Dårlig cloud-sikkerhed er din egen skyld.

Hej John

Det er skægt som du læser artiklen og når frem til en generel konklusion, som der på ingen måde er belæg for.

Det artiklen siger er at i de images, der er hostet hos Amazon i mange tilfælde er hullede. Det handler altså kun om en lille del af skyen. Men samtidigt er det sjove at enhver med bare et minimum af fingeren på pulsen indenfor Cloud-computing, kender til de mange tjenester der netop tilbyder at tage ansvaret for dette såsom Heroku, AppHarbour etc.

Som jeg ser det er din tolkning et udtryk for at du er bange for skyen, og det kan jeg sådan set godt forstå, den vil jo iflg. de fleste profitier dramatisk reducerer antallet af driftopgaver og formendtlig udrydde en masse drift-firmaer.

Men selvom antallet af opgaver pr. kunde bliver mindre, vil der stadig være nogle. Det vil selvfølgeligt være andre opgaver, men nogle vil der efter al sandsynlighed være. Når man snakker med driftfolk om skyen, er der to slags dem der ser trusler og dem der ser muligheder. Jeg vil stærkt anbefale dig hurtigst muligt at komme over i den sidste lejr, det er nemlig dem der fortsat vil kunne blive i branchen, mens de andre går en svær skæbne imøde som jeg ser det.

Hej Lundsby,

Du misforstår jo fuldstændigt mit motiv for at gøre opmærksom på denne og lignende artikler.

Lad mig slå det fast, så tydeligt, at alle andre ukritiske Cloud-tilhængere også forstår det. Jeg er ikke bange for Cloud computing, slet ikke. Nærmere tvært imod.

Jeg har den mission, at brugerne bliver gjort opmærksom på behovet for en solid, driftssikker og veldokumenteret IT sikkerhed, og at alle virksomheder bliver bevidste om, at ansvaret for IT sikkerheden i sidste ende ikke ligger hos andre end dem selv.

Det er korrekt, når du siger, at der findes virksomheder, der påtager sig at varetage ansvaret for IT sikkerheden for virksomhederne. Det gør der jo både i og udenfor Skyen. Og det er der ikke noget nyt i.

Nu er IT driftsopgaver ikke mit firmas primære opgave, og om kunders IT skal holdes sikkert kørende i eller udenfor Skyen, er ikke afgørende for min virksomheds overlevelse. Jeg rådgiver om IT sikkerhed for virksomheder, uanset IT platform, styresystem, antal lokationer og virksomhedsform. Naturligvis med udgangspunkt i den enkelte virksomheds individuelle forhold m.m.

Når virksomheder har behov for en solid IT sikkerhedspolitik og en plan for reetablering i tilfælde af nedbrud, er det fuldstændigt ligegyldigt, om hele eller dele af virksomhedens setup er placeret i Skyen. Hvis man i virksomheden ikke ved, hvad der tages backup af, eller hvordan man reetablerer tabte data, eller hvordan man i øvrigt bringer virksomheden IT-mæssigt op at køre igen, når det hele er tiltet, så er man ilde stedt.

Jeg vil som nævnt opfordre dig til at læse, hvad jeg gentagne gange skriver: Ansvaret for IT sikkerheden ligger hos dig selv.

Skyen er ikke alternativet til en seriøs stillingtagen til IT sikkerhed. Du bør som beslutningstager i virksomheden overveje, hvor længe du har råd til, at din virksomheds IT er nedbrudt, og hvor mange data du har råd til at tabe. Det er firkantet sagt og meget groft forenklet, men det er udgangspunktet, når virksomheder rådgives professionelt om business continuity. Når beslutningstagere i virksomhederne stiller sig selv det spørgsmål - og finder frem til et reelt svar, så kender de det fornødne minimumsniveau for det sikkerhedsmæssige ambitionsniveau.

Og jeg siger det lige igen:
Ansvaret for IT sikkerheden ligger hos dig selv, uanset valg af platform, hostingudbyder m.m.

Dbh. John

Jeg forstår slet ikke relevansen af dit hovedbudskab, med at ansvaret for it-sikkerhed, ligger hos dig selv. Det er lidt ligesom at sige at himlen er blå. Det er fuldstændigt klart! Jeg synes ikke jeg ser nogle der ligger ansvaret fra sig.

Det er klart at Cloud Computing er en tilgang til at forvalte det ansvar, og det der er interessant er om det er en god tilgang.

Det der slår mig ved dine indlæg, er at de kun fremhæver problemer, istedet for at komme med løsninger. Og dem er der mange af! Og som prof. indenfor it-sikkerhed ville det stå dig godt at komme med løsninger og sætte tingene i relief. Som det er nu, bliver du lidt et overfortolkende ekko af iforvejen forsimplende journalistik.

Jeg kom selv med et par løsninger, og det er nok også relevant at bemærke at artiklen jo på ingen måde er relevant for dem der har deres ERP hos e-conomic eller deres filer i Office365!

Jeg har bemærket, at du ikke forstår, at når min gentagne punchline er: "Ansvaret for IT sikkerheden ligger hos dig selv", så er mit hovedbudskab, at alle virksomheder - uanset hvor deres IT platform er baseret - bør være opmærksom på behovet for seriøs stillingtagen til IT sikkerhed.
På et rigtigt godt site vedrørende Cloud Computing - http://www.cloudpro.co.uk - er nogle rigtigt gode rundbordssamtaler blandt professionelle om Cloud Computing. Et af dem - jeg synes det er et rigtgt godt klip - er dette:

http://www.cloudpro.co.uk/cloud-essentials/cloud-security/957/video-do-cloud-providers-understand-security-risk

Prøv at se det. :-)

Der er som nævnt flere gode video-debatter om Cloud Computing på sitet.

Dbh. John

Hej John

Jeg mener ellers godt at havde forstået dit mantra, min pointe var jo netop at det var en indlysende sandhed!!!

Så hvis det du gentager gang på gang skal havde nogen værdi, så skal der være nogle der mener det modsatte, og dem er jeg ikke stødt på! Men du må meget gerne komme med eksempler?

Hej John

Så lige videoen og et par stykker til. Rigtigt godt site. Jeg forstår ikke hvordan du på nogen måde mener at den underbygger din skepsis, overfor cloud computing. Senere tværtimod, de siger jo direkte at hvis de ingeniør der bygger Azure ikke kan lave en sikker og stabil løsning, så er vi alle i problemer underforstået, så er der ingen der kan lave sikre og stabile systemer.

Det andet aspekt de indrager, med den juriske modenhed, altså hvad er kompensationen f.eks. ved datatab er latterligt lav (man sparer lidt på regningen). Det skægge ved det i dansk perspektivt er at vi i meget ringe grad bruger SLA'er med store erstatningskrav.

Hvor man af dine kunder, skal du f.eks. betale en erstatning på over 100K, hvis de bliver hacket, mister data etc. ?