Názory k článku
Cloudy mají budoucnost, a také problémy účetní i právní

Já bych se úplně neodvážil tvrdit, že cloudové řešení používají hlavně malé firmy nebo startupy. Určitě je pro malou firmu jednodušší rozhodnutí, že aplikace přesunou mimo firmu, než pro velkého molocha se spoustou rozhodovacích úrovní. Ale moje zkušenosti (dodáváme hostovanou emailovou i webovou bezpečnost) říkají, že se pro cloud rozhodnou často i obrovské firmy v řádu desítek tisíc uživatelů. Poměr mezi malými a velkými firmami může být sice někde 5:1, ale v celkových počtech uživatelů samozřejmě výrazně vedou firmy velké

Myslim ze jste to jen spatne pochopil / precetl (taky se mi to stalo) autor nemyslel startupy jako klienta cloudovaci spolecnosti ale startupy jako cloudovaci spolecnosti (tedy ze ti co nabizi cloud jsou startupem)

Já reagoval na větu:

Existuje samozřejmě celá škála cloudových služeb a řešení "software jako služba" a je zajímavé, že je zatím mají tendenci používat spíše začínající a menší firmy, které je snáze nasávají do svých vnitrofiremních procesů, jichž se například hostovaná CRM řešení nebo plánovací software stávají základem.

a nejsem si jistý, že jsem ji pochopil špatně.

A Hexer asi myslel větu: Jak poznat, který ze startupů nabízejících cloud computing je důvěryhodný a neprodá vaše data obratem dále?

Velmi by mě zajímalo, ve které firmě se nákup nového hardwaru neprojeví zvýšením operativních výdajů (někde musí stát, teče do něj proud, možná další člověk na obsluhu).

To že neexistují audity, prostě není pravda. Existuje třeba SAS70. Nicméně třeba pokud je vaše aplikace součástí force.com (tedy se integruje s Salesforce.com), tak projdete jistým auditem od Salesforce.com.

SaaS není opravdu pro malé firmy, není to tak dávno co jsem tweetoval, že největší nasazení SaaS do firmy je pro 2.1 miliónu uživatelů. Proti tomu i Google Apps blednou závistí se svým nasazením pro 40 tisíc uživatelů.

Jistě, cloud přináší jiné druhy rizika a ty je potřeba řídit. Rozhodně ale snižuje komplexnost problému a druhů rizika oproti vlastní infrastruktuře a instalovanému softwaru. Již teď prakticky neexistuje software, u kterého nevěříte třetí straně. A že se stalo, jak po automatické aktualizaci najednou nejela celá firma. A kolik automatických aktualizací se vám stahuje každý týden do počítače?

Všechno má svá rizika a říkat, že cloud jich má víc, kdežto on-premise je naprosto v pohodě je hloupost. Oboje má své a je dobré je mít na paměti.

proč vtip? pracoval jsem v několika firmách které byly na podobném principu - klinti si mohli spustit jedině vpn do firmy, ani doma v lan neviděli nic a nic nevidělo je.. tomu se říká zabezpečená stanice, na centrální proxy všechno ořezaný...

fungovalo to velmi dobře, jediný problém byli moc chytří uživatelé kteří si mysleli že si z toho mohou dělat domácí pc - obvykle pomohl vytýkací dopis, tahle politika měla podporu nejvyššího vedení..

za 4 roky nebyl žádný průser a to bylo v době blasteru atd... (jasně že návštěvy byly přes radiusy a jiné věci odfiltrované tak že ani na firmě nic neudělaly..)

bohužel, i solidní oddíly jakými byla IBM už chtějí patchovat.. seděl jsem u centrálního serveru za 12 mega (po slevě), vmware, disk pole atd... objevila se chybová hláška na switchi a support ibm chtěl opatchovat firmware že je přes 1 rok starý (do té doby naprosto bez problémů) že to jinak řešit nebudou, i když ten systém byl jen interní za fw...

už ani ibm není co bývalo....

proč? počítá se výsledek.. jestli to majitelům vydělá víc peněz tak jsou schopni mít otroky v číně.. a hrát si na ekologii jako gore-bursík s tryskáčem v oceánii

život je hra a peníze jsou způsob jak počítat skóre.....

