Οι υπηρεσίες και γενικότερα οι υποδομές cloud υπόσχονται μια σειρά από οφέλη που περιλαμβάνουν τη μετατροπή του πάγιου κόστους σε λειτουργικό, τη γενικότερη μείωση του κόστους των λειτουργικών δαπανών, μεγαλύτερη ευελιξία, τυποποίηση στην παροχή υπηρεσιών, βελτίωση της ικανοποίησης των χρηστών και ανταγωνιστικό πλεονέκτημα μέσω της βελτιστοποίησης χρήσης της τεχνολογίας. Η κατανόηση των κινδύνων είναι εξίσου σημαντική με την κατανόηση του πώς το cloud θα βοηθήσει τον εκάστοτε Οργανισμό και χρήζουν αποτελεσματικής διαχείρισης και όχι κάποιας θεωρητικής προσέγγισης.
Προσδιορισμός των υπηρεσιών Cloud
Το cloud computing είναι ένα μοντέλο παροχής υπηρεσιών πληροφορικής, στο οποίο ο τελικός χρήστης μπορεί με εύκολο τρόπο να κάνει χρήση υποδομών και υπηρεσιών, χωρίς να χρειάζεται να επενδύσει σε πληροφοριακή υποδομή και κάθε λογής πόρους. Η υποδομή και οι υπηρεσίες προσαρμόζονται στις ανάγκες του με τρόπο σχεδόν αυτοματοποιημένο, ενώ η πρόσβαση και η διαχείριση των υπηρεσιών που του προσφέρονται, γίνονται μέσω του διαδικτύου.
Συγκεκριμένα, το cloud αφορά στη χρήση πλήθους προσφερόμενων δικτυακών υπηρεσιών, εφαρμογών, πληροφοριών και υποδομών πληροφοριακών συστημάτων, οι οποίες υλοποιούνται κάνοντας χρήση ισχυρών υποδομών πληροφοριακών συστημάτων, δικτύου και τεχνολογιών αποθήκευσης & επεξεργασίας δεδομένων.
Όλα τα παραπάνω προσαρμόζονται απόλυτα και γρήγορα στις ανάγκες του τελικού χρήστη. Ο τελικός χρήστης, ο οποίος δεν χρειάζεται να επενδύσει σε υποδομή και πόρους, μπορεί να κάνει χρήση των προσφερόμενων υπηρεσιών – υποδομών, ανάλογα με τις εκάστοτε ανάγκες του, τόσο σε ό,τι αφορά στο χρόνο χρήσης των υπηρεσιών, αλλά και στους πόρους που απαιτούνται για την κάλυψη των αναγκών του (on-demand).
Τα κύρια χαρακτηριστικά των υποδομών cloud είναι τα ακόλουθα:
- Οι υπηρεσίες προσφέρονται στον τελικό χρήστη για όσο χρονικό διάστημα επιθυμεί, χωρίς την παρέμβαση ή την εμπλοκή του παρόχου της υποδομής Cloud (On-demand self-service).
- Οι υπηρεσίες είναι προσβάσιμες μέσω (δια) δικτύου και είναι ανεξάρτητες από οποιαδήποτε άλλη υπολογιστική πλατφόρμα χρησιμοποιεί ο τελικός χρήστης (broadband network access).
- Συγκέντρωση μεγάλου αριθμού και ισχύος υπολογιστικών συστημάτων, τα οποία χρησιμοποιούνται για την κάλυψη των αναγκών πολλών πελατών ταυτόχρονα (resource pooling).
- Άμεση προσαρμογή στις ανάγκες του τελικού χρήστη. Οι πόροι που χρησιμοποιούνται για την παροχή των υπηρεσιών μπορούν να αναβαθμιστούν σχεδόν αυτόματα, προκειμένου να καλύψουν τις απαιτήσεις των πελατών (rapid elasticity).
- Η χρήση των πληροφοριακών πόρων μπορεί να βελτιστοποιηθεί, κάνοντας χρήση μοντέλων χρέωσης των υπηρεσιών ανάλογα με τη χρήση τους (measured service).
