Rủi ro và Biện pháp khắc phục: Điện toán đám mây và Cấp phép phần mềm

Rủi ro và Biện pháp khắc phục: Điện toán đám mây và Cấp phép phần mềm

Việc chuyển đổi sang điện toán đám mây đã thay đổi cách thế giới kinh doanh, cung cấp các giải pháp thay thế hiệu quả về chi phí cho các giải pháp tại chỗ truyền thống trong khi tiếp tục cung cấp tính linh hoạt và bảo mật. Tuy nhiên, khi cơ sở hạ tầng công nghệ của doanh nghiệp ngày càng phụ thuộc vào các giải pháp “phần mềm như một dịch vụ”, một chiến lược công nghệ thông tin thành công đòi hỏi phải xem xét kỹ lưỡng những thách thức và rủi ro liên quan đến các dịch vụ này.

Trong một loạt các bài viết, chúng tôi sẽ xem xét các giải pháp phần mềm dựa trên đám mây so với các giải pháp phần mềm tại chỗ truyền thống như thế nào, khám phá các mô hình cung cấp dịch vụ đám mây phổ biến và thảo luận về hộp công cụ pháp lý - bao gồm bảo hành và cấp độ dịch vụ, nghĩa vụ bảo mật và bảo mật dữ liệu, cũng như các khoản bồi thường và giới hạn trách nhiệm - cần thiết để bảo vệ doanh nghiệp và lợi nhuận của họ. Nhưng trước tiên, chúng tôi đi sâu vào việc cân nhắc một cách hiệu quả những ưu và nhược điểm của các tùy chọn cấp phép và máy tính khác nhau.

Các yêu cầu tổ chức, nguồn lực và khả năng khác nhau cần có các tính năng kỹ thuật và hỗ trợ riêng biệt, đòi hỏi phải lựa chọn cẩn thận các nhà cung cấp dịch vụ và giải pháp. Có lẽ một giải pháp chìa khóa trao tay triển khai và quản lý các bản cập nhật và xác thực người dùng sẽ mang lại kết quả tốt nhất. Ngoài ra, có thể cần một giải pháp tùy chỉnh cung cấp khả năng tinh chỉnh để kiểm soát các mục rời rạc như quản lý truy cập, bảo trì và hỗ trợ. Vì cả giải pháp tại chỗ và dựa trên đám mây đều cung cấp những cấu hình này và nhiều cấu hình khác, nên việc xác định các mục tiêu chiến lược chính là chìa khóa để lựa chọn sáng suốt và thực hiện thành công.

Các câu hỏi cơ bản giải quyết một số sự khác biệt rõ ràng giữa phần mềm tại chỗ và các giải pháp dựa trên đám mây. Hỏi những điều sau:

Công ty có cần loại bỏ các chi phí liên quan đến việc mua sắm và bảo trì phần cứng và cơ sở hạ tầng không?

Đã xác định được các lỗ hổng cần khóa bảo mật và cải thiện kiểm soát truy cập chưa?

Công ty có đủ nguồn lực và kinh nghiệm để quản lý nội bộ các hoạt động này không? Ngay cả khi nó có, có những lý do nó không muốn làm như vậy?

Mặc dù câu trả lời cho những câu hỏi này ban đầu có thể nghiêng về cấu trúc cấp phép này hơn cấu trúc cấp phép khác, nhưng một phân tích chu đáo cũng sẽ giải quyết năm cân nhắc sau: mục đích, người dùng, quyền, rủi ro và biện pháp khắc phục.

Mục đích

Xác định mục đích và mức độ quan trọng tương đối của các hoạt động kinh doanh mà giải pháp phải hỗ trợ. Trong môi trường phần mềm tại chỗ truyền thống, một công ty có thể thực hiện quyền kiểm soát nhiều hơn đối với cơ sở hạ tầng, việc triển khai và hỗ trợ, bao gồm cả việc đảm bảo các dự phòng thích hợp; tuy nhiên, trong các giải pháp dựa trên đám mây, quyền kiểm soát này thường do nhà cung cấp dịch vụ nắm giữ. Mặc dù một số công ty có thể thích quản lý một giải pháp tại chỗ cho các chức năng quan trọng hoặc có khả năng hiển thị cao, nhưng không phải tất cả các công ty đều có chuyên môn hoặc nguồn lực nội bộ để làm như vậy. Bất kể môi trường như thế nào, trách nhiệm được phân bổ giữa nhà cung cấp dịch vụ và công ty phải hỗ trợ chung cho mục đích dự kiến ​​và mức độ liên tục yêu cầu của hoạt động kinh doanh, bao gồm tính khả dụng và thời gian hoạt động, chất lượng dịch vụ, tính toàn vẹn và bảo mật của dữ liệu,

Mặc dù một số công ty có thể thích quản lý một giải pháp tại chỗ cho các chức năng quan trọng hoặc có khả năng hiển thị cao, nhưng không phải tất cả các công ty đều có chuyên môn hoặc nguồn lực nội bộ để làm như vậy.

