέρες δεν έχουν καμία ανάγκη καμίας σύμβασης για να τρέξουν και να λειτουργήσουν.

Αν την αναλύσεις αυτή την ιδέα, διαπιστώνεις εύκολα ότι η σύμβαση όχι μόνο σε σώζει την κακή ημέρα για τις διεκδικήσεις που πρέπει να έχεις για την εταιρεία σου, αλλά σου σώζει και τις διατμηματικές σχέσεις που πρέπει ένα CIO να έχει μέσα στην εταιρεία με την υπόλοιπη διοίκηση. Μια σύμβαση υποχρεώνει του πάντες να αποδεχτούν, να μελετήσουν, και κυρίως να βάλλουν την σφραγίδα τους στο τέλος ότι συναινούν στο κείμενο και έχουν κοινή αντίληψη. Μάλλον όλοι το έχουμε ζήσει. Τεράστιες online συμβάσεις με δύο κουμπιά στο τέλος. Ένα συμφωνώ / αποδέχομαι και ένα διαφωνώ / απορρίπτω. Γρήγορα όλοι κάνουμε scroll down και μόλις φτάσουμε κάτω στα κουμπιά, πατάμε το αποδέχομαι, για να προχωρήσουμε την διαδικασία και να ολοκληρώσουμε ότι θέλουμε. Αυτή δεν είναι η πρακτική; Εεεε φυσικά ναι. Τι διαβάσαμε; Τίποτα. Τι αποδεχτήκαμε; Ότι ήθελε να αποδεχτούμε η απέναντι πλευρά. Κάπως έτσι είναι και η σύμβαση του Cloud. Επειδή, το σύνηθες είναι ότι η σύμβαση θα έχει εξαιρετικά δυσκολονόητη ορολογία, θα προσπαθεί να καλύψει όλες τις πιθανές περιπτώσεις που κάπου εκεί ανάμεσα είναι και η επιλογή μας, θα κάνει αναφορά σε πολλές νομοθεσίες άλλων κρατών κλπ., προσπαθούμε όλοι να το αποφύγουμε και με ευκολία όλοι λέμε «συμφωνώ». Μέγιστο λοιπόν λάθος η ευκολία του ΝΑΙ και απίστευτο αγαθό και προνόμιο να την διαβάσεις, να την μελετήσεις, να διορθώσεις, να προσαρμόσεις και να πεις στο τέλος είτε ΝΑΙ είτε ΟΧΙ.

Εδώ λοιπόν είναι το πρόβλημα. Πρέπει στις συμβάσεις να μην υπάρχει η ευκολία του ΝΑΙ. Πρέπει να υπάρχει ο χρόνος και η γνώση να την διαβάσεις και να την μεταφράσεις σε όσα αφορούν την επόμενη ημέρα, τις υποχρεώσεις, τις απαιτήσεις, του χρόνους και τα deadlines, τα δικαιώματα που έχεις για αλλαγή και προσαρμογή και ότι άλλο πιθανότατα θα κληθείς στην πορεία να αντιμετωπίσεις. Ακόμα θα πρέπει να περιλαμβάνει το πώς θα πάρεις τα δεδομένα σου, δηλαδή το πώς, το πότε και σε τι μορφή…. Προσοχή. Μην πείτε ότι αυτό είναι εύκολο. Δυστυχώς δεν είναι εύκολο ούτε δεδομένο.

Tι πρέπει να κοιτάξουμε και να προσέξουμε
Αρχικά πρέπει να δούμε το ποιο βασικό. Σε περίπτωση που η υπόθεση θα πρέπει να οδηγηθεί σε μια δικαστική αίθουσα, που θα εκδικαστεί η υπόθεση, δηλαδή αν θα είναι στα δικαστήρια των Αθηνών ή αν είναι στα δικαστήρια της Νέας Υόρκης ή άλλης χώρας. Αυτό κάνει μια τεράστια διαφορά στο τι μπορεί να στοιχήσει μια εκδίκαση και πώς μπορείς να το υποστηρίξεις. Τα κόστη είναι τεράστια και δυσβάστακτα, πολύ δε περισσότερο αν δεν ξέρεις το νομικό σύστημα που ισχύει, την νομοθεσία την διαδικασία, τις χρεώσεις των νομικών γραφείων κλπ. Μπορεί πανεύκολα να ξεφύγει και να μην μπορεί να συγκρατηθεί από πουθενά. Αρά όλη η διοίκηση πρέπει να είναι πολύ συνειδητοποιημένη στο τι αποδέχεται και εκ των προτέρων να έχει αναζητήσει τι μπορεί να στοιχήσει μια πιθανή αντιδικία. Μην το ανακαλύψετε την ημέρα που θα πρέπει να γίνει η διεκδίκηση. Είμαι απόλυτα σίγουρος ότι αν δεν εμπλακεί η νομική υπηρεσία, τότε σε περίπτωση προβλήματος και διεκδίκησης, το πρόβλημα απλά δεν θα είναι επιλύσημο δικαστικά αφού το κόστος θα είναι απαγορευτικό για τα ελληνικά δεδομένα.