Τρόποι παροχής υπηρεσιών και υλοποίησή τους
Υπάρχουν τρία βασικά μοντέλα παροχής υπηρεσιών και το καθένα αντιπροσωπεύει διαφορετικό επίπεδο συμμετοχής του παρόχου των υπηρεσιών Cloud στο επιχειρηματικό και λειτουργικό μοντέλο του εκάστοτε Οργανισμού:
- Infrastructure as a Service – Στο συγκεκριμένο μοντέλο ο πάροχος διαθέτει στον εκάστοτε Οργανισμό τη βασική υποδομή των πληροφοριακών συστημάτων που χρειάζεται (συστήματα, δικτυακή υποδομή, συστήματα αποθήκευσης δεδομένων). Όσον αφορά στα λειτουργικά συστήματα και τις εφαρμογές, αυτά αποτελούν ευθύνη του χρήστη της υπηρεσίας και όχι του πάροχου.
- Platform as a Service – Στο μοντέλο αυτό, ο πάροχος διαθέτει στον εκάστοτε Οργανισμό τόσο τις υπολογιστικές υποδομές που χρειάζεται, καθώς και πλατφόρμες ανάπτυξης εφαρμογών στις οποίες οι χρήστες μπορούν να αναπτύξουν τις δικές τους εφαρμογές. Αυτό σημαίνει ότι ο πάροχος της υπηρεσίας είναι σε θέση να υποστηρίξει εργαλεία ανάπτυξης προγραμματισμού, βιβλιοθήκες, και υπηρεσίες.
- Software as a Service – Οι Οργανισμοί – χρήστες της υπηρεσίας, κάνουν χρήση τόσο των παρεχόμενων πληροφοριακών υποδομών όσο και των εφαρμογών, η χρήση των οποίων παρέχεται με τη μορφή υπηρεσίας.
Σε κάθε ένα από τα παραπάνω μοντέλα παροχής υπηρεσιών μέσω υποδομών cloud, οι χρήστες δεν οικειοποιούνται, διαχειρίζονται ή ελέγχουν την παρεχόμενη υποδομή. Μπορούν ωστόσο να έχουν (περιορισμένο) έλεγχο σε επίπεδο λειτουργικού συστήματος και εφαρμογών. Οι υποδομές cloud μπορούν να υλοποιηθούν με διάφορους τρόπους – είτε πρόκειται να λειτουργήσουν εσωτερικά ενός Οργανισμού είτε πρόκειται να χρησιμοποιηθούν από πάροχο σχετικών υπηρεσιών με σκοπό την κάλυψη των αναγκών πολλαπλών πελατών.
Οι υποδομές Cloud στις περισσότερες περιπτώσεις υλοποιούνται με κάποιον από τους παρακάτω τρόπους:
- Public Cloud – Η υποδομή προσφέρει υπηρεσίες στο ευρύ κοινό. Έχει αναπτυχθεί στο πλαίσιο της υποδομής ενός παρόχου υπηρεσιών Cloud και λειτουργεί εκτός των εταιρικών πληροφοριακών υποδομών των εκάστοτε χρηστών της.
- Community Cloud – Η υποδομή cloud προορίζεται για αποκλειστική χρήση από συγκεκριμένες ομάδες χρηστών ή Οργανισμών (π.χ. κάθετες βιομηχανίες, σχολεία, ερευνητές, προγραμματιστές λογισμικού) που έχουν κοινές απαιτήσεις και αντικείμενο εργασίας. Οι εν λόγω υποδομές μπορεί να υλοποιηθούν εντός ενός Οργανισμού ή στο πλαίσιο της υποδομής ενός παρόχου υπηρεσιών (outsourcing).
- Private Cloud – Η υποδομή μπορεί να χρησιμοποιηθεί από ένα και μόνο Οργανισμό (πελάτη). Οι εν λόγω υποδομές μπορεί να υλοποιηθούν εντός ενός Οργανισμού ή στο πλαίσιο της υποδομής ενός παρόχου υπηρεσιών.
- Hybrid Cloud – Η υποδομή αποτελεί σύνθεση των παραπάνω τρόπων υλοποίησης. Κάθε τρόπος υλοποίησης λειτουργεί σαν μία ξεχωριστή υποδομή του ίδιου παρόχου υπηρεσιών cloud.
