Computerworld News Service: Det er helt afgørende at vælge den rigtige udbyder, hvis du påtænker at bevæge dig ud i cloud-verdenen.
En ny undersøgelse fra brancheorganisationen CompTIA viser, at selv om mange organisationer bekymrer sig om sikkerheden ved data i skyen, så er det kun en mindre del, der udfører en omfattende gennemgang af deres cloud-serviceudbyder, inden de skriver under på en aftale.
"Trods bekymringerne er det kun 29 procent af virksomhederne i undersøgelsen, der fortæller, at de har udført en omfattende gennemgang af cloud-serviceudbyderens sikkerheds-politikker," fortæller Tom Herbert, der er research vice president for CompTIA.
Ikke godt nok
Det er en fejl, siger Charles Weaver, der er medgrundlægger og president for MSPAlliance, som er en organisation med 15.000 medlemmer, der fungerer som certificerings- og standard-organisation for såkaldte managed service providers (MSP).
"Vores hovedbekymring lige nu handler om, at vi oplever en del nye service-udbydere, som kommer ind på scenen med en nærmest afslappet attitude over for konstruktionen og leveringen af tjenester," siger Charles Weaver. "De findes tilsyneladende mest på cloud-siden."
Han forklarer, at den form for service-udbydere typisk falder i en af to kategorier: Små og mellemstore organisationer, der markedsfører sig som udbydere af end-to-end-løsninger, men som faktisk fungerer som videreforhandlere, samt service-udbydere, som ikke kender til de standarder, der er blevet fastlagt af MSP'erne længe inden begrebet 'cloud computing' opstod.
Disse ting skal du se efter
Charles Weaver siger, at organisationer, der er på udkig efter en cloud-serviceudbyder, skal se efter tre ting:
Troværdighed
"Du skal kunne stole på dem," siger han.
"Det kommer via et tilhørsforhold. Du skal kunne lide virksomheden og de principper og mennesker, som du skal samarbejde med. Det er et meget intimt forhold. Der skal være gensidig respekt og troværdighed for at man kan arbejde sammen."
Teknisk ekspertise og forståelse
Cloud-serviceudbyderen skal være dygtig både til at beherske teknologien og til at forstå din virksomhed.
"De er nødt til at have en forståelse for, hvad du gerne vil gøre, så de kan matche det med deres tekniske ekspertise," forklarer Charles Weaver.
"Hvis du er CIO for en bank, og du står over for at skulle outsource strategiske elementer af din it, så er det vigtigt, at din MSP har forståelse både for bankvirksomhed og for det, du gerne vil outsource."
En tredjeparts compliance-undersøgelse
Cloud-serviceudbydere skal være i stand til at demonstrere, at de kan leve op til de løfter, de giver.
"Vi lever i en verden, hvor man skal leve op til flere regler for at få lov til at klippe folks hår end for at håndtere en virksomheds følsomme data," siger Charles Weaver.
Selv om han ikke tror, at det ville være en løsning med flere regler for cloud fra myndighedernes side, så mener han dog, at organisationerne bør kontrollere udbyderne via en audit.
Dette bør en audit indeholde
Men hvad kan man så forvente af en audit?
MSPAlliance tilbyder Unified Certification Standard (UCS) til udbydere af cloud og managed service providers.
Testen sikrer at udbyderen lever op til 11 mål, inden certificeringen bliver udstedt.
Organisationerne kan bruge UCS-målene som guideline til at finde nye udbydere.
Målene er som følger:
Udbyderens organisation, governance, planlægning og risiko-håndtering
Udbyderen skal demonstrere, at der er en formel management-struktur med organisationsdiagrammer, risiko-politikker, formaliserede processer til analyse af tredjeparts-serviceudbydere og leverandører, samt en organisatorisk struktur der sikrer den rigtige arbejdsfordeling.
Dokumenterede politikker og procedurer
Udbyderen skal demonstrere dokumenterede politikker og procedurer, der bliver gennemgået og opdateret årligt.
Medarbejderne skal attestere og skrive under på, at de forstår og overholder politikkerne og procedurerne, og nye medarbejdere skal gennemgå formaliseret træning for at lære mere om og teste standarderne.
Service change management
Udbyderen skal have dokumentation for service change management under formaliserede forandringsprotokoller.
MSPAlliance foreslår, at dokumentationen om muligt skal indeholde kapacitetsplanlægning og modificeringer i udbyderens og kundens konfigurationer.
Certificeringen kræver desuden, at politikker for håndtering af kundeændringer er dokumenteret på baggrund af det niveau af tjenester, der bliver leveret til kunden af udbyderen.
