Kategori: Clouds til det offentlige

Få bevis på ISO 27001 og bliv klogere på cloud-sikkerhed

Denne blogs modervirksomhed, PACTOR A/S, har gennem længere tid samarbejdet med BSI, British Standards Institution, som er ophav til og ejer af bl.a. ISO 27000-standarden, om at udbyde undervisning og afholde eksamen i ISO 27001 i Danmark.

ISO 27000 er en it-sikkerhedstandard med to underliggende standarder, en forretnings-/procesrettet og en mere regulært it-rettet, nemlig ISO 27001. Netop ISO 27001 blev af den nu hedengangne IT- og Telestyrelsen valgt som afløser for DS484 som krævet mindsteniveau for it-sikkerheden i det offentlige i Danmark.

Grunden til, at dette er særligt relevant i cloud-sammenhæng er, at det normale to-dages kursus er blevet udvidet med ½ dag om cloud computing-sikkerhed – både om lovgivningen, der skal iagttages, og om de muligheder og udfordringer, cloud computing giver på it-sikkerhedsområdet.

Her er der altså anledning til at blive klædt på om ISO 27001, endda med eksamensbevis, og i tillæg få opdateret viden om cloud-sikkerhed.

Læs mere om kurset her: http://pactor.dk/?page_id=518

Interessante links, februar 2011

Informationer kommer og (sjældnere) går på internettet, og samtidig er der ofte en ’sidste holdbarhedsdato’ for informationernes relevans, der kun sjældent står mål med, hvor længe, informationerne ligger tilgængeligt. Derfor er denne lille oversigt over nogle relevante links da også dateret allerede i overskriften – går der mange måneder herfra, før du ser oversigten, kan det meget vel være, der er andre og mere relevante links, du skal lede efter…

Læs mere »

Ny udtalelse fra Datarådet om Google Apps

Hvor ER det ironisk… Præcis som vi i går den 3. februar 2011 står og taler om, hvor meget, vi længes efter yderligere udtalelser fra Datatilsynet om anvendelsen af cloud-services som f.eks. Google Apps, sender lige præcist Datatilsynet endnu et svar til Odense Kommune i forbindelse med kommunens ønske om netop at bruge Google Apps til en række administrative og informative aktiviteter indenfor skolevæsenet i kommunen…

Er vi så kommet videre med Datatilsynets udtalelse? Både-og, ser det ud til. Datatilsynet har en række indvendinger imod måden, Odense Kommune påtænker at opfylde kravene i persondataloven og sikkerhedsbekendtgørelsen på. Nogle af indvendingerne er lidt ærgerlige, fordi det kunne have været imødekommet fra kommunens side ved lidt bedre forberedelse. Men der rejses også mere principielle spørgsmål om f.eks. overførsel af data til tredjepart uden for EU/EØS og andre sikre lande.

Læs mere »

Så kom den: SKIs nye rammeaftale om ASP og Cloud-computing (02.19) er landet

Et stort tillykke til SKI. De har ikke haft det let de seneste måneder: et stærkt kritiseret it-konsulentudbud, et standset managementkonsulentudbud, problemer med kommunerne, der ikke vil bruge SKI (eller lave udbud), en fyret/flygtet direktion og mange andre udfordringer…

Men nu er 02.19 landet: ASP og Cloud Computing, hvoraf clouding (ca. 1/3) er et helt nyt område. Du kan læse mere her i SKIs pressemeddelelse fra i dag.

Den samlede leverandørliste rummer ikke mange overraskelser. Hvad der måske overrasker, er imidlertid hvor kort, listen med leverandører, der også ‘kan’ cloud services, faktisk er:

  • CSC Danmark A/S
  • KMD A/S
  • Logica Danmark A/S
  • Rambøll Informatik A/S
  • Cabo Communications A/S
  • Atea A/S
  • Microsoft
  • TDC Hosting A/S
  • Infoba ApS
  • SAC IT 

Vi følger op en af dagene med et nærmere kig på, hvad de enkelte leverandører tilbyder indenfor cloud services. Men indtil videre: et stort tillykke til cloud hungrende danske offentlige virksomheder; så er det bare at komme igang – så vi kan få dokumenteret, om forretningsmodellen holder, og om virkeligheden kan stå mål med forventningerne!

Praktiske clouderfaringer i følge Cloud Slam 2010

Det er muligt, at cloud computing er i sin vorden, men i følge flere af oplægsholderne på Cloud Slam 2010 er der allerede høstet mængder af erfaringer. Mange af virksomhedernes erfaringer handler naturligvis om, hvordan det er gået med at implementere deres services eller produkter i en cloud-sammenhæng. Oftest er erfaringerne gode, og er de det ikke, hører vi næppe heller om det.

Det mest interessante er naturligvis at høre om erfaringerne hos de, der ikke (direkte) har noget at sælge, og naturligvis særligt, hvis noget er gået galt. Dette sidste kan det være meget svært at blotlægge for f.eks. en offentlig kunde uden at komme til at hænge en bestemt leverandør ud – og det gør man jo ikke. Derfor har mange af præsentationerne ved Cloud Slam som objektive formidlere af praktiske erfaringer, naturligvis begrænset værdi.

