Poskytovatelé cloudu mají různé podoby a velikosti – od globálních organizací zajišťujících řadu služeb až po malé subjekty specializované na omezený počet možností. Chcete-li normalizovat rozdíly, musíte klást konzistentní otázky týkající se klíčových témat.
Zabezpečení by mělo být na samotném vrcholu vašeho seznamu s odpověďmi poskytujícími transparentnost, která pomůže vybudovat důvěru. Nezbytným prvním krokem je vyhnout se předpokladům o zabezpečení u daného poskytovatele.
Každý poskytovatel je jiný, s jinými pravidly, smlouvami o úrovni poskytovaných služeb (SLA) a smluvními podmínkami. Ujistěte se, zda důkladně chápete to, co vám jednotliví poskytovatelé služeb jako zákazníkovi garantují.
Podívejte se podrobně na jejich smluvní podmínky. Nevyhýbejte se svým povinnostem v této oblasti – neklikejte jen na „souhlasím“ a nepokračujte dál. Detailně si projděte různé části smluvních podmínek a zaměřte se na datové aspekty těchto podrobností.
A nakonec – nepředpokládejte, že má každá cloudová služba stejné podmínky a cíle poskytování služeb, a to ani u stejného poskytovatele. Projděte si tedy důkladně smluvní podmínky pro každou službu.
Bezpečnostní otázky
Dobrou zprávou je, že obavy ze zabezpečení cloudu se v posledních letech výrazně zmenšily, protože poskytovatelé cloudových služeb zavedli úspěšné bezpečnostní metody.
Vrcholoví manažeři a jejich poradní komise se však stále obávají, zda jsou data jejich organizace v cloudu skutečně v bezpečí. Tyto obavy by vás měly vést ke kladení otázek podobných následujícím.
* Kdo má přístup k našim datům, a to fyzicky i virtuálně? Fyzický přístup je odlišný od přístupu virtuálního. Je důležité položit oba typy otázek týkajících se přístupu:
- Jaká bezpečnostní opatření organizace používá při přístupu ke svému datovému centru?
- Má jejich personál bezpečnostní prověrky a chrání fyzický přístup k datům před vnějšími osobami?
- Jaká jsou pravidla instituce i datového centra a jak jsou chráněná?
- Kdo má přístup k datům virtuálně? Odkud k nim přistupuje a proč?
- Jak se k nim přistupuje? Používají sítě VPN a jsou data šifrovaná? Jsou-li šifrovaná, jak jsou zabezpečené šifrovací klíče?
* Používá poskytovatel outsourcing pro ukládání dat? Mnoho společností využívá outsourcingové společnosti k poskytování služeb, ale je možné, že ta vaše outsourcuje vaše data na jiné místo, nebo dokonce k jinému dodavateli. Pokud ano, musíte se rozhodnout, zda vám toto uspořádání vyhovuje.
* Jak poskytovatel nakládá s právními požadavky na kontrolu dat? Pocházejí takové požadavky od zákazníků nebo od vládních orgánů a plynou z právních či regulačních příčin? Uspokojení těchto požadavků vyžaduje schopnosti, zkušenosti a citlivost vůči pravidlům řízení společností a také mandáty týkající se dodržování předpisů.
Není neobvyklé, že kvalita dat může být ovlivněna právními požadavky. Potřebujete pochopit dohledatelnost dat a způsob nakládání s požadavky.
* Jak a kdy se data mažou? Protože je každý poskytovatel jiný, je důležité pochopit, že u skladování dat existují složitosti podle toho, kolik dat se dnes přenáší.
Budete chtít vědět, kolik dat se u vašeho poskytovatele cloudu ukládá, a zejména kolik z toho tvoří právě vaše data. Dále se ptejte, jak dlouho budou vaše data uložena, kdy dojde k jejich smazání a jak vznikají rozhodnutí o smazání dat.
* Jaká je architektura dat? Konkrétně se ptejte na způsob izolace vašich dat od dat dalších klientů v prostředí s více zákazníky. Požádejte svého poskytovatele, aby vysvětlil, jak jsou vaše data oddělená od dat dalších zákazníků a jak se to může změnit v budoucnu.
* Jaké certifikace a/nebo audity třetích stran se dělají? Certifikace vám poskytnou lepší informace o zralosti poskytovatele, o co se stará a zda usiluje o stálé zlepšování.
Z perspektivy auditů vykonávaných třetími stranami budete chtít vědět, jak často poskytovatel zkoumá změny a jak zajišťuje plnění očekávání svých zákazníků a dodavatelů.
Otázky ohledně soukromí
Bezpečnost a ochrana soukromí jsou těsně provázané, ale existuje řada otázek, které jsou pro soukromí jedinečné, a měli byste se na ně svého poskytovatele cloudu zeptat. Aspekty týkající se soukromí musejí samozřejmě odpovídat nárokům předpisů, ale nejsou omezené jen na regulační záležitosti.
* Jaká data se od naší organizace shromažďují a jak je zajištěna jejich důvěrnost? Ochrana soukromí se u různých organizací liší, takže je zvláště důležité definovat, co znamená ochrana soukromí pro vaše klíčové zainteresované osoby v rámci vaší organizace.
