Systemy działające w tzw. chmurze (SaaS) pod względem wygody użytkowania i administracji znacznie przewyższają oprogramowanie instalowane na własnych serwerach. Mimo to, nie zawsze uważa się je za rozwiązanie właściwe dla firmy - przede wszystkim z obawy o bezpieczeństwo danych zapisanych w chmurze. O co należy zadbać, aby korzystać z zalet Software as a Service i mieć pewność, że zgromadzone w nim zasoby są bezpieczne? Na to pytanie odpowiadam w dzisiejszym artykule.
{flike}
Dlaczego boimy się chmury?
W jednym z ostatnich wpisów pisałem o tym, które rozwiązanie, chmura producenta czy własny serwer, jest korzystniejsze jako miejsce instalacji oprogramowania. Artykuł skomentował Waldemar, poruszając niezwykle ważny temat bezpieczeństwa danych i oprogramowania w chmurze, a także wskazując na obawy klientów przed sięganiem po rozwiązania typu Software as a Service:
Warto też zwrócić uwagę na bezpieczeństwo danych i obawy potencjalnych klientów przed rozwiązaniami w chmurze, tj. przed niepowołanym dostępem do danych, które są na obcych serwerach. W większości przypadków obawy te są irracjonalne, a serwery klienta są gorzej zabezpieczone przed włamaniem niż serwery dostawcy oprogramowania.
Miałem taki przypadek, gdy dyrekcja urzędu nie zgodziła się na zakup rozwiązania w chmurze ze względu na bezpieczeństwo danych osobowych. Chodziło o imię, nazwisko, komórkę organizacyjną i stanowisko. Po wejściu na stronę urzędu można było wejść do książki adresowej, gdzie poza w/w danymi były jeszcze telefony, maile, zakresy obowiązków itp.
Jeśli w chmurze mamy przechowywać newralgiczne z punktu widzenia firmy informacje, warto sprawdzić w jaki sposób zabezpieczane są nasze dane i czy dostawca o ile to konieczne spełnia wymogi np. Ustawy o Ochronie Danych Osobowych.
Niechęć do rozwiązań chmurowych wynika przede wszystkim z obawy o bezpieczeństwo firmowych zasobów. Wielu przedsiębiorcom wydaje się, że instalując system na własnym serwerze niwelują wszelkie zagrożenia świata zewnętrznego. Najczęstsze przyczyny odrzucania oprogramowania typu SaaS to m.in.:
- przekonanie o wyższości własnych zabezpieczeń (które w praktyce, o ile nasza firma nie zajmuje się zabezpieczaniem serwerów i oprogramowania, są znacznie łatwiejsze do sforsowania niż zabezpieczenia profesjonalnego dostawcy usług chmurowych).
- brak zaufania do dostawcy usługi (który zresztą gdyby chciał np. wykraść nasze dane, mógłby to zrobić - jako dostawca najpewniej posiada bowiem dostęp do naszego systemu, mimo że jest on zainstalowany na naszym serwerze).
- poczucie większej kontroli nad własnymi zasobami (jedynie pozorne, z racji braku kompetencji aby samodzielnie serwisować oprogramowanie zewnętrznego dostawcy).
- przyzwyczajenia (niechęć do zmian).
- obawy o rosnące koszty usługi (które rosną najczęściej wraz ze wzrostem zapotrzebowania np. na przestrzeń dyskową - dokładnie tak samo, jak w przypadku własnego serwera).
Generalnie, jak zdążył już zauważyć Waldemar w swoim komentarzu, większość powodów, dla których odrzuca się rozwiązania chmurowe jest bezpodstawnych. Oczywiście, nie znaczy to, że oprogramowanie SaaS jest zawsze najlepszym wyborem - zdecydowanie nie, o czym pisałem tutaj. Ważne jest natomiast, aby sztucznie nie zawężać sobie wyboru, wykluczając produkty danego typu. Chmury nie należy się bać - warto jednak sprawdzić czy spełni ona nasze oczekiwania.
O co zadbać wybierając rozwiązanie w chmurze?
1. Dostępność usług
Dostępność usługi chmurowej to procent poprawnego działania aplikacji / serwera w danym okresie. Dostępność na poziomie 99,9% w miesiącu (trwającym 30 dni) oznacza, że dostawca gwarantuje nam, że ew. przerwy w sumie nie potrwają dłużej niż ok. 43 minuty.
No właśnie, pytanie co to znaczy "gwarantuje"? W zależności od usługodawcy gwarancją może być zarówno zwrot pieniędzy, zadośćuczynienie z tytułu ew. strat wynikających z niedostępności usługi, jak i bezwartościowa "rekompensata" w postaci np. dodatkowego bezpłatnego dnia korzystania z usługi. Wybierając dostawcę usługi chmurowej koniecznie sprawdźmy więc w regulaminie nie tylko jej dostępność, ale i zakres odpowiedzialności jej dostawcy. Pamiętajmy, że w skrajnych przypadkach może chodzić o coś więcej niż parogodzinna niedostępność usługi - np. jej permanentne zniknięcie z rynku (przed którym również należy się zabezpieczyć).
2. Referencje dostawcy
Wybierając jakikolwiek produkt informatyczny (nie tylko usługę chmurową) powinniśmy zapoznać się z portfolio jego dostawcy - tj. powinniśmy sprawdzić kto z tego produktu faktycznie korzysta. Osobiście jestem daleki od stwierdzenia, że należy wybierać wyłącznie popularne rozwiązania (wszak przed zyskaniem popularności ktoś musiał je odkryć i docenić), natomiast bez wątpienia spojrzenie na nazwy klientów danej firmy daje pogląd na to, z kim mamy do czynienia. Znane marki w portfolio dostawcy z pewnością są dodatkowym potwierdzeniem, że jest on partnerem godnym zaufania (i np. za jakiś czas nie zniknie z rynku).