Říkejte si co chcete. Firemní data je to nejcennější co firma má. Možná, že teď vidí finanční úsporu, ale až data nebude mít, tak ji to může položit.
A doma to samé. Svá data v případě potřeby mám doma a kdykoliv dostupná, s jistotou, že se mi v nich nehrabe kdoví kdo, případně už jsou kdoví kde.
To máte jako důl, to je díra v zemi. Může se zasypat, může se zatopit, ale vzít mi ho? A tak i s daty pokud jsou pěkně doma na očích.

Jenže to neni pravda, když Vám někdo bude chtít ten důl vzít, tak si toho docela určitě všimnete. Když Vám nebo firmě někdo vezme data, tak si toho všimnete třeba za půl roku, když se budete divit, že Vás konkurence najednou tak válcuje jakoby přesně věděla co se ve firmě děje.
Pravděpodobnost, že Salesforce.com nebo jiný cloud prodá něčí data, je o několik řádů menší než pravděpodobnost, že si konkurent vytipuje ve firmě admina nebo obyčejného zaměstnance, co má velkou hypotéku, nebo občas chodí hrát automaty nebo prostě rád koupí ženě novou kuchyni.
Z osobních zkušeností při nasazování DLP můžu potvrdit, že jsou případy nad kterýma ještě pořád vrtím hlavou.

* Data ve firmě > admin/power_user > ukradení dat.
* Cloud > Data dostupná ve firmě > admin/power_user > ukradení dat.

Cloud riziko zcizení nezmenšuje. Naopak přidává další místo (místa), odkud je možné data ukrást.

samozřejmě, pokud jsou ve firmě dostupná stejná data (ve stejné podobě) jako v cloudu (a firma tak vlastně má jen řešení pro vzdálené uživatele nebo jen pěkný interface) pak máte naprostou pravdu.
Nicméně si myslím, že právě dobře postavená služba mimo firmu omezí dostupnost těch dat, které jsou přístupné ve firmě všem adminům a je snadné je nějak hromadně ukrást (dump databáze nebo prostě zkopírování celého disku).

Přesně tak. Pokud nemáte skutečně velmi precizní bezpečnostní politiku, má k Vašim datům ve firmě přístup kde kdo. Váš administrátor kterého často situace donutí a prozradií své heslo někomu jinému při řešení potíží mimo pracovní dobu je je jedním článkem řetězu. Dalším jsou teřeba vyřazené počítače (kdopak důsledně zkartovává disky) a další..
Takové díry zase ASP řešení obvykle nemá (24hodinová obsluha, přísné bezpečnostní politiky, hierarchické přístupy)

Pokud jsou data ve firmě zobrazitelná, tak jsou obvykle i zcizitelná. Takže je bezpečnost dat zobrazovaných s firemních serverů podobná, jako je bezpečnost dat zobrazovaných ve firmě z cloudu. V případě cloudu se k tomuto riziku přidává to, že data jsou umístěna mimo a mají k nim přístup další lidé.

Ořezat adminy není žádná legrace - jo, jde to a více způsoby, jenže v reálu to znamená spíš dělbu práv a zodpovědností na víc lidí, kteří se do jisté míry hlídají navzájem. To sice může fungovat z hlediska bezpečnosti dobře, ale je to spíš pro velké firmy, kde se kolem IT tak jako tak pohybuje rozsáhlejší týmy, pro menší firmu jsou ale náklady na toto obvykle nepřijatelné.
jinak máte samozřejmě pravdu, ten poslední odstavec popisuje dobře některé typické varianty, jen to není v reálu až tak jednoduché.

Jinak s těmi úniky od koncových uživatelů nemáte tak docela pravdu - ano, problém to je, nicméně typický uživatel má víceméně přístup ke kontaktům/partnerům/obecně datům, se kterými pracuje, stáhnout ale kompletní firemní informace buď nemůže vůbec anebo to lze poměrně slušně a snadno auditovat/logovat. Tím neříkám, že to nestačí i tak na dost problémů, ale k opravdu velkému úniku je větší příležitost spíš ve větší hloubce...

