Hvorfor CIO'er holder sig til cloud computing trods NSA snooping-skandale

Eksplosive afsløringer i det seneste halve år om den amerikanske regerings enorme cyber-spionage-aktiviteter har skabt individer, rangeret politikere og rasende privatlivshunde, men top IT-ledere er ikke i panik - endnu.

Indtil videre overvåger de spørgsmålet, bliver informeret og tager skridt til at mindske deres risiko på forskellige måder. Men de alarmerende rapporter har ikke bedt dem om at rulle tilbage deres beslutninger om at være vært for applikationer og data i skyen.

Det er konsensus fra omkring 20 højtstående IT-ledere, der er interviewet i Nordamerika og Europa om den virkning, som det amerikanske nationale sikkerhedsagenturs snooping-praksis har haft på deres cloud computing-strategi. Nyheden brød i juni, efter at den tidligere NSA-entreprenør Edward Snowden begyndte at lække de jordskælvende hemmeligheder til medierne.

[Hvad de sagde: Året med citater]

Mange af de interviewede it-ledere siger, at de ikke er begejstrede for situationen, og at det har gjort dem mere forsigtige med cloud computing-planer og -installationer, hvilket får dem til at gennemgå aftaler med leverandører, dobbeltkontrol af bedste praksis og stramme sikkerhedskontrol.

Disse it-ledere er imidlertid ikke blevet helt overrasket over afsløringerne. Uanset om det er åbenlyst eller gennem skjulte operationer, er det velkendt, at regeringer deltager i overvågning af telekommunikation og internettrafik.

"Regeringsovervågning har ikke ændret vores mening om cloud computing. Skymodellen er attraktiv for os, og jeg var aldrig så naiv at tro, at denne type regeringsovervågning ikke foregik," sagde Kent Fuller, direktør for virksomhedsinfrastruktur tjenester hos BCBG MaxAzria Group, en Los Angeles-baseret kvindemodedesigner og sælger, der bruger Microsofts Office 365 offentlige cloud-suite primært til medarbejderes e-mail.

 

Whirlpool CIO Mike Heim valgte Google Apps til 30.000 ansatte globalt

Stealthy overvågning af computersystemer og kommunikation fra regeringer rangerer i øjeblikket ikke blandt de største IT-sikkerhedsproblemer for mange it-ledere. "Hver CIO vil fortælle dig, at vi bekymrer os hvert minut om hver dag om sikkerhed, privatliv, redundans, operationel kontinuitet, katastrofegendannelse og lignende," sagde Michael Heim, Whirlpools koncerndirektør og global CIO. "Vi er sandsynligvis de mest paranoide fyre på planeten."

Jacques Marzin, direktør for Disic, Frankrigs interministerielle IT- og kommunikationsdirektorat, sagde, at NSA-skandalen bekræftede de kendte risici forbundet med brugen af ​​offentlige skytjenester. "Vi er naturligvis bekymrede over enhver tredjeparts adgang til vores data, selvom vi har begrænset brug af offentlige skyer," sagde han.

At have alt bag firewallen medfører dog også risici. CIO'er bekymrer sig om omkostningerne og kompleksiteten ved at køre servere i deres egne lokaler og det potentielle tab af konkurrenceevne, hvis konkurrenter drager fordel af fordelene ved cloud computing.

”I slutningen af ​​dagen er kapaciteterne og økonomien omkring cloud computing-modellen så overbevisende, at når du kunstigt prøver at ikke drage fordel af dem, påvirker du din evne til at konkurrere, fordi andre vil drage fordel af dem," sagde Heim. Whirlpool besluttede for nylig at flytte omkring 30.000 ansatte fra et IBM IBM Lotus Notes-system til Google Apps offentlige cloud-e-mail og samarbejds suite.

"Vi mener, at vi har en meget god plan for at sikre, at vi er lige så overholdelige og sikre, hvis ikke mere, end vi var før," sagde Heim.

Der er måder at afbøde risici forbundet med cloud computing såvel som forholdsregler, sikkerhedsforanstaltninger og bedste praksis, der kan vedtages, siger IT-ledere. For eksempel bør virksomheder undersøge, hvad potentielle cloud-leverandører tilbyder med hensyn til datacenters redundans, it og fysisk sikkerhed, risikobegrænsning, operationel praksis og regerings- og branche-certificeringer. IT-chefer kan også komplementere tilbud af cloud-leverandører i disse områder med bedste praksis og sikkerhedsprodukter på deres ende, ligesom systemer, der krypterer data, før de transmitteres til de offentlige skyservere.

Mere end regeringsnusk, synes it-chefer at betragte insidertrusler som en mere konkret og sandsynlig fare, herunder utilfredse medarbejdere eller entreprenører som Snowden, der ud af ondskab eller i gengældelse udsætter fortrolige data eller beskadiger IT-systemer.

Faktisk bør Snowden tjene som en påmindelse til CIO'er om at tage forholdsregler, når de ansætter IT-ansatte og til at indføre overvågningssystemer for at advare dem om useriøse systemadministratorer, sagde Alex Gorbachev, bestyrelsesmedlem i Independent Oracle Users Group og CTO for ekstern database administrationsselskab Pythian Group.

