Seks gode råd til dig, der vil gå i skyen

Selv efter at man har flyttet applikationer eller anden software i skyen, er det it-afdelingens ansvar at sørge for end-to-end-overvågning. Sådan lyder et ud af en række råd om at gå i skyen.

At gå i skyen eller at gå over til cloudservices udråbes af mange leverandører som porten til nærmest uendeligt mange fordele: billigere drift, intet besvær, ingen udgifter med at holde egen serverpark opdateret og hurtig adgang til at skalere sin kapacitet.

Men der er også risici - f.eks. i forhold til, hvor data reelt bliver opbevaret, når din cloudleverandør benytter sig af en underleverandør som igen benytter sig af en anden underleverandør - hvilket kan fortsætte helt ud i femte led.

Vi har samlet seks tips til dig, som overvejer at gå i skyen:

Tip 1: Kend din platform

Der er over 60 cloud-udbydere, som er godkendt under standarden fra den amerikanske administrationsstyrelse U.S. General Services Administration, kaldet Federal Risk and Authorization Management Program (FedRAMP). Godkendelsen sikrer, at normer inden for sikkerhedsvurdering, autorisation og løbende overvågning af cloud-produktet og -services overholdes.

Til trods for standardisering er cloudtilbuddene bestemt ikke ens. Hver udbyder har sin egen profil med tilbud lige fra software-as-a-service til platform-as-a-service og infrastruktur-as-a-service.

It-chefen skal først og fremmest fokusere på at vælge en platform, som it-afdelingen kan bruge med minimal oplæring og tilsyn.

Tip 2: Bevar din egen sikkerhed

FedRAMP's strenge sikkerhedsvurdering er et godt udgangspunkt for, at dine data beskyttes. Men det er stadig dig som it-chef, der har ansvaret for it-sikkerheden i din organisation. Derfor bør man tage yderligere skridt til at beskytte data.

Det indebærer kryptering og udrensning af følsomme personoplysninger. Også anonymisering af data er væsentlig at overveje. Der kan ifølge advokatfirmaet Kromann Reumert være mange årsager til, at en virksomhed ønsker at anonymisere persondata.

Eksempelvis hvis virksomheden er pålagt at publicere anonymiserede data, hvis virksomheden må videregive information til en tredjepart og ønsker at beskytte identiteten på de berørte, eller hvis virksomheden ønsker at frigive data for at være åben og transparent om egen virksomhed.

Bundlinjen er, at brug af sikkerhedsværktøjer til anonymisering er dit ansvar. Og sørg også for, at dit team er involveret, for at sikre, at løsningen lever op til både interne og eksterne sikkerhedspolitikker.

Tip 3: Gennemsku dine omkostninger

Omkostningsbesparelser er udråbt som en af de største fordele ved at overgå til cloud. Alligevel har en del kunder erfaret, at besparelserne ikke indfinder sig lige med det samme; andre oplever, at man ikke sparer penge på alle de lovede områder.

Der er mange skjulte omkostninger, når man migrerer til cloud:

Overvej udgifter til opkvalificering, når it-afdelingen skal til at styre og sikre et nyt miljø.

Der er også betydelige omkostninger forbundet med at migrere og flytte eksisterende applikationer i skyen; cloud-udbyderne bygger jo ikke nye applikationer til dig.

At flytte i skyen er ikke meget mindre krævende end at outsource sit datacenter til en tredjepart. Det tager tid, kræfter og penge at flytte data.

Det betyder ikke, at man ikke kan spare penge i det lange løb. Der kan i sidste ende være store besparelser, når systemerne er migreret, men det kan tage flere år at høste besparelserne.

Tip 4: Etabler en genopretningsplan

FedRAMP har udviklet en standardiseret metode til vurdering, autorisering og overvågning af cloud-produkter og tjenester, men ud over det kommer standarden til kort.

Også cloud-udbydere kan gå offline. Serviceudfald er dog sjældne, og de fleste kunder er vant til lejlighedsvise driftsforstyrrelser, selv når de er self-hosted. Sørg alligevel for at have en plan B i tilfælde af f.eks. strømafbrydelse.

