Få bevis på ISO 27001 og bliv klogere på cloud-sikkerhed

Denne blogs modervirksomhed, PACTOR A/S, har gennem længere tid samarbejdet med BSI, British Standards Institution, som er ophav til og ejer af bl.a. ISO 27000-standarden, om at udbyde undervisning og afholde eksamen i ISO 27001 i Danmark.

ISO 27000 er en it-sikkerhedstandard med to underliggende standarder, en forretnings-/procesrettet og en mere regulært it-rettet, nemlig ISO 27001. Netop ISO 27001 blev af den nu hedengangne IT- og Telestyrelsen valgt som afløser for DS484 som krævet mindsteniveau for it-sikkerheden i det offentlige i Danmark.

Grunden til, at dette er særligt relevant i cloud-sammenhæng er, at det normale to-dages kursus er blevet udvidet med ½ dag om cloud computing-sikkerhed – både om lovgivningen, der skal iagttages, og om de muligheder og udfordringer, cloud computing giver på it-sikkerhedsområdet.

Her er der altså anledning til at blive klædt på om ISO 27001, endda med eksamensbevis, og i tillæg få opdateret viden om cloud-sikkerhed.

Læs mere om kurset her: http://pactor.dk/?page_id=518

Så skete det umulige: Amazons cloudservices gik ned – i 4 dage!

Først vantro, så bestyrtelse, så resignation – og endelig: eftertanke. Det var de følelser, mange gennemløb ved nyheden om, at Amazons cloud services gik ned – ikke bare 1 time eller 1 dag, men reelt fire dage for nogle af kunderne… Nedbruddet ramte bl.a. EC2, der er en af verdens mest brugte og mest udbyggede cloud hostingløsninger for standard servere, men også f.eks. elastic block storage blev ramt.

Heldigvis for de iblandt os, der anvender Amazon i andre verdensdele, skete nedbruddet alene i et single availability center på østkysten af USA – men det gør ikke nedbruddet mindre kritisk for Amazon – faktisk nok tvært imod: østkysten er USAs administrative centrum og på mange måder også det forretningsmæssige center.

Først kom der ikke noget ud om nedbruddet. Så kom der nogle ret lakoniske meddelelser på nettet. Men så – da det hele var overstået – udgav Amazon en veritabel redegørelse for nedbruddet. Ud over at være et uhyre interessant dokument for teknikere, der synes, det er sjovt at læse om, hvordan en relativt banal opgradering af noget netværksudstyr, kunne få hele balladen til at ramle, er det også godt tænkt af Amazons pr-folk.

Læs mere »

Interessante links, februar 2011

Informationer kommer og (sjældnere) går på internettet, og samtidig er der ofte en ‘sidste holdbarhedsdato’ for informationernes relevans, der kun sjældent står mål med, hvor længe, informationerne ligger tilgængeligt. Derfor er denne lille oversigt over nogle relevante links da også dateret allerede i overskriften – går der mange måneder herfra, før du ser oversigten, kan det meget vel være, der er andre og mere relevante links, du skal lede efter…

Læs mere »

Ny udtalelse fra Datarådet om Google Apps

Hvor ER det ironisk… Præcis som vi i går den 3. februar 2011 står og taler om, hvor meget, vi længes efter yderligere udtalelser fra Datatilsynet om anvendelsen af cloud-services som f.eks. Google Apps, sender lige præcist Datatilsynet endnu et svar til Odense Kommune i forbindelse med kommunens ønske om netop at bruge Google Apps til en række administrative og informative aktiviteter indenfor skolevæsenet i kommunen…

Er vi så kommet videre med Datatilsynets udtalelse? Både-og, ser det ud til. Datatilsynet har en række indvendinger imod måden, Odense Kommune påtænker at opfylde kravene i persondataloven og sikkerhedsbekendtgørelsen på. Nogle af indvendingerne er lidt ærgerlige, fordi det kunne have været imødekommet fra kommunens side ved lidt bedre forberedelse. Men der rejses også mere principielle spørgsmål om f.eks. overførsel af data til tredjepart uden for EU/EØS og andre sikre lande.