Canadian Federal Government. Cloud Computing in the Canadian Federal Government. For at etablere grundlaget for et cloud projekt på tværs af den føderale regeringsadministration i Canada har man etableret et cloudbaseret samarbejdsværktøj for deltagerne. Disse er alle udpeget af lokale it-chefer og har bl.a. til formål at identificere og udvikle nye, tværgående services og specifikationer. Deres mål er bl.a. at etablere en fælles, virtualiseret platform for drift af forskellige typer applikationer i en community cloud. Sikkerhedsmodellen for løsningen består af tre lag: nederst et datalag, dernæst et applikationslag og sidst præsentationslaget i form af en web-grænseflade (det har man vist hørt før…). Der kan så etableres særskilte policies for de enkelte lag, der kan medvirke til at hindre sikkerhedsbrud. Hvad de allerede – eller næsten allerede – har på plads af løsninger er følgende:

Læs mere »

Banedanmark er nu i luften på Windows Azure

Så skete det: Banedanmarks trafikinformationssystem er gået i luften – hovedsageligt baseret på Microsoft Windows Azure-platform, herunder Azure SQL. Ganske vist er det i en beta-test og ganske vist måtte de lade stored procedures i SQL-databasen ‘blive hjemme’, men alligevel er det et meget interessant og potentielt bane-(undskyld…)-brydende projekt for public cloud computing her til lands.

Computerworld.dk har fået lov til at følge projektet indefra, og det er der kommet en spændende 5-artiklers serie ud af – så uden yderligere omsvøb: over til vennerne fra cw (altså det andet cw – ikke CloudWatch…).

Så prøver vi igen: SKI udbyder atter rammeaftale om ASP og cloud computing

Som det måske erindres, lykkedes SKIs første forsøg med en rammeaftale om ASP/cloud computing fra sidste efterår ikke rigtigt. Der er gået lang tid siden – også længere tid, end SKI selv havde bebudet – men nu er det her: udbud af rammekontrakt 02.19 om IT-drift ASP/Cloud.

Konkret beskriver SKI indholdet i rammeaftalen således:

“Rammeaftalen skal understøtte SKI’s kunders behov for ASP (Application Service Provider) og Cloud baserede it-services, herunder drift, vedligehold og udvikling – som begge er computer-services og funktionalitet, der understøtter forretningsprocesser.

Både ASP og Cloud-services, er typisk karakteriseret ved at være hostede it-services, hvor leverandøren er ansvarlig for udvikling, vedligehold, drift og hosting af en it-applikation, som kunden får adgang til at benytte via et computernetværk. Hostingen foregår hos leverandøren eller hos dennes underleverandør, og for Cloud tillige et ikke nærmere defineret sted i de tilfælde hvor driftskapaciteten er internetbaseret. I forhold til ASP er Cloud services typisk mere standardiserede med færre muligheder for tilpasning efter kundens ønsker ligesom Cloud services oftere understøtter generiske forretningsprocesser.”

Man kunne frygte, at nogle leverandører vil få svært ved at placere deres services i den ene frem for den anden af de tre kategorier, aftalen er inddelt i (ASP services, kommunale ASP services og cloud services) på baggrund af denne noget løse afgrænsning, så det bliver spændende at se, hvor mange, der ‘tør’ brande sig på cloud service-delen.

Der kan være 52 leverandører med i den kommende 02.19 og løbetiden er som sædvanlig sat til 2 år. Hvad der er nok så interessant er den forventede omsætning på aftalen: mellem 800 mio. og 1,2 mia. kr. i rammeaftalens løbetid og løbetiden for aftaler, der indgås under rammeaftalen.

Har du planer om at melde ind på aftalen, og har du ikke materiale fra sidste gang, der kan genbruges, skal du nok se at komme i gang: fristen for indgivelse af tilbud er den 9. september 2010.

Når USA sadler op er det nok værd at holde øje

I 2009 satte Obama-administrationen for alvor skub i cloud computing i den amerikanske offentlige forvaltning gennem sit Federal Government Cloud Computing Initiative. Ud over at sætte en masse konkrete projekter i gang, har meningen med initiativet også været at skabe rammer for videre optag af clouding, f.eks. gennem udarbejdelse af standarder og udstikning af budgetmæssige retningslinjer.

Hvordan det går, kan man læse om i en statusrapport fra den statslige it-chef Vivek Kundra fra den 20. maj 2010.

Det nationale institut for standarder og teknologi, NIST, hvis cloud-definition er en af de mest citerede, har igangsat bl.a. SAJACC (nogle gange skal de altså arbejde lidt mere med deres forkortelser!), som står for Standards Acceleration to Jumpstart Adoption of Cloud Computing. Dette initiativ skal være en forbrænder for standarder, hvor en hurtig udmøntning kan give grobund for mere cloud computing.

