Biznesowe spojrzenie na ryzyka zwizane z Cloud Computing Konrad Kompa Consultant Dariusz Sadowski Consultant 30.06.2010 InfoTRAMS - Cloud Computing
Dwie perspektywy bezpieczestwa Cloud Computing PERSPEKTYWA DOSTAWCY USŁUG PERSPEKTYWA ODBIORCY USŁUG Główne obszary ryzyka: Ryzyko operacyjne Ryzyko zwizane ze zmian modelu biznesowego Ryzyko finansowe Minimalizacja Akceptacja Postpowanie z ryzykiem Transfer Unikanie 2 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Ryzyko operacyjne
Kategorie ryzyka operacyjnego Cloud Computing Zgodno regulacyjna Sposoby dostpu Integralno rodowisko dostawcy Aplikacje (SaaS) Platformy (PaaS) Infrastruktura (IaaS) Dostpno Bezpieczestwo operacji Prywatno informacji Dostp przez VPN/SSL Dostp przez VPN/SSL Siedziba główna firmy Lokalizacja zdalna 4 2009 Deloitte Touche Tohmatsu
Zagroenia natury operacyjnej (1/4) Dostpno Dostpno usługi i odtwarzalno Dostawca moe nie by w stanie zapewni dostpnoci, RTO, RPO na takim samym poziomie jak lokalne IT Dostawcy usług typu Cloud mog gwałtownie zmienia model biznesowy lub zaprzestawa działalnoci gospodarczej Złoono Przejcie na Cloud Computing wprowadza dodatkow złoono w postaci wikszej liczby rzeczy mogcych pój nie tak i bardziej skomplikowanych procedur odtwarzania Pojedynczy punkt awarii Nawet jeli architektura chmury zapewnia wysok dostpno pojedyncze punkt awarii mog istnie na ciece dostpu do chmury Replikacja danych Replikacja danych z powrotem do przedsibiorstwa moe by utrudniona ze wzgldu na złoono techniczn architektury chmury lub potencjalne restrykcje po stronie Dostawcy Sztywne wymogi testowania Ze wzgldu na ryzyko reputacyjne Dostawcy mog kła duy nacisk na testowanie Disaster Recovery Nadmierna subskrypcja W sytuacji wystpienia katastrofy inni klienci mog mie priorytet podczas odtwarzania Ograniczanie pojemnoci w miar jak Dostawcy przechodz z fazy inwestowania do fazy cicia kosztów 5 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Zagroenia natury operacyjnej (2/4) Sposoby dostpu Współdzierawa Poufno danych moe by utracona, gdy w obliczu braku odpowiednich mechanizmów kontrolnych w chmurze, nieautoryzowane strony trzecie mog uzyska do nich dostp Dostp do danych Chmura przechowuje dane klientów bez właciwej segregacji i separacji pozwalajc na ich ujawnienie stronom trzecim Bezpieczne usuwanie danych Uprzednio skasowane dane firmy s w dalszym cigu przechowywane w chmurze bez wiedzy firmy Uwierzytelnienie Zewntrzne uwierzytelnienie Stosowane metody uwierzytelnienia nie gwarantuj bezpieczestwa przesyłanych danych Uwierzytelnienie oparte na zaufaniu Rozwizania typu Single Sing On, które s uywane równie przez zewntrznych partnerów organizacji, mog umoliwia dostp nieautoryzowanym podmiotom do danych wraliwych Integracja uwierzytelnienia Proces łczenia mechanizmów uwierzytelnienia stosowanych na lokalnej infrastrukturze z mechanizmami Dostawcy chmury 6 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Zagroenia natury operacyjnej (3/4) Zapewnianie zgodnoci Prawo do audytu Prawo Odbiorcy usługi do dokonywania audyt ów i przegldów zgodnoci z SLA Compliance Korzystanie z Chmury moe wprowadza dodatkowe komplikacje w postaci koniecznoci spełnienia wikszej liczby wymogów Integralno Współdzielone rodowisko Dane Odbiorcy usługi znajduj si we rodowisku współdzielonym z innymi klientami Dostawcy Monitorowanie danych Zmiany w danych nieautoryzowane przez włacicieli, przypadkowe zmiany wynikłe z błdnego działania mechanizmów zapisywania danych Szyfrowanie danych Dane przechowywane s w formie niezaszyfrowanej i dostpne dla stron trzecich ze wzgldu na błdnie działajce mechanizmy kontrolne 7 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Zagroenia natury operacyjnej (4/4) Prywatno informacji Niepewno przepisów prawa Dua liczba regulacji wprowadza dodatkow złoono Sprzeczno przepisów powoduje niepewno przy analizie ryzyka Rozwizania prawne w obszarze ochrony i zapewniania prywatnoci danych ewoluuj w szybkim tempie Prawa jednostki/poufno Warunki wiadczenia usługi s szczególnie wane przy ochronie danych jednostki Chmura w prosty sposób umoliwia udostpnianie danych innym organizacjom, co zwiksza ryzyko wtórnego ich wykorzystania bez wymaganego pozwolenia Dane s naraone na dostp wikszej liczby uytkowników Naruszenie bezpieczestwa/ Ujawnienie Powierzenie przetwarzania danych moe by wymagane przed umieszczeniem danych w chmurze Zcentralizowane repozytoria danych s w wikszym stopniu naraone na naruszenie bezpieczestwa Bezpieczestwo operacji Zarzdzanie podatnociami Wykryta podatnoci moe skutkowa ujawnieniem znaczcej iloci informacji Zarzdzanie aktywami Aktywa umieszczone w chmurze s niepoprawnie zarzdzane i sprzyjaj ujawnieniu danych Reakcja na incydenty Proces obsługi incydentów nie jest poprawnie zdefiniowany 8 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Ryzyko zwizane ze zmian modelu biznesowego
