Intel Security

Möller Insights – ”Vem tar beslutet att flyta ut i molnet?”

Blogginlägg   •   Sep 25, 2014 13:55 CEST

Vem tar beslutet att flyta ut i molnet?

Jag har ett flertal gånger skrivit om molnet och utmaningar för offentlig sektor med att upphandla molntjänster och samtidigt följa svensk lagstiftning. Även privata företag står inför en hel del utmaningar men här ser förutsättningarna annorlunda ut då lagar om upphandling inte påverkar privata verksamheter på samma sätt. Jag var nyligen i Berlin på IDCs CIO Summit och det är alltid intressant att tala med representanter från olika affärssegment. Molnet var något vi diskuterade mycket.

Med ett utifrånperspektiv kan molnet kännas sagt och gjort. Något som redan idag är en naturlig del i varje persons vardag, om det så är att du har Windows 8 med OneDrive, Dropbox, Google Drive eller iCloud. Även om molnet kan ställa till problem för privatpersoner, som iCloud-hacket gjorde relativt nyligen, så är problemen för verksamheter lite mer allvarligt.

I Berlin så var det tydligt att beslutet att flytta ut verksamheten till molnet ofta var en affärsfråga där ekonomiska variabler och flexibilitet i IT-miljön var centrala delar. Och det är ju onekligen här molnet kan lysa som starkast. Att outsourca drift och slippa ha egna lokaler där prylar står och blir gamla är riktigt härligt. Vad som dock oroade mig något var att beslutet i allt större utsträckning flyttas från IT-ansvariga och CIOer för att beslutas av CFOer och företagsledning.

Precis som att offentlig sektor har många aspekter att grunna över vid drift av system eller lagring av filer i molnet så har även privat sektor det. Det är tydligt efter mötet med dessa CIO:er att en viss oro finns över att besparingar blir huvudargumentet i beslutet och andra variabler kommer i andra hand, i den mån de alls finns med i beslutet...

En sak som jag tidigare tagit upp som en utmaning för offentlig sektor, som även privat sektor bör fundera över är vilka lagar man kommer att agera utifrån, och vilka lagar som påverkar verksamheten. Vid insteget i en molnmiljö suddas onekligen landsgränser ut, som så ofta med internet, men det problematiska är att ett företag helt plötsligt kan befinna sig i en snårskog av lagar från olika länder.

För ett svenskt företag som väljer att använda till exempel Microsoft Azure eller Amazon Web Services så spelar svensk, europeisk - och amerikansk - lagstiftning in samtidigt. Ni får missförstå mig rätt, det handlar inte om att man ska lyda under allas lagstiftning samtidigt, speciellt inte amerikansk, men det kan ändå ha en viss inverkan. USA har lagstiftat att data som lagras av amerikanska bolag har den amerikanska staten rätt att få tillgång till, även om denna information lagras utanför USA:s gränser. Det här har tidigare ställt till det i upphandlingar med offentlig sektor men beroende på vilken typ av information man lagrar så bör den juridiska implikationen av molnlagring vara klar för såväl CIO som hela ledningen.

Mot denna bakgrund bör även datasegmentering finnas i bakhuvudet. Det är självklart lockande att förflytta all IT till molnet men att bli fri från drift kan även betyda brist på kontroll. Att utföra en grundlig inventering och riskkalkyl måste till över vilket material som kan förflyttas till molnet och vilken information bolaget, av olika anledningar, måste bibehålla full kontroll över. En extra utmaning här – och där har vi alla i säkerhetsbranschen ett gemensamt ansvar att hjälpa företagen bemöta den – är att tydliggöra vilka parametrar man ska använda för att värdera risken, och vilka modeller analysen ska bestå av. Något som på ett tydligt sätt visar både ROI och vad man skulle kunna kalla RONI (Risk Of Not Investing).

För till syvende och sist handlar det om säkerhet. För många verksamheter kan övergången till moln innebära en förbättring när det gäller IT-säkerhet. Men det hela utgår även från vad du är villig att betala, precis som med allt annat. Det finns väldigt säkra molnlösningar men det är viktigt att man förstår vilken leverantör, vilket ”paket” och vilken lösning som passar just din verksamhet.

Jag är inte en molnmotståndare, jag ser extrema fördelar med det men som vilken trend som helst så måste man vara säker på att den passar för just dig. Precis som alla inte passar i skinny-jeans eller hipsterskägg så bör inte alla företag ha molnlösningar hos externa leverantörer.

Fredrik Möller är vd på Intel Security i Norden och Baltikum. För mer nyheter, följ Fredrik på twitter: @MollerFredrik