Med et øget fokus på outsourcing og cloud computing som en af tidens hotteste tendenser, er der udsigt til, at endnu flere datacentre vil skyde op som paddehatte i de kommende år.
Vi befinder os godt inde i datacentrenes tidsalder, og som kunde i et datacenter gør du klogt i at stille de rette krav til sikkerheden.
"Når vi rådgiver vores kunder om, hvordan de skal vælge en leverandør, så råder vi dem til at se på modenheden, sikkerheden og leverance hos leverandøren i forhold til den pris, man er villig til at betale. De ting hænger naturligvis sammen," forklarer Jørgen Sørensen, partner i Deloitte Enterprise Risk Services.
Deloitte fører revisionskontrol med en række af de danske datacentre og rådgiver kunder om it-outsourcing. Jørgen Sørensen mener ikke, at man kan tegne et generelt billede af sikkerhedsniveauet i datacentrene.
"Modenhedsniveauet i de forskellige datacentre er meget forskelligt. I skoven af datacentre er nogle startet som webhosting/housing-centre og har udviklet sig til at blive mere deciderede drifts-centre og service-providere."
"De helt store datacentre har været der i mange år og driver nogle samfundskritiske løsninger, og de har naturligvis et noget andet modenheds- og sikkerhedsniveau," forklarer Jørgen Sørensen.
Generelt højere sikkerhed med datacentre
Som Computerworld løbende kan berette, så er der jævnligt problemer med dele af de mindre hosting-udbydere, ikke mindst inden for webhotel-branchen.
Blandt de store spillere er der langt imellem de alvorlige nedbrud, men til gengæld er konsekvenserne meget store, når det sker. Det så vi blandt andet i forbindelse med det store nedbrud i IBM's datacenter i april 2008, der ramte virksomheder som Danske Bank og Carlsberg.
Men selvom datacenter-nedbrud ofte trækker store overskifter, skal man huske på, at it altid har kunnet fejle. Helt generelt har den øgede it-outsourcing til eksterne datacentre da også haft en positiv effekt, mener Jørgensen Sørensen.
"Der er min opfattelse at der helt klart er områder, hvor virksomheder har opnået en del forbedringer på sikkerhedsområder ved at outsource. Man kan lave aftaler med et datacenter, som har nogle faciliteter omkring sikring af it systemer, for eksempel dublerede miljøer, 24/7-overvågning, nødstrøm og andre sikkerhedsmekanismer, som for en enkelt virksomhed er meget omkostningstungt."
Jørgensen Sørensen advarer dog om, at man dermed blindt stoler på, at den hellige grav er velforvaret.
"Der er ikke altid sådan, at det er sikkerhed alene, der gør, at man vælger en given leverandør, og derfor er det meget forskelligt, hvad man har sat som succeskriterier ved valg af outsourcing-leverandør."
Sikkerhed kræver en god kontrakt
Jørgen Sørensen forklarer, at man som kunde bør gøre sig helt klart, hvilke behov man har - og så vælge leverandøren ud fra de behov.
"Kunderne må foretage en risikovurdering, og det er der, at mange i virkeligheden laver den første fejl. Hvis man ikke har gjort sig klart, hvad det er for nogle risici, man er villig til at løbe, så kan man få sig nogle ubehagelige overraskelser," siger han.
Det betyder dog ikke, at man dermed altid skal vælge den dyreste løsning. Nærmest tværtimod.
"Der kan sagtens være en fordel i at tage en mindre moden leverandør, der måske dermed er mere fleksibel. Det kommer an på, hvad man har behov for. Man skal bare være helt klar over, hvad man så kan forvente at få."
"Nogle store datacentre er meget strukturerede og kører med en meget høj sikkerhed, og det kan være for tungt for nogle virksomheder. Hvis time-to-market er langt vigtigere end kvaliteten i det produkt, man smider på markedet, så skal man måske finde en anden," lyder det fra Jørgen Sørensen.
"Som kunde skal man stille krav og følge op på det, man får leveret, så man kan tilpasse ydelsen efter de behov, man har."
Cloud computing både godt og skidt
Med cloud computing tager outsourcing af it en ny drejning. På den positive side giver cloud computing leverandørerne en større fleksibilitet i forhold til at jonglere rundt med it-ressourcer, hvilket forhåbentligt også vil betyde lavere priser for kunderne.
Men netop den fleksibilitet, der ligger i cloud computing, skaber også en række udfordringer, når det kommer til data-sikkerheden.
"Cloud computing er i virkeligheden stadig outsourcing til et datacenter, men nu kan data befinde sig et eller andet - for virksomheden - ubestemmeligt sted i skyen. Man kan som kunde ikke længere være sikker på, hvor ens data er, og det er et af kerneproblemerne, hvis man eksempelvis tager fat i persondataloven," siger Jørgen Sørensen og giver et konkret eksempel:
"Hvordan vil man verificere, om data alene ligger i Danmark, eller om det også er kopieret ud på et backup-center i Indien eller Kina? Som kunde kan man stadig lave aftaler med leverandøren, men det gør det ikke nemmere at kontrollere sikkerheden, når det foregår i skyen."
Brug for smily-ordning?
Uanset om der er tale om cloud computing eller en mere traditionel form for outsourcing, så mener Jørgen Sørensen, at det er afgørende, at man som kunde er helt klar over, hvad man forvente af leverandøren.
"Vi anbefaler altid, at kunderne i deres aftaler med outsourcing-leverandøren får en eller anden form for verifikation, for eksempel i form af en årlig revisionserklæring af, at de får leveret den ydelse, de har bestilt, og at den ydelse lever op til de sikkerhedskrav, som er aftalt og er gældende for deres virksomhed."
I kølvandet på en række nedbrud hos mindre hosting-udbydere, har den del af branchen selv foreslået en eller anden form for mærkeordning, så kunderne kan skelne mellem de stabile udbydere og de mindre stabile.
Jørgen Sørensen fra Deloitte vurderer dog, at en slags smily-ordning for datacentre vil være svær at føre ud i praksis.
"En smily-ordning ville kræve, at der fandtes en fælles og specifik reference-ramme, vi kunne måle samtlige datacentre efter, og at kunderne skulle kunne stille ens kravene til ydelse og sikkerhed. Det er efter min vurdering ikke muligt, fordi de forskellige kunder og deres løsninger kan kræve forskellige sikkerhedsniveauer," forklarer han.
"Kompleksiteten i it-løsninger gør også at sikkerheden er kompleks og ikke altid lige til at sammenligne, selvom man forsøger med forskellige sikkerhedsstandarder som for eksempel ISO2700x, der dog ikke er direkte målbar, derfor har man behov for en tredjeparts vurdering af, om sikkerheden er tilstrækkelig."
Jørgen Sørensen fra Deloitte mener, at den mest optimale løsning er, at markedet får lov til at regulere sig selv. Og det er det faktisk allerede godt i gang med, vurderer han.
"I takt med at kundernes systemer bliver mere og mere kritiske, så stilles der øgede krav, herunder til sikkerheden. Dermed bliver der skabt en selvregulering, fordi man vælger de leverandører, som er kendt for at levere sikre ydelser."