Tilsvarende bør du vide, hvad din cloududbyder gør i tilfælde af et egentligt uheld eller en pludseligt opstået alvorlig hændelse. Kan udbyderen hjælpe dig med at genskabe tabte data? Dette bør være et af dine mest vigtige spørgsmål at få afklaret. Manglende mulighed for genoprettelse skal du ikke acceptere.

Tip 5: Analysér ydeevne og identificer problemer

Selv efter at man har flyttet applikationer eller anden software i skyen, er det stadig it-afdelingens ansvar at sørge for end-to-end-overvågning.

Hvis en app kører langsomt, skal it-afdelingen finde årsagen og løse det - eller sikre, at det bliver løst af cloud-udbyderen. Sørg for, at du har diskuteret ansvarsområder i detaljer med udbyderen, så du ikke pludselig havner i en situation, hvor der peges fingre, fordi noget går for langsomt.

Tip 6: Tjek om din leverandør overholder standarderne

BSI, British Standards Institution, har udviklet og ejer ISO 27000-standarden.

ISO 27000 er en it-sikkerhedstandard med to underliggende standarder: en forretnings-/procesrettet og en mere regulært it-rettet, nemlig ISO 27001. ISO 27001 er af den tidligere IT- og Telestyrelse valgt som afløser for DS484, som var krævet som mindsteniveau for it-sikkerhed i den offentlige sektor i Danmark.

Det er værd at undersøge, om udbyderen overholder disse kvalitetsstandarder.

ISAE står for international standard om andre erklæringsopgaver inden for sikkerhed, og nummer 3402 fastsætter standarder og giver vejledning om, hvordan serviceleverandørens revisor skal udføre sit arbejde og afgive erklæringer, herunder hvordan revisor opnår en høj grad af sikkerhed for, om serviceleverandørens beskrivelse af sit system er retvisende, om kontrollerne er hensigtsmæssigt udformet, og om kontrollerne har fungeret effektivt.

Et kontrolmål kan for eksempel være at begrænse adgang til systemer og data og dermed imødegå uautoriseret adgang hertil. Uden kontroller kan der være både stor sandsynlighed for og konsekvens ved uautoriseret adgang

Øvrige råd

  • Automatiser så meget som du kan.
  • Lad cloududbyderen gøre så meget arbejde som muligt, så du ikke behøver hverken at udvikle eller drifte.
  • Fokus dine kræfter på applikationer og tjenester i stedet for enkeltbrugere.
  • Og endelig: Fordi skyen frigør ressourcer til at se længere frem, end du har været i stand til tidligere, kan du fokusere på at lede de udviklinger, der er vigtigst. Det kan øge effektiviteten af din it-drift.

Kilder: GCN.com, Kromann Reumert, BDO.dk og KomplexIT

Kom gratis med til til landets største konference om datacenter- og cloudløsninger, Version2 Datacenter, som afholdes for fjerde år i træk.

For første gang, afholdes Version2 Datacenter i 2016 over 2 dage i Øksnehallens flotte omgivelser.

Version2 Datacenter er en konference med ca. 20 talere fra ind- og udland, og du kan derudover møde mange udstillere, som præsenterer deres bud på fremtidens datacenter- og cloudløsninger.

På konferencen kan du netværke med flere hundrede branchekollegaer med fokus på køb og drift af datacenter- og cloudløsninger. De to hovedspor på konferencen er infrastruktur- og cloudløsninger. Læs mere her

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Følg forløbet
Kommentarer (2)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
#1 Claus Bobjerg Juul

En 3402 erklæring har fokus på finansielle systemer, så hvis cloud leverandøren i praksis, har delt sine komponenter i to dele, hvor en del tager sig af finansielle systemer og en anden del tager sig af alt andet. Så siger en 3402 erklæring ikke noget om den anden del.

  • 0
  • 0
Log ind eller Opret konto for at kommentere