Οι υπηρεσίες και γενικότερα οι υποδομές cloud υπόσχονται μια σειρά από οφέλη που περιλαμβάνουν τη μετατροπή του πάγιου κόστους σε λειτουργικό, τη γενικότερη μείωση του κόστους των λειτουργικών δαπανών, μεγαλύτερη ευελιξία, τυποποίηση στην παροχή υπηρεσιών, βελτίωση της ικανοποίησης των χρηστών και ανταγωνιστικό πλεονέκτημα μέσω της βελτιστοποίησης χρήσης της τεχνολογίας. Να σημειώσουμε ότι μερικά από αυτά τα οφέλη είναι αρκετά υποκειμενικά και ως εκ τούτου είναι δύσκολο να μεταφραστούν σε αριθμούς ή να μετρηθούν σε οικονομικά μεγέθη.
Τα επιχειρηματικά οφέλη του cloud computing
Να αναλύσουμε κάποια από τα επιχειρηματικά οφέλη των υπηρεσιών – υποδομών cloud, έτσι ώστε να κατανοήσουμε πού στοχεύει η κάποιες φορές υπέρμετρη, κουραστική και επαναλαμβανόμενη φιλολογία περί cloud. Αν και η υπόσχεση της εξοικονόμησης χρημάτων είναι ένα πολύ ελκυστικό δέλεαρ σε ό,τι αφορά στο cloud, ίσως το μεγαλύτερο όφελος για τις επιχειρήσεις να αφορά στον εξορθολογισμό των επιχειρηματικών διαδικασιών και στην απελευθέρωση πόρων με σκοπό την αύξηση της καινοτομίας. Το cloud, υπό συνθήκες, συνεισφέρει στην αύξηση της παραγωγικότητας μέσω του εξορθολογισμού των επιχειρηματικών διαδικασιών με τη χρήση της κατάλληλης τεχνολογίας. Τα συγκεκριμένα οφέλη ίσως να ήταν απαγορευτικά δίχως το cloud, λόγω του αυξημένου κόστους αγοράς και συντήρησης της απαιτούμενης υποδομής.
Οι Οργανισμοί μπορούν να εστιάσουν στις βασικές επιχειρηματικές τους δραστηριότητες, χωρίς να ανησυχούν για τη διαχείριση της πληροφοριακής τους υποδομής. Η άμεση επίλυση τεχνολογικών θεμάτων όπως η απόδοση των συστημάτων, η αξιοπιστία των back ups, η άμεση επεκτασιμότητα και η ικανοποίηση των τελικών χρηστών, είναι λίγα μόνο από τα ελκυστικά οφέλη του cloud.
Μερικά από τα βασικά πλεονεκτήματα της χρήσης υπηρεσιών μέσω cloud είναι τα ακόλουθα:
Έλεγχος & συγκράτηση του κόστους – Το cloud προσφέρει στις επιχειρήσεις τη δυνατότητα κλιμάκωσης των πληροφοριακών πόρων που χρησιμοποιούν, χωρίς προηγούμενη οικονομική δέσμευση, σε αντίθεση με την αγορά και συντήρηση των πληροφοριακών υποδομών. Η χρήση των υπηρεσιών cloud απαιτεί ελάχιστη έως μηδενική προηγούμενη δαπάνη. Υπηρεσίες και τεχνολογία αποθήκευσης και επεξεργασίας των δεδομένων είναι διαθέσιμες ανάλογα με τη ζήτηση και τις ανάγκες των χρηστών τους και η κοστολόγησή τους γίνεται ανάλογα με το χρόνο χρήσης του. Με το cloud επιτυγχάνεται επιπλέον μείωση κόστους, από την άποψη της σπατάλης πόρων που δεν χρησιμοποιούνται. Οι επιχειρήσεις δεν ξοδεύουν χρήματα για πληροφοριακούς πόρους που δεν χρησιμοποιούν (για παράδειγμα, αγορά επιπλέον αποθηκευτικού χώρου) και μπορούν να διαθέσουν χρήματα και πόρους σε νέες τεχνολογίες και υπηρεσίες. Όμως, επειδή η πραγματικότητα δεν είναι ίδια για κάθε τύπο επιχείρησης ή Οργανισμό, θα πρέπει να προηγηθεί η άσκηση του υπολογισμού των υφιστάμενων δαπανών που απαιτούνται για την αγορά και διαχείριση των πληροφοριακών πόρων, αλλά και το συνολικό κόστος κτίσης τους και να συγκριθεί με τις δαπάνες που απαιτούνται για τις ίδιες υπηρεσίες μέσω cloud.