Để xác định mục đích và mức độ quan trọng tương đối, hãy xem xét:

Giải pháp sẽ hỗ trợ các hoạt động nội bộ hoặc tại văn phòng, hoặc các giao dịch giữa công ty và khách hàng của công ty?

Việc triển khai nó sẽ vô hình đối với thế giới bên ngoài, hay hiển nhiên và gắn liền với sự hiện diện công khai và thương hiệu của công ty?

Giải pháp là một chức năng có nguồn gốc duy nhất hoặc quan trọng cần thiết cho hoạt động kinh doanh hay là một chức năng tùy chọn, dễ có nhưng không cần thiết? Trong cả hai trường hợp, có thể dễ dàng ngừng sản xuất hoặc thay thế mà không làm gián đoạn hoạt động kinh doanh đáng kể không?

Bất kể môi trường như thế nào, trách nhiệm được phân bổ giữa nhà cung cấp dịch vụ và công ty phải hỗ trợ chung cho mục đích dự kiến ​​và mức độ liên tục yêu cầu của hoạt động kinh doanh, bao gồm tính khả dụng và thời gian hoạt động, chất lượng dịch vụ, tính toàn vẹn và bảo mật của dữ liệu và các quyền khi hợp đồng hết hạn hoặc chấm dứt.

Người dùng

Xác định từng nhóm người dùng cần truy cập hoặc hưởng lợi từ giải pháp. Theo hầu hết mọi mô hình cấp phép, một công ty phải giám sát các quyền, việc triển khai và sử dụng của mình để đảm bảo rằng công ty vẫn tuân thủ phạm vi của giấy phép được cấp. Nếu phạm vi của giấy phép phần mềm truyền thống bị vượt quá, ngay cả khi do nhầm lẫn, một cuộc kiểm tra chính thức và thậm chí không chính thức có thể dẫn đến các khoản phí và chi phí lớn, đình chỉ hỗ trợ và đe dọa chấm dứt hoạt động. Trong giải pháp dựa trên đám mây, việc quản lý quyền được thuê ngoài một cách hiệu quả cho nhà cung cấp dịch vụ, họ cũng có thể đơn phương thu hồi quyền truy cập vào các dịch vụ. Hơn nữa, mặc dù mục đích tuân thủ cũng quan trọng không kém việc ủy ​​quyền cho nhóm người dùng chính xác cho các giải pháp tại chỗ và dựa trên đám mây, hãy nhớ rằng việc sử dụng trái phép có thể dễ dàng phát hiện hơn trong môi trường đám mây.

Quyền riêng tư và bảo mật dữ liệu

Quyền riêng tư và bảo mật dữ liệu nên được ưu tiên trong cả cấp phép phần mềm tại chỗ và giải pháp dựa trên đám mây. Điện toán đám mây giới thiệu các tác động bổ sung đối với dữ liệu, chẳng hạn như nơi dữ liệu được lưu trữ và liệu dữ liệu có được mã hóa khi đang truyền hay không. Trong thế giới điện toán đám mây, dữ liệu có thể chảy qua biên giới như một phần xử lý bình thường của nhà cung cấp dịch vụ. Cần tiến hành thẩm định để xác định xem nhà cung cấp dịch vụ đám mây có được chứng nhận phù hợp và có khả năng duy trì tính toàn vẹn của dữ liệu hay không. Nếu nhà cung cấp dịch vụ đang sử dụng nền tảng của bên thứ ba hoặc sẽ ký hợp đồng phụ bất kỳ dịch vụ nào, hãy xem xét nơi dữ liệu sẽ được lưu trữ, ai sẽ có quyền truy cập vào dữ liệu và từ vị trí nào và liệu quyền dữ liệu có cho phép công ty được cấp phép cung cấp quyền truy cập này hay không.

