Indlæg om cloud-sikkerhed 3. februar 2011

Torsdag den 3. februar 2011 havde jeg fornøjelsen af at holde oplæg på et meget velbesøgt breakfastclub-møde, arrangeret af ComputerWorld. Temaet for mødet var cloud computing-sikkerhed, og oplægsholderne repræsenterede nogle af de stærkeste ‘brands’ i branchen: Google, Symantec, IBM og Microsoft – og så lige CloudWatch.dk…

Det var rigtigt spændende at høre om, hvordan bl.a. Google Apps, Symantec.cloud, IBM Smart Business Development and Test og Microsoft Live365 vil ændre vores tilværelser, eller i det mindste gøre os bedre til at løse vores opgaver som leverandører af it-ydelser til kunder eller interne brugere. Sjovest var nok at se billederne fra Microsofts driftscenter i Irland, hvor serverne køres ind i 40 fods containere – som aldrig åbnes igen (så længe, de er hos Microsoft i hvert fald). De fås også som ’serverrum in a box’ til private clouds – lige til at sætte på firmaets parkeringsplads! Det er fagre nye driftcenter…

Nå, men tilbage til temaet. Hovedpointerne i min præsentation var bl.a., at det langt hen ad vejen er de klassiske it-sikkerhedsdyder, der også skal råde på cloud-sikkerhedsområdet: du skal vurdere trusler og risici, du skal have en strategi for anvendelsen af clouding, dine sikkerhedskrav skal afspejle systemets vigtighed og datas fortrolighed og du skal beskrive worst case scenarierne, så du ved, hvad du risikerer. Eller med andre ord:

  • Dine sikkerhedskrav skal afspejle, hvor forretningskritisk, din applikation er, og hvor fortrolige oplysninger, der er involveret
  • Hvorfor forlange noget af din cloud-leverandør, der alligevel overhales indenom af lavere sikkerhed i applikationen?
  • Udnyt den sikkerhedsinfrastruktur, du allerede har og bruger in house / hosted
  • … eller lav din første cloudløsning som en helt afsondret instans
  • Overvej dine behov, analyser dine applikationer og følg den offentlige debat
  • Lad andre gøre arbejdet: brug andres vurderinger og evalueringer, følg afgørelsespraksis hos Datatilsynet og få uafhængig rådgivning

Samtidig gav jeg disse gode råd til når man skal i gang med et cloud-projekt:

  • Overvej nøje, hvilke systemer, der er egnet til clouding
  • Overvej konsekvenserne, hvis det værst tænkelige skulle ske
  • Tænk i sammenhænge: processer på tværs af systemlandskabet og integreret sikkerhed
  • Lav en cloud strategi, evt. som del af din almindelige it-strategi
  • Lav en business case (selvfølgelig)
  • Overvej alene at have processering i skyen, ikke datastorage, hvis du ikke er tryg
  • Gå i dialog med flere leverandører (hvis du kan) om, hvordan dine behov kan blive imødekommet
  • Som altid: intet slår god forberedelse

Den efterfølgende debat viste, at der bliver lagt mange kvalificerede tanker i virksomhedernes og organisationernes overvejelser om cloud computing. Et spørgsmål gik f.eks. på, hvorfor der mon faktisk er en voksende tillid til de kommercielle cloud-leverandørers sikkerhed. Svaret herpå er bl.a., at stadigt flere cloudleverandører bekender sig til én eller flere af de stadigt mere udbredte standarder for sikkerhed og auditering: SAS70 og ISO27001.

Men med til svaret hører også, at der faktisk ikke har været nogle spektakulære sager, hvor virksomheder eller organisationer har mistet store mængder data eller tabt integriteten fordi man havde valgt en cloudbaseret løsning. Det er klart, at de færreste virksomheder ville ønske at ‘vaske’ den slags sager offentligt, men med det fokus, der har været og stadig er på cloud computing, ville det nok være sluppet ud alligevel, hvis noget tilstrækkeligt stort var sket.

Et andet interessant spørgsmål var, om dette blot er én ud af en række konverteringsbølger hen imod nye teknologier og driftsplatfome, eller om vi med cloud computing har nået endemålet – it-driftens Nirvana? Man skal ikke tænke langt tilbage eller parallelisere til mange andre brancher for at se, at sidste gang er det næppe, at en større omlægning af it-driften vil finde sted. Cloud computing er som sådan et helt naturigt skridt imod en yderligere ‘commoditization’ af it-ydelserne: i stadigt større udstrækning bliver det at købe og bruge it-ydelser som at trække strøm ud af væggen og vand ud af hanen – slutbrugerne ved ikke og behøver ikke vide, hvor ydelserne kommer fra, med mindre, man har helt særlige præferencer som f.eks. økologisk it eller specielle features.

Med stadigt flere ‘devices’, der kan udnytte web-applikationer med rig funktionalitet, som f.eks. HTML5 understøtter, bliver det i stigende grad ligegyldigt, hvem der har bygget, driver og vedligeholder de værktøjer, du bruger i det daglige; og er du ikke tilfreds med det, du bruger, skifter du bare ’sømløst’ til en anden leverandør. Det helt afgørende – og så er vi tilbage ved starten – er naturligvis, hvem der har dine data, og hvad de gør ved dem!

Dansette