Główne ryzyka zwizane ze zmian modelu biznesowego (1/2) Ryzyko niedopasowania do strategii biznesowej Brak Business Case Brak Business Value Niedopasowanie modelu chmury do zastosowania Ryzyko niedopasowania do strategii IT Zwizanie z dostawc (problemy z przenonoci aplikacji) Ryzyko ograniczenia elastycznoci (np. zwizane z jedn technologi) Ryzyko niedopasowania do rodowiska IT Integracja aplikacji moe by kosztowna Ryzyko niedopasowania modelu zarzdczego IT Nieefektywne zarzdzanie usługami dostarczonymi przez stron trzeci Brak kontroli ryzyk zwizanych z nowym modelem 10 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Główne ryzyka zwizane ze zmian modelu biznesowego (2/2) Umowa z dostawc usługi Cloud Computing SLA Migracja usług Eskalacja problemów Warunki zakoczenia współpracy Cigło Działania Moliwo integracji Kary umowne Umowa powinna zabezpiecza interesy spółki! Ryzyko nieefektywnoci ekonomicznej Obnienie kosztów nie jest rzecz gwarantowan Ryzyko nieosignicia zamierzonych celów Maksymalizacja korzyci przy załoonych celach 11 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Ryzyko nieosignicia zamierzonych celów Z kadym celem wie si ryzyko, e nie zostanie on osignity. Minimalizacja czasu wdroenia nowej aplikacji Zapas mocy obliczeniowej na piki zapotrzebowania Dopasowanie budetu IT do biecych potrzeb Dostarczanie systemów bez CAPEX Model współdzielenia danych ograniczajcy ryzyko w naszym Data Center Inne konkretne cele danej jednostki 12 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Ryzyko finansowe
Cloud Computing z perspektywy CFO (1/2) Finansowanie Przesunicie wydatków z CAPEX do OPEX Poprawa cash-flow (pay-as-you-go) Minimalizacja ryzyka inwestycji Przejrzysto finansowania (kalkulacja kosztów) Poprawa ROA Time to market Skrócenie czasu uruchomienia systemu informatycznego Specjalizacja Outsourcing kompetencji nie bdcych w zakresie kluczowej działalnoci spółki Jedn z głównych zalet Cloud Computing jest moliwo optymalizacji kosztów 14 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Cloud Computing z perspektywy CFO (2/2) Planowanie kosztów w perspektywie wzrostu biznesowego Negocjacja a priori upustów zwizanych ze wzrostem zapotrzebowania na moc obliczeniow. Dobór odpowiedniego modelu szacowania TCO W modelach szacowania TCO czsto pomijane s koszta: Pozyskania kompetencji (zarzdzanie rodowiskiem) Wdroenia i utrzymania mechanizmów kontrolnych Wzrostu zapotrzebowania na zasoby logiczne! Kontrola kosztów Uwana kontrola i porównanie kosztów dostarczenia nowej usługi wewntrznie lub w modelu Cloud 15 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Kiedy, w jakim zakresie i w jaki sposób zastosowa Cloud Computing?
Model decyzyjny Okrelenie zakresu i wymaga Wybór scenariusza Analiza ryzyka Decyzja GO/NO GO Bieca kontrola ryzyka 1. Identyfikacja zasobów, które maj zosta przeniesione do chmury Aplikacje + Dane rodowiska deweloperskie Serwery 2. Opracowanie specyfikacji wymaga Wpływ utraty poufnoci -> wymagania na poufno Wpływ utraty integralnoci -> wymagania na integralno Wpływ utraty dostpnoci -> wymagania na dostpno Pozostałe wymagania wewntrzne i zewntrzne 17 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Model decyzyjny Okrelenie zakresu i wymaga Wybór scenariusza Analiza ryzyka Decyzja GO/NO GO Bieca kontrola ryzyka 1. Wybór modelu dostawy usług SaaS PaaS IaaS 2. Wybór modelu wdroenia Publiczna Prywatna Hybrydowa Wspólnotowa 3. Propozycja dostawcy 18 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Model decyzyjny Okrelenie zakresu i wymaga Wybór scenariusza Analiza ryzyka Decyzja GO/NOG O Bieca kontrola ryzyka 1. Identyfikacja ryzyk Przede wszystkim biznesowe, ale równie techniczne 2. Ustalenie priorytetów 3. Opracowanie planu postpowania z ryzykami Problem zaufania do dostawcy 4. Opracowanie planu wdroenia mechanizmów kontrolnych 5. Zdefiniowanie procesu monitorowania ryzyk 6. Zdefiniowanie procesu oceny skutecznoci mechanizmów kontrolnych 19 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Model decyzyjny Okrelenie zakresu i wymaga Wybór scenariusza Analiza ryzyka Decyzja GO/NOG O Bieca kontrola ryzyka 1. Okresowe monitorowanie ryzyk 2. Badanie skutecznoci stosowanych mechanizmów kontrolnych 3. Feedback ze strony uytkowników Identyfikacja perspektyw dalszego rozwoju i ulepszania 20 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Q&A 21 Biznesowe spojrzenie na ryzyka zwizane z zastosowaniem Cloud Computing
Cezary Piekarski Manager Enterprise Risk Services cpiekarski@deloittece.com +48 601 388 804 Dariusz Sadowski Consultant Enterprise Risk Services dsadowski@deloittece.com +48 606 673 928 Deloitte refers to one or more of Deloitte Touche Tohmatsu, a Swiss Verein, and its network of member firms, each of which is a legally separate and independent entity. Please see www.deloitte.com/pl/about for a detailed description of the legal structure of Deloitte Touche Tohmatsu and its member firms. Member of Deloitte Touche Tohmatsu