Artikel top billede

(Foto: Dan Jensen)

Den svære kunst at forhandle en hybrid cloud-SLA på plads

ComputerViews: Hvordan gør man lige det, når der ikke findes nogen standard-SLA og (næsten) alt skal forhandles på plads? Få nogle fif med på vejen her.

ComputerViews: Alle CIO'er ved, at det er umuligt at komme uden om cloud og om at tage aktivt stilling til de funktioner, der skal fjernes fra egen server og lægges ud i cloud'en.

Som vi ved, er CIO'ens rolle meget hastigt ved at forandre sig fra at være fokuseret på drift og varetagelse af it-funktioner til at være en slags it-broker, der løbende indkøber, designer og sammensætter det til enhver tid mest optimale (ofte cloud-baserede) it-setup for forretningen, som kan gøre forretningen mest konkurrencedygtig i forhold til konkurrenterne, som jo skal have nogle tæsk.

Derfor skal CIO'en vænne sig til et stående krav om, at han har totalt styr på indkøb af cloud-løsninger.

Alle cloud-leverandørerne har standard-SLA'er - service level agreements - liggende for de fulde cloud-løsninger.

De dækker typisk ting som tilgængelighed, performance, sikkerhed, disaster recovery, svar-tider, compliance og lignende ting.

Service level agreement-aftalerne definerer kontrakternes indhold i praksis, og det er derfor her, at parterne bliver enige om, hvordan kontrakternes mere overordnede formuleringer skal udmøntes i praksis.

Flere af standard-SLA'erne har tidligere fået ret massiv kritik for at være proppet med tomme ord og formulerings-salat, hvilket du kan læse mere om her:  Kritik: Så dårlige er store it-leverandørers cloud-SLA'er.

Ikke særligt anvendelige

De er imidlertid slet ikke særligt anvendelige, når det gælder hybrid-løsninger, som mange CIO'er kigger i retning af.

I hybride cloud-aftaler ligger virksomhedens kritiske applikationer og kritiske data i eget hus i en private cloud-løsning, mens de mindre kritiske data typisk ligger ude hos cloud-leverandøren i en prisbillig - mere også mere ustyret og åben - public cloud-løsning.

Kombinationen giver både høj sikkerhed og mulighed for at skalere meget hurtigt.

Bagsiden er, at en hybrid cloud-løsning netop ikke er en standard-løsning, selv om den trækker på cloud-universets løsninger: De er alle forskellige og specielt tilpasset den enkelte organisations behov og brug.

Det kræver, at CIO'en er i stand til at forhandle en dækkende og klar service level agreement på plads med den enkelte cloud-leverandør.

Lad os tage et kig på de tre hovedområder, skal CIO'en bør bide sig fast i i de SLA'er, der skal dække hybride cloud-løsninger.

Hvem har ansvaret for data?

I hybrid-løsningen ligger data både hos virksomheden og hos cloud-leverandøren, og den udveklses løbende.

Hvem har ansvaret for at sikre forbindelsen, når data forlader den private del af aftalen, så fremmede øjne ikke kan kigge med?

Privacy-sikringen i de forskellige public cloud-løsninger er i udgangspunktet meget ringere end i private cloud-løsningerne. Det betyder, at virksomheden risikerer at miste kontrol over data, når de flyttes over til public cloud-løsningen, hvor leverandøren pludselig overtager ansvaret.

Dette bør adresseres i en SLA, hvor der blandt andet bør formuleres punkter om kontrol-mekanismer, data-opbevaring, ejerskabs-regler samt såkaldt 'right of return' - altså hvornår, hvor hurtigt og under hvilke omstændigheder data skal returneres og fjernes.

Compliance

Virksomheden skal følge de gældende governance-regler uanset om data ligger i en private cloud-løsning eller i en public cloud-løsning.

SLA'en bør definere service-providerens forpligtelser i forhold til de forskellige compliance-regler.

Det gælder ikke mindst det nye datasikkerheds-direktiv, som EU for tiden arbejder på og som du kan læse mere om her:

Audit

Virksomheden bør sikre sig, at SLA'en formulerer regler og betingelser for at få adgang til al nødvendig dokumentation, som virksomheden har brug for at bevise, at den lever op til alle regler og aftaler.

Det bør også fremgå af SLA'en, hvem der betaler for service providerens omkostninger i forbindelse med audits af virksomhedens cloud-aktiver.

Hvor befinder data sig?

Det er overvejende sandsynligt, at virksomhedens data spredes ud over en række datacentre og servere, når den flyttes fra private cloud-løsningen til public cloud-løsningen, da public cloud-løsninger netop kan gøres prisbillige, fordi service provideren kan putte data ind, hvor der nu bedst er plads.

For en lang række især personfølsomme data gælder det, at de skal holdes inden for EU's grænse, hvilket SLA'en klart bør definere.