For eksempel kan e-mailadministratorer have uindrettet, uanmeldt adgang til alle postkasser, sagde han. Det betyder, at de potentielt kan gennemse finansdirektørens meddelelser og kigge på de foreløbige økonomiske rapporter. Hvis sådanne oplysninger lækker, kan det blive en terningssituation for børsnoterede virksomheder.

Mange databaseadministratorer har lignende magt. "De fleste organisationer har ikke en mekanisme til at spore deres aktiviteter 100 procent," sagde Gorbatsjov.

IT-ledere bekymrer sig også om skødesløse medarbejdere, som utilsigtet kan kompromittere virksomhedssystemer på forskellige måder.

 

Stephen Lawson

Brandon Robinson, direktør for netværkstjenester hos energihandelsfirmaet Aces, en EMC-butik, på VMworld-konferencen i San Francisco.

"Personligt er jeg mere bekymret for sikker databehandlingspraksis fra vores brugere - flashdrev, brug af offentlig internetadgang, mistede eller stjålne tabletter, telefoner og laptops, adgangskoder på sticky notes - end jeg handler om sikkerhedsmulighederne i skyen tjenesteudbydere og indtrængen af ​​regeringer eller andre enheder, ”sagde Brandon Robinson, direktør for netværkstjenester hos ACES, et strømstyringsfirma i Carmel, Indiana, via e-mail. ACES bruger cloud-tjenester til lønningsliste, indkøb, rapporteringsomkostninger og nogle transaktionssystemer.

En anden risiko, der vises tydeligt på CIOs 'radarskærme er eksterne trusler, som ondsindede hackere og malware.

Regeringens overvågning kan blive et større problem, hvis et stort firma blev brændt af det - for eksempel hvis en regering surreagerende havde indsamlet en betydelig mængde fortrolige data fra en virksomhed, og en ondsindet hacker brød ind i regeringens system og afslørede dataene. Men der har endnu ikke været tale om en høj profil af den slags.

"Hvis noget lignende skete, ville det ændre billedet og have en dyb indvirkning," sagde Jay Heiser, en Gartner-analytiker. "Ellers er det for tidligt for organisationer at give afkald på fordelene ved cloud computing, men det er også en mulighed for at genoverveje sikkerhedsproblemer generelt."

I Needham Bank i Needham, Massachusetts, sagde IT-præsident James Gordon, at NSA-skandalen ikke har forfærdet virksomhedens IT-ledere, fordi "jeg tror ikke, der har været en relevant forbindelse til, hvordan den påvirker en organisation endnu."

”Indtil de har et materielt tab, eller en af ​​deres kammerater har en utilsigtet videregivelse af oplysninger, rammer den ikke hjemme,” sagde Gordon.

Bekymringsniveauet over lækager på grund af spionering fra regeringen hænger også sammen med virksomhedens type, størrelse og industri. "Jeg er ikke klar over, at der er tilfældet med et mellemstore engrosfirma som os," sagde Hal Greene, vicepræsident for IS i Composites One, en forhandler af plast- og glasprodukter i Nordamerika, der bruger Google Apps.

Men Paul Grewal, administrerende direktør for Sage Human Capital i San Bruno, Californien, et udøvende søgnings- og rekrutteringsfirma, bekymrer sig om et mareridt-scenarie, hvor regeringens snooping på hans virksomheds data kan resultere i en lækage. ”Vi er bestemt bekymrede. Det skaber et ansvar,” sagde han.

En lækage kan være yderst skadelig for de kandidater, der søger job, deres nuværende arbejdsgivere og de virksomheder, der ansætter. ”Vores data er ekstremt fortrolige,” sagde han.

Virksomheden finder sig selv som potentielt ansvarlig for overtrædelse af fortrolighedsaftaler med klienter, og det vil også se et stort tillidsfordeling.

Sage Human Capital implementerede et forretnings intelligensværktøj fra Jaspersoft på Amazon EC2 cloud-tjenesten for ca. seks måneder siden for at give klienterne en detaljeret analyse af, hvordan en søgning går. ”Årsagen til, at vi gik til skyen, var let implementering og implementering,” sagde Grewal og tilføjede, at han ikke har planer om at tilbageføre denne beslutning.

Han er overbevist om, at Amazon vil give top-notch-kryptering og sikkerhed, men han er også opmærksom på, at "NSA har en tung hånd og kan give tilbud, som folk ikke kan afvise."

Analytikere siger, at CIO'er skal veje risici og fordele og overholde bedste praksis, uanset om regeringen snutter på deres systemer eller ikke.

"Svaret på, om risikoen opvejer fordelene, vil være anderledes for forskellige virksomheder og CIO'er," sagde Scott Strawn, en IDC-analytiker.

"Vores råd til organisationer er at anerkende følsomheden af ​​deres data, og hvis de er meget følsomme, skal de tage meget omhyggelige forholdsregler med hensyn til, hvor de placerer dem, og placere heroiske beskyttelsesniveauer omkring dem," sagde Gartners Heiser.