Læs mere »

Indlæg om cloud-sikkerhed 3. februar 2011

Torsdag den 3. februar 2011 havde jeg fornøjelsen af at holde oplæg på et meget velbesøgt breakfastclub-møde, arrangeret af ComputerWorld. Temaet for mødet var cloud computing-sikkerhed, og oplægsholderne repræsenterede nogle af de stærkeste ‘brands’ i branchen: Google, Symantec, IBM og Microsoft – og så lige CloudWatch.dk…

Læs mere »

Forudsigelser om cloud computing i 2011 – for dummies?

Forfatteren bag “Virtualization for Dummies”, Bernard Golden, publicerede på cio.com for en lille måned siden sine forudsigelser om cloud computing i 2011. De tåler nok en behandling også her.

Han deler sine forudsigelser i to dele: leverandørsiden og kundesiden.

Leverandørsiden

1. Cloud computing-leverandørerne vil fortsætte med at vokse – hvorefter markedet vil ‘implodere’ med hensyn til antal leverandører. Dette begrunder han i, at rigtigt mange virksomheder pt. arbejder på at etablere infrastruktur og serviceplatforme, der ikke nødvendigvis vil være afsætning for på bare mellemlangt sigt. Med andre ord: den gammelkendte konsolidering af et marked.

2. Markedet for cloud services vil gradvist blive segmenteret i kraft af kundernes valg. Golden bruger som eksempel, at markedet pt. tror, at infrastructure-as-a-service er den oplagte service at sælge ind til små og mellemstore virksomheder. Dette vil markedet i flg. Golden opdage, ikke er tilfældet på grund af de it-kompetencer, det kræver at benytte IaaS frem for f.eks. SaaS. Derfor vil de små og mellemstore virksomheder (og organisationer) snarere fokusere på at købe de rette softwarebaserede serviceydelser til deres virksomhed.

Læs mere »

Så kom den: SKIs nye rammeaftale om ASP og Cloud-computing (02.19) er landet

Et stort tillykke til SKI. De har ikke haft det let de seneste måneder: et stærkt kritiseret it-konsulentudbud, et standset managementkonsulentudbud, problemer med kommunerne, der ikke vil bruge SKI (eller lave udbud), en fyret/flygtet direktion og mange andre udfordringer…

Men nu er 02.19 landet: ASP og Cloud Computing, hvoraf clouding (ca. 1/3) er et helt nyt område. Du kan læse mere her i SKIs pressemeddelelse fra i dag.

Den samlede leverandørliste rummer ikke mange overraskelser. Hvad der måske overrasker, er imidlertid hvor kort, listen med leverandører, der også ‘kan’ cloud services, faktisk er:

  • CSC Danmark A/S
  • KMD A/S
  • Logica Danmark A/S
  • Rambøll Informatik A/S
  • Cabo Communications A/S
  • Atea A/S
  • Microsoft
  • TDC Hosting A/S
  • Infoba ApS
  • SAC IT 

Vi følger op en af dagene med et nærmere kig på, hvad de enkelte leverandører tilbyder indenfor cloud services. Men indtil videre: et stort tillykke til cloud hungrende danske offentlige virksomheder; så er det bare at komme igang – så vi kan få dokumenteret, om forretningsmodellen holder, og om virkeligheden kan stå mål med forventningerne!

Betyder cloud computing demokrati i it-beslutningsprocessen?

I går havde jeg fornøjelsen af at deltage i OVUMs (Butler Groups) Master Class om cloud computing. Meget godt kan man sige om OVUMs meget pragmatiske og afslappede tilgang til dette super-hypede begreb. På den anden side er de slet ikke blinde for de forretningsmæssige gevinster, der kan være i teknologien. Nok om det for nu.

Men ét budskab, der virkelig overraskede mig, var idéen om, at cloud computing er med til at demokratisere beslutningsprocesserne på it-området i virksomheder og organisationer. Pointen er, at fordi det er så nemt at ‘shoppe’ it-løsninger i skyen, bliver it-afdelingerne tvunget til at lytte til brugernes behov og indrette it-investeringerne efter demokratiske principper. Vel vidende, at demokrati også af og til indebærer endeløs palawer, beslutningsprocesser udstrukket ad infinitum og uklare mandater.

