|
Иди и смотри: прежде чем спешить в "облака", стоит разобраться в новых рисках и возможных последствиях Шэннон Смит, специалист по eDiscovery и архивированию компании CommVault Введение Постоянный рост сегмента облачных сервисов отражает высокие темпы переноса компаниями всех или части своих вычислений, приложений и ресурсов хранения в эту новую среду. По прогнозу Gartner , данная отрасль будет стремительно расти как минимум до 2014 года, когда мировой оборот рынка облачных сервисов достигнет 148,8 млрд. долларов. Этот массовый энтузиазм в отношении облачных вычислений нельзя назвать ничем не оправданным, ведь их преимущества в высшей степени привлекательны. Возможность кардинально сократить затраты на ИТ и резко повысить эффективность работы, совместной деятельности в корпоративной среде, увеличить гибкость бизнеса - основные движущие факторы. Кроме того, развивающиеся сервисы предоставляют огромный выбор различных вариантов, включая "инфраструктуру как услугу" ( Infrastructure as a Service , IaaS ), предлагаемую Web -сервисами Amazon , а также Rackspace , Nirvanix и другими компаниями; "платформу как услугу" ( Platform as a Service , PaaS ), в том числе Microsoft Azure и Google Apps ; "программное обеспечение как услугу" ( Software as a Service , SaaS ) от таких провайдеров как Salesforce . com и CaseCentral . Первопроходцы в облачных технологиях рассматривают миграцию в "облака" как требование бизнеса, несмотря на возможный риск перебоев в предоставлении сервиса, риски безопасности и утечки конфиденциальных данных. Ясно, однако, что провайдеры облачных сервисов (Cloud Service Provider, CSP) понимают колебания и сомнения, которые поначалу испытывают компании, доверяющие им критически важные информационные ресурсы, и продолжают усердно работать, чтобы ослабить эту озабоченность за счет более жестких соглашений об уровне обслуживания ( Service Level Agreements , SLA ) в плане бесперебойности функционирования, конфиденциальности и безопасности. Заголовки новостей пестрят сообщениями о недавних продолжительных перебоях в сервисах Intuit и Google , и это лишь укрепляет уверенность в том, что сбои в работе "облака" вполне возможны, и они будут случаться, поэтому вопросы качества сервиса и доступности данных сохраняют свою остроту и значимость. Хотя шифрование остается основой обеспечения безопасности данных при переходе в "облако", существуют и другие вопросы, которые обязательно следует прояснить перед вступлением в договорные отношения с поставщиком облачных сервисов, касающиеся миграции в облачную среду и дополнительных рисков. Есть также целый ряд не менее важных вопросов, которые начинают всплывать при разговорах о связанных с "облаками" рисках. Хотя они пока и не фигурируют в заголовках новостей столь часто, но могут иметь далеко идущие последствия, а потому требуют постоянного внимания и обсуждения. Дальновидные руководители ИТ начинают понимать, что, взвешивая риски облачных вычислений, они не должны ограничиваться "большой тройкой" проблем - перебоями в работе, конфиденциальностью и безопасностью. Сегодня больше чем когда-либо для снижения рисков, относящихся к управлению записями, eDiscovery (этим термином называют совокупность норм, регламентирующих правила электронного предоставления документов в судебных процессах), юридическим вопросам и стратегиям завершения отношений с провайдером важны тщательная оценка и партнерство с другими участниками процесса. Управление записями: хранение и уничтожение данных Одним из всеобъемлющих преимуществ переноса информации в облако является возможность значительного упрощения управления данными и повышения его эффективности. В настоящее время компании фокусируют внимание на обеспечении целостности и доступности данных, но не уделяют много времени анализу требований, предъявляемых к хранению и уничтожению данных. Эта область требует сотрудничества между корпоративными подразделениями ИТ и юридическими департаментами, понимания и четкого формулироваться специфических потребностей в хранении данных и их уничтожении, особенно принимая во внимание, что контракты многих провайдеров облачных сервисов являются стандартными и составляются по шаблону. Не стоит также забывать о том, что провайдеры облачных сервисов занимаются сбором данных , а не их очисткой - таков их бизнес. Они обеспечивают чрезвычайно простое добавление емкости хранения, что поощряет хранить в "облаке" все на свете. Тема уничтожения данных даже не поднимается, хотя делать это следует. Переход в "облако" предполагает упрощение управления данными, однако управление хранением данных на этих новых рубежах может быть более сложным и трудным процессом, чем при хранении на собственной площадке. По этой причине компаниям нужно проанализировать доступные им варианты, посмотреть, как провайдер решает задачу управления