ИТ-директор, контролирующий миграцию в облако, должен быть уверен в безопасности сервисов, приобретаемых его компанией. Следует убедиться в том, что они управляются так же, как и любые дополнительные ресурсы организации. Чтобы проверить поставщика облака, ИТ-директор должен задать ему следующие трудные вопросы:

  1. Что будет делать сервис?  Каждый поставщик должен предоставить документальное описание функциональных возможностей своего продукта. Джон Паволоцки, адвокат по ИТ международной юридической фирмы Greenberg Traurig, советует: “Если поставщик не предоставил документацию, ее следует обязательно запросить. Вам необходима обоснованная уверенность в том, что в период подписки функциональность не будет уменьшена или изменена”.
  2. Насколько полно поставщик составил договор об уровне обслуживания? Правильно составленное соглашение о качестве сервиса SLA должно точно определять время доступности, время реакции и время восстановления. Эти параметры следует обсуждать обязательно. Добейтесь возможности расторжения договора на случай их частого невыполнения.
  3. Сколько будет стоить резервное копирование и сколько времени займет восстановление данных? Иногда перед восстановлением данных поставщики требуют оплатить все имеющиеся задолженности. Рассчитывайте на то, что вы не договоритесь с поставщиком о сумме. Такие случаи имеет смысл специально отметить в договоре до начала ваших отношений.
  4. Кому принадлежат интеллектуальная собственность? Если вы пользуетесь программным обеспечением как услугой, то программа и все ее модификации принадлежат поставщику. Расширения, сделанные по требованиям клиента, и его данные должны быть собственностью клиента. Убедитесь, что это зафиксировано.
  5. Позволяют ли правила и процедуры поставщика говорить о соответствии требованиям HIPAA, SOX и других нормативных документов? От поставщика с большим списком клиентов будет тяжело добиться изменений каких-либо процессов под ваши нужды.
  6. Где расположены мои данные? Если они, например, в Индонезии, то физический доступ к ним потребует двухдневной поездки. Возможно, что в государстве, где расположен ваш бизнес, это противоречит нормам о неприкосновенности частной жизни. Убедитесь, что поставщик не нарушает закон, пересылая данные за пределы страны.
  7. Ограничивается ли физический доступ к серверам с данными? Узнайте, имеете ли вы формальные права на создание полного образа сервера, включая нераспределенные области диска, в которых находятся удаленные данные. Убедитесь, что вы можете изымать из обращения ленты с резервными копиями или отключать функции автоматического удаления. “Поставщики облаков делают деньги на масштабе и производительности, — говорит Эрик Фрейдберг, сопрезидент компании Stroz Friedberg, занимающейся защитой данных, — Они не захотят и, скорее всего, не примут запрос на создание образа нераспределенной области диска”.

Версия для печати