Αμεσότητα – Η αμεσότητα στην παροχή υπηρεσιών αποτελεί ένα από τα πλεονεκτήματα το οποίο χρησιμοποιήθηκε κατά κόρον στα πρώτα βήματα προώθησης των υπηρεσιών cloud. Η δυνατότητα των υπηρεσιών cloud να παρέχουν στον τελικό χρήστη άμεσα το επιθυμητό αποτέλεσμα, σε αντίθεση με τα παραδοσιακά έργα πληροφορικής τα οποία διαρκούν κάποιες εβδομάδες ή και μήνες προκειμένου να ολοκληρωθούν. Η αμεσότητα έχει σημαντικότατα οφέλη που αφορούν στην ευελιξία των επιχειρήσεων και τη μείωση του κόστους που συνδέεται με χρονικές καθυστερήσεις.
Διαθεσιμότητα – Οι πάροχοι υποδομών – υπηρεσιών Cloud διαθέτουν υποδομές οι οποίες υλοποιούν όλες εκείνες τις τεχνικές και διαχειριστικές δικλείδες, με σκοπό την αυξημένη διαθεσιμότητα υποδομών και υπηρεσιών. Παρ’ όλη την επιβεβαίωση των παρόχων υπηρεσιών cloud σε σχέση με το επίπεδο διαθεσιμότητας που παρέχουν, οι χρήστες των υπηρεσιών χρειάζεται να εξασφαλίσουν τη δυνατότητα λειτουργίας τους σε περιπτώσεις σοβαρής διακοπής της παροχής των υπηρεσιών.
Επεκτασιμότητα – Οι υπηρεσίες μέσω cloud προσφέρουν αυξημένη ευελιξία και επεκτασιμότητα ανάλογη των απαιτήσεων των πελατών τους. Οι πελάτες χρησιμοποιούν την υπολογιστική ισχύ που τους χρειάζεται και ανάλογα με τις ανάγκες τους ζητούν αύξηση ή μείωση αυτής, με την αντίστοιχη χρέωση.
Αποδοτικότητα – Η εναπόθεση όλων των καθημερινών διαχειριστικών εργασιών των πληροφοριακών πόρων σε παρόχους υπηρεσιών cloud, δίνει την ευκαιρία στους Οργανισμούς να επικεντρωθούν σε νέες τεχνολογίες, σε έρευνα και ανάπτυξη ή απλούστερα να επικεντρωθεί η επιχείρηση στους βασικούς της στόχους και επιδιώξεις και όχι σε ζητήματα υποστήριξης της καθημερινής της λειτουργίας.
Ανθεκτικότητα – Εκτός από την αυξημένη διαθεσιμότητα, οι πάροχοι υπηρεσιών cloud διαθέτουν τεχνολογικές και διαχειριστικές μεθόδους συνέχισης παροχής των υπηρεσιών τους, ακόμα και σε περιπτώσεις καταστροφής ή μερικής απώλειας των πληροφοριακών τους πόρων από φυσική ή άλλη αιτία.
Από τα παραπάνω γίνεται αντιληπτό ότι οι υπηρεσίες cloud έχουν υλοποιηθεί γύρω από τη φιλοσοφία ότι αναλαμβάνουν μέρος της διαχείρισης πληροφοριών και πληροφοριακών πόρων ενός Οργανισμού, με σκοπό την εξοικονόμηση πόρων οι οποίοι θα επικεντρωθούν στη βελτίωση των εταιρικών διαδικασιών και στην αύξηση της παραγωγικότητας, ενώ παράλληλα ο πάροχος των υπηρεσιών cloud θα διαχειρίζεται μέρος της επιχειρησιακής δραστηριότητας εξυπνότερα, γρηγορότερα και φθηνότερα.
Εάν αποδεχθούμε τη συγκεκριμένη θέση, τότε χρειάζεται επίσης να ξέρουμε ότι προκειμένου να γευτούμε τα οφέλη των υπηρεσιών cloud, χρειάζονται αλλαγές στις επιχειρηματικές διαδικασίες έτσι ώστε να εκμεταλλευτούν τα όποια οφέλη.
