Indlæg mærket med: Standarder

Få bevis på ISO 27001 og bliv klogere på cloud-sikkerhed

Denne blogs modervirksomhed, PACTOR A/S, har gennem længere tid samarbejdet med BSI, British Standards Institution, som er ophav til og ejer af bl.a. ISO 27000-standarden, om at udbyde undervisning og afholde eksamen i ISO 27001 i Danmark.

ISO 27000 er en it-sikkerhedstandard med to underliggende standarder, en forretnings-/procesrettet og en mere regulært it-rettet, nemlig ISO 27001. Netop ISO 27001 blev af den nu hedengangne IT- og Telestyrelsen valgt som afløser for DS484 som krævet mindsteniveau for it-sikkerheden i det offentlige i Danmark.

Grunden til, at dette er særligt relevant i cloud-sammenhæng er, at det normale to-dages kursus er blevet udvidet med ½ dag om cloud computing-sikkerhed – både om lovgivningen, der skal iagttages, og om de muligheder og udfordringer, cloud computing giver på it-sikkerhedsområdet.

Her er der altså anledning til at blive klædt på om ISO 27001, endda med eksamensbevis, og i tillæg få opdateret viden om cloud-sikkerhed.

Læs mere om kurset her: http://pactor.dk/?page_id=518

Interessante links, februar 2011

Informationer kommer og (sjældnere) går på internettet, og samtidig er der ofte en ’sidste holdbarhedsdato’ for informationernes relevans, der kun sjældent står mål med, hvor længe, informationerne ligger tilgængeligt. Derfor er denne lille oversigt over nogle relevante links da også dateret allerede i overskriften – går der mange måneder herfra, før du ser oversigten, kan det meget vel være, der er andre og mere relevante links, du skal lede efter…

Læs mere »

Indlæg om cloud-sikkerhed 3. februar 2011

Torsdag den 3. februar 2011 havde jeg fornøjelsen af at holde oplæg på et meget velbesøgt breakfastclub-møde, arrangeret af ComputerWorld. Temaet for mødet var cloud computing-sikkerhed, og oplægsholderne repræsenterede nogle af de stærkeste ‘brands’ i branchen: Google, Symantec, IBM og Microsoft – og så lige CloudWatch.dk…

Læs mere »

Lidt godter fra cloud-pressen hen over sommeren

Det kan ind imellem være vanskeligt at skelne de rent kommercielle indlæg fra journalistisk materiale på cio.com, men denne turde være god nok: Det meget anerkendte it-analyseinstitut Forester har identificeret de tre scenarier, der giver mening indenfor cloud storage: 1. Rent cloud-hostede applikationer med ‘egen storage’ tilknyttet, 2. backup til en cloud-instans og 3. ren fillagring i clouden. Det giver således modsatvist ikke mening at have applikationer kørende f.eks. internt, og så have en SAN-lignende storageimplementering kørende i skyen. Læs selv hvorfor.

Red Hat har i følge ComputerWorld anmeldt deres cloudplatform Deltacloud til et af it-industriens frivillige standardiseringsorganer, DMTF, med henblik på en vurdering af, om platformen er egnet som en standard for cloud-interoperabilitet. DMTF har i øvrigt en hel sektion om standardisering af cloud management-platformen, som vi tidligere har omtalt.

Det er svært at spå – især om fremtiden, sagde som bekendt Storm P. Julia King har i den amerikanske udgave af ComputerWorld sammenstykket en artikel om fremtidens it-karrierer fra flere forskellige kilder. Og efter de sparsomme kommentarer til artiklen at dømme, har forfatteren ikke helt fingeren på pulsen. Forudsigelserne er mange, men tendensen er klar: it-medarbejderne bliver dybt forankrede generalister (!?), der enten arbejder i megavirksomheder eller i småindustri (altså intet midt imellem). Og fokus vil være grøn it, etisk forsvarlig forretning, beskyttelse af privatlivet og efterlevelse af standarder og regulatoriske krav.

Cio.com har også selv produceret denne artikel med fem retningslinjer til at afgøre, hvilke applikationer, der er egnede til cloud computing: 1. Find ud af, hvorfor du overhovedet skal bruge SaaS, 2. tænk arkitektur, 3. gennemgå din portefølje kritisk og ryd ud i applikationerne, 4. nøjes ikke med at læse dokumentation; kemien skal være i orden, og 5. sammenlign de rette (og fulde) omkostninger.

Endelig til sidst lidt drama: månedsmagasinet Wired Magazine har i en artikel erklæret webben for død – længe leve internettet! Det har fået bl.a. Bernard Golden, manden bag ‘Virtualization for Dummies’ til at skrive en artikel på cio.com under titlen “webben er død – længe leve clouden”! Både Goldens behandling af artiklen i Wired og hans egne betragtninger om cloud computings rolle er interessante. Han anbefaler, at organisationer (virksomheder) forbereder sig således: 1. Anerkend, at du formentlig får brug for en ekstern storage provider (jf. Foresters vurdering øverst), 2. få dig en plan for båndbredde, 3. overvej dine investeringsbehov, hvis du i løbet af det næste år får to kæmpeordrer (store nye projekter/nye afdelinger osv.), og 4. tænk automatisering – grundigt!

