Computerworld News Service: Erhvervslivet er bekymret for administrationen og sikkerheden af de data, som det betror cloud computing-leverandørerne, men ikke mange gør noget ved det, påpeger en spørgeundersøgelse fra Deloitte.
Det er ifølge spørgeundersøgelsen "Enterprise@Risk: Privacy & Data Protection Survey" uklart, om denne mangel på handlekraft kommer af, at man mangler midlerne til at sikre sig, at cloud-leverandørerne faktisk beskytter dataene lige så godt, som de forpligter sig til, eller om virksomhederne ikke har etableret processerne til at foretage en evaluering.
82,6 procent af de adspurgte svarer, at de ikke har implementeret formelle programmer til at vurdere, hvor godt leverandørerne overholder de privacy- og datasikkerhedsbestemmelser, som de har skrevet under på i service-kontrakten, og dette er ifølge Deloitte et problem.
"Man kan ikke placere e-mails og finansielle applikationer i en cloud-tjeneste leveret af tredjepart, der afkræves at leve op til datalovgivning, regulativer og kontraktaftaler, og så ikke have nogen evaluerende mekanisme på plads," siger Rena Mears, som er partner og leder af Deloittes security and privacy services.
Mange forklaringer på manglende kontrol
Men det er ifølge spørgeundersøgelsen præcis, hvad de fleste virksomheder gør. Det kan være, at det stadig er nyt for virksomhederne at administrere cloud-leverandører, og at de endnu ikke har modnet processen, påpeger Deloitte.
Men det kan også være, at det simpelthen er for svært at teste og overvåge leverandørernes cloud-miljøer for at se, om de gør, hvad de skal, og at det er derfor, det ikke sker.
Men grundlæggende er det sådan, at den virksomhed, hvis data kompromitteres, i sidste ende selv er ansvarlig for dette brud på sikkerheden. Det er ikke den tjenesteleverandør, der ellers indgik aftalen om at beskytte dataene tilstrækkeligt, advarer Mears.
Sådan sikrer du dig
Så virksomheder, der bruger cloud computing-tjenester, bør ifølge Mears løbende udføre risikovurderinger for de data, der betros skyen. Data bør klassificeres efter følsomhed og bør betragtes som forretningsaktiver, hvorudfra virksomheden forsøger at drage størst mulig udbytte.
Erhvervslederne er nødt til at afveje omkostningsbesparelser og -fordele ved at flytte data ud i skyen mod de risici, der opstår ved denne praksis, påpeger hun.
Det er ikke fordi, at erhvervslederne ignorerer problemerne, de står bare foran mange nye omstændigheder, som de ikke har erfaring med at håndtere.
"Markedet er i forandring, og virksomhederne tilpasser sig flere datastrømme for at opnå flere målsætninger i et komplekst reguleret miljø," siger Mears.
Cloud computing træder ikke bare ind på scenen i et statisk erhvervsmiljø, forklarer hun. Dette miljø er nemlig under hurtig forandring med stigende omkostninger, data i global bevægelse og regulerende forordninger, der bliver strammere og mere talrige, og som kan være forskellige fra land til land.
Nedprioriterer sikkerheden
Og alligevel er det ikke en topprioritet blandt virksomhederne at håndhæve regulerende og kontraktmæssige krav i forhold til cloud computing. Det er i stedet beskyttelse af virksomhedernes immaterielle rettigheder.
30 procent af de adspurgte bekymrer sig om immaterielle rettigheder, hvorimod 20,7 procent bekymrer sig om evnen til at håndhæve regulerende og kontraktmæssige krav. Uautoriseret brug af data er den tredjestørste bekymring med 15,1 procent.
Antallet af virksomheder, der i dag står over for disse udfordringer er betydeligt, og det stiger. Næsten 45 procent af respondenterne har ifølge Deloitte allerede købt cloud computing-tjenester, og 22 procent svarer, at de overvejer det.
Kunderne til disse tjenester bruger dem til storage (27,7 procent), finansielle applikationer (17 procent), database-applikationer (16,1 procent) og e-mail (12,8 procent).
Mears forventer, at it-branchen vil finde på acceptable tilgange til at styre data i skyen, så de håndteres i overensstemmelse med forretningsmæssige og statslige regulativer. International Organization for Standardization, National Institute of Standards and Technology samt grupper som Cloud Security Alliance arbejder alle på at skabe rammeværktøjer til at håndhæve privacy og datasikkerhed i skyen.
Oversat af Thomas Bøndergaard