* K čemu se data používají? Je často ohromující zjistit, jak se mohou vaše data využívat – něco z toho vás může překvapit a něco dokonce znepokojit. Ujistěte se, že váš poskytovatel cloudu rozumí vašim zásadám správy, které se týkají přijatelného využití dat.
* Jak dlouho bude poskytovatel cloudu tato data uchovávat? Smluvní podmínky mohou uvádět, že se data ukládají na 30 dní nebo možná 90 dní, či dokonce rok. To však nemusí nutně znamenat, jak dlouho si může organizace vaše data ukládat. Bude se to velmi lišit u každého poskytovatele, pro každou službu a pro každý typ shromažďovaných dat. Data se mohou anonymizovat, ukládat a využívat pro testování mnoho let, takže se ptejte na uchovávání.
* Šifruje poskytovatel vaše data a jakým způsobem? To je důležité znát, abyste zajistili, že vše, co považujete za tajné či soukromé nebo o co máte jiné obavy, nebude poskytovatel cloudu schopen využívat k dalším účelům.
* Kde jsou data uložena? Máte nějaká zeměpisná pravidla pro ukládání dat nebo předpisy, které musí poskytovatel dodržovat? Musíte pochopit a z hlediska praxe vaší firmy posoudit fakt, že poskytovatelé cloudových služeb ukládají data na mnoha různých místech z mnoha různých důvodů.
* Dochází k přenosům dat k dalším interním či externím subjektům?Všichni víme, že je to v internetu všudypřítomné a že existuje mnoho různých programů, které to umožňují, nebo naopak nedovolují. Pokud poskytovatel cloudu sdílí data s kýmkoliv dalším, je skutečně nutné pochopit, jak, kdy a proč je sdílí i kam se data přenášejí.
Provozní otázky
Kromě zabezpečení a soukromí budou aktivity vašeho poskytovatele cloudu ovlivňovat velkou část každodenního provozu vaší organizace. Pochopení této skutečnosti vám pomůže zjistit, zda způsoby, jakými poskytovatelé zpracovávají vaše data a poskytují je vašim uživatelům, podporují či narušují váš provoz.
* Jaký je model redundance architektury databází a úložiště? Redundance je obzvláště důležitá, protože se zaměřuje na zvládnutí selhání infrastruktury bez ovlivnění kontinuity provozu.
* Jaká je četnost zálohování? Od počátků existence počítačů všichni slýcháme tuto mantru: zálohovat, zálohovat, zálohovat. Je nesmírně důležité chápat četnost, s jakou poskytovatelé cloudu vytvářejí zálohy.
Je zřejmé, že čím častější je zálohování, tím lepší bude vaše redundance. V případě výskytu selhání bude pro vašeho poskytovatele snadnější obnovit službu k danému okamžiku.
* Jak dlouho trvá obnova po selhání? Je nevyhnutelné, že u vašeho poskytovatele jednou dojde k nějakému problému. Je proto dobré vědět, jak dlouho bude trvat vašemu poskytovateli, než obnoví vaše data. Jsou to minuty, hodiny, dny, nebo týdny? Selhání nastane, ale když využíváte poskytovatele služeb, potřebujete vědět, jak rychle dojde k obnově.
* Jak můžeme přistupovat k datům služby nebo je stáhnout? Tyto otázky vám pomohou pochopit různé filozofie poskytovatelů služeb a získat lepší přehled o tom, jak tyto kroky odpovídají nebo kolidují s vašimi provozními procesy.
* Jaké analytické nástroje jsou k dispozici k zobrazení našich dat? Poskytovatel služeb může mít ve své službě velké množství vašich dat a možná nebudete chtít všechna tato data kopírovat jinam, abyste mohli využít analytické nástroje třetí strany a získali z nich užitek.
Je mnohem výhodnější, pokud vám poskytovatel služeb nabídne takovou službu, abyste mohli data agregovat a modelovat přímo.
* Dojde-li k poškození dat, jaká je maximální ztráta dat, kterou můžeme očekávat? Tato otázka patří k problémům týkajícím se redundance a obnovy, jak byly uvedeny výše, a je s nimi velmi úzce provázána. Jak dlouho bude trvat, než dojde k obnovení z výpadku dat, a jak tento proces obnovení skutečně ovlivní kvalitu dat?
Vaše příprava
Jak budete pracovat na procesu vyhodnocení potenciálních poskytovatelů cloudu, mohou tyto otázky zaměřené na zabezpečení, soukromí a provoz zvýšit vaši důvěru ve váš konečný výběr. Samozřejmě že je potřeba tyto otázky vážit a upravit, tak aby odrážely model fungování vaší organizace, provozní priority a firemní kulturu.
Tyto otázky lze také použít jako důležité kontroly stavu při průběžném posuzování vašeho současného poskytovatele cloudu. Mohou ale sloužit i jako nástroj pro nové služby, které byste mohli začít potřebovat při svém rozvoji a růstu.
Tento příspěvek vyšel v Security Worldu 2/2017. Časopis (starší čísla i předplatné těch nadcházejících) si můžete objednat na adrese našeho vydavatelství.
PŘEDPLATNÉ
ČLÁNKY DO MAILU