Stil 5 kritiske spørgsmål til din cloud-leverandør

Transkript

1 Stil 5 kritiske spørgsmål til din cloud-leverandør Cloud computing eller bare cloud er en fl eksibel, budgetterbar og nem serviceydelse til langt de fl este virksomheder. Det er ikke småting, du med fordel kan lægge ud i skyen. Faktisk huser de enorme, online datacentre en bred vifte af it-ydelser lige fra programmer til datakraft og lagerkapacitet. Af samme årsag er det heller ikke ligegyldigt, hvem du vælger som cloud-leverandør. I dette whitepaper stiller vi skarpt på fem vigtige overvejelser, du bør gøre dig, inden du kaster dig ud i skyen.

2 Introduktion Stil 5 kritiske spørgsmål til din cloud-leverandør At nær hver tredje danske virksomhed er hoppet med på sky-vognen bekræfter, at cloud ikke bare er en døgnflue. Konceptet med at tilgå it-løsninger i skyen går ganske enkelt ud på, at en leverandør tilbyder at hoste, installere, drifte, opdatere og udvikle software for kunden, der får adgang til løsningen over internettet. På den måde sparer virksomheden både plads, tid og penge. Samtidig højnes produktiviteten, fordi virksomhedens it-medarbejdere kan bruge kræfter på forretningsudvikling frem for vedligeholdelse af servere og systemer. Men uanset om en virksomhed blot ønsker et cloud-baseret økonomisystem, eller har planer om at lægge hele deres kundedatabase og øvrige interne og eksterne data op i skyen, er der en række overvejelser, der bør være på plads, inden virksomheden vælger sin cloud-leverandør. Definitionen af cloud computing Cloud computing er abonnement på it-ydelser, som leveres og benyttes via internettet, og hvor ydelsen kan skaleres løbende efter forbrug og behov. Det kan for eksempel dreje sig om adgang til software eller computerkraft og kan være et alternativ til selv at købe it-produkter. (Definition: Danmarks Statistik) Blandt de mest populære cloud-services er drift af hjemmesider, og kalender, lagring og deling af dokumenter samt økonomi- Indhold: #1 Beliggenhed, beliggenhed, beliggenhed hvor i (al)verden opbevarer I vores data? #2 In case of emergency har I en beredskabsplan, hvis noget går galt? #3 Et kvalitetsstempel overholder I alle standarder, så vi har ryggen fri? #4 #5 Hvor sikkert er det? kan I dokumentere garanti for sikkerheden? Kreditværdighed, konkurs og kritik er I i sikker havn økonomisk set? og regnskabssystemer. Kom til sagen