Quyền lợi

Đảm bảo toàn bộ các quyền cần thiết để hỗ trợ trường hợp kinh doanh của bạn. Danh sách kiểm tra hiệu quả phù hợp với mục đích sử dụng, người dùng và cách thức thực hiện của công ty đối với cả quyền bản quyền theo luật định và các quyền bổ sung theo hợp đồng cần thiết để đáp ứng các yêu cầu kinh doanh của công ty. Mặc dù mỗi mục trong danh sách kiểm tra có thể không áp dụng cho tất cả các phần mềm tại chỗ và các giải pháp dựa trên đám mây, nhưng việc kiểm tra từng vấn đề sẽ tối ưu hóa khả năng khai thác giấy phép của bạn trong bối cảnh môi trường kinh doanh của bạn.

Cấp giấy phép

Ở mức tối thiểu, việc cấp giấy phép phải đảm bảo từng quyền cần thiết để sao chép, sửa đổi hoặc chuẩn bị các tác phẩm phái sinh, phân phối và thực hiện công khai và / hoặc hiển thị giải pháp theo đuổi mục đích của công ty. Việc cấp giấy phép toàn diện sẽ chỉ định (1) các quyền hoặc hạn chế liên quan đến khu vực địa lý, trang web, thiết bị và người dùng; (2) các điều kiện để cấp phép lại hoặc chuyển nhượng; (3) tất cả các quyền cần thiết để hỗ trợ các nghĩa vụ hợp đồng của công ty đối với khách hàng hoặc các bên thứ ba khác, chẳng hạn như quyền kiểm tra các biện pháp bảo mật dữ liệu của nhà cung cấp dịch vụ đám mây; (4) các sự kiện kích hoạt quyền chấm dứt giấy phép; và (5) liệu bất kỳ quyền và nghĩa vụ nào còn tồn tại khi hết hạn hoặc chấm dứt.

Quyền chấm dứt

Theo nhiều khía cạnh, phân tích về quyền chấm dứt đối với các giải pháp dựa trên đám mây được cung cấp trên mô hình đăng ký thường giống như đối với giấy phép phần mềm tại chỗ. Tuy nhiên, có một số điểm khác biệt chính trong các lĩnh vực tạm ngừng và chấm dứt dịch vụ.

Trong khi một công ty có giải pháp phần mềm tại chỗ thường giữ quyền truy cập và kiểm soát dữ liệu của mình, một công ty chọn tải lên, duy trì hoặc giao dịch dữ liệu của mình trên đám mây công cộng phần lớn nhường quyền kiểm soát này cho nhà cung cấp dịch vụ. Điều quan trọng là phải kiểm tra quyền của nhà cung cấp dịch vụ đám mây để tạm ngừng truy cập hoặc dịch vụ và thương lượng thông báo và giới hạn phù hợp dựa trên nhu cầu kinh doanh. Nếu một nhà cung cấp dịch vụ chấm dứt các dịch vụ, việc chấm dứt có thể tạo ra một sự gián đoạn đáng kể cho hoạt động kinh doanh của họ, đặc biệt là nếu một công ty không chuẩn bị cho một giải pháp thay thế.

Ngược lại, một công ty nên xem xét liệu sự nhạy cảm trong kinh doanh có yêu cầu quyền ngừng cung cấp dịch vụ ngay lập tức và quyền truy cập của nhà cung cấp dịch vụ vào dữ liệu của họ khi các sự kiện nhất định, chẳng hạn như mua lại cạnh tranh. Cuối cùng, các thỏa thuận đăng ký đám mây thường chỉ cung cấp một khoảng thời gian ngắn trong đó công ty có thể khôi phục dữ liệu đã được duy trì trên đám mây dưới sự kiểm soát của nhà cung cấp dịch vụ.

Một công ty đang tìm kiếm một thời hạn dài hơn hoặc các quyền để truy cập và xác thực dữ liệu của mình trong thời hạn đó sẽ phải thương lượng các quyền này. Cũng như với phần mềm tại chỗ, công ty phải đảm bảo tính tương thích để thực hiện các quyền xuất dữ liệu có ý nghĩa khi chấm dứt và chuyển đổi. Giải quyết những vấn đề này khi bắt đầu mối quan hệ làm giảm sự không chắc chắn và cung cấp một con đường để giảm thiểu rủi ro liên quan đến giải pháp.

