"Nu gäller det att välja rätt, inte bort", skriver Åsa Schwarz.
Året var 2009. Varningslamporna blinkade. Molnen var på väg. Osäkra, omogna, hajpade och med en förförisk prislapp. Jag fick i uppdrag av en kund att göra en checklista över vilka tjänster som går att lägga i molnet. Svaret var enkelt: det går bra bara de inte innehåller någon känslig information och är kopplade till övrig infrastruktur. Hoppas du inte någonsin behöver få tillbaka informationen. Ridå.
Året är 2013. Prislappen är fortfarande förförisk, men situationen är en annan. Marknaden mognar. De stora leverantörerna lyssnar på sina kunder. Även om avtalen är standardiserade utgår de från att motparten är en professionell uppköpare. Nu gäller det att välja rätt, inte välja bort. Fallgroparna är många men belöningen är lägre priser, flexibilitet och i vissa fall högre säkerhet.
Personuppgifter har varit en stoppkloss för molnjättar. Därför har en konstruktion skapats som kallas Safe Harbor och innebär att amerikanska bolag förbinder sig att följa europeisk lagstiftning. Det innebär att inte bara dina personuppgifter, utan all din information finns i länder med någorlunda vettig lagstiftning. En brasklapp är Patriot Act och FISAA som övertrumfar Safe Habor. Något att tänka på för svenska myndigheter.
ETT ANNAT PROBLEM har varit integration med övrig infrastruktur. Nu går det att koppla molntjänster mot befintligt Active Directory och övergången blir osynlig för användarna med hjälp av single Sign On. Självklart måste det göras säkert. Både outsourcing- och molnleverantörer är ofta iso 27001-certiferade. Tänk på att certifikatet inte alltid gäller verksamheterna som är outsourcade. För molnleverantörerna är själva tjänsterna certifierade.
Missförstå mig inte, jag förespråkar inte att allt ska ut i molnet. Det finns mycket att tänka på. Risker, kontrollistor och annan hjälp kan du få på Cloud Security Alliance. Däremot bör vi ifrågasätta varför hela it-verksamheter outsourcas när det i vissa fall kan bli både säkrare och billigare att beställa väl avgränsade molntjänster.
/Åsa Schwarz, säkerhetskonsult på Knowit
Först publicerad 2013-04-13, i Computer Sweden