Η τεχνολογία του Cloud μάς έμαθε να μη φοβόμαστε το ύψος. Να αποδεχτούμε πως η υποδομή δεν χρειάζεται να είναι στο υπόγειο ενός κτηρίου, αλλά να μπορεί να αιωρείται – απρόσιτη μεν, αλλά εξαιρετικά προσβάσιμη. Το σύννεφο έγινε η νέα βάση μας. Αόρατη, αλλά παρούσα – ευέλικτη, αλλά σταθερή. Όταν ξεκινήσαμε να «ανεβάζουμε» στο Cloud, είχαμε κυρίως δύο προσεγγίσεις: τον ενθουσιασμό απέναντι στη νέα τεχνολογία και τον φόβο του «αν δεν το βλέπω στο data-center, δεν ξέρω αν είναι ασφαλές».
Γιάννης Παυλίδης
Senior Cybersecurity Architect
UNI SYSTEMS
www.unisystems.com
Μαρία Μανδαλενάκη
GRC Consulting Services Supervisor
UNI SYSTEMS
www.unisystems.com
Όμως, η εποχή του ενός Cloud ήδη άρχισε να αποτελεί παρελθόν. Σήμερα, οι επιχειρήσεις κινούνται σε ένα πολύπλοκο οικοσύστημα από διαφορετικά Cloud (Multi-Cloud ecosystem) που διαφέρουν ως προς το σχήμα, την ταχύτητα, τη συμπεριφορά και τις δυνατότητές τους. Για κάποιους, αυτή η επιλογή υπαγορεύεται από στρατηγικούς στόχους, για άλλους από απαιτήσεις απόδοσης ή ασφάλειας. Σε κάθε περίπτωση, το Multi-Cloud παύει να είναι επιλογή και μετατρέπεται σε ανάγκη: ένας συνδυασμός επιλογών που εξασφαλίζει αυτονομία, ανθεκτικότητα και επιχειρησιακή συνέχεια. Αυτή είναι η νέα πραγματικότητα: ένας ψηφιακός ουρανός γεμάτος δυνατότητες, αλλά και προκλήσεις πλοήγησης.
Πλέον, βρισκόμαστε στο σημείο όπου το cloud δεν σημαίνει ένα πράγμα, αλλά πολλά: Multi-Cloud, Hybrid-Cloud και οτιδήποτε ενδιάμεσο. Ο προβληματισμός του «δεν το βλέπω, άρα δεν το ελέγχω», μετατράπηκε σε «μεταφέρω την ευθύνη και το ρίσκο αλλού». Κι εδώ προκύπτει το ερώτημα: πόση διαφορά έχει αν αυτό το «αλλού» είναι ένα σημείο ή πολλά;
Προσαρμοστικότητα και Αποδοτικότητα
Οι επιχειρήσεις στρέφονται όλο και περισσότερο σε multi-cloud στρατηγικές από επιχειρησιακή ανάγκη. Σε ένα περιβάλλον που αλλάζει διαρκώς, η δυνατότητα επιλογής και μετακίνησης workloads προσφέρει πολύτιμη ευελιξία και μειώνει σημαντικά τον κίνδυνο εξάρτησης από ένα μόνο πάροχο. H αξιοποίηση διαφορετικών υποδομών και τεχνολογιών οδηγεί σε καλύτερη κάλυψη εξειδικευμένων αναγκών. Κάθε περιβάλλον έχει τα δικά του πλεονεκτήματα, και η δυνατότητα συνδυαστικής αξιοποίησής τους μεταφράζεται σε αυξημένη απόδοση, λειτουργική πληρότητα και ταχύτερη υιοθέτηση καινοτομιών. Παράλληλα, οι ρυθμιστικές απαιτήσεις και τα ζητήματα προστασίας δεδομένων προσθέτουν επιπλέον λόγους για την υιοθέτηση του multi-cloud, ειδικά σε κλάδους με αυστηρό πλαίσιο συμμόρφωσης. Η δυνατότητα να κατανέμονται υποδομές σε διαφορετικές περιοχές δίνει στους οργανισμούς ευκολία στη προσαρμογή τους σε νομικές και κανονιστικές απαιτήσεις ανά business case. Αντί να προσπαθούν να «χωρέσουν» τα πάντα σε ένα ενιαίο περιβάλλον, μπορούν να διαμορφώνουν την παρουσία τους με βάση τις ανάγκες κάθε υπηρεσίας.
Τέλος, το να βρίσκεται κανείς σε περισσότερα από ένα περιβάλλοντα δεν είναι απλώς θέμα τεχνολογίας· είναι και θέμα ισορροπίας. Όταν έχουμε επιλογές, μπορούμε να έχουμε και τη βέλτιστη λύση βάσει κόστους, απόδοσης ή αναγκών της στιγμής. Διαπραγματευόμαστε με καλύτερους όρους και διαμορφώνουμε τις υπηρεσίες όπως ακριβώς τις χρειαζόμαστε. Με αυτόν τον τρόπο, το multi-cloud δεν λειτουργεί απλώς σαν τεχνική λύση, αλλά ως δείγμα στρατηγικής ωριμότητας· μια ένδειξη ότι ο οργανισμός ξέρει πού θέλει να πάει και πώς να φτάσει εκεί.