Σίγουρα μια σύμβαση θα πρέπει να περιλαμβάνει σαφέστατα τα down times, τη διάρκεια αυτών, την συχνότητα, τη διαδικασία επίλυσης, τον τρόπο ενημέρωσης της εξέλιξης κάθε προβλήματος, τον τρόπο επικοινωνίας και των δύο πλευρών, καθώς και όλων των εμπλεκόμενων στην υπηρεσία end to end, κλπ. Ας μην ξεχνάμε ποτέ, ότι όταν μεταφέρουμε συστήματα μας στο cloud, τότε μεταφέρουμε και την λειτουργία μας στα χέρια άλλων, που δεν τους ξέρουμε, δεν έχουμε το κινητό τους τηλέφωνο, δεν έχουμε την οικειότητα που θα είχαμε με τους δικούς μας μηχανικούς ή μάλλον το ορθό είναι, ότι δεν έχουμε καμία οικειότητα και καμία γνωριμία. Μιλάμε τυπικά, τεχνικά, με αποδείξεις και μετρήσεις και σε μεγαλύτερο πρόβλημα μιλάμε μόνο νομικά. Και αναμένουμε τα ίδια και φυσικά την επίλυση του όποιου προβλήματος. Επίσης θα πρέπει να ξέρουμε τι κάνουμε και το πως θα διαχειριστούμε ένα downtime που δεν οφείλετε στην απέναντι πλευρά, δεν είναι προγραμματισμένο, και δυστυχώς το έχουμε προκαλέσει εμείς… Οι δικοί μας μηχανικοί δηλαδή. Αυτό το πρόβλημα μπορεί να έχει πολλαπλές μεταφράσεις και δύσκολες και ακριβές επιλογές, γιατί παράλληλα θα πρέπει να έχουμε και ανθρώπους on prem για να διαχειριστούμε το όλο θέμα. Τι βλάβη έχει προκληθεί, αν είναι επιλύσημη, αν μπορούν να καταλάβουν τι θα λύσουν, αν απαιτεί να γίνει restore ένα backup, αν είναι το backup είναι διαθέσιμο και χρησιμοποιήσιμο, αν είναι το σωστό backup κλπ. Και όλα αυτά προϋποθέτουν ότι στην σύμβαση και στην συμφωνία έχει σχεδιαστεί και έχει συμφωνηθεί ένα σωστό backup plan που καλύπτει αυτές τις λεπτομέρειες. Μπορεί να σας πουν ότι τα δεδομένα είναι replicated και σε άλλα data centers.

Υπάρχουν λοιπόν περιπτώσεις που απλά το πρόβλημα στο ένα σύστημα γίνεται replicated και στα άλλα συστήματα. Δηλαδή το replication που σας έχουν υποσχεθεί και παραμετροποιήσει, θα έχει λειτουργήσει σε απόλυτα άψογο τρόπο, αλλά τότε μπορεί να έχετε με απόλυτα άψογο τρόπο και ένα replicated πρόβλημα. Θέλει πρόβλεψη και περιγραφή. Απλά και τίμια, γιατί απλά και τίμια μπορεί να μην δουλεύετε και είστε down.
Αν έχεις στόχο και σκοπό να αποζημιωθείς για κάθε πρόβλημα που θα προκύπτει με υπαιτιότητα της απέναντι πλευράς, τότε αυτό απαιτεί περιγραφή και όχι γενικότητες. Δεν θα πάρεις τίποτα αν δεν το έχεις περιγράψει σωστά καθώς επίσης αν αυτό δεν είναι μετρήσιμο με κοινά αποδεκτό τρόπο. Εκτός των προδιαγεγραμμένων, τίποτα άλλο δεν ισχύει.

Μεταφορά δεδομένων on premise
Δύσκολη άσκηση και γίνεται δυσκολότερη όταν η ανάγκη αυτή προκύψει μετά από μεγάλο χρονικό διάστημα που έχουν παραχθεί και έχουμε πλέον πολλά πολλά δεδομένα αποθηκευμένα στο cloud. Διαφορετικά μεταφέρεις μερικα΄giga και διαφορετικά μεταφέρεις μερικά tera. Η λογική εδώ, δεν πρέπει να την είναι ότι κάποια στιγμή θέλουμε ένα σετ δεδομένων και τις τοπικές μας εγκαταστάσεις. Η άσκηση εδώ, είναι όταν έχουν πάει όλα άσχημα, θέλουμε να φύγουμε (είτε on prem είτε σε άλλο πάροχο), οι εντάσεις υπάρχουν, οπότε και όχι φιλικό περιβάλλον λειτουργίας, οπότε θα πρέπει σε χρόνο μηδέν να πάρουμε τα δεδομένα μας, και να τα μεταφέρουμε σε ένα άλλο παραγωγικό και λειτουργικό περιβάλλον. Εδώ πρέπει να περιγραφεί όλη η διαδικασία, να έχουμε περιγράψει και ενδιάμεσες (σε καλούς καιρούς) ασκήσεις μετακίνησης δεδομένων σύμφωνα με την διαδικασία. Ακόμα και η επιβεβαίωση ότι το τα δεδομένα έχουν μεταφερθεί σωστά και ότι μπορεί η άσκηση να επαναληφθεί θα πρέπει να περιγράφεται. Μην αφήσετε τίποτα στην τύχη, διαφορετικά η ατυχία θα σας κτυπήσει την πόρτα.
Μέσα στην σύμβαση θα πρέπει να περιγράφονται και το που υπάρχουν τα δεδομένα μας, δηλαδή σε ποια data center, ελαίω GDPR και ασφάλειας αυτών, καθώς επίσης και το τι θα γίνει μετά την λύση της μεταξύ μας σύμβασης. Τα δεδομένα θα καταστραφούν ? Θα διατηρηθούν ? πως θα επιβεβαιωθεί αυτό? Άλλα σενάρια?

