5 טיפים לארגונים ולעסקים כיצד לבחור נכון את ספקי שירותי הענן
מאת:
נדב ווקס, 28.8.16, 14:31
טיפים המאפשרים גמישות טכנולוגית ויציבות כלכלית בטרם העברת המידע לענן. כך, שהמידע יהיה באמת שמור, מוגן וזמין, ויושג חיסכון בזמן וכסף לחברה. וגם מספר תקנים, שכדאי וחשוב לכל ארגון ועסק להכיר.
- דאגו לכל התנאים מראש
להיכנס להתקשרות עם ספק ענן זו למעשה "חתונה קתולית". מהרגע שהעברתם את המידע לספק, יהיה קשה מאוד לעבור לספק אחר. לכן, חשוב לוודא מראש, שכל התנאים החשובים לחברה מעוגנים בחוזה. אם החברה במצב, שבו היא מעוניינת לעבור לענן אחר באופן מידי, לא יהיה לספק תמריץ של ממש לבוא לקראת החברה. בעולם, שנעשה תחרותי יותר ויותר, יהיה קל יותר לשנות את התנאים לפני החתימה על החוזה.
- שימו לב למדינה בה מתארח המידע
כאשר רוב ספקי הענן מחזיקים חוות שרתים בכל העולם, סביר מאוד, שהחוקים והתקנים, שחלים עליכם כארגון או חברת ישראלית, לא יהיו היחידים, שיחולו על המידע שלכם. מיקרוסופט וגוגל לדוגמא, כארגונים אמריקאים, מחויבים ל"חוק הפטריוטי" (
Patriot Act 2012). החוק מאפשר לגופי ביון אמריקאים לגשת למידע ברשות הארגונים מבלי להודיע לבעלי המידע. ישנם ארגונים המאפשרים לאחסן את המידע בשרתים במדינות ייעודיות. במידה ויש לכם מידע רגיש, המדינה בה מאוחסן המידע והמדינה אליה כפוף הגוף יכולים להוות שיקול משמעותי עבור החברה.
- מנגנוני עדכון
לרוב, טכנולוגיית
IT רלוונטית ל-5 שנים מהרגע שהיא הגיעה לשוק והזמן הזה מתקצר ככל שהטכנולוגיה מתפתחת. לעומת זאת, התקשרות עם ספק היא לרוב ארוכת טווח. לכן, חשוב לשמור על מנגנונים המאפשרים עדכונים טכנולוגיים וכלכליים. דאגו לכך, שהספק ייתן לכם את הטכנולוגיה המיטבית בכל שלב בהתקשרות, גם אם זו לא הטכנולוגיה, שהתחלתם איתה.
סיכון אחר הוא, שעם כניסת מוצר מתקדם וחדש, ייתכן והספק יציג תמחור מתקדם לא פחות. ודאו, שלא ניתן לשנות או להעלות משמעותית את מחירי השירות, שמספקים