записями. Например, ключевым является понимание того, как провайдер применяет множество политик хранения данных, какой подход используется при уничтожении отдельных наборов данных по взаимно согласованному расписанию. В некоторых случаях, таких как модель облачных сервисов SaaS , предложение может включать в себя механизмы хранения и уничтожения данных. Многие поставщики услуг электронной почты по модели SaaS используют политики удаления почтовых сообщений по истечении года. В других случаях можно управлять хранением данных с помощью применяемого в компании программного обеспечения резервного компания. Независимо от подхода заказчик должен играть активную роль в определении политик хранения и уничтожения данных, тесно взаимодействовать с провайдером в понимании юридических последствий и рисков нарушения этих политик, даже непреднамеренного. eDiscovery: производство, сбор и защита данных Облачные вычисления также могут делать процессы сбора, поиска, хранения и защиты хранимой электронными способами информации ( electronically stored information , ESI ) и обеспечения доступ к ней более трудоемкими, сложными и подверженными риску по сравнению внутренними процессами, реализуемыми вручную. Решая эти вопросы, корпоративным ИТ-департаментам нужно привлекать своих юристов, консультироваться по проблемам поиска данных в облачной среде, если "облако" представляет собой не просто хранение информации на сторонней площадке, например, в компании Iron Mountain . Как и в случае управления записями, на уровень функциональности будет влиять тип облачного сервиса. Например, если организация использует "облако" просто как хранилище данных, вероятность получить в свое распоряжение возможности поиска данных значительно снижается. Однако, если организация использует облачный сервис SaaS , существует большая вероятность получить функции поиска и индексирования контента для поддержки требований юридического раскрытия данных. Оценивая эти возможности, важно узнать об инструментах, предлагаемых поставщиком облачных сервисов. В некоторых случаях организация сможет использовать комбинацию внутренних и внешних инструментальных средств, помогающих в поиске и идентификации данных. Другой важный вопрос предполагает понимание аутентичности и допустимости данных в "облаке". Например, как меняется владелец данных и права организации на данные, когда данные помещаются в "облако"? Отличаются ли они от ситуации локального хранения данных? Как осуществляется оценка и мониторинг аутентичности данных? Важно поддерживать хранение данных в их оригинальном формате, однако иногда при перемещении в "облако" меняются метаданные и имена файлов. Это может привести к серьезным осложнениям, особенно когда компании больше не получают доступа к тем же метаданным, что и в случае локального хранения. Если при перемещении в "облако" информация изменяется, компаниям следует выяснить, возможен ли аудит данных с целью демонстрации их доступности в оригинальном формате. В юридическом мире возможность реализации принципов "хранения данных для судебных нужд" является очень важной при расследованиях, поиске улик и доказательств. В случае данных в "облаках" этот процесс может стать более сложным и, следовательно, требует дополнительного внимания при подписании соглашения с провайдером облачных сервисов. Прежде всего, организациям нужно понять, есть ли необходимость в восстановлении данных на площадке заказчика для соблюдения принципов хранения данных для судебных нужд, или можно применять эти принципы и в том случае, когда данные находятся в облаке. Кроме того, следует убедиться, что провайдер облачных сервисов не предпринимает никаких действий, которые могли бы привести к искажению данных, что повышает вероятность соответствующих санкций или других юридических последствий, связанных с серьезными расходами. Вопросы eDiscovery в применении к данным в "облаке" будут привлекать все большее внимание, поскольку неспособность предоставить необходимые данные в определенные сроки, как того требует любое судебное расследование, может повлечь далеко идущие последствия, включая жесткие выводы и санкции, большие штрафы. Лучший способ избежать этого скользкого пути - привлечь экспертов-юристов и акционеров на начальных этапах процесса, что поможет выявить любые потенциальные огрехи и риски в eDiscovery . Вопросы юрисдикции: где находятся данные? О вопросах юрисдикции часто забывают. Между тем, их нужно рассматривать на двух уровнях. Для начала компании должны убедиться в том, что поставщик облачных сервисов работает в соответствии с теми законами, которые применяются к конкретному месту, где могут храниться данные. Далее, нужно учитывать характер этих данных, особенно, если провайдер облачных сервисов в США хранит данные или почтовые сообщения иностранной компании. Например, в Европе