כיצד לבחור נכון את ספקי שירותי הענן

יום ב', 29 באוגוסט 2016

 

 

מאת:נדב ווקס, חברת Energy Team

כאשר מחליטים להעביר את המידע של החברה לענן, זו החלטה ראויה. אבל כשהטכנולוגיה מתפתחת מהר יותר מהחוקים שמגנים עלינו, כדאי לדאוג שהמידע שלכם באמת שמור, מוגן וזמין.

איך עושים את זה נכון?

הנה חמישה טיפים המאפשרים גמישות טכנולוגית ויציבות כלכלית בטרם העברת המידע לענן:

 

1.      דאגו לכל התנאים מראש

להיכנס להתקשרות עם ספק ענן זו למעשה חתונה קתולית. מהרגע שהעברתם את המידע לספק, יהיה קשה מאוד לעבור לספק אחר. לכן, חשוב לוודא מראש שכל התנאים החשובים לחברה מעוגנים בחוזה. אם החברה במצב שבו היא מעוניינת לעבור לענן אחר באופן מידי, לא יהיה לספק תמריץ של ממש לבוא לקראת החברה. בעולם אשר נעשה תחרותי יותר ויותר, יהיה קל יותר לשנות את התנאים לפני החתימה על החוזה.

 

2.      שימו לב למדינה בה מתארח המידע

כאשר רוב ספקי הענן מחזיקים חוות שרתים בכל העולם, סביר מאוד שהחוקים והתקנים שחלים עליכם כארגון או חברת ישראלית לא יהיו היחידים שיחולו על המידע שלכם. מיקרוסופט וגוגל לדוגמא, כארגונים אמריקאים, מחויבים ל"חוק הפטריוטי" (Patriot Act 2012). החוק מאפשר לגופי ביון אמריקאים לגשת למידע ברשות הארגונים מבלי להודיע לבעלי המידע. ישנם ארגונים המאפשרים לאחסן את המידע בשרתים במדינות ייעודיות, במידה ויש לכם מידע רגיש המדינה בה מאוחסן המידע והמדינה אליה כפוף הגוף יכולים להוות שיקול משמעותי עבור החברה.

 

3.      מנגנוני עדכון

לרוב, טכנולוגיית ITרלוונטית לחמש שנים מהרגע שהיא הגיעה לשוק והזמן הזה מתקצר ככל שהטכנולוגיה מתפתחת. לעומת זאת, התקשרות עם ספק היא לרוב ארוכת טווח. לכן, חשוב לשמור על מנגנונים המאפשרים עדכונים טכנולוגיים וכלכליים. דאגו לכך שהספק ייתן לכם את הטכנולוגיה המיטבית בכל שלב בהתקשרות, גם אם זו לא הטכנולוגיה שהתחלתם איתה.

סיכון אחר הוא שעם כניסת מוצר מתקדם וחדש, ייתכן והספק יציג תמחור מתקדם לא פחות. וודאו כי לא ניתן לשנות או להעלות משמעותית את מחירי השירות שמספקים לחברה. באותה מידה, אם אתם משנים את אופי השירות, או מקטינים את נפח השירות, וודאו כי יש מנגנונים שידאגו לכך  שהחברה לא תשלם מחיר מלא.

 

4.      וודאו כי יש בהסכם סעיפי יציאה

מהרגע שנכנסים להתקשרות עם ספק, נמצאים למעשה ב-Vendor Lock(נעילת ספק). המצב הזה הוא המצב בו הספק יכול לשנות את תנאי השירות די בקלות ולפעמים ללא הודעה מראש. משום שללקוחות כמעט בלתי אפשרי לעזוב את הספק לטובת חברה אחרת. לכן, חשוב לוודא מראש שיש "פתח מילוט" המגן משפטית ומאפשר שינויים ועדכונים.

 

5.      תקינה ורגולציה

לארגונים רבים יש רגולציות ייעודיות בהתאם לתחום העיסוק. בזמן מעבר תשתיות המחשוב לענן צריך עדיין לשמור על כללי הרגולציה. ישנם ספקים המסוגלים לעמוד ברגולציות מורכבות, אך זהו תחום שחשוב לוודא לפני תחילת ההתקשרות. ישנה רגולציה המתייחסת גם לעמידה בתקינה מסוגים שונים. אמנם הטכנולוגיה מתפתחת מהר יותר מהתקינה, אבל תו תקן מהווה אסמכתא לרצינותו ולאיכותו של הארגון.

מצורפת רשימה של מספר תקנים שכדאי וחשוב לכל ארגון להכיר: 

תקן ISO 27000- זהו תקן של ארגון התקינה הבינלאומי אשר נועד להוות תקן של אבטחת מידע. אמנם לא תקינה ייעודית למחשוב ענן, אבל תקן קריטי לכל ארגון שרוצה לשמור על סטנדרט בו הוא מסוגל להגן על המידע שברשותו.

תקן FIPS140-2- תקן אמריקאי מטעם משרד המסחר והמוסד הלאומי של ארה"ב. מטרתו להסדיר את תחום הצפנת המידע הדיגיטלי. לתקן זה ארבע רמות, ככל שההצפנה תתמוך בתקן FIPSברמה גבוהה יותר, כך רמת האמינות של שירות הענן תעלה.

תקן PCI-SSC- משפחה של תקני אבטחה באשראי, שיזמו חמשת חברות האשראי הגדולות ביותר. מטרתו להגדיר אילו פרמטרים ובקרות יחייבו כל ארגון, מוסד וחברה אשר מעוניינים להשתמש במערכות המידע שלהם בכרטיסי האשראי של הלקוחות. למרות שאין לתקן קשר ישיר למחשוב ענן, ספקי הענן מאחסנים את פרטי כרטיסי האשראי של לקוחות על השרתים שלהם.

תקן SSAE- תקן של ארגון רואי החשבון האמריקאי אשר מסדיר את הדרך בה ארגון מחויב לדווח על אמצעי הבקרה הקיימים אצלו. גם תקן זה ללא קשר ישיר למחשוב ענן, אך הוא מבטיח רצינות ואיכות מצד הארגון בהתנהלות הכללית שלו.

 

לסיכום, תחילת ההתקשרות עם הספקים הינה חיונית וקריטית לקבלת החלטות נכונות ומותאמות לחברה. זהו זמן יחסית נדיר בו הספקים מחזרים אחריכם. אם תשכילו ליצור את המסגרת המיטבית לחברה, כזו שתהיה גמישה מבחינה טכנולוגית אבל יציבה כלכלית, תוכלו לחסוך לחברה הרבה זמן וכסף. דעו מה אתם רוצים, דעו לעגן את זה בחוזה, ומפה הדרך סלולה ובטוחה.