Κίνδυνοι & απειλές ασφάλειας
Τα χαρακτηριστικά του cloud είναι τόσο οι τεράστιες ευκαιρίες που προσφέρει, καθώς και οι κίνδυνοι που το συνοδεύουν. Μερικοί από τους κινδύνους ήδη υπάρχουν. Με τη χρήση του cloud οι επιπτώσεις τους αυξάνονται και ταυτόχρονα νέοι κίνδυνοι εμφανίζονται. Η κατανόηση των κινδύνων είναι εξίσου σημαντική με την κατανόηση του πώς το cloud θα βοηθήσει τον εκάστοτε Οργανισμό.
Ο προσδιορισμός και η αποτίμηση των κινδύνων είναι διαφορετικά για κάθε Οργανισμό και εξαρτώνται από το μοντέλο cloud που θα επιλέξει να χρησιμοποιήσει. Σε μεγάλο βαθμό οι κίνδυνοι εξαρτώνται και από τον τρόπο υλοποίησης του cloud. Εάν δηλαδή πρόκειται για εσωτερική υποδομή ή για την υποδομή ενός παρόχου υπηρεσιών cloud. Το δεύτερο σενάριο είναι λογικό να έχει και τη μεγαλύτερη επικινδυνότητα.
Οι κίνδυνοι που αφορούν στο cloud εξαρτώνται και από την τεχνική αρχιτεκτονική, η οποία θα ακολουθηθεί για την υλοποίηση της εκάστοτε υποδομής.
Παρόλα αυτά, υπάρχουν ορισμένες κατηγορίες κινδύνων οι οποίες αποτελούν σημείο αναφοράς σε όλους τους τρόπους παροχής υπηρεσιών cloud.
Πιστοποίηση ταυτότητας – Ένα από τα κρίσιμα θέματα που αφορούν στη χρήση υπηρεσιών μέσω του διαδικτύου είναι η πιστοποίηση της ταυτότητας των χρηστών. Ενώ η τεχνολογία που αφορά στην πιστοποίηση της ταυτότητας των χρηστών έχει βελτιωθεί με την πάροδο του χρόνου, εξακολουθούν να υπάρχουν σοβαροί κίνδυνοι πλαστοπροσωπίας στο χώρο του διαδικτύου. Είναι πολλές οι περιπτώσεις όπου επιτυχημένες επιθέσεις μη εξουσιοδοτημένης πρόσβασης και υποκλοπής / διαστρέβλωσης δεδομένων, έχουν ξεκινήσει από αδυναμίες των σχημάτων πιστοποίησης ταυτότητας ή από πλαστοπροσωπία. Στην περίπτωση όπου πολλές και κρίσιμες επιχειρηματικές πληροφορίες βρίσκονται σε υποδομές cloud, τότε η πιστοποίηση ταυτότητας αποτελεί ένα από τα σημαντικότερα θέματα που χρειάζεται να διαχειριστούμε.
Προστασία της ιδιωτικότητας και ασφάλειας των δεδομένων – Ο έλεγχος των δεδομένων από τους παρόχους υπηρεσιών είναι ένα θέμα που η συζήτησή του κρατάει πολλά χρόνια και μάλλον έχει κουράσει, μιας και οι όποιες λύσεις δίνονται (θεσμικά και τεχνικά) είτε δεν εφαρμόζονται είτε δεν λύνουν το πρόβλημα. Στην περίπτωση του cloud, εκτός από τις τεχνικές, διαχειριστικές και συμβατικές δικλείδες ασφάλειας χρειάζεται στενή συνεργασία μεταξύ παρόχου και πελάτη. Χρειάζεται οι πελάτες να διαμορφώνουν τις δικές τους απαιτήσεις ανάλογα με την κρισιμότητα των δεδομένων και να κατοχυρώνουν συμβατικά το δικαίωμά τους για έλεγχο των υποδομών των εκάστοτε παρόχων, σχετικά με το προσφερόμενο επίπεδο ασφάλειας πληροφοριών. Σε κάθε περίπτωση, οι εναπομείναντες κίνδυνοι απώλειας δεδομένων στο διαδίκτυο παραμένουν σε υψηλά επίπεδα.
