H Προσέγγιση του ISACA® για το Cloud Computing

Τα αυξημένα επιχειρησιακά οφέλη, ο αντίκτυπος στην ασφάλεια, τη διακυβέρνηση και τη διασφάλιση της πληροφορίας, αποτελούν βασικές παραμέτρους του cloud computing που χρήζουν ιδιαίτερης προσοχής.

Η Νέα Οδηγία του ISACAR
Το ISACAR κυκλοφόρησε τον Οκτώβριο του 2009 ένα νέο white paper για την αναδυόμενη τεχνολογία του Cloud Computing. Εκτός από τη δυνατότητα σημαντικής βελτίωσης της αποτελεσματικότητας, πολλοί επαγγελματίες του χώρου της Πληροφορικής επικαλούνται τους αυξημένους κινδύνους που ενέχει η χρήση της νέας αυτής τεχνολογίας και επισημαίνουν ότι πρέπει να είναι πλήρως κατανοητοί και διαχειρίσιμοι από τα εμπλεκόμενα μέρη, προκειμένου να εμπιστευθούν συστήματα και πληροφορίες στο «σύννεφο» (cloud).

Το white paper έχει τίτλο “Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives” και είναι διαθέσιμο για download από τις ιστοσελίδες του ISACAR www.isaca.org/cloud και του Ινστιτούτου Ελέγχου Συστημάτων Πληροφορικής (Ι.Ε.Σ.Π. – ISACA Athens Chapter) www.isaca.gr

Οι Επιπτώσεις του Cloud Computing
Η καταιγιστική ανάπτυξη του Internet αλλά και οι καινοτόμες προσεγγίσεις που αυτό προσφέρει στην κάλυψη των διαρκώς αυξανόμενων υπολογιστικών αναγκών, συνδυάζονται στην ταχύτατα διαχεόμενη νέα τεχνολογία του “Cloud Computing”. Μεταθέτοντας τις υπηρεσίες Πληροφορικής στο «σύννεφο» οι εταιρείες μπορούν να χρησιμοποιούν αυτές και μόνο αυτές τις υπηρεσίες που χρειάζονται σε κάθε χρονική στιγμή, με χαμηλότερο συγκριτικά κόστος. Ο κίνδυνος που ελλοχεύει σχετίζεται με την ασάφεια και αδιαφάνεια ως προς την αποθήκευση των δεδομένων, γεγονός που προβάλλει κενά στην ασφάλεια και τον έλεγχό τους.

Τι είναι το Cloud Computing και ποια τα Οφέλη του;
Ομολογουμένως υπάρχει δυσκολία στον ορισμό του τι είναι το Cloud Computing. Υπάρχουν εντούτοις δύο βασικοί ορισμοί από το National Institute of Standards and Technology (NIST) και το Cloud Security Alliance, ενώ μία άλλη ενδιαφέρουσα άποψη, αυτή του Jeff Spivey (trustee του IT Governance Institute) το παραλληλίζει με κοινωφελές αγαθό – όπως το ρεύμα, το φυσικό αέριο ή το νερό – από το οποίο οι εταιρείες απλά «καταναλώνουν» όσο μέρος από το «νέφος» χρειάζονται κάθε φορά. Αν και τα οικονομικά οφέλη μοιάζουν να είναι ελκυστικά, σημαντικότερα ίσως είναι τα οφέλη που προκύπτουν από την εξομάλυνση των επιχειρησιακών διαδικασιών και την αύξηση της παραγωγικότητας μέσω της καινοτομίας.

Μερικά από τα επιχειρησιακά οφέλη του Cloud Computing αναφέρονται στα παρακάτω:

• Περιορισμός του Κόστους. Η δυνατότητα άμεσης αναβάθμισης των υπηρεσιών επιτρέπει την αποδέσμευση κεφαλαίων από ετεροχρονισμένες επενδύσεις σε έργα υποδομής, με αποτέλεσμα το Συνολικό Κόστος Κτήσης (Total Cost of Ownership) των αντίστοιχων πληροφοριακών συστημάτων να κυμαίνεται σε χαμηλά επίπεδα.
• Αμεσότητα. Η αμεσότητα στην απόκτηση και ενσωμάτωση νέων υπηρεσιών μπορεί να περιοριστεί ακόμη και στις 24 ώρες.
• Διαθεσιμότητα. Η πρόσβαση με υψηλές ταχύτητες, η επέκταση του αποθηκευτικού χώρου και η ευρυζωνικότητα, επιτυγχάνονται με υψηλά επίπεδα διαθεσιμότητας μέσα από εναλλακτικά δίκτυα, προσφέροντας έτσι δυνατότητες εξορθολογισμού της ισχύος και αποφεύγοντας έτσι καθυστερήσεις στην επικοινωνία ή υπερφορτώσεις.
• Αναβαθμισιμότητα. Η απεριόριστη προσφορά πόρων και υποδομής καλύπτει κάθε εμφανιζόμενη ζήτηση για νέες υπηρεσίες, σε πολύ σύντομο χρονικό διάστημα.
• Αποτελεσματικότητα στη Διαχείριση Πόρων. Οι ανθρώπινοι πόροι που απασχολούνται στην παραγωγή μπορούν να διαχειριστούν αποτελεσματικότερα και να απασχοληθούν σε αποδοτικότερες εργασίες, όπως αυτές της Έρευνας και Ανάπτυξης.
• Ανθεκτικότητα. Οι πάροχοι υπηρεσιών «νέφους» υλοποιούν παράλληλα συστήματα για τη διαχείριση σεναρίων καταστροφής, αλλά και τον εξορθολογισμό της απαιτούμενης ισχύος.

