Am contribuit și eu la suplimentul de cloud publicat de MarketWatch. Cu Windows Azure, bineînțeles, și încrederea în cloud, evident. Partea de încredere vine la fix, sincron cu câteva anunțuri de conformitate legate de Office 365 și cu lansarea unui site dedicat http://trust.office365.com.

Anunțurile de conformitate sunt la pagina Office 365 Becomes First and Only Major Cloud Productivity Service to Comply With Leading EU and U.S. Standards for Data Protection and Security. Am lăsat titlul original pentru cei care nu vor să citească detaliile.

Iată și textul meu din suplimentul MarketWatch:

Încrederea în cloud

De-a lungul istoriei, se cunosc nenumărate tehnologii disruptive, care au suferit ani buni de reticență din partea potențialilor utilizatori. Sistemul planetar al lui Kopernikus a avut nevoie de sute de ani până la adoptarea de către scepticii heliocentrismului. Deținătorii primelor aparate foto au avut mari probleme cu persoanele care credeau că li se va afecta sufletul prin expunerea la fotografiere. Iar dilemele din perioada apariției telefoanelor includeau chiar temerea de infecție prin convorbire la distanță. Oarecum similar, cloud computing-ul are și el dilemele sale din partea potențialilor utilizatori, iar acestea sunt legate de trei concepte: securitatea, confidențialitatea datelor și fiabilitatea serviciilor.

Utilizarea cloud computing este o transformare inevitabilă, dată în principal de flexibilitatea crescută, de ușurința administrării și scăderea costului operării sistemelor IT (tehnologia informației). Eficiența economică este atât de mare încât această transformare este, cum spuneam, inevitabilă. Boom-ul cloud-ului din ultimii ani și ritmul intrinsec mult mai rapid de evoluție al IT-ului, întăresc sondajele și predicțiile analiștilor, care estimează accelerarea adopției în următorii ani. Conform IT Governance Institute (http://www.itgi.org/), 3 din 5 departamente IT din firme medii și mari implementează deja proiecte de cloud și al 4-lea are deja în plan.

Însă cloud-ul impune tratarea amenințărilor și a riscurilor într-un mod diferit. Până acum organizațiile aveau control complet asupra datelor fiindcă acestea erau administrate în ograda lor. Acum, în lumea cloud-ului, organizațiile sunt parte dintr-un sistem de parteneriate cu furnizorii de servicii în cloud, iar acest lucru necesită un limbaj comun în ceea ce privește încrederea și capabilitățile de securitate. Microsoft are două abordări pentru a demonstra capabilitățile sale de securitate în cloud.

Prima este conformitatea sistemului nostru de management al securității informației cu standardul ISO/IEC 27001:2005 pentru operarea zi de zi a centrelor de date și o colecție de alte standarde specifice diverselor industrii și regiuni: SAS 70 Type I and II, Sarbanes-Oxley, Payment Card Industry Data Security Standard, Federal Information Security Management Act etc.

A doua abordare privește transparența totală. Ne supunem regulat auditărilor independente, împărtășim rezultatele acestor evaluări cu clienții noștri dar și cu restul industriei, pentru a ridica nivelul discuțiilor pe tema securității în cloud. Clienții noștri sunt bineveniți și ei în centrele noastre de date, iar până atunci le recomandăm să studieze documentele publicate pe siteul http://www.globalfoundationservices.com/ și să nu ezite să ne contacteze pentru întrebări.

Un alt aspect este subliniat în ultimul nostru Security Intelligence Report (http://www.microsoft.com/security/sir/) și anume că peste 99% din atacurile curente din internet se bazează pe vulnerabilități cunoscute. Acest lucru arată importanța actualizării software-urilor de pe orice calculator, dispozitiv sau server. Nu trebuie uitat că în IT de obicei sunt aplicații cu două capete: un capăt la utilizator și un alt capăt pe serverele organizației sau în cloud. Dualitatea asta ne arată că nivelul de securitate al unui sistem IT este dat de capătul cel mai puțin sigur. Așa că actualizarea sistemelor utilizatorilor este la fel de importantă. Dar să revenim la cloud.