For det første skal virksomhederne beslutte, hvilke applikationer og data der kan placeres i en offentlig skytjeneste, som kan gå i en privat skytjeneste, og som skal forblive bag den firewall på stedet.

"Du skal være opmærksom og tænke på dataintegritet, før du lægger følsomme, missionskritiske oplysninger i skyen," sagde Lars-GAPran EklAPf, CIO hos byggefirma Lindab i Sverige.

"Vi bruger kun cloud-tjenester på et begrænset grundlag, og de oplysninger, der er gemt i skyen, inklusive salgsstatistikker, har ikke en meget høj sikkerhedsklassificering," sagde EklAPf.

Kriterier, som CIO'er kan bruge til at beregne passende sikkerhedsniveauer inkluderer, hvor kritiske data er, og hvad de gældende love og regler for privatlivets fred og datasikkerhed i deres land og for deres branche er.

IRB Services, et Ontario, Canada-baseret firma, der foretager uafhængige anmeldelser af klinisk forskning, der involverer mennesker, vælger et software-as-a-service produkt fra Intralinks til sikkert samarbejde om gennemgangsfiler, fordi Intralinks kan huse dataene uden for U.S.A..

IRB Services-kunder i Europa har i nogen tid ikke ønsket deres data lagret i USA, ifølge Simon Corman, virksomhedens direktør for forretningsdrift. Før NSA-skandalen, "fik vi bare dette spørgsmål fra compliance-grupper. Nu får vi det mere fra et operationelt niveau," sagde han.

IRB-kunder har altid været bekymret for privatlivets fred for deres data, men NSA-kontroversen har "absolut forstærket problemet," sagde Corman.

Det er også vigtigt for virksomheder at have klare, detaljerede brugsretningslinjer for medarbejderes brug af IT-systemer og håndtering af data. Virksomheder bør bruge strenge kriterier til at vælge deres cloud computing-leverandører, undersøge deres track record, sikkerhedspolitikker, databeskyttelsesteknologi og serviceniveauaftaler.

Især bør CIO'er passe på opportunistiske og hyperboliske påstande fra leverandører, der hævder at have teknologi, der fuldstændigt kan beskytte data fra regeringens snooping.

"Sælgere har absolut ingen mulighed for at fremsætte disse påstande," sagde IDCs Strawn. "De kan ikke henrette dem. NSA har meget magt til at gøre, hvad de gør. Du kan ikke gøre meget ved det."

Hvis et agentur som NSA ønsker at overvåge et bestemt system, vil det, og hvis det ikke kan, får det en retsafgørelse for at få den adgang, det har brug for.

Bare fordi data, systemer og applikationer er vært i lokaler betyder det ikke, at regerings snoops ikke kan komme til dem. Faktisk er det sandsynligvis sværere for regeringsspioner at bryde ind i datacentre, der drives af Google, Microsoft, IBM, Salesforce.com og Amazon, end at bruge det gennemsnitlige virksomhedsnetværk.

"Jeg er mere komfortabel med Microsofts sikkerhed for vores e-mail end med at håndtere den internt," sagde BCBG MaxAzria's Fuller. "Vi er en modevirksomhed, ikke en teknologisk virksomhed. Vi er nødt til at fokusere vores ressourcer på at producere fantastiske kjoler, folk vil købe."

Stadig bekymrer NSA-skandalen leverandører af cloud computing, da de føler bekymring fra nuværende og potentielle kunder. "Det har ikke nogen væsentlig indflydelse. Men det får bestemt folk til at stoppe og derefter tænke over beslutninger igen, og det er, tror jeg, afspejlet i vores resultater," sagde Rob Lloyd, Cisco Systems 'præsident for udvikling og salg, under virksomhedens mest den seneste kvartalsvise indtjening.

Sikkerhedsniveauet, der tilbydes af skyleverandører, er blandet; fra leverandører, der er nye og uerfarne, til andre, der er fremragende og giver et bedre og mere sikkert miljø, end mange organisationer kunne have råd til, siger Jos Creese, informationschef, forretningsressourcer, it-tjenester ved Hampshire County Council i Storbritannien.

"Vi er nødt til at være forsigtige med, hvem vi vælger i skyudbydere," sagde Brian D. Kelley, CIO ved Portage County-regeringen i Ravenna, Ohio.

Portage County dypper sine tæer i cloud computing, og NSA-afsløringerne gjorde ham og hans team mere opmærksomme på skyrisikoen. "Inden for IT har vi altid haft kontrol over vores systemer og data, og med den nye skymodel fralader vi nu denne kontrol," sagde Kelley.

"Vi er bestemt nødt til at engagere os meget mere for at vide, hvor vores data er, hvordan man får adgang til dem, og hvem der kan få adgang til dem, og hvad vi skal gøre, når skyen brister," sagde han.

(IDG News Service-journalister Stephen Lawson i San Francisco, Chris Kanaracus i Boston, Joab Jackson i New York og Mikael Ricknas i London bidrog til denne artikel.)

Juan Carlos Perez dækker forretningskommunikations- / samarbejdssuiter, operativsystemer, browsere og generelle teknologibrydende nyheder til IDG News Service. Følg Juan på Twitter på @JuanCPerezIDG.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.