Ligeledes bør det klart fremgå, at virksomheden skal kunne genskabe og have udleveret alle sine data, når den ønsker det.

I det hele taget bør disaster recovery fylde en del i SLA'en - altså de nøjagtige aftaler for, hvad der skal ske, hvis alt eller en del af den samlede cloud-løsning går ned, så man ikke kan få fat i data?

Som for eksempel:

- Hvor nøjagtigt er data lagret?

- Hvem har adgang til data?

- Hvordan er data sikret? Er den krypteret?

- Hvor langt tid skal der gå fra opdagelsen af en fejl eller nedbrud, til du orienteres?

- Hvor tit bliver der taget backup? Og hvor lang tid skal det tage at genskabe data?

Du kan læse mere om, hvordan man får skrevet sikkerheden ind i sine SLA'er i denne klumme, som sikkerheds-eksperten Shehzad Ahmad fra DK-Cert skrev til Computerworld for et par måneder siden: Sådan får du sikkerheden skrevet ind i kontrakten.

Læs også:

Multisourcingens forbandelse: Her går det galt

Frustration blandt it-chefer: Vi kan ikke gennemskue kontrakten

Disse nye opgaver havner på dit bord med cloud

Kritik: Så dårlige er store it-leverandørers cloud-SLA'er.

Disse fire roller skal den moderne it-chef mestre




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Advania Danmark A/S
Hardware, licenser, konsulentydelser

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Webinar: Tør du håndtere cyberberedskabet på egen hånd?

Der er akut behov for at øge visibilitet, indsigt og overblik, hvis man som virksomhed skal have en chance for at afværge og minimere skaden ved cyberangreb. Trusselsbilledet udvikler sig imidlertid så hastigt, at opgaven let vokser selv større virksomheder, med en eller flere dedikerede IT-sikkerhedsansvarlige, over hovedet. Bliv klogere på dette seminar.

22. september 2021 | Læs mere


GDPR i dagligdagen: Vedligeholdelse og tilsyn

Det er efterhånden ved at være noget tid siden, at vi blev introduceret til GDPR, og alle organisationer har med tiden fået styr på dataflow og håndteringen af persondata i organisationen. Mange valg har skulle træffes og det har krævet mange ressourcer. Få overblik over de seneste nye tiltag og udmeldinger fra Datatilsynet samt overblik over de seneste regler, og hvordan du håndterer dem.

23. september 2021 | Læs mere


Årets CISO 2021

I både offentlige og private organisationer er der behov for at uddanne, rekruttere og fastholde de bedste it-sikkerhedsfolk, fordi sikkerhedsudfordringerne konstant forandres. Derfor sætter vi fokus på best practice inden for it-sikkerhed, og vi vil samtidig fremhæve de personer i Danmark, der gør et ekstra stykke arbejde for at styrke den digitale sikkerhed. Vi hylder derfor årets CISO 2021 på denne konference.

05. oktober 2021 | Læs mere






Premium
Danske militær-officerers fagforening ramt af hackerangreb: Cpr-numre og helbredsdata på 5.000 medlemmer kan være lækket
5.000 medarbejdere og medlemmer af danske officerrs fagforbund, HOD, kan have fået lækket cpr-numre, helbredsdata og oplysninger om privatøkonomi og strafbare forhold på det mørke internet. HOD ved efter en måneds venten på Center for Cybersikkerhed stadig ikke, hvad der er sket efter hackerangreb på organisationen.
Computerworld
Apple præsenterer iPhone 13 og iPhone 13 Pro - se dem her
Snart kan du få fingre i den nye iPhone 13 og iPhone 13 Pro. Bliv klogere på de to helt nye iPhones her.
CIO
“Der har simpelthen været for få gråhårede medarbejdere involveret i den her udviklingsproces. Folk der ved, hvad der skal til”
"Vi havde ansat nogle unge mennesker i sandaler og med langt skæg for at bryde med det traditionelle it-setup. De her vakse unge mennesker fik også ret hurtigt bygget en supersmart applikation til virksomheden. Men den brager ned, da vi ruller den ud, og den fylder cirka 1,5 procent af alle transaktioner."
Job & Karriere
35-årig kvinde gik amok på hjemmekontoret efter fyring: ”De fjernede ikke min adgang, så jeg slettede p-drevet lol”
En 35-årig kvinde står anklaget for at have slettet 21,3 gigabyte data fra fællesdrevet efter, at hun blev fyret. Nu risikerer hun op til 10 års fængsel.
White paper
Sådan prioriterer IT-sikkerhedschefernes indsatsen i 2021
I denne undersøgelse fra F-Secure giver knap 2.000 ledende personer på tværs af hele Europa deres bud på, hvor de vil prioritere indsatsen i år – og hvad de opfatter som virksomhedernes mest presserende udfordringer på cybersikkerhedsfronten.