3 Stil 5 kritiske spørgsmål til din cloud-leverandør #1 Beliggenhed, beliggenhed, beliggenhed hvor i (al)verden opbevarer I vores data? Placering er ikke kun en vigtig overvejelse, når du køber hus. Det er mindst lige så vigtigt, når du lægger dine forretningskritiske data i skyen. Om cloud-udbyderens datacenter er placeret i eller uden for EU, er ikke en uvæsentlig parameter. Overordnet set, bør du gøre dig følgende overvejelser: Først skal du vurdere, hvilken type data du skal have opbevaret hos din cloud-leverandør. Hvis der er tale om persondata, er der specifikke krav, du skal stille til sikker opbevaring. Her skelnes mellem personhenførbare oplysninger som for eksempel mailadresser, og personfølsomme oplysninger som for eksempel information om helbred og økonomi. Dernæst skal du kræve gennemsigtighed i forhold til, hvor din cloud-leverandør fysisk placerer dine data. Du bør altid have vished om, hvor dine data behandles og af hvem. Overordnet skelnes der mellem persondataopbevaring inden for og uden for EU/EØS. Opbevarer din cloud-leverandør data inden for EU/EØS, skal du sørge for at lave en skriftlig aftale ofte kaldet en databehandleraftale som har hjemmel i den danske persondatalov og/eller EUs databeskyttelsesdirektiv, der sikrer en fælles minimumsstandard for behandling af persondata på tværs af EU-lande. Mange cloud-leverandører har ofte sine datacentre placeret uden for EU i såkaldte tredjelande. I disse tilfælde er der grund til ekstra omtanke, inden du indgår en aftale. På nær en række sikre tredjelande, som er godkendte af EU, er der særlige krav til databehandleraftalen, når persondata overføres til tredjelande. Ofte vil det i disse tilfælde være oplagt at benytte EU-kommissionens standardkontrakt som bilag i aftalen med cloud-leverandøren. Ligeledes kan det også være nødvendigt at indhente en tilladelse hos Datatilsynet, når man overfører persondata til tredjelande. Mange cloud-leverandører har ofte sine datacentre placeret uden for Jura på området er i EU i såkaldte tredjelande. I disse konstant udvikling, og tilfælde er der grund til ekstra omtanke, inden du indgår en aftale. det er ofte en langhåret størrelse. Anbefalingen vil derfor altid være, at man søger professionel, juridisk rådgivning. I øvrigt gælder der unikke regler for opbevaring af bogføringsdata uden for Danmarks grænser. Foreningen Dansk IT og Danske IT-advokater har udarbejdet en guide til cloud-kontrakter, hvori det står beskrevet nærmere. #2 In case of emergency har I en beredskabsplan, hvis noget går galt? Som verdens største, offentlige cloud-operatør måtte amerikanske Amazon i juledagene 2012 lægge øre til massiv kritik. Juleaften svigtede Amazons cloud-service nemlig, og blandt flere af virksomhedens kunder måtte streamingtjenesten Netflix leve med ustabilitet på hjemmesiden i næsten et halvt døgn. Efterfølgende forklarede Amazon, at en udvikler i firmaets computercenter i Virginia var kommet til at fjerne en vigtig bid software. Det er som bekendt menneskeligt at fejle, men uanset hvad bør en cloud-leverandør have en beredskabsplan i tilfælde af nedbrud i et datacenter. Når du lægger din virksomheds data i hænderne på én cloud-leverandør, skal du sikre dig, at der er en konkret og detaljeret plan for backup altså gendannelse af data, applikationer, serveradgang, brugerkonti og så videre. Fordelen ved en cloud-baseret backupserver er, at styresystemer, applikationer, patches og data sikkert og præcist kan kopieres fra ét datacenter til et andet, uden at de enkelte dele skal genindlæses på en fysisk server. Med cloud-backup kan dine data derfor genoprettes hurtigere, og det sparer både tid og penge. #3 Et kvalitetsstempel overholder I alle standarder, så vi har ryggen fri? Det er essentielt, at din cloud-leverandør har en certificering, der garanterer processer på drift, egenkontrol, sikkerhed, kompetencer, forretningsgange og økonomi. Helt specifikt skal du spørge til en ISAE 3402-certificering, der er en høj, international sikkerhedsstandard om kontroller hos serviceleverandører. Spørg også til, om din udvalgte cloud-leverandør er medlem af Brancheforeningen for IT-hostingvirksomheder i Danmark. Foreningens medlemmer får nemlig Hostingmærket, der er et kvalitetsstempel, som betyder, at cloud-leverandøren har været igennem en certificeringsproces. Fordelene ved at bruge en cloud-leverandør, der har kvalitetsstemplet fra brancheforeningen er, at det er er din garanti for, at leverandøren opfylder krav om sikre ydelser, gennemsigtige aftaler, økonomisk robusthed, forsikringsmæssig dækning, og at leverandøren bidrager til national it-sikkerhed. FORTSÆTTER