Event management
Udbyderen skal have adgang til et netværkskontrolcenter ('Network Operations Center' eller NOC), der er tilstrækkeligt bemandet med uddannet personale, der er i stand til at tilbyde den nødvendige overvågning og management for at kunne identificere og løse problemer dækket af service level-aftalen (SLA) mellem udbyder og kunde.
Derudover skal udbyderen kunne demonstrere eksistensen af et system til håndtering af problemer, der inkluderer en help desk og en problemløsningsplatform integreret med systemer til overvågning og management.
Derudover skal udbyderen være i stand til at demonstrere, at der med jævne mellemrum bliver gennemført interne revisioner af hændelsesrapporter.
Logisk sikkerhed
Brugeradgang til udbyderens og kundens informationssystemer og data skal gives med udgangspunkt i etablerede politikker og procedurer, og medarbejdere, der får nye opgaver eller stopper i virksomheden, skal have adgangen blokeret med udgangspunkt i etablerede politikker og procedurer.
Udbyderen skal fremvise dokumenterede kontroller til brugerautentificering til informationssystemer og data, heriblandt politikker for passwords og adgang for den øverste ledelse.
Kontrollerne skal eksistere for både intern og ekstern adgang. Derudover skal udbyderen have dokumenterede politikker for administrator-ID, og adgangspolitikken for leverandører og tredjeparter skal være dokumenteret og godkendt af den øverste ledelse.
Det gælder både den fysiske adgang til operationer og datacentre såvel som til informationssystemer og data.
Derudover skal udbyderen have tredjepartsvurderinger af udbyder- eller klient-informationssystemer.
Change management
Certificeringen kræver, at udbyderen kan demonstrere dokumenterede og formaliserede politikker og procedurer til forandringshåndtering, når der sker ændringer i informationshåndteringen, heriblandt en formaliseret proces til forespørgsler, logging, godkendelse, test og accept af forandringer, inden implementeringen bliver gennemført.
Udbyderen skal desuden demonstrere, at nød-ændringer er underlagt en formaliseret review-proces.
Data-integritet
Udbyderen skal demonstrere tilstrækkelige politikker og procedurer til informationssikkerhed, der bliver håndteret effektivt.
Politikkerne og procedurerne skal gennemgås, opdateres, godkendes og kommunikeres til udbyderens medarbejdere en gang om året. Det inkluderer politikker for data-backup og -opbevaring.
Fysisk sikkerhed
Udbyderen skal have dokumenterede politikker på plads for den fysiske adgang til it-aktiverne, heriblandt en log over besøgende i de relevante faciliteter.
Udbyderen skal desuden kunne fremvise sikkerhedskontroller for hver facilitet, heriblandt et nøglekort, overvågningskameraer, sikkerhed on-site og andre effektive sikkerhedskontroller.
Udbyderen skal fremvise dokumenterede kontroller, der kan beskytte adgangen til klientens og udbyderens faciliteter fra afskedigede medarbejdere og medarbejdere, der ikke længere er i position til at få adgang.
Udbyderen skal desuden fremvise dokumenterede politikker for fysisk adgang til co-lokation-hardware på matriklen, og skal gennemføre fysiske sikkerhedstest på faciliteterne en gang om året, hvor alle problemer skal findes og løses.
Derudover skal netværkskontrolcentre og datacentre beskyttes fra katastrofer ved hjælp af miljømæssige sikkerhedsforanstaltninger, der skal serviceres og testes med udgangspunkt i vedligeholdelseskontrakter.
Netværkskontrolcentret skal have effektiv redundans for både internetforbindelse og elektricitet, heriblandt en dokumenteret katastrofeplan og planer for fortsættelse af forretningen.
Service level-aftaler
Udbyderen skal kunne demonstrere, at den benytter sig af service-level-aftaler med kunderne, og at der eksisterer tilstrækkelige kontroller til at spore og overvåge de tjenester, kunden skal have.
Kontrollerne skal desuden kunne spore ændringer i kundens opsætning i udbyderens systemer.
Kunde-rapporter, -afregning og -tilfredshed. Udbyderen skal være i stand til at demonstrere, at der udarbejdes performance-rapporter til kunder i overensstemmelse med den underskrevne SLA, heriblandt fakturaer. Derudover skal udbyderen kunne fremvise verificerbare referencer.
Økonomisk sundhed
Udbyderen skal kunne demonstrere, at den er i en stabil og sund økonomisk position, og at virksomheden har været økonomisk rentabel i løbet af de seneste seks måneder eller alternativt kunne fremvise tilstrækkelig kapital til at kunne garantere stabilitet, selv hvis virksomheden ikke umiddelbart er rentabel.
Udbyderen skal desuden kunne demonstrere, at omsætningen i tilstrækkelig grad er fordelt på flere kunder.
Oversat af Marie Dyekjær Eriksen