Κίνδυνοι του Cloud Computing και Στρατηγικές Αντιμετώπισής τους
Κατά την υιοθέτηση του Cloud Computing, θα πρέπει να διασφαλιστεί η υψηλή διαθεσιμότητα και η προστασία των δεδομένων. Η επιλογή τρίτων παρόχων υπηρεσιών είναι αναπόφευκτη και η άσκηση δέουσας επιμέλειας στη συνολική διαχείριση της σχέσης με αυτούς είναι ιδιαίτερα κρίσιμη, προκειμένου να μετριαστεί ο κίνδυνος που απορρέει. Σε κάθε περίπτωση κρίνεται απαραίτητη η διαμόρφωση ενός συμφωνημένου επιπέδου υπηρεσιών (Service Level Agreement) ώστε να προσδιορίζονται με λεπτομέρεια οι λειτουργικές διαδικασίες αλλά και να δεσμεύονται νομικά τα εμπλεκόμενα μέρη. Αυτό το συμφωνημένο επίπεδο υπηρεσιών θα πρέπει να αποτελεί το κεντρικό σημείο αναφοράς του προγράμματος διαχείρισης του κινδύνου.

Διακυβέρνηση και Διασφάλιση στο Cloud Computing
Οι κλασικές ενέργειες που περιλαμβάνει η Διακυβέρνηση, όπως ο καθορισμός στόχων, η ανάπτυξη πολιτικής, η ανάθεση αρμοδιοτήτων και η διαχείριση του κινδύνου, διαδραματίζουν και στο Cloud Computing πρωτεύοντα ρόλο. Συχνά επιβάλλονται προσαρμογές στις εταιρικές διαδικασίες αλλά και στην καθημερινή διαχείριση των συστημάτων. Αναμφίβολα, το γεγονός ότι οι μονάδες μιας εταιρείας μπορούν να παρακάμψουν εντελώς τη Διοίκηση της Πληροφορικής και να αποκτήσουν πρόσβαση σε νέες υπηρεσίες από το «σύννεφο», αποτελεί μία νέα πρόκληση στη Διακυβέρνηση. Με στόχο να παρασχεθεί στους άμεσους και έμμεσους χρήστες του «σύννεφο» ένα υψηλό επίπεδο διασφάλισης της ποιότητας της παρεχόμενης πληροφορίας, πρέπει να επιτυγχάνονται τα ακόλουθα:

• Διαφάνεια στην προστασία των πληροφοριών μέσω ασφαλιστικών δικλείδων κατά της μη εξουσιοδοτημένης πρόσβασης, αλλαγής και καταστροφής δεδομένων, αλλά και μέσω του διαχωρισμού αρμοδιοτήτων και της πρόβλεψης πλάνου αντιμετώπισης επιθέσεων και ανάκαμψης από καταστροφή.
• Ιδιωτικότητα με την πρόληψη, ανίχνευση και ταχύτητα αντίδρασης σε πιθανές επιθέσεις κατά της ασφάλειας, με ταυτόχρονη πρόβλεψη για δοκιμασμένα αντίστοιχα κανάλια επικοινωνίας.
• Συμμόρφωση με το θεσμικό πλαίσιο και πρόβλεψη για την έγκαιρη παροχή προβλεπόμενων στοιχείων στις εποπτεύουσες αρχές από τον Οργανισμό, αλλά κυρίως από τους τρίτους παρόχους.
• Η διασυνοριακή ροή πληροφοριών θέτει θέματα όπως η ισχύουσα νομοθεσία για το απόρρητο των πληροφοριών και η αρμοδιότητα δικαστηρίων για την επίλυση διαφορών.
• Πιστοποίηση από ανεξάρτητους ελεγκτές, που θα διενεργείται στο πρόγραμμα διαπίστευσης των τρίτων παρόχων, καθώς δεν υπάρχουν ακόμη διαδεδομένα πρότυπα εξειδικευμένα για το Cloud Computing.

Συμπέρασμα
Ενώ το Cloud Computing υπόσχεται εντυπωσιακά επιχειρησιακά οφέλη, εν τούτοις πρέπει να εφαρμόζονται κατάλληλα προγράμματα διαχείρισης κινδύνου, που θα αποβλέπουν στον εντοπισμό και την αντιμετώπιση όλων των ενεχόμενων κινδύνων στη διάρκεια ζωής της πληροφορίας εντός του «νέφους». Για την επίτευξη των επιχειρησιακών στόχων και την παράλληλη μείωση του κόστους, θα πρέπει να υπάρχει συνεργασία όλων των εμπλεκόμενων μερών, μέσα σε ένα γενικότερο πλαίσιο Διακυβέρνησης.

Πηγή: ISACAR White Paper “Cloud Computing: Business Benefits With Security, Governance and Assurance Perspectives”

ISACA Athens Chapter
Μασσαλίας 22
106 80, Αθήνα
www.isaca.gr
info@isaca.gr
Τηλ.:210-2886041
Fax: 210-2886905

Γεώργιος Ράϊκος, CISA, CISM
Ιωάννης Λευκάκης, CISA, CFE
Εκπαιδευτική Επιτροπή Ι.Ε.Σ.Π.
Ινστιτούτο Ελέγχου Συστημάτων Πληροφορικής (ISACA Athens Chapter)