Opomíjení podnikatelsko-ekonomického pohledu na rizika

Značná část odpůrců veřejných cloudů argumentuje riziky a možnými selháními. Správný přístup by ale měl být založen na vyhodnocení rizik a na jejich následném zmírnění. Příkladem je souhlas s konceptem BYOD i s používáním veřejných cloudů, ale za podmínky striktního vyžadování dvoufaktorové autentizace.

Zhodnocování rizik ale nesmí pominout podnikatelsko-ekonomický pohled. Například v případě přerušení nebo ukončení poskytování služeb třetí stranou mohou být negativní dopady bezesporu vážné. Ale za situace, kdy jsou přínosy využívání dané služby pro organizaci významné, budou možná za trochu vyšší rizika stát. Nebo možná nebudou, ale důležité je, aby rozhodnutí padlo na základě širšího posouzení – nejen z pohledu IT.

Přijímání striktních rozhodnutí vedoucích ke stínovému IT

Kladení důrazu na rizika místo na poměr cena/výkon vede v řadě případů k přechodu některých uživatelů a oddělení do tzv. stínového IT. Striktní odmítnutí moderních technologií mnohdy způsobí, že se klíčová oddělení nebo jednotliví uživatelé rozhodnou zprovoznit požadované služby na vlastní pěst a bez vědomí IT. A případně i za své vlastní peníze. Někdy tento přístup vadit nemusí, zejména u technologicky moderních firem si zaměstnanci zvládnou poradit dostatečně kvalitně. Nicméně IT oddělení mají bohaté zkušenosti s bezpečností i posuzováním výhodnosti řešení třetích stran a byla by škoda proces rozhodování o znalosti IT oddělení ochudit.

Nerealistická bezpečnostní očekávání od on-premise řešení

Odpor k veřejným cloudům má mnohdy podhoubí ve srovnání s využíváním on-premise IT, které nikdy nemělo špatně nakonfigurovaný firewall, nikdy nebylo postižené selháním lidského faktoru a vždy bylo aktuální a prosté jakýchkoli zranitelností. Naprosto bezchybné organizace určitě existují, jenže zejména v případě menších firem je situace podstatně horší. Ostatně i o bezpečnostních incidentech spojených s on-premise řešeními slýcháváme často, a je tak na první pohled jasné, že data jsou v ohrožení bez ohledu na použitou informační architekturu. Je samozřejmě velmi důležité trvale posuzovat důvěryhodnost a spolehlivost vybraného poskytovatele, ale s vědomím toho, že dokonalost je jen výjimečně realitou.

Neuplatňování nejlepších osvědčených postupů

Začne-li organizace s využíváním veřejných cloudů alespoň pro část své podnikové informační architektury, může velmi rychle a snadno podlehnout přesvědčení, že o bezpečnost by se měli starat poskytovatelé. A to je samozřejmě chyba. Jako schůdný se ukazuje model sdílené zodpovědnosti, ve kterém se obě strany o bezpečnostní problematiku podělí. Poměr zodpovědnosti přitom záleží na konkrétní službě, a nelze jej proto určovat všeobecně.

Příkladem může být infrastruktura jako služba, kdy zákazník zodpovídá za důvěryhodnost používaného softwaru, udržuje jej v aktuálním stavu a průběžně vyhodnocuje jeho bezpečnost. Jinými slovy, přistupuje k programovému vybavení z pohledu bezpečnosti stejně, jako kdyby daný software provozoval ve svém vlastním datovém centru.

Neexistence ucelené strategie

Historicky fungovalo podnikové IT tak, že IT oddělení vybudovalo infrastrukturu a vytvořilo aplikace, které pak nad touto infrastrukturou provozovalo. S transformací směrem k veřejným cloudům a službám třetích stran musí IT oddělení zastávat širší roli a na zajištění provozuschopnosti organizace se podílet i z podnikatelsko-ekonomického pohledu. Tato změna není snadná, protože IT týmy musí pokrýt řadu služeb, a to za úzké spolupráce s různými odděleními firmy.

Bohužel širší pojetí často vede jak k roztříštěnosti bezpečnostních politik a provozních pravidel, tak i k rozdílným pohledům na to, kde mají být data fyzicky uložena. Obdobně nejednoznačný je pak i přístup ke správě identit, k řízení přístupu nebo k aplikování nejlepších osvědčených postupů.

Některé z uvedených problémů mají řešení v podobě specifických technologií včetně systémů pro správu cloudů a pro jednotné přihlašování. Nicméně neustálý vývoj v oblasti informačních architektur vede i k organizačním změnám, jako je vytváření průřezových týmů složených z IT pracovníků i osob odpovídajících za klíčové činnosti dané firmy. A to je možná vůbec nejdůležitější zpráva – využívání hybridních a veřejných cloudů bude často vyžadovat některé specifické postupy, procesy a technologie.

Gordon Haff Autor článku má na starosti cloudovou strategii ve společnosti Red Hat.