Som det står i Vivek Kundras rapport:

“The SAJAAC strategy and approach is to accelerate the development of standards and to increase the level of confidence in cloud computing adoption during the interim period before cloud computing standards are formalized. SAJACC will provide information about interim specifications and the extent that they support key cloud computing requirements through a NIST hosted SAJACC portal.”

Så vidt, jeg har kunnet se, er der dog endnu ikke sket noget konkret.

Et andet initiativ, man har sat i værk, er formulering af budgetrelaterede krav i forbindelse med forberedelsen af store it-projekter. Her skal man allerede nu foretage analyser af, om cloud computing kan give fordele for de konkrete investeringer, og fra 2011 (for visse typer projekter) skal der for igangværende projekter og senere også for tilretninger og udvidelser af eksisterende systemer udarbejdes alternative analyser, hvor cloud computing skal være platformen/udgangspunktet.

Endelig indeholder Kundras rapport en gennemgang af 30 konkrete projekter fra stats- og forbundsadministrationerne i USA, som alle inkluderer anvendelsen af cloud computing. Der er tale om alt fra ‘hurtig levering af servere til udviklerteams’ over udlægning af 34.000 kommunalt ansattes e-mails og ‘produktivitetsværktøjer’ i skyen, til egentlig systemdrift. Måske kan den meget kortfattede gennemgang give yderligere idéer her på hjemmebanen?

EUs rolle i cloud computing: regulering og forskning og …?

Den 26. januar 2010 fremlagde en arbejdsgruppe under EU-kommissionen en rapport om cloud computing i EU: “THE FUTURE OF CLOUD COMPUTING. OPPORTUNITIES FOR EUROPEAN CLOUD COMPUTING BEYOND 2010”. Rapporten er resultatet af workshops i en arbejdsgruppe med repræsentanter for store og små leverandører af cloudrelaterede ydelser, offentlige institutioner, forskningsverdenen – og så naturligvis kommissionen selv.

Rapporten beskæftiger sig i stor udstrækning med at definere cloud computing og de forskellige karakteristika, der gælder for forskellige varianter og implementeringer af begrebet. Godt skrevet, men ikke noget nyt. Samtidig kan man måske spørge sig selv, hvorfor noget, der i sin grundsubstans er grænseløst (internettet), og som konstituerer en forretningsmæssig relation mellem kunde og leverandør, overhovedet er relevant for EU? Ja, to årsager er allerede stadfæstet i overskriften…

Læs mere »

Læser Gartner danske arbejdsprogrammer?

I et – som sædvanligt – oplyst og læsevenligt indlæg på Gartners blogsite, skriver Andrea Di Maio om et land, han har hørt om, der er i færd med at undersøge, om det giver mening at lave en ‘government cloud’ for egen og andre landes offentlige forvaltninger. Det er præcist det, Videnskabsministeriet skriver i kapitel 3 om cloud computing i dets digitale arbejdsprogram, der udkom i går!

Uanset om dette er en tilfældighed eller Andreas indlæg faktisk tager afsæt i den danske idé, er hans pointe i bloggen vigtig at holde sig for øje: det er ikke sikkert, en ‘government cloud’ er den billigste løsning for den enkelte styrelse eller statslige institution, sammenlignet med at købe ydelser på det ‘åbne’ cloud marked. Javel, der er spørgsmål om sikkerhed, dataopbevaring jf. Datatilsynets seneste afgørelse fra i fredags, integration med eksisterende systemer og mange andre overvejelser, der kan ende med at koste penge.

Men en government cloud vil ofte være ‘klip-en-tå-skær-en-hæl’ i forsøget på at finde en ‘one-size-fits-all’ til de offentlige kunder; selv den amerikanske forbundsregerings cloud vil være mindre end Amazons, og vil derfor alt andet lige have højere driftsomkostninger. Og for at reducere disse driftsomkostninger, kan der ikke nødvendigvis udbydes den samme fleksibilitet, som en stor privat leverandør vil kunne.

Ser vi på software-as-a-service kan der f.eks. være begrænsninger i muligheden for at integrere med eksisterende systemer, begrænset valgfrihed i autentificeringsmetoder eller forsinket softwareopdatering i forhold til markedet i øvrigt. Er der tale om infrastructure- eller platform-as-a-service er det klart, at når en kunde på det ‘åbne’ marked har hele spektret til rådighed, er det svært som udbyder af en government cloud at matche valgmulighederne.

Derfor kan det alligevel være en rigtigt god idé at oprette en community cloud for staten – i ét eller flere lande i fællesskab. Der kan a priori være taget hånd om krav til dataopbevaring (bl.a. hvilke lande, de opbevares i, hvor længe, backups og logs gemmes osv.) og det kan være sikret, at brugerautentificering lever op til nationale retningslinier. Der kan sågar være direkte kundeindflydelse på den tekniske og forretningsmæssige udvikling af skyen – blot skal de offentlige institutioner ikke nødvendigvis vælge denne vej, fordi de kan spare penge.

Dansette