Rủi ro

Mặc dù người ta không bao giờ có thể hợp đồng hoàn toàn rủi ro, nhưng việc lựa chọn mô hình cấp phép đáp ứng các yêu cầu kinh doanh của công ty, phù hợp với môi trường của công ty và phân bổ trách nhiệm giữa các bên một cách thích hợp là cách tốt nhất để giảm thiểu rủi ro. Mặc dù các giải pháp đám mây có thể cung cấp các dịch vụ toàn diện và hiệu quả đáp ứng nhiều mục tiêu kinh doanh, nhưng điều quan trọng là phải xem xét cách thức chuyển đổi quyền kiểm soát đối với hệ thống và dữ liệu có thể gây ra cả những rủi ro tương tự và khác nhau đối với hoạt động cũng như rủi ro tiềm ẩn đối với bên thứ ba.

Mặc dù người ta không bao giờ có thể hợp đồng hoàn toàn rủi ro, nhưng việc lựa chọn mô hình cấp phép đáp ứng các yêu cầu kinh doanh của công ty, phù hợp với môi trường của công ty và phân bổ trách nhiệm giữa các bên một cách thích hợp là cách tốt nhất để giảm thiểu rủi ro.

Theo giấy phép giải pháp đám mây, một công ty sẽ mất một mức độ kiểm soát và khả năng hiển thị đối với giải pháp và phải dựa vào nhà cung cấp dịch vụ của mình để duy trì các chính sách, cơ sở hạ tầng và bảo mật đó như được mô tả (và chỉ như được mô tả) trong hợp đồng.

Hơn nữa, một công ty không hoàn toàn miễn trừ cho mình mọi trách nhiệm: Ví dụ: công ty sẽ vẫn chịu trách nhiệm và nghĩa vụ với người cấp phép trong trường hợp thông tin đăng nhập của họ bị xâm phạm và người dùng và khách hàng của chính họ vì không tôn trọng tính toàn vẹn, bảo mật của dữ liệu và giữ lại. Thương lượng tập trung vào doanh nghiệp, các quyền thân thiện với khách hàng giúp giảm thiểu rủi ro liên quan đến từng giải pháp và tích hợp các biện pháp khắc phục đầy đủ để giải quyết mọi vấn đề phát sinh.

Biện pháp khắc phục

Xác định các biện pháp khắc phục có ý nghĩa sẽ thúc đẩy hoạt động kinh doanh liên tục. Trong môi trường đám mây, hãy kiểm tra tính khả dụng của dịch vụ hoặc các cam kết về thời gian hoạt động, cảnh giác với các trường hợp ngoại lệ “bảo trì đột xuất” được xác định lỏng lẻo và xem xét liệu giờ và lịch trình hỗ trợ kỹ thuật của nhà cung cấp dịch vụ có phù hợp với nhu cầu kinh doanh của công ty hay không.

Quyền chấm dứt giấy phép đối với giải pháp đám mây do lỗi cấp độ dịch vụ có thể trở nên vô nghĩa nếu không có hỗ trợ chuyển đổi nghiêm ngặt và có thể được củng cố bằng các nghĩa vụ leo thang nhằm giảm thiểu gián đoạn kinh doanh.

Như đã thảo luận ở trên, bảo mật dữ liệu vẫn là một vấn đề rất quan trọng trong môi trường đám mây và, không giống như giải pháp tại chỗ, có thể không chỉ liên quan đến công ty được cấp phép và nhà cung cấp dịch vụ mà còn liên quan đến nhà cung cấp nền tảng bên thứ ba nơi lưu trữ giải pháp đám mây . Cần phải có một kế hoạch rõ ràng, dễ hành động để phân bổ trách nhiệm và trách nhiệm pháp lý để ứng phó với bất kỳ vi phạm bảo mật dữ liệu nào và giảm thiểu thiệt hại. Và như với bất kỳ giải pháp nào, các tổ chức nên duy trì quyền và tính linh hoạt đối với các dịch vụ nội nguồn, thuê ngoài và dự phòng để hoạt động kinh doanh của mình không trở nên quá phụ thuộc vào bất kỳ giải pháp duy nhất nào.

Khi công nghệ thúc đẩy các doanh nghiệp phát triển nhanh chóng, các vấn đề liên quan đến việc triển khai và sử dụng nó cũng tiếp tục phát triển. Xem xét các vấn đề cơ bản về mục đích, người dùng, quyền, rủi ro và biện pháp khắc phục cung cấp cho tổ chức thông tin quan trọng để điều hướng sự phức tạp và tinh vi ngày càng tăng của các giải pháp tại chỗ và đám mây nhằm đưa ra các quyết định sáng suốt và hiệu quả.