Περισσότερα Εργαλεία, Μεγαλύτερη Ευθύνη
Είναι όμως το Cloud, αυτόματα ασφαλές; Οι Cloud Providers παρέχουν ένα πλήρες οικοσύστημα ώριμων εργαλείων και λύσεων για την ασφάλεια των δεδομένων και των υποδομών, προς όλες τις κατευθύνσεις των εμπιστευτικότητα, ακεραιότητα και διαθεσιμότητα. Ωστόσο, είναι ευθύνη του οργανισμού να γνωρίσει, να παραμετροποιήσει και να αξιοποιήσει αυτά τα εργαλεία με βάση τις δικές του ανάγκες και πολιτικές. Οι cloud πλατφόρμες μας δίνουν τις δυνατότητες, ωστόσο το πώς τις χρησιμοποιούμε είναι αποκλειστικά δική μας υπόθεση.
Πολλά σημεία στο cloud; Πολλά σημεία ελέγχου. Οι μεγάλοι πάροχοι διαθέτουν πλέον ώριμα και εξελιγμένα αντίμετρα, πλήρως ευθυγραμμισμένα με ευρέως αναγνωρισμένα frameworks όπως ISO 27001, NIST, PCI-DSS, κ.α. Ακόμα και όταν αυτά δεν επαρκούν, υπάρχει πληθώρα από third-party ή vendor-agnostic λύσεις που μπορούν να καλύψουν ακόμα και τις πιο αυστηρές απαιτήσεις.
Με Multi-Cloud ή Hybrid-Cloud περιβάλλον όμως, συνεπάγεται και μεγαλύτερο βάρος στον έλεγχο και την υλοποίηση των controls που ο οργανισμός έχει αποφασίσει να εφαρμόσει για την μείωση των ρίσκων. Περισσότερα εργαλεία, περισσότερη πολυπλοκότητα, περισσότερες αποφάσεις. Αν δεν υπάρχει σαφές πλαίσιο διακυβέρνησης, είναι εύκολο να δημιουργηθούν νέα σιλό, κάτι που προσπαθούμε να καταργήσουμε, υπέρ μιας ολιστικής, οριζόντιας προσέγγισης στη διακυβέρνηση των πληροφοριακών μας συστημάτων.
Κρίσιμα διλλήματα
Στο τέλος της ημέρας, όλα συνδέονται με την κουλτούρα, τις αξίες και τα ιδανικά του οργανισμού. Αλλά στο τελευταίο «λεπτό» αυτής της ημέρας, όλα συγκλίνουν στο κόστος, τεχνολογικό, επιχειρησιακό και οπωσδήποτε ανθρώπινο.
- Επιλέγοντας υπηρεσίες βάσει κόστους, ενδέχεται να μειώσουμε τα έξοδα αλλά να αυξήσουμε την πολυπλοκότητα και το τεχνικό χρέος.
- Μπορεί να προτιμήσουμε hybrid-cloud, διατηρώντας κάποια assets τοπικά, ώστε να εφαρμόσουμε πλήρως τα δικά μας controls. Κερδίζουμε αυτονομία, ίσως όμως χάνουμε τα οφέλη των πιο καινοτόμων cloud τεχνολογιών.
- Ίσως παραμείνουμε σε έναν μόνο cloud provider, με ενιαία στρατηγική. Γνωρίζουμε καλά το περιβάλλον, το ελέγχουμε και το εμπιστευόμαστε. Σταθερή επιλογή, αρκεί να έχουμε προνοήσει για ένα εφικτό exit strategy. Κανείς δεν μπορεί να εγγυηθεί πώς θα μοιάζει το cloud οικοσύστημα σε πέντε χρόνια από τώρα και ότι ο εκάστοτε πάροχος θα συνεχίσει να καλύπτει τις ανάγκες μας, ή ακόμη και να υπάρχει.
Συνοψίζοντας, είτε επιλέγουμε ένα, πολλά ή και κανένα cloud, η ουσία παραμένει η ίδια: βρισκόμαστε σε διαρκή πορεία εξέλιξης, ευθυγράμμισης και συμμόρφωσης. Οι ομάδες ασφάλειας δεν περιμένουν το τέλειο μοντέλο, χτίζουν καθημερινά με ό,τι είναι διαχειρίσιμο, ευθυγραμμισμένο και βιώσιμο. Δεν είναι ζήτημα τελειότητας, αλλά συνέπειας. Προχωράμε μπροστά με όσες επιλογές μπορούμε να ελέγξουμε καλά. Και αυτό είναι, τελικά, το πιο ρεαλιστικό μοντέλο ασφάλειας.