4 Stil 5 kritiske spørgsmål til din cloud-leverandør #4 Hvor sikkert er det? kan I dokumentere garanti for sikkerheden? Den nordiske udbyder af betalings-, kort- og informationssystemer Nets har bøvlet med den hemmelige tys-tys-kilde, og den amerikanske sikkerhedstjeneste NSA har haft sine udfordringer med Edward Snowden. Ulovligheder eller ej, så har episoderne gjort os alle opmærksomme på datasikkerhed, og Ulovligheder eller ej, så det er kun en sund lektion. Så tjek har episoderne gjort os allerførst, om din cloud-leverandør alle opmærksomme på kun leverer plads eller også sikkerhed. For det er vigtigt, at du kræver datasikkerhed, og det er kun en sund lektion. dokumentation for, at din cloud-leverandør har et højt sikkerheds- Så tjek allerførst, om din cloud-leverandør kun niveau. Her er ovenstående ISAE leverer plads eller også 3402-certificering igen et troværdigt sikkerhed. og vigtigt dokument. Som udgangspunkt er det en god idé at nedfælde de konkrete aftaler i en kontrakt ofte kaldet en SLA (Service Level Agreement). Heri bør det også defineres, hvordan du er stillet forsikringsmæssigt i tilfælde af nedbrud og tabt data. En standardkontrakt dækker ikke over force majeure-tilfælde, som eksempelvis et tabt datacenter. Du skal sikre dig, at din leverandør har en erhvervs- og produktansvarsforsikring og en professionel ansvarsforsikring til dækning af skader og eventuelle tab. Her kan vejledningen om cloud-kontrakter fra Foreningen Dansk IT og Danske IT-advokater igen være en nyttig kilde til information. For langt de fleste virksomheder vil en cloud-løsning være en sikkerhedsmæssig fordel, fordi du typisk vil outsource til en leverandør, der ved mere om emnet, end du selv gør. Det handler som bekendt om at gøre det, man er bedst til. #5 Kreditværdighed, konkurs og kritik er I i sikker havn økonomisk set? Nirvanix-hostede sky. Den 1. oktober gik firmaet konkurs. Så for en række af Nirvanix kunder, der havde flere terabytes og petabytes i skyen, betød det, at der skulle handles hurtigt. Med et 1 Gbps-link ville det for eksempel tage op til et par uger at flytte 150 terabyte data fra skyen over et WAN-link. Selvom Nirvanix efterfølgende udvidede fristen, gav det alligevel problemer for flere af det konkursramte firmas kunder. Derfor er det vigtigt, at du kigger efter cloud-leverandørens økonomiske rating. Jo højere rating, jo større kreditværdighed desto bedre økonomisk fundament og dermed højere sikkerhed for dig og din virksomhed. #Bonus Don t work harder work smarter For mange virksomheder vil det være en fordel at opbevare data i skyen. Det sparer ikke kun plads på virksomhedens computere og servere også rent økonomisk er der en gevinst at hente. Cloud-leverandører kan tilbyde en række it-services til lave omkostninger ganske enkelt fordi, der er flere kunder til at deles om udgifterne. Derudover får cloud-leverandørens kunder adgang til de nyeste it-værktøjer til en leje-pris, fremfor at de skal opgradere eksisterende software, som måske er forældet. Det kan være et stort skridt at tage Tillid er en vigtig parameter, men du bør ikke blot beslutningen om at overdrage virksomhedens data til en ekstern lade mavefornemmelsen samarbejdspartner, uanset om der guide vej. er tale om flere terabytes eller blot et enkelt CRM-system. Tillid er en vigtig parameter, men du bør ikke blot lade mavefornemmelsen guide vej. Derfor skal du kræve dokumentation for, at din potentielt kommende cloud-leverandør har styr på både sikkerhed, økonomi og forretningsgange. ISAE-3402-certificering og Hostingmærket er vigtige elementer i den relation. Når du har fundet en cloud-leverandør, som du stoler på både med hjertet og hjernen så kan du trygt lægge din virksomheds data op i skyen. Dermed kan du fuldt ud koncentrere dig om din virksomheds kerneydelser, og det giver bedre effektivitet, produktivitet og bundlinje. Det er bare smartere. Efteråret 2013 bød på et grumt eksempel på, hvad der kan ske, når en cloud-leverandør må dreje nøglen om. Det San Diego-baserede it-firma Nirvanix meddelte den 16. september, at firmaets kunder inden den 30. i samme måned skulle få flyttet al deres data fra den FORTSÆTTER

5 Om datacompagniet datacompagniet er en aktiv spiller pg forhandler på markedet for cloud-løsninger. Vi tilbyder både dataopbevaring og en række it-services i standardpakker, og vi gør det simpelt for dig. Vi benytter altid dansk-hostede datacentre, og det betyder, at vi følger dansk lovgivning på området. Det sikrer overskuelighed og gennemsigtighed for begge parter. Hos datacompagniet har vi en beredskabsplan, der kort fortalt består af to sæt backup: et 24-timers disaster recovery-vindue og et syv-døgns backupsystem, der tager en fuld backup af dine data én gang i døgnet og gemmer det i syv dage. De to backup-sæt betyder, at vi har tilstrækkelig infrastruktur til at køre driften videre, selvom et helt datacenter tabes. Vi udarbejder altid en SLA med vores kunder, hvor alle detaljer om både servicemål, juridiske risici og forsikringsforhold er nedfældet. Få mere at vide kontakt os 100 % uforpligtende salg@datacompagniet.dk Klik ind på datacompagniet.dk Dette whitepaper er udarbejdet af SE Cloud factory