действуют намного более строгие законы, касающиеся конфиденциальности данных. Университеты в США одними из первых стали использовать технологию облачных вычислений, и почтовые сервисы вместе с почтовыми сообщениями тысяч студентов были перенесены в "облако" для снижения стоимости ресурсов и капительных затрат на ИТ. Опубликовано немало "историй успеха", рассказывающих, как аутсорсинг электронной почты позволил учебным заведениям обслуживать возросшие потребности в коммуникациях и сотрудничестве в масштабе студенческого городка. Между тем для учащихся и преподавателей некоторых учебных заведений, являющихся европейскими резидентами, аутсорсинг систем электронной почты означает дополнительные риски, но в прессе об этом пишут гораздо реже. В Евросоюзе намного более строгие законы о конфиденциальности, чем в США, поэтому, прежде чем передать третьей стороне обработку электронной почты, может потребоваться получить разрешение от всех участников процесса. Трансграничные вопросы касаются не только владельцев данных, но и физического местоположения файловых серверов провайдера облачных сервисов. Поскольку многие провайдеры размещают данные в нескольких ЦОД по всему миру, можно предположить, что в каждом из мест, где находится ЦОД, действуют разные законы о конфиденциальности данных. И здесь снова возникает задача минимизировать риск раскрытия информации, могут возникать законодательные риски и проблемы, риски несоответствия регулирующим нормативам и требованиям. Стратегии выхода: как вернуть данные Наверное, чаще всего упускают из виду, что происходит, когда организация хочет уйти из "облака" или перейти к другому сервис-провайдеру. Можно привести множество причин, по которым компания должна разработать такую стратегию выхода заранее, в том числе подумать, как избежать раскрытия данных в случае банкротства провайдера облачных сервисов, как гарантировать возврат всех данных при переходе к другому провайдеру. В настоящее время провайдеры облачных сервисов не особенно фокусируют внимание на подобных вопросах, и естественно ожидать, что торопиться с этим они не будут. Между тем очень важно понимать процесс возврата данных заказчику. В некоторых случаях можно переместить данные от "вендора А" к "вендору B " непосредственно. Так или иначе, всегда возникают вопросы стоимости и сроков, а также потенциальные риски, требующие юридических консультаций. Не все провайдеры облачных сервисов одинаковы . Некоторые могут проявлять больше желания вести переговоры в этих проблемных областях, другие - меньше. Стоит избегать стандартных, шаблонных контрактов, не предусматривающих изменений в соответствии с пожеланиями заказчика. Ясно, что чем крупнее заказчик, тем больше у него возможностей за столом переговоров. Тем не менее, даже небольшим организациям также следует быть осторожными и внимательными, прежде чем переносить критически важные данные в "облако", ведь это может серьезно повлиять и на них. Нужно хорошо разбираться в снижении рисков, связанных с "облаками" Учитывая потенциальное негативное влияние огласки на их репутацию, вполне естественно, что сервис-провайдеры в первую очередь сконцентрируют свои усилия на минимизации последствий перебоев в работе сервиса, внедряют политики и процедуры для снижения рисков безопасности и раскрытия конфиденциальной информации. Гораздо реже в заголовки новостей попадают отдельные случаи, когда заказчик облачного сервиса не может получить свои данные и сталкивается с санкциями, которые обходятся ему в сотни и тысячи долларов. По этой и всем другим вышеописанным причинам ИТ-организации очень важно начать анализ этих реже обсуждаемых, но не менее значимых рисков, связанных с перемещением данных в "облако". В настоящее время и малые, и крупные предприятия несут ответственность за решение всех проблемных вопросов, чтобы переход в "облако" действительно увеличивал преимущества для бизнеса, а не становился источником неприятностей. Каждый знает, что лучшая защита - это нападение, и компаниям, желающим свести к минимуму связанные с "облаками" риски сначала стоит проконсультироваться с юристами. Хороший первый шаг - свести вместе ИТ-специалистов и юристов организации, чтобы они это обсудили. Такая междисциплинарная команда может составить целостное представление о данных компании, прежде чем вырабатывать детальную стратегию, которая обеспечит повышение эффективности бизнес-процессов без создания рисков или "узких мест" при переходе в "облако". Вместо заключения — переговоры по SLA Важной частью любых переговоров с провайдером облачных сервисов должна быть выработка соглашения о качестве обслуживания ( Service Level Agreements , SLA ). Установите для своих данных в " облаке " четкие правила , касающиеся :
Не оставляйте никаких обсуждений " на потом ". Обо всем лучше договориться сразу. |
| ||||||||