> "nejvetsi ceske" ERP
že by 3 písmena a jedno číslo ? :):):)

Zapomínáte na to, že externí admin má pod palcem tisíce dat různých firem, do kterých mu vůbec nic není, protože je nezná, nezná jejich obor, nezná jejich zaměstnance.

Admini hostingů se například mohou hrabat v tisících emailových schránek, ale většinou to nedělají, protože kdo by se tím prohrabával a s jakým cílem?

Admini ve vlastní firmě, to je něco jiného. Pokušení zabrousit do soukromé komunikace šéfa, do ekonomických ukazatelů firmy, do výplat kolegů, to je zásadně vyšší. Právě pro tu zainteresovanost. Nemluvě o tom, že zaměstnanec se pohybuje v oboru, takže zná konkurenci a ví, kdo by o data mohl mít zájem.

U některých cloudů je samozřejmě možné, že jsou osobně zainteresování i cizí admini. Například proběhly zprávy, že na Facebooku bylo hrabání se v cizím soukromí běžné. Dokonce kdosi tady na diskusi tvrdil totéž i o adminech Seznamu, jejich emailu a lide.cz.

Ovšem když má celá firma emaily vedené na Google for your domains, pak je riziko podle mě nižší, než když je hostuje u místních, třeba u forpsi nebo banánu.

> Pisete nesmysly, omezit adminy muzete i ve firme...
Vaše úvaha má sice logiku, ovšem jde o to o jak velikou firmu se jedná. POkud jde o firmu s několika desítkami PC a s "IT oddělením" o 1 max dvou lidech je to nesmyslné.
Tam je naprosto reálné to, že admin z dovolené diktuje po telefonu vedoucímu ekonomického oddělení administrátorské heslo potřebné k nějakému úkonu, protože jinak by neodešlo DPH :):)

"Hostingová" firma bude mít mnohem důslednější bezpečnostní politiku.

... ale když nekdo z hostující firmy prodá data pod rukou, nebo pokud z ní uniknout, co s tím uděláte? Bude zatloukat, zatkoukat a zatkoukat.

Bude se s ní soudit? Podle právního řádu státu xxx? Maximálně dosáhnete toho, že váš zažaluje pro poškození dobrého jména.

A ty firmy to velmi dobře vědí.

k tomu mám 2 body

1) ty firmy živí to, že spravují cizí data a ony to velmi dobře vědí - jestliže někdo bude vynášet data jejich klientů, může je to VELMI rychle stát reputaci a důvěru klientů. Tzn. že zabezpečení dat je pro ně podstatná věc do které se hodně investuje.

2) ano ... pokud data uniknou, je dobré se soudit, právní systém těch zemí je obvykle kupodivu kvalitnější než náš, a pokud si vyberu službu provozovanou z Nigérie je to holt můj problém

Právní systém je často kvalitnější. Otázkou je, co je malým písmem ve všeobecných podmínkách napsáno o poskytovaných zárukách a zproštění se zodpovědnosti.

Dalsi nevyhodou muze byt cena. Amazon WS my vyslo asi 5x draz nez vlastni hostovany server.

Není to tak horké. Odměny řeší plánování a motivační systém. Když naplánuji OPEX, nevzniká tady žádný problém.

Ušetřený CAPEX mohu využít na lepší investici, jde o to vysvětlit to investorům a kapitálovým trhům. Analytici jsou upřímně řečeno takoví oslové, že na tohle stačí trochu trendy business newspeaku a hodnotu akcií to vystřelí nahoru.

Tenhle problém mám ve vědě taky, ale v trochu jiné podobě.

Pokud koupím server je to investice, pokud si zaplatím Amazon EC2 je to služba - a na služby mám podstatně méně peněz.

Nicméně v našem oboru nám do pár let stejně nic jiného než používat cloudy nezbyde, viz např.

http://genomebiology.com/2010/11/5/207