Parallelen er til den gang, pc’erne kom på markedet. Først ville it-afdelingerne ikke røre ved dem. Det var noget slutbrugerfims, som ville gå over, og så ville brugerne vende tilbage til de gode og trofaste mainframes og grønne eller gule bogstaver på sort baggrund (eller omvendt). Og sådan gik det som bekendt ikke. Da det var så let for brugerne, f.eks. i form af enkeltstående forretningsenheder, selv at skaffe udstyr, gjorde de det bare, og så blev it-afdelingen gradvist tvunget til at engagere sig.

Og således også med cloud computing: fordi en hvilken som helst forretningsenhed, projektgruppe – ja, engageret udvikler, selv kan shoppe en virtuel server på Amazon, en udviklingsplatform på Azure eller en applikation hos … nå ja, en anden leverandør med A, så er it-afdelingen nødt til at lytte til deres ønsker og behov, hvis de fortsat vil spille en rolle i forbindelse med it-beslutningsprocesserne.

Tankevækkende – meget tankevækkende. Vi lader idéen stå et øjeblik – og kommenterer den muligvis selv senere. Hvis der er nogen, der har en tanke, er den naturligvis velkommen!

Danmark – det sikreste sted til cloud services i verden …?

Transparency.org – en organisation, der bekæmper korruption i hele verden – publicerede for nyligt korruptionsindexet for 2010. Danmark ligger på en flot førsteplads med 9,3 ud af 10 som score. Pladsen deler vi med Singapore og New Zealand – ikke noget dårligt selskab.

Det får John Pescatore fra Gartner til at spørge, om det også betyder, at de sikreste cloud services findes her, altså i Danmark, New Zealand og Singapore? Men hvis man kigger på de internationale udbydere af cloud services, er det jo ikke lige i de lande, de har valgt at lægge deres services… Ser vi bare på de lande indenfor EU, som huser de internationale cloududbyderes driftcentre, finder vi Irland på en 14.-plads på Transparency.com’s liste med en score på 8,0, mens Holland ligger som nummer 7 med en score på 8,8.

OK, hverken Irland eller Holland scorer dårligt, og faktisk ligger de som nogle af de højest scorende indenfor EU. Men Johns pointe er, at hvis vi ser ‘world wide’, er der mange lande på listen med bekymrende lave scores, der faktisk er populære steder til cloud data centre, og da cloud services pr. definition er globale, er kundernes sikkerhed for sikker opbevaring af data nu og i fremtiden ikke højere, end sikkerheden er i det mest usikre af de lande, en leverandør anvender. “Det svageste led i kæden” er også aktuel her…

Dette understreger betydningen af, at kunder, for hvem det er vitalt, at data omgæres med en høj grad af sikkerhed mod uautoriseret adgang, får lavet solide aftaler om dataopbevaring i alle led af systemernes og datas livscykler. Se blot på Italien, der ligger som nr. 67 med en score på 3,9. Eller Grækenland, der er nr. 78 med sølle 3,5. Ville det være lykken at have sine data opbevaret i et land, hvor korruption er så meget mere sandsynlig, end i f.eks. Danmark?

Men se så her: CSC bygger deres driftscenter i Valby om til et cloud-center for hele Norden. OK, CSC er ikke en af sværvægterne eller frontløberne indenfor cloud computing, men de er bestemt med i den tunge ende, og falder talen på traditionel hosting er de mega. Måske kan dette være CSCs vej tilbage i kampen efter de mange tyngende skandaleprojekter og datterselskabernes dårlige regnskaber? Og måske kan de med en sådan satsning være med til at bane vej for mere public cloud computing af den sikre slags i andedammen selv – lille Danmark?