Διασύνδεση με συστήματα στο εσωτερικό του Οργανισμού – Οι περισσότεροι Οργανισμοί είτε δεν χρειάζεται είτε δεν είναι έτοιμοι να χρησιμοποιήσουν υπηρεσίες cloud για το σύνολο των πληροφοριακών τους υποδομών. Υπάρχουν περιπτώσεις όπου απαιτείται η επικοινωνία συστημάτων τα οποία λειτουργούν στο εσωτερικό ενός Οργανισμού, με συστήματα και υπηρεσίες που βρίσκονται στο cloud. Η πολυπλοκότητα των ενδο-εταιρικών εφαρμογών και η δημιουργία διεπαφών και επικοινωνίας μεταξύ διαφορετικών εφαρμογών και τεχνολογιών, αυξάνει τους κινδύνους έκθεσης των δεδομένων.
Διαθεσιμότητα Συστημάτων & Υπηρεσιών – Τα πληροφοριακά συστήματα και οι εφαρμογές αποτελούν πλέον μέρος του παραγωγικού γίγνεσθαι ενός Οργανισμού, καθώς και εργαλείο υλοποίησης της στρατηγικής του. Ως εκ τούτου, η αδιάλειπτη λειτουργία και η διαθεσιμότητα των πληροφορικών πόρων είναι σημαντική. Η διαθεσιμότητα των συστημάτων αυτών πρέπει να είναι σχεδόν εγγυημένη. Αυτό σημαίνει επιπλέον διαδικασίες ανάκαμψης των πληροφοριακών πόρων, αξιόπιστα αντίγραφα ασφάλειας και δοκιμές ανάκτησης συστημάτων και εφαρμογών.
Τα παραπάνω αυξάνουν το κόστος διαχείρισης των πληροφοριακών πόρων. Το γεγονός αυτό αποτελεί και ένα σημείο στο οποίο ο πάροχος υπηρεσιών cloud μπορεί να εφαρμόσει οικονομίες κλίμακας, μιας και μπορεί να εξυπηρετήσει τις ανάγκες πολλών και διαφορετικών πελατών χρησιμοποιώντας κοινή αρχιτεκτονική αυξημένης διαθεσιμότητας και αδιάλειπτης λειτουργίας.
Επιχειρηματική συνέχεια – Σημαντικά ερωτήματα προκύπτουν από τον κίνδυνο αδυναμίας παροχής των υπηρεσιών που συμφωνήθηκαν από το πάροχο των υπηρεσιών cloud. Δεν αναφερόμαστε σε περιπτώσεις προσωρινής απώλειας της διαθεσιμότητας των υπηρεσιών και των δεδομένων, αλλά σε περιπτώσεις ολοκληρωτικής αδυναμίας παροχής των υπηρεσιών ή και απώλειας των εταιρικών δεδομένων.
Αρκεί να αναρωτηθούμε τι θα συμβεί εάν ο πάροχος των υπηρεσιών δεν υφίσταται αύριο. Τότε, η οικονομική και λειτουργική βιωσιμότητα του παρόχου υπηρεσιών cloud έρχεται στο προσκήνιο.
Προσθέστε σε αυτό το γεγονός της εγκληματικότητας που είναι σε έξαρση στον κυβερνοχώρο, αλλά και ότι πολλές από τις υποδομές παροχής των υπηρεσιών cloud λειτουργούν σε χώρες αυξημένου κινδύνου λόγω πολιτικών και οικονομικών αναταραχών. Τέτοιου είδους κίνδυνοι έχουν μεγαλύτερη επίπτωση σε περιπτώσεις όπου όλη – ή το σημαντικότερο μέρος της πληροφοριακής υποδομής ενός Οργανισμού – λειτουργεί μέσω υπηρεσιών cloud.
