"Jeg kan ikke få øje på, hvor der skulle være sikkerhedsproblemer ved at lægge data ud i skyen."
"Så længe man holder sig inden for de lukkede skyer, også kaldet private clouds, kan alle data opbevares i skyen, ligegyldigt hvor følsomme de end måtte være."
Med disse ord forsøger Christian Iversen, som er sikkerhedskonsulent i firmaet Verizon, der leverer cloud-ydelser, at hamre en pæl gennem myten om, at skyen ikke er egnet som opbevaringsplads for virksomhedskritiske og følsomme informationer.
"Det er de applikationer, der lægges ud i skyen, der er sikkerhedsproblemet. Det er ikke infrastrukturen i skyen. Den er mindst lige så god, og i mange tilfælde bedre end den, man selv kan opretholde," siger han.
"I et cloud-miljø kan man få en beskyttet server med stramme patch-rutiner, der er konfigureret præcis til den eller de applikationer, som skal afvikles."
En lukket, eller privat sky er dedikeret til en enkelt kunde.
I modsætning til åbne skyer er adgangen til ressourcer begrænset til udvalgte brugere. Denne type cloud-løsninger har ikke nødvendigvis det samme sikkerhedsniveau, som de lukkede miljøer.
Sikkerhedsfolk advarer
"I cloud-debatten hører man ofte, at sikkerhed er et problem, men det er ikke min vurdering," siger Christian Iversen.
"Virksomhederne behøver ikke se på begrænsningerne i form at sikkerhed, men bør i stedet se på, om det kan gavne forretningen. Hvis det kan det, så kan en seriøs udbyder af cloud-tjenester skabe en holdbar løsning," vurderer han.
Det er blandt kritikerne er The European Network and Information Security Agency (ENISA), der i en rapport peger på, at selvom der ikke er tale om en ny teknologi, så medfører den øgede cloud-udbredelse nye sikkerheds-problematikker, og at man skal være forsigtig med de følsomme data.
"I nutidens meget dynamiske miljø, hvor alting er en service og service er alting, vil infrastrukturens modstandsdygtighed, der sikrer, at services er tilgængelige, simpelthen betyde en forskel mellem en verden, der fungerer, og en verden, der ikke fungerer," skriver ENISA i rapporten.
Myte at man mister overblikket
Hvis man vil i skyen, kan man anvende de samme sikkerhedskriterier, som man ville gøre internt, med fokus på at få sikkerhedstestet de applikationer, man lægger ud.
Infrastrukturen i skyen, som applikationen placeres på, er sikker nok, og samtidig kan man lægge spejling og redundans ind i systemerne, fortæller Christian Iversen.
"I nogle tilfælde kan der være politiske krav i et land eller i en organisation, til håndtering af data, som kan lægge barrierer ind overfor en cloud-model, men det har intet med teknologi og it-sikkerhed at gøre," siger han.
"Mange stiller sig selv det naturlig spørgsmål: Er der nogen, der kan få fat i mine data? Hvis man ikke lægger en fejlbehæftet applikation ud i skyen, er risikoen uhyre lille. Samtidig er det en myte, at it-chefen ikke har overblik over, hvor hans data er placeret."
Psykologi og tillid
Anders Elbak, der er it-analytiker i IDC, er på flere områder enig i betragtningerne. Han drager dog flere parametre ind i debatten omkring sikkerheden i cloud computing.
"Sikkerheden er god, når man tager den tekniske vinkel på tingene, men beslutningen om at lægge data ud i skyen handler også om psykologi og tillid," siger han til Computerworld.
Mange af forbeholdene skyldes således ikke det tekniske, men handler om, hvorvidt man tør overlade ansvaret til andre.
"Hurdlen ligger også i den mavefornemmelse og tillid som it-cheferne har til leverandørerne. Mange datatyverier foregår eksempelvis som fysiske tyverier, hvor medarbejdere stjæler."
"Men i takt med at flere kendte og store firmaer vil tilbyde cloud-løsninger, vil der komme flere data ud i skyen," vurderer Anders Elbak.
Anders Elbaks kig i krystalkuglen giver således et billede af, at informationerne, også de forretningskritiske, er på vej ud i skyen.
I første omgang som hybrid-modeller, hvor applikationen leveres via en cloud-løsning, mens data lagres internt. Senere som rene cloud-løsninger.