Datele

Din punct de vedere practic, orice organizație care dorește să utilizeze cloud-ul, trebuie să vadă întâi dacă datele pe care le pune în cloud sunt senzitive sau nu. Dacă sunt date publice, nu e nici o problemă, însă dacă datele sunt senzitive, atunci va trebui să le securizeze conform cu nivelul de senzitivitate. Fiecare va trebui să decidă pentru sine, care este acest nivel. De exemplu, platforma de cloud Windows Azure expune facilitățile de criptare cu care dezvoltatorii sunt deja obișnuiți în .NET. Nu uitați, controlul datelor este la client. Furnizorul de cloud are doar grijă să nu piardă aceste date, să ofere izolarea lor și implicit să nu autorizeze accesul la ele decât așa cum decide clientul.

Accesul la date

Un al doilea aspect este cum se dă acces la date. Din nou, dacă datele sunt publice, se poate da acces pentru oricine, dar dacă datele sunt senzitive, vom avea nevoie de un sistem de a identifica utilizatorii. Crearea de sisteme de autentificare independente pentru fiecare aplicație poate duce la haos sau la necesitatea de a investi în sisteme complexe de management al identităților. Recomandarea în cloud este să se folosească identitățile existente deja, de exemplu cele din Active Directory pentru aplicații interne sau Live ID, Facebook ID etc pentru aplicații publice. Office 365 și Windows Azure sunt capabile să accepte astfel de identități existente. Odată rezolvată problema identității utilizatorilor, se poate trece la autorizarea lor pe date.

Dezvoltarea de software

Pentru unii clienți, cloud-ul înseamnă să dezvolte o aplicație în cloud sau să contracteze dezvoltarea unei astfel de aplicații. Se impune respectarea unui proces de dezvoltare care să includă aspecte de securitate și de confidențialitate din faza de proiectare până după instalare, adică în perioada de utilizare. Microsoft a publicat documentația proceselor sale interne de dezvoltare și uneltele de testare, rafinate pe parcursul a 8 ani de experiență (de la lansarea inițiativei Trustworthy Computing în 2002) sub numele de Security Development Lifecycle: http://www.microsoft.com/security/sdl/. Încurajăm orice dezvoltator să studieze și să folosească astfel de practici.

Aspecte operaționale

Pe lângă conformitatea cu standardele de mai sus, Microsoft impune restricții operaționale care privesc multiple niveluri de securitate fizică și electronică, politici transparente de retenție a datelor, procese de distrugere a discurilor defecte pentru a evita recuperarea frauduloasă a datelor, planuri de continuitate a business-ului inclusiv răspuns la dezastre, dar și managementul riscurilor pentru situații ne
prevăzute.

Răspuns la incidente

Clienții noștri se așteaptă ca serviciile noastre din cloud să fie fiabile. Au business-ul lor, și bineînțeles clienții lor, a căror nevoi trebuie să le satisfacă. Și totuși, se pot întâmpla incidente, de la defecțiuni hardware până la dezastre naturale care paralizează o națiune. E bine să înțelegem că astfel de incidente pot apărea. Chiar și așa, este normal ca un furnizor de cloud să aibă resursele globale și cunoștințele să ia măsuri pentru a minimiza impactul incidentului asupra serviciului pe care îl furnizează. Aceasta e rațiunea pentru care Microsoft oferă găzduire de date redundantă geografic pentru aplicațiile critice. Mai mult, în cazul oricărui incident, clienții noștri pot apela la suport oficial implementat în 4 centre operaționale cu funcționare non-stop. Aceste centre implică, dacă este nevoie, echipe specializate ca Microsoft Security Response Center pentru a investiga și a rezolva incidente de securitate.

Concluzie

Suntem conștienți că succesul nostru ca furnizori de cloud va fi dat, în mare măsură, de capacitatea de a ne proteja clienții. Cu timpul, odată ce clienții care adoptă timpuriu vor fi satisfăcuți, problema încrederii va dispărea și veți privi furnizorii de cloud ca orice alt furnizor de electricitate, gaz, apă sau telefonie. Până la urmă, dvs decideți ce responsabilități de securitate vreți să administrați singuri și ce lăsați pe seama furnizorului de cloud. Pentru a lua această decizie, puteți pune câteva întrebări furnizorilor de cloud cu care doriți să colaborați și veți vedea că problema încrederii se va cristaliza pe măsură ce veți primi răspunsurile:

– Ce investiții faceți în tehnologie și procese în domeniul securității, confidențialității și fiabilității?
– Cum vă asigurați că aplicațiile și datele mele sunt protejate de vulnerabilități?
– Conform căror certificări și standarde operați serviciile din cloud?
– Ce planuri de continuitate a businessului aveți și cum le testați?
– Cum monitorizați calitatea serviciilor din cloud și ce faceți în situații neprevăzute?