ComputerViews: Alle CIO'er ved, at det er umuligt at komme uden om cloud og om at tage aktivt stilling til de funktioner, der skal fjernes fra egen server og lægges ud i cloud'en.
Som vi ved, er CIO'ens rolle meget hastigt ved at forandre sig fra at være fokuseret på drift og varetagelse af it-funktioner til at være en slags it-broker, der løbende indkøber, designer og sammensætter det til enhver tid mest optimale (ofte cloud-baserede) it-setup for forretningen, som kan gøre forretningen mest konkurrencedygtig i forhold til konkurrenterne, som jo skal have nogle tæsk.
Derfor skal CIO'en vænne sig til et stående krav om, at han har totalt styr på indkøb af cloud-løsninger.
Alle cloud-leverandørerne har standard-SLA'er - service level agreements - liggende for de fulde cloud-løsninger.
De dækker typisk ting som tilgængelighed, performance, sikkerhed, disaster recovery, svar-tider, compliance og lignende ting.
Service level agreement-aftalerne definerer kontrakternes indhold i praksis, og det er derfor her, at parterne bliver enige om, hvordan kontrakternes mere overordnede formuleringer skal udmøntes i praksis.
Flere af standard-SLA'erne har tidligere fået ret massiv kritik for at være proppet med tomme ord og formulerings-salat, hvilket du kan læse mere om her: Kritik: Så dårlige er store it-leverandørers cloud-SLA'er.
Ikke særligt anvendelige
De er imidlertid slet ikke særligt anvendelige, når det gælder hybrid-løsninger, som mange CIO'er kigger i retning af.
I hybride cloud-aftaler ligger virksomhedens kritiske applikationer og kritiske data i eget hus i en private cloud-løsning, mens de mindre kritiske data typisk ligger ude hos cloud-leverandøren i en prisbillig - mere også mere ustyret og åben - public cloud-løsning.
Kombinationen giver både høj sikkerhed og mulighed for at skalere meget hurtigt.
Bagsiden er, at en hybrid cloud-løsning netop ikke er en standard-løsning, selv om den trækker på cloud-universets løsninger: De er alle forskellige og specielt tilpasset den enkelte organisations behov og brug.
Det kræver, at CIO'en er i stand til at forhandle en dækkende og klar service level agreement på plads med den enkelte cloud-leverandør.
Lad os tage et kig på de tre hovedområder, skal CIO'en bør bide sig fast i i de SLA'er, der skal dække hybride cloud-løsninger.
Hvem har ansvaret for data?
I hybrid-løsningen ligger data både hos virksomheden og hos cloud-leverandøren, og den udveklses løbende.
Hvem har ansvaret for at sikre forbindelsen, når data forlader den private del af aftalen, så fremmede øjne ikke kan kigge med?
Privacy-sikringen i de forskellige public cloud-løsninger er i udgangspunktet meget ringere end i private cloud-løsningerne. Det betyder, at virksomheden risikerer at miste kontrol over data, når de flyttes over til public cloud-løsningen, hvor leverandøren pludselig overtager ansvaret.
Dette bør adresseres i en SLA, hvor der blandt andet bør formuleres punkter om kontrol-mekanismer, data-opbevaring, ejerskabs-regler samt såkaldt 'right of return' - altså hvornår, hvor hurtigt og under hvilke omstændigheder data skal returneres og fjernes.
Compliance
Virksomheden skal følge de gældende governance-regler uanset om data ligger i en private cloud-løsning eller i en public cloud-løsning.
SLA'en bør definere service-providerens forpligtelser i forhold til de forskellige compliance-regler.
Det gælder ikke mindst det nye datasikkerheds-direktiv, som EU for tiden arbejder på og som du kan læse mere om her:
Audit
Virksomheden bør sikre sig, at SLA'en formulerer regler og betingelser for at få adgang til al nødvendig dokumentation, som virksomheden har brug for at bevise, at den lever op til alle regler og aftaler.
Det bør også fremgå af SLA'en, hvem der betaler for service providerens omkostninger i forbindelse med audits af virksomhedens cloud-aktiver.
Hvor befinder data sig?
Det er overvejende sandsynligt, at virksomhedens data spredes ud over en række datacentre og servere, når den flyttes fra private cloud-løsningen til public cloud-løsningen, da public cloud-løsninger netop kan gøres prisbillige, fordi service provideren kan putte data ind, hvor der nu bedst er plads.
For en lang række især personfølsomme data gælder det, at de skal holdes inden for EU's grænse, hvilket SLA'en klart bør definere.
Ligeledes bør det klart fremgå, at virksomheden skal kunne genskabe og have udleveret alle sine data, når den ønsker det.
I det hele taget bør disaster recovery fylde en del i SLA'en - altså de nøjagtige aftaler for, hvad der skal ske, hvis alt eller en del af den samlede cloud-løsning går ned, så man ikke kan få fat i data?
Som for eksempel:
- Hvor nøjagtigt er data lagret?
- Hvem har adgang til data?
- Hvordan er data sikret? Er den krypteret?
- Hvor langt tid skal der gå fra opdagelsen af en fejl eller nedbrud, til du orienteres?
- Hvor tit bliver der taget backup? Og hvor lang tid skal det tage at genskabe data?
Du kan læse mere om, hvordan man får skrevet sikkerheden ind i sine SLA'er i denne klumme, som sikkerheds-eksperten Shehzad Ahmad fra DK-Cert skrev til Computerworld for et par måneder siden: Sådan får du sikkerheden skrevet ind i kontrakten.
Læs også:
Multisourcingens forbandelse: Her går det galt
Frustration blandt it-chefer: Vi kan ikke gennemskue kontrakten
Disse nye opgaver havner på dit bord med cloud