Κυριότητα των δεδομένων και άλλα νομικά ζητήματα – Στις περιπτώσεις όπου μεγάλο μέρος των πληροφοριακών πόρων εξαρτάται από τον πάροχο των υπηρεσιών cloud, προκύπτουν διάφορα ερωτήματα. Για παράδειγμα, ποιος είναι ο πραγματικός κάτοχος των δεδομένων; Πώς μπορούμε να πάρουμε τα δεδομένα μας στην περίπτωση όπου ο πάροχος των υπηρεσιών cloud πάψει να υφίσταται; Ποια θα είναι η νομική δικαιοδοσία στην περίπτωση διαφορών και διαφωνιών; Σε ποιον ανήκουν εφαρμογές που θα αναπτυχθούν; Ποιος είναι υπεύθυνος για παραβιάσεις της ασφάλειας των δεδομένων; Οι νομικές επιπλοκές μπορούν να αποτελέσουν σοβαρή τροχοπέδη για μια επιχείρηση – και θα μπορούσαν ενδεχομένως να οδηγήσουν σε διακοπή της συνέχειας των επιχειρηματικών της δραστηριοτήτων.
Αντιμετώπιση των κινδύνων Cloud
Οι παραπάνω κίνδυνοι καθώς και όποιους άλλους έχει προσδιορίσει ο κάθε Οργανισμός, χρήζουν ανάγκη αποτελεσματικής διαχείρισης και όχι κάποιας θεωρητικής προσέγγισης. Υπάρχει ανάγκη θέσπισης και υλοποίησης ενός αποτελεσματικού προγράμματος διαχείρισης των κινδύνων, το οποίο θα εξελίσσεται όπως εξελίσσονται και οι κίνδυνοι που αφορούν στο cloud.
Σε ένα περιβάλλον όπου η προστασία της ιδιωτικότητας έχει καταστεί ύψιστης σημασίας για τους χρήστες των υπηρεσιών cloud, η μη εξουσιοδοτημένη πρόσβαση σε δεδομένα που βρίσκονται στο cloud αποτελεί σημαντικό κίνδυνο.
Η συμβατική συμφωνία με τον πάροχο υπηρεσιών cloud αποτελεί ένα από τα ισχυρά εργαλεία για την προστασία των πληροφοριών ενός Οργανισμού. Προηγουμένως χρειάζεται να έχει διενεργηθεί η καταγραφή και ταξινόμηση των εταιρικών πληροφοριών, ανάλογα με την κρισιμότητά τους. Αυτό θα βοηθήσει κατά την επισύναψη της συμφωνίας, προκειμένου να απαιτηθεί η εφαρμογή των κατάλληλων δικλείδων ασφαλείας κατά την αποθήκευση, διαχείριση και επικοινωνία των επιχειρηματικών πληροφοριών.
Επίσης, πρέπει να αναφέρονται με σαφήνεια οι απαιτήσεις που αφορούν στην ασφάλεια των πληροφοριών αλλά και στις απαιτήσεις ελέγχου του Πάροχου για το επίπεδο ασφάλειας που προσφέρει. Επιπλέον, οι απαιτήσεις για τη συνέχεια της επιχειρηματικής δραστηριότητας και την αντιμετώπιση καταστροφών θα πρέπει να αποτελέσουν μέρος της συμφωνίας.
Log off…
Το μοντέλο υπηρεσιών cloud μπορεί να αποδώσει αποτελεσματικά μόνο στην περίπτωση όπου ο Οργανισμός – πελάτης των υπηρεσιών είναι σε θέση να διαχειριστεί τους κινδύνους που συνεπάγονται από τη χρήση των εν λόγω υπηρεσιών. Ταυτόχρονα χρειάζεται η ανάλογη προετοιμασία εσωτερικά του Οργανισμού, προκειμένου να ενσωματώσει αποτελεσματικά το νέο μοντέλο χρήσης και διαχείρισης των πληροφοριακών του πόρων.
Το cloud δεν είναι κάτι από το οποίο θα ξεφύγουμε σύντομα. Είναι η μετάλλαξη των μεγάλων data centers και η εξέλιξη των υπηρεσιών outsourcing.
Παραπομπές
. Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives, [ISACA Emerging Technology White Paper]
. NIST Cloud Computing, Security Reference Architecture [Publication 500-299]
. The NIST Definition of Cloud Computing [Publication 800-145]
. Security Guidance for Critical Areas of Focus in Cloud Computing [Cloud Security Alliance]
. Risk Landscape of Cloud Computing [ISACA, Vasant Raval, CISA, DBA]
Του Νότη Ηλιόπουλου
Msc Infosec, ISO 27001 LA, CISA, CISM
piliopou@me.com