Τι γίνεται αν πρέπει να γίνουν audit? Ποιος τα κάνει, με ποια συχνότητα, ποια data center θα πρέπει να κοιταχθούν, με τι κόστος κλπ.. Το πιθανότερο σενάριο είναι να μην μπορούν να γίνουν, αλλά ας το μάθουμε και ας το συμφωνήσουμε. Αν μπορούν να γίνουν τότε να το περιγράψουμε. Αν δεν μπορούν να γίνουν λόγω κόστους και άλλων δυσκολιών, τότε και αυτό θα πρέπει να το ξέρουμε εκ των προτέρων, και όχι να ελπίζουμε σε audits που δεν θα έχουν ουσία.
Τέλος, τι θα γίνει αν δεν έχουμε πάει στους παρόχους της πρώτης γραμμής αλλά έχουμε επιλέξει λόγω κόστους, παρόχους μικρότερους και φθηνότερους που έχουν χώρους σε άλλους cloud παρόχους; Πως διασφαλίζουμε την βιωσιμότητα αυτών? Την ύπαρξη τους την ερχόμενη ημέρα? Βλέπετε ότι δεν υπάρχει κάποιος φορέας που να μας διασφαλίζει σε καμία των περιπτώσεων, οπότε οι συμβάσεις είναι ακόμα ποιο απαραίτητες και οι δεσμεύσεις ακόμα περισσότερες. Μην διστάσετε να τις διεκδικήσετε. Ότι περισσότερο συμφωνήσετε, για το δικό σας καλό θα είναι.

Όμως κάθε φορά που ανεβάζουμε το ύψος πτήσης στην εξασφάλιση μας, είμαι αρκετά σίγουρος ότι το σενάριο cloud θα γίνεται και ακριβότερο. Πολύ ακριβότερο, αν αρχίσουμε και βάζουμε λέξεις όπως security, connectivity που εμπλέκουν και άλλους παίχτες. Δεν θα πρέπει να παραλείψουμε να πούμε, ότι σε περιπτώσεις multi cloud solutions, οι συμβάσεις γίνονται ποιο δύσκολες και ποιο απαιτητικές. Όχι μόνο θα πρέπει να ορίζουν την λειτουργία με τον ένα πάροχο, αλλά θα πρέπει να περιγράφουν και τον τρόπο λειτουργίας όλων και των εξαρτήσεων που υπάρχουν. Μια τέτοια άσκηση θέλει προετοιμασία πολλών μηνών με πολύ καλή οργάνωση και πολύ καλές και μελετημένες τοποθετήσεις. Κάθε γκρι περιοχή, η θέμα που δεν θα περιγράφεται σίγουρα θα επιφέρει σοβαρούς προβληματισμούς και προβλήματα.

Εν κατακλείδι
Η άσκηση είναι πολύ δύσκολη και σίγουρα απαιτεί καλή γνώση της νομικής επιστήμης, κατανόηση, και αντίληψη του ρίσκου που αποδέχεσαι. Μην ζητάς τα ρέστα μετά, αλλά θα πρέπει να ξέρεις τι έχεις να λάβεις και πώς. Η νομική υπηρεσία, και ίσως και με υποστήριξη νομικών που έχουν καλύτερη γνώση του αντικειμένου, θα πρέπει να είναι παρούσα σε όλη αυτή την διαδικασία μέχρι και την τελική υπογραφή και να διασφαλίσουν ότι όλη η διοίκηση ξέρει και έχει κατανοήσει τι υπογράφει και τι περιμένει και ποιο θα είναι το ρίσκο και το κέρδος. Ποιοι άλλοι πρέπει να εμπλακούν; Όλοι όσοι, θα φωνάξουν σε ένα πρόβλημα διαθεσιμότητας συστημάτων και εύκολα θα δείξουν τον CIO και την πληροφορική. Όπως έχω ήδη πει και σε προηγούμενα μου άρθρα, όταν ανεβαίνεις στο cloud, όλοι πρέπει να είναι γνώστες της κάθε παραμέτρου και να είναι aligned.