Nye kompetencer i it-afdelingen med private clouds

I en artikel i cio.com i sidste uge redegør it-chefen hos EMC for, hvilke nye eller ændrede kompetencer, der skal til i en it-afdeling, der implementerer private cloud computing. EMC har vel at mærke også en massiv direkte interesse i cloud computing, jf. deres produktkatalog, men alligevel har den gode Sanjay Mirchandani fat i noget interessant.

Meget af det ‘nye’ kommer dog ikke så meget fra introduktionen af cloud computing, som fra den omsiggribende virtualiseringsbølje:

It-afdelingens teknikere skal have en meget dyb og måske dybere end i dag forståelse for de områder, de arbejder med. Lad os tage en dba’er: Det vil være typisk, at flere forskellige (typer af) applikationer anvender samme databaseteknologi. Men i en ikke-virtualiseret verden kan man relativt let tilegne sig viden om, hvordan databasen og dens underliggende server bedst trimmes til denne eller hin applikation.

I en virtualiseret verden lægges virtualiseringssoftwaren i sig selv ind som en betydeligt komplicerende faktor, for hvordan trimmer man f.eks. en Oracle-database til at yde optimalt i et VM-ware-miljø, når VM-waren kører direkte på ‘jernet’, på et Linux/Unix-operativsystem, på Windows Server eller andre varianter? Det er nu ikke længere blot et spørgsmål om, hvordan forretningsapplikationen (og middlewaren) spiller sammen med databasen, og hvordan databasen spiller sammen med hardwaren. Nu er det også nødvendigt at se på, hvordan databasen spiller sammen med virtualiseringssoftwaren, og hvordan samspillet mellem virtualiseringssoftware og hardware påvirker databasen.

Kobler man så forretningsmodellen fra cloud computing på, hvor leverandøren (altså it-afdelingen) ikke nødvendigvis ved i detaljer, hvad deres it-platform anvendes til, hvordan kan du så udstille, drifte og vedligeholde en databaseservice, der er optimeret på tværs af mulige forretningsapplikationer, mulige anvendelsesformer og mulige udbredelsesgrader?

Samtidig skal it-afdelingens teknikere være langt bedre end det ofte er tilfældet i dag til at se på tværs af løsningsarkitekturen. OK, det er ikke unormalt, at hvis performance i et system er dårlig, så skal der kigges på tværs, men ‘misdæderen’ er ofte én eller nogle få komponenter i stakken, der ikke er trimmet til at spille sammen med de øvrige. Men hvad så, når alt 1) er virtualiseret, og 2) er leveret i en black box til slutbrugeren i form af en private cloud?

PACTOR løser for tiden opgaver for en kunde i et meget stort projekt, hvor de it-mæssige komplikationer nærmest ingen ende tager. Lige nu står vi med seriøse performanceudfordringer i et stærkt virtualiseret miljø, hvor hver enkelt komponent ser ud til at være trimmet optimalt i sin egen ret, men hvor vi arbejder med en stadigt stigende fornemmelse af, at sameksistensen mellem virtualiserede servere med lige præcist dét operativsystem på lige præcist dén virtualiseringsplatform og lige præcist dén type SAN-konfigurering bare ikke spiller. Den slags skal en it-afdeling, der ønsker at køre private cloud computing i stor stil, være klædt på til at tackle.

Den sidste ændrede kompetence, jeg vil omtale her, er den forretningsrettede. Jo, det har de sidste mange år heddet, at it-strategien skulle tage afsæt i forretningsstrategien, og at it-chefens ‘bedste venner’ og hyppigste frokostpartnere skal være forretningscheferne. Men nu skal it-chefen oven i hatten også kunne tilrettelægge den cloud platform, han/hun ønsker at udstille i sin private cloud, så den kan understøtte forretningen optimalt – herunder forretningens behov for fleksibilitet i ydelserne og spændvidde i ydelsesbilledet.

Med andre ord skal it-chefen ikke alene kunne forstå forretningens behov og vurdere, hvordan de bedst understøttes it-mæssigt, men også have et klart billede af, hvordan denne it-mæssige understøttelse bedst understøttes af en fælles, tværgående, virtualiseret infrastruktur – en private cloud. Velbekomme!

Dansette