Når USA sadler op er det nok værd at holde øje

I 2009 satte Obama-administrationen for alvor skub i cloud computing i den amerikanske offentlige forvaltning gennem sit Federal Government Cloud Computing Initiative. Ud over at sætte en masse konkrete projekter i gang, har meningen med initiativet også været at skabe rammer for videre optag af clouding, f.eks. gennem udarbejdelse af standarder og udstikning af budgetmæssige retningslinjer.

Hvordan det går, kan man læse om i en statusrapport fra den statslige it-chef Vivek Kundra fra den 20. maj 2010.

Det nationale institut for standarder og teknologi, NIST, hvis cloud-definition er en af de mest citerede, har igangsat bl.a. SAJACC (nogle gange skal de altså arbejde lidt mere med deres forkortelser!), som står for Standards Acceleration to Jumpstart Adoption of Cloud Computing. Dette initiativ skal være en forbrænder for standarder, hvor en hurtig udmøntning kan give grobund for mere cloud computing.

Som det står i Vivek Kundras rapport:

“The SAJAAC strategy and approach is to accelerate the development of standards and to increase the level of confidence in cloud computing adoption during the interim period before cloud computing standards are formalized. SAJACC will provide information about interim specifications and the extent that they support key cloud computing requirements through a NIST hosted SAJACC portal.”

Så vidt, jeg har kunnet se, er der dog endnu ikke sket noget konkret.

Et andet initiativ, man har sat i værk, er formulering af budgetrelaterede krav i forbindelse med forberedelsen af store it-projekter. Her skal man allerede nu foretage analyser af, om cloud computing kan give fordele for de konkrete investeringer, og fra 2011 (for visse typer projekter) skal der for igangværende projekter og senere også for tilretninger og udvidelser af eksisterende systemer udarbejdes alternative analyser, hvor cloud computing skal være platformen/udgangspunktet.

Endelig indeholder Kundras rapport en gennemgang af 30 konkrete projekter fra stats- og forbundsadministrationerne i USA, som alle inkluderer anvendelsen af cloud computing. Der er tale om alt fra ‘hurtig levering af servere til udviklerteams’ over udlægning af 34.000 kommunalt ansattes e-mails og ‘produktivitetsværktøjer’ i skyen, til egentlig systemdrift. Måske kan den meget kortfattede gennemgang give yderligere idéer her på hjemmebanen?

Interoperabilitet i skyen?

Som vi har været inde på flere gange tidligere, kniber det noget med de fælles standarder på tværs af skyer, både når det gælder managementdelen (det styringsmæssige interface), og når vi taler den faktiske, forretningsmæssige brug af cloud services (det funktionelle interface). Nu er interoperabilitet og fælles standarder jo ikke det samme, men man kan sige, at kan man ikke blive enige om fælles standarder over hele linjen, kan man det måske for interfaces, hvorved interoperabilitet kan fremmes.

Cloud Security Alliance arbejder hårdt på at fastlægge standarder for sikkerheden omkring og til-og-fra cloud services. Men der er også andre initiativer i gang:

Distributed Management Task Force (en organisation, der på tværs af it-industrien arbejder på standarder for styring af it-systemer, og som har alle de store it-firmaer som medlemmer) har etableret en Open Cloud Standards Incubator, som har til formål at understøtte udarbejdelsen af specifikationer på tværs af få eller mange virksomheder, som måske efterfølgende kan blive til egentlige standarder. Bemærk her, at der hverken er tale om åbne standarder eller standarder, der nødvendigvis kan klare sig i f.eks. en ISO-sammenhæng. Men ved at have de største spillere samlet om en standard tidligt i forløbet, er der større chance for, at det kan blive til en de facto-standard før eller siden, og på den måde kan industrien måske omgå eller undgå en konflikt med de etablerede standardiseringsorganer, som f.eks. har kostet Microsoft dyrt i advokater…

Bemærk, at styregruppen for Open Cloud Standards Incubator tæller AMD, CA, Cisco, Citrix, EMC, Fujitsu, HP, Hitachi, IBM, Intel, Microsoft, Novell, Rackspace, RedHat, Savvis, SunGard, Sun Microsystems, og VMware. Man kunne vælge at blive overrasket over, at Oracle ikke er med, men så alligevel: Sun er jo repræsenteret, så dermed har Oracle en fuldgyldig tilstedeværelse ved bordet. Du kan læse en kort omtale af arbejdet dér her.

Hvis man vil læse mere om, hvad der sker på cloud-standard-området, kan wikien CloudStandards anbefales. Heraf fremgår, at organisationen bag wikien, Cloud Standards Coordination, er et samarbejde mellem standardiseringsorganer for at skabe et overblik og dermed måske medvirke til at arbejde mere i samme retning. Som det fremgår af forsiden på wikien, er der mange standardiseringsorganer i gang, men bladrer man dybere ned, kan man se, at nogle af dem vist mest er med for et syns skyld, mens andre går aktivt ind i arbejdet for at sikre åbne standarder frem for industriens måske mere lukkede (det gælder f.eks. Open Cloud Consortium).

Sammenfattende kan man nok godt tillade sig at sige, at vi er på vej hen imod større enighed om standarder for cloud computing. Om der bliver tale om åbne standarder, og om implementeringen af standarderne vil give ægte interoperabilitet, vil tiden vise. At det er en trend i tiden at det bør være sådan, er der dog ingen tvivl om – se blot på Microsofts kamp for at få OOXML godkendt som standard og den efterfølgende hæftige debat på vores egne breddegrader.

Dansette