Cloud-Computing: Verhandeln von Cloudverträgen
Der Vertrag zwischen Ihrem Unternehmen und einer möglichen Wolke Anbieter kann als die meisten, komplexer sein so dass es lohnt sich auch die Zeit, um sicherzustellen, dass Sie es richtig machen.
Vic (j.r.) Winkler
Angepasst von "Securing the Cloud" (Syngress, ein Abdruck von Elsevier)
Nachdem Sie Ihre Auswahl von Cloud Service-Providern verengt haben, müssen Sie bei Ihrem Provider sitzen und buchstabieren und die Details der tatsächlichen Vertrag vereinbaren. Abhängig von den Diensten, bei denen Sie Vertragspartei sind, dies ein verhandelbar Problem überhaupt möglicherweise nicht. Ihr Vertrag kann beschränkt werden online Klicken-durch Einigung, die Sie entweder annehmen oder nicht.
Durch Fleiß wird natürlich spielen eine große Rolle bei der Entscheidung, was Sie brauchen an einem Vertrag. Wenn Sie einen maßgeschneiderten Vertrag benötigen, können Sie eine Reihe von Lieferanten unverzüglich beseitigen. Der Großteil der Cloud-Services sind weniger wahrscheinlich, dass maßgeschneiderte Aufträge als traditionelle hosting oder outsourcing-Verträge beinhalten. Die Ökonomie der Cloud computing Service Provider-Modell (für Anbieter und Kunden) machen, dass den Fall.
Es werden viele Szenarios, in denen Sie eine Click-through-Vereinbarung von einem Anbieter akzeptieren. Dies ist aufgrund der finanziellen Einsparungen (sowohl in Bezug auf minimale Vertragsverhandlungen und laufenden Kosten vom Lieferanten) oder das risikoarme Profil Ihrer Anwendung oder Daten. Jedoch sollten Sie auch das Gesamtbild betrachten und definieren eine Strategie und Verfahren für zukünftige Anwendungen, mit denen Ihr Unternehmen bereitstellen.
Mit anderen Geschäftseinheiten Ihr Beispiel zu folgen, ohne dabei ein volles Maß der Due möchten Diligence ist ein weiteres Risiko. Oft ein Teil des Geschäfts kann sehen, dass Sie eine Cloud-Infrastruktur verwenden. Diese andere Geschäftseinheit kann entscheiden, Bereitstellen von Anwendungen auf die gleiche Weise ohne Umweg über die strenge der Bestimmung, ob die Lösung für die neuen Anwendungen geeignet ist. Mit klar definierten Unternehmensstandards und Verfahren an Stelle sorgt dafür, dass unzulässige Anwendungen nicht bereitgestellt werden, die Ihr Sicherheitsmodell zu verletzen – oder, schlimmer noch, die eine oder mehrere Bestimmungen entsprechen nicht denen Ihr Unternehmen gebunden ist.
Geht es um Punkte, die Sie innerhalb Ihres Vertrages verhandeln möchten, stellen Sie sicher, dass Ihre Anforderungen in einer Weise definiert werden, die der Anbieter verstehen kann und die der Anbieter zustimmen kann. Z. B. möglicherweise angeben, dass Daten gemäß den Bestimmungen der Health Insurance Portability and Accountability Act (HIPAA) gehalten werden für Ihr Unternehmen sinnvoll ist. Der Cloud-Anbieter kann jedoch nicht vollständig dem Gesetz oder seine Auswirkungen verstehen. Wenn Sie, dass Sie wollen der Lieferant Aufgabentrennung sicherzustellen wissen, müssen Mitarbeiter screening, Datenschutz oder andere Maßnahmen zur Gefahrenabwehr, Sie vollständig diese Parameter definieren.
Client-Anforderungen sind belastend für Anbieter von Cloud verwalten, wenn jeder Client ihre Anforderungen in eine nicht standardmäßige und einzigartige Weise präsentiert. Bei einem Anbieter isst waten durch zahlreiche Anfragen von mehreren Interessenten in Rentabilität. Das Cloud-Modell bevorzugt on-Demand Ressource: Zuteilung, nicht auf Abruf Vertragsverhandlungen.
Anstatt eine Wolke-Dienstleister auf zahlreichen potenziellen Vertrag Clientanforderungen antworten haben, gibt es eine Reihe von externen Akkreditierungen Anbietern erhalten können, die sie haben beide geeignete Sicherheitsmaßnahmen implementiert und soliden folgen Praktiken bieten. Eine davon ist die Anweisung auf No Auditing Standards (SAS) 70, allgemein bekannt als ein SAS 70-Audit. Dies wurde ursprünglich veröffentlicht durch die American Institute of Certified Public Accountants (AICPA).
Dieses Audit ist für Service-Organisationen, und es wurde entwickelt, um sicherzustellen, dass ein Unternehmen hat angemessene Kontrollen und Garantien beim hosten oder Datenverarbeitung gehören zu seinen Kunden. Ein Unternehmen, das ein SAS 70-Zertifikat wurde von einem externen Auditor geprüft. Die Prüfer hat die Kontrollziele und Aktivitäten pro SAS 70 Anforderungen akzeptabel gefunden. Der Sarbanes-Oxley Act Abschnitt 404 bezieht sich auf den Prozess der Berichterstattung über die Wirksamkeit der internen Kontrollen über die Finanzberichterstattung.
Implementierung
Der Lebenszyklus des Vertragsprozesses endet nicht, wenn der Vertrag unterzeichnet ist. Du musst ständig den Status während der Laufzeit des Abkommens zu bewerten. Natürlich wird dies mit einem Click-through-Vertrag im Gegensatz zu einem ausgehandelten Vertrag weniger strenge.
Sogar mit einem Click-through-Vertrag müssen Sie allerdings beurteilen die Wolke Anbieter um sicherzustellen, dass die vertraglich vereinbarten Leistungen sind in der Tat geliefert. Beispielsweise, wenn Sie Ihren Lieferanten um OS Aktualisierungen Vertrag, müssen Sie überprüfen, um sicherzustellen, dass diese in der angegebenen Zeit und Weise durchgeführt wird. Überprüfungen, um sicherzustellen, dass alle Richtlinien und Verfahren, die für beauftragt haben eingehalten werden sind wichtig, obwohl dies möglicherweise schwierig wie der Cloud-Anbieter und Unternehmen in verschiedenen Staaten oder Ländern sein kann.
Während der Länge des Vertrages, müssen Sie und Ihr Unternehmen zu bewerten, Ihre Bedürfnisse und ständig wechselnden Risikoprofil – die werden aufgrund der Notwendigkeit oder den Wunsch zu verschiedenen Anwendungen oder Daten in der Cloud bereitstellen können. Es kann auch mit zu tun haben Änderungen in Gesetzen und Verordnungen die Unternehmen halten muss. Auch externe Akkreditierung der Lieferant hat — wie z. B. ein Zertifikat SAS 70 — muss aktiviert sein, um sicherzustellen, dass sie erneuert und nicht aufgrund von Verstößen entzogen.
Kündigung (Ende der Begriff oder anormalen)
Wenn zum Ende der Vertragslaufzeit, ob wegen der endgültigen erreichen oder wegen der vorzeitigen Beendigung kommt, gibt es einige Anforderungen, die Sie sorgfältig prüfen müssen. Diese Übergangszeit ist, wenn Daten an den Risiko ist. Nicht ordnungsgemäße Beendigung kann aufgrund einer Reihe von Faktoren, wie z. B. auftreten:
- Cloud-Anbieter aufhören Aktivitäten
- Verletzung des Vertrags durch eine Vertragspartei
- Insolvenz
Während dieser Zeit Ihre wird wahrscheinlich mit einen Ersatz-Anbieter als die Ausgaben Zeit und Mühe, die Polizei des aktuellen Lieferanten sourcing stärker einbezogen werden. Die Daten werden noch auf der Lieferanten-Systemen und in ihre Sicherungen. Sie können entscheiden, um diese Daten zu entfernen, eher früher als später, abhängig von der Vertraulichkeit-Ebene. Im Falle der Kündigung ist (aus welchem Grund) kann die Wolke Anbieter natürlich weniger als bereit zu helfen, in Ihrem Datenbereinigung sein.
Wenn Sie definieren können, was Sie bei der ursprünglichen Kündigung benötigen, haben Sie eine gute rechtliche Grundlage zu gewährleisten, dass Daten entfernt und nach Bedarf gereinigt. Wie der Cloud-Anbieter möglicherweise in einer anderen Gerichtsbarkeit, und Ihre Daten möglicherweise an anderer Stelle gespeichert werden, kann dies einen höheren Risiken sein, die Sie haben zu akzeptieren, oder stellen Sie sicher, dass es auch in Ihrem Vertrag definiert ist.
Lieferanten-Transfer
Wenn Sie Dienstleistungen aus einer Hand zur anderen, Kündigung oder während der Lebensdauer der Vertrag übertragen, müssen Sie viele von den gleichen Faktoren berücksichtigen, die im vorherigen Abschnitt erläutert wurden. Sie müssen auch einen Plan, wie die Datenübertragung sicher zwischen Anbietern zu definieren.
Abhängig von der Datenmenge kannst du nur ihn zurück an Ihre Organisation bewegen. Dann können Sie es an den neuen Anbieter hochladen. Sie könnten auch erwägen, direkt zwischen den beiden Anbietern zu übertragen. Unabhängig davon, welche Methode Sie verwenden, müssen Sie sicherstellen, dass die Daten ist sicher für jeden der Transfers, vielleicht mit Verschlüsselung der Daten während der Übertragung.
Sie müssen gründlich prüfen und verwalten diese Faktoren bei der Erstellung, Überprüfung und Genehmigung eines Vertrags mit einer Wolke Anbieter. Sie betreten eine potenziell langfristige Beziehung, so dass Sie benötigen, um sicherzustellen, dass die Erwartungen und Pflichten ausreichend verstanden werden.
.jpg)
Vic (j.r.) Winkler Senior ist associate bei Booz Allen Hamilton Inc., die technischen Beratung vor allem USA Regierung-Kunden. Er ist ein veröffentlichten Informationen-Sicherheit und Cyber Security Researcher, sowie ein Experte in Intrusion und Anomalie-Erkennung.
© 2011 Elsevier Inc. Alle Rechte vorbehalten. Gedruckt mit Erlaubnis von Syngress, ein Abdruck von Elsevier. Copyright 2011. "Sicherung der Wolke" von Vic (j.r.) Winkler. Besuchen Sie für weitere Informationen zu diesem Titel und andere ähnliche Bücher bitte elsevierdirect.com.