Computerworld News Service: Hvis du tror, at sætningen "det ligger i cloud'en" betyder, at dine data er lagt ud på internettet og derfor er lige tilgængelige alle steder fra, så må du tro om igen.
De fleste såkaldte infrastructure-as-a-service cloud-tjenester benytter sig af den samme model som traditionel hosting og outsourcing - de bor i specifikke datacentre på specifikke geografiske lokaliteter. Det betyder, at kundedata genereres og sandsynligvis opbevares på denne fysiske lokalitet, og det har både juridiske og privacy-relaterede konsekvenser.
Analysehuset Forrester Researchs interview af slutbrugere og leverandører peger desværre på, at mange organisationer simpelthen ikke ved, hvor deres cloud-tjenesters datacentre ligger rent geografisk.
Denne mangel på information kan udgøre en stor risiko, da den geografiske placering af datacentret afstedkommer en mængde krav og begrænsninger i forhold til privacy og datasikkerhed, der - hvis de ikke overholdes - kan give bøde- eller fængselsstraf eller i hvert fald kaste dig ud i besværligt farvand, hvor du skal navigere i komplicerede compliance-regler.
Mens skyen kan udgøre en katalysator for overgangen fra informationsteknologi til forretningsteknologi, kan cloud computing også blive det dyreste projekt, din virksomhed nogensinde kaster sig ud i, hvis du ikke til at starte med har en solid strategi på plads.
Sikkerhedsansvaret hviler i sidste ende på din virksomheds skuldre - ikke på cloud-leverandørens. Selvom de fleste IaaS-leverandører bestræber sig på at sikre deres datacentres offentlige cloud-miljø, så er det usandsynligt, at de påtager sig ansvaret for dine datas beskyttelse og compliance. Faktisk påtager de sig som regel intet som helst ansvar for, hvad du foretager dig ovenpå deres virtualiserede infrastruktur og tjenester.
Som medarbejder med ansvar for infrastruktur og drift må man forvente selv at bære denne byrde, når man indgår kontrakt med en cloud-leverandør.
Kludetæppet af privacy-love kan virke intimiderende, men det er til at håndtere, hvis man ser disse love som et regelsæt frem for noget, der forsøger at spænde ben for din forretning.
Der er ikke noget, der forbyder dig at benytte IaaS-cloud computing; privacy-lovgivningen kræver blot, at du er opmærksom på, hvor den sky, du benytter, faktisk befinder sig på kloden, og at du vælger leverandører, der vil hjælpe dig til at imødekomme de krav, der stilles til dig.
Forrester har for nylig identificeret fire best practices for at hjælpe professionelle inden for infrastruktur og drift til at tænke globalt men handle lokalt. Se de fire råd på næste side.
Fire gode råd
1. Du skal vide, hvor din cloud-leverandørs datacentre befinder sig.
Du er nødt til at være klar over, hvor din leverandør af cloud-tjenester vil opbevare personfølsomme data om dine ansatte, klienter og andre parter. Denne viden er en forudsætning for at kunne implementere de påkrævede foranstaltninger, der er til for at sikre, at du overholder loven, der hvor du driver forretning (det vil sige, hvor end du har klienter).
Disse love begrænser ofte, hvor du kan opbevare personfølsomme og finansielle data, samt datatrafik på tværs af landegrænser. Hvis din cloud-leverandør fortager offsite-replikering eller backup af dit miljø, er du nødt til at sikre, at også disse kopier overholder privacy-kravene.
2. Hold dig informeret om ændringer i lovgivningen om ransagning og beslaglæggelse.
Alle lande har deres egne begrænsninger og krav, der giver politiet adgang til data - USA og Kina er blandt de lande, der giver politiet de største beføjelser. Hold skarpt øje med information fra din leverandør om, under hvilke jurisdiktioner dine data opbevares og behandles, og evaluer eventuelle risici fra de gældende jurisdiktioner.
Forrester har udarbejdet et interaktivt kort, der detaljeret viser hvilke love, der regulerer data-privacy i en række forskellige lande.
3. Benyt det datacenter, der giver bedst forretningsmæssig mening.
Selvom privacy er en vigtig faktor, så skal du ikke lade privatlivslovgivning diktere, hvordan eller hvor du driver forretning.
Hvis det giver mening for dig at have en tilstedeværelse i USA, Europa eller Kina, så vær til stede der. Men vær samtidig opmærksom på den lokale lovgivning og sørg for, at du udruller dine tjenester på en sådan måde, at de er i compliance.
Det kan betyde, at du er nødt til at oprette en række af hosting-partnerskaber (IaaS eller andre). Alternativt kan du etablere kanal-partnerskaber med andre online-leverandører, der kan dække disse compliance-hensyn for dig.
4. Vedligehold dine applikationers og datas sikkerhed.
Virksomheder, der benytter IaaS cloud-løsninger, er nødt til at have en strategi til at sørge for sikkerheden af både styresystemer, applikationer og data. Dette inkluderer at holde sikkerhedsmekanismer såsom antivirussoftware opdaterede, lukke sårbarheder i dine applikationer samt at tage forholdsregler for datasikkerheden såsom kryptering, der kan beskytte imod trusler inden for cloud'en.
Følg de samme sikkerhedsprocedurer som for in-house-applikationer, da konsekvens giver tryghed. De store virksomheder må dog forvente, at privacy-lovgivningen på kort sigt kun bliver strammere frem for enklere eller mere konsekvent.
Mens teknologiske innovationer såsom cloud computing skrider fremad, frygter mange lande, at hvis de ikke kræver, at deres data opbevares lokalt, så vil virksomhederne bygge datacentre i nabolande med mere favorable økonomiske omstændigheder. Men protektionistiske love fremmer blot denne udvikling, da lande med meget stram lovgivning bliver sværere at have med at gøre.
Oversat af Thomas Bøndergaard