3. Lokalizacja serwera
Mogłoby się wydawać, że korzystając z rozwiązania chmurowego nie musimy przejmować się fizyczną lokalizacją serwera plików czy aplikacji. W praktyce warto jednak zweryfikować, w jakiej serwerowni będzie on umieszczony - z co najmniej kilku powodów. Po pierwsze, jego odległa lokalizacja (np. inny kontynent) będzie negatywnie wpływać na szybkość działania usługi. Po drugie, serwerownie również trapią awarie, z którymi różnie potrafią sobie radzić. Po trzecie, umiejscowienie naszych zasobów np. w innym kraju sprawia, że podlegają one jego regulacjom prawnym (które mogą stać w sprzeczności z polskimi przepisami - np. o ochronie danych osobowych).
4. Prawo do zgromadzonych danych
Pisałem kiedyś o zapisie w regulaminie usług Google, który upoważnia tę firmę do korzystania ze zgromadzonych przez nas danych w zasadzie w dowolnym zakresie. I mimo że polityka 99% dostawców jest pewnie zupełnie inna, przed podjęciem decyzji należy ją koniecznie zweryfikować. Warto przy tym wspomnieć, że w większości przypadków usługodawca powinien mieć dostęp do naszych danych (w celu wsparcia i świadczenia usług serwisowych), oczywiście przy zachowaniu poufności (przydatna jest tu umowa o zachowaniu poufności, tzw. NDA).
5. Ochrona danych osobowych i inne zagadnienia prawne
Co oczywiste, jednym z najważniejszych kroków podczas wyboru usługi chmurowej jest lektura jej regulaminów oraz innych dokumentów określających zasady współpracy z jej dostawcą. Podczas ich lektury zweryfikujmy czy zaproponowana przez dostawcę polityka jest zgodna z Ustawą o ochronie danych osobowych (a tak wcale być nie musi - dotyczy to zwłaszcza usług zagranicznych).
6. Kopie zapasowe
Gdyby w wyniku błędu człowieka bądź maszyny, albo jakiegokolwiek innego nieprzewidywalnego kataklizmu coś stało się z naszym systemem bądź danymi - spokojnie, nie ma problemu - możemy odtworzyć go z ostatniej kopii zapasowej. O ile oczywiście taką kopią dysponujemy. W przypadku własnego hostingu o organizację backupu musimy zadbać sami, jednak jest on zawsze możliwy (wszystko w naszych rękach). W przypadku chmury natomiast musimy zweryfikować czy jej dostawca wykonuje kopie bezpieczeństwa, a jeśli tak to z jaką częstotliwością i w jakim trybie jest w stanie nasz system przywrócić do określonego stanu.
7. Zabezpieczenia
Wspomniałem wcześniej, że zabezpieczenia dostawców usług chmurowych są najczęściej nieporównywalnie lepsze od tych, które bylibyśmy w stanie zorganizować sami na własnych serwerach. Ten fakt nie zwalnia nas jednak z konieczności zapoznania się rodzajem zabezpieczeń (m.in. przed atakami i nieautoryzowanym dostępem) wykorzystywanych w oferowanej nam usłudze.
8. Wydajność usługi
Nawet intuicyjny w obsłudze i bardzo funkcjonalny system będzie bezużyteczny, jeśli nie będzie działał wystarczająco szybko. Niestety zdarza się, że wydajność produktów mocno spada wraz ze wzrostem liczby jego użytkowników oraz przyrostem zapisywanych w nim danych. Mimo że większość popularnych rozwiązań chmurowych jest skalowalna (tj. na wzrost wymagań reaguje wzrostem przydzielonych zasobów sprzętowych), warto upewnić się, że dana usługa jest przystosowana do pracy o określonej, wymaganej przez nas charakterystyce (m.in. liczba użytkowników, ilość zapisywanych danych, rodzaj i częstotliwość wykonywanych operacji).
9. Ukryte koszty
Niestety, cena za licencję rozwiązania w chmurze nie zawsze musi oznaczać dla nas jego ostateczny koszt. Zdarza się, że dostawcy pobierają dodatkowe opłaty np. za dodatkową przestrzeń dyskową aplikacji bądź dodatkowy transfer danych (gdy ich standardowy limit jest dla nas niewystarczający). Przed wyborem usługi należy się więc zapoznać z jej pełnym cennikiem.
10. Aktualizacja usługi
Atutem oprogramowania działającego w chmurze jest m.in. jego bieżąca aktualizacja, za którą odpowiedzialny jest dostawca usługi. Teoretycznie więc, jako użytkownicy systemu chmurowego nie musimy się o nic martwić - nasze rozwiązanie będzie zawsze dostępne w najnowszej opublikowanej wersji. Niestety, czasem tylko teoretycznie - zdarza się bowiem, że aktualizacje odbywają się w najmniej oczekiwanych momentach i nie do końca automatycznie (np. w momencie logowania się do systemu). Poza tym w niektórych systemach aktualizacje mogą negatywnie wpłynąć na wykonane indywidualne dostosowania produktu. Warto więc upewnić się czy producent dokonuje aktualizacji swojego rozwiązania w pożądany przez nas sposób.
Komentarze