Cloud computing er et af de mest populære begreber i it-verdenen i øjeblikket, men data i skyen er ikke lutter lagkage.
Brugen af cloud computing medfører også visse risici, blandt andet med compliance, tilgængelighed og dataintegritet.
Alligevel overvejer mange virksomheder ikke risici på forhånd. For eksempel overser mange nødvendigheden af at have den rigtige failover-teknologi," mener Josh Greenbaum, direktør for Enterprise Applications Consulting.
De samme virksomheder har ellers failover for etablerede tjenester som elektricitet, og Josh Greenbaum kan ikke se, hvorfor det skal være anderledes med cloud computing.
I nogle tilfælde er risikoen for stor til, at man bør stole på teknologien. Og når der tages en beslutning om at flytte bestemte tjenester og applikationer ud på nettet, er det vigtigt, at virksomheden overvejer, hvordan den medfølgende risiko skal håndteres, mener han.
Hvor ligger data?
David Cearley, direktør hos Gartner, fortæller, at det kan være svært at sætte grænser for brugen af cloud-teknologi, og virksomheder er nødt til at undersøge det nøje og opveje risikoen i forhold til, hvornår og hvor cloud computing kan være effektivt.
"I en delt pool uden for virksomheden har man ingen kontrol over eller kendskab til, hvor ressourcerne bliver brugt. Så hvis man for eksempel er bekymret over dataenes placering, kan det være en grund til ikke at bruge det," mener David Cearley.
Sikkerheds-standardisering er endnu ikke i skyen
Der er mange standarder, for eksempel SAS Interaction Management, der kan bruges til it-sikkerhed og compliance og står for det meste af den interaktion, der med tiden skal overføres til 'the cloud', siger Josh Greenbaum.
Men indtil der dukker sikkerhedsmodeller og standarder op til cloud computing-arkitektur, hænger de fleste risici og skylden, hvis noget går galt, på it-afdelingen - og ikke på udbyderne af cloud computing-tjenester.
Cloud-tilgangen har ikke nogen naturlig forbindelse til god sikkerhed, siger John Pescatore, Gartners chef for sikkerhedsanalyse.
Det område, der bekymrer ham mest, er, hvor hurtigt cloud-baserede tjenester bliver opdateret og ændret. Som eksempel bruger han Microsofts udvikling af SDLC (Software Development Life Cycle), der tager udgangspunkt i, at missionskritisk software har en periode på tre til fem år, hvor det ikke ændrer sig væsentligt.
"I cloud computing tilføjer vi en ny funktion hveranden uge og ændrer dermed applikationen hele tiden. Men det sikre SDLC er ikke bygget til det. Vi går tilbage til Netscape-tiden, hvor man udsendte nye funktioner hele tiden, men der er ingen, der har en sikkerhedscyklus, der bevæger sig så hurtigt," siger John Pescatore.
Endnu værre er det, at virksomhedsbrugeren ikke kan vælge at blive på den gamle version. Med cloud computing er man nødt til at acceptere den nye version og dermed risikere at spolere enhver form for sikkerhed, der var bygget ind i den gamle version eller opnået gennem integration på kundens side.
Hold øje med sikkerheden
På kort sigt hvor sikkerhed er missionskritisk, er it-afdelingen nødt til at tilføje sit eget sikkerhedslag. Det betyder, at cloud computing ikke bliver billigere end at køre applikationen inden for virksomheden, siger John Pescatore.
"Men om et par år vil stærk sikkerhed være skubbet et lag ned, og der vil være tilstrækkelig sikkerhed indbygget," siger han.
Men hvis større virksomheder ikke kan regne med sikkerheden, kan mindre virksomheder måske få bedre sikkerhed med cloud computing, siger John Pescatore.
En af årsagerne er, at en cloud-udbyder kan investere mere i sikkerhed, end en lille virksomhed kan, fordi omkostningen er spredt ud på hundredevis af kunder.
En anden grund er, at så snart en cloud-udbyder reparerer en sårbarhed i sikkerheden, er alle kunderne beskyttet med det samme i modsætning til reparationer til download, it-afdelingen skal selv udføre.
Kontrol over dataenes placering
Et andet problem, der kan påvirke både store og små virksomheder, er placeringen af deres data, og her vil der ske et skift inden for de næste par år, mener John Pescatore.
Det er særligt vigtigt for virksomheder, der laver forretning på tværs af landegrænser, fordi der er forskellige love for privacy og datahåndtering i alle lande. For eksemple har EU strenge begrænsninger på, hvilke data der må gemmes om borgerne og hvor længe.
I dag kan man aldrig vide, hvor i skyen ens data er gemt. Og dét er skyld i en masse compliance-problemer omkring data-privacy, -adskillelse og -sikkerhed. Men det er ved at ændre sig. Google lader for eksempel sine kunder specificere, hvor deres Google Apps-data gemmes takket være virksomhedens opkøb af e-mail-sikkerhedsfirmaet Postini.
Derudover er der ikke mulighed for fysisk at adskille sine data fra andre kunders data, siger John Pescatore. Men han forudser, at den form for separation bliver gjort mulig ved hjælp af virtualiserings-teknologi.
Stol på din trang til at være 'control freak'
Sikkerhedseksperterne er enige om, at uanset hvor hård en leverandørs SLA (service-level agreement) er, eller hvor stærk sikkerhedsteknologi, der findes, afhænger risiko-reduktionen af den enkelte virksomheds vilje til at analysere, hvad der virker, og hvad der ikke gør.
Josh Greenbauk siger, at vi alle har en 'control freak' i os, der ikke stoler på andre end os selv. Og det mener han kan være en god ting. Når det gælder cloud computing, kommer alle eksperterne med stort set samme råd, som kan opsummeres med to berømte citater:
President Reagans "Trust but verify" og tidligere Intel CEO Andy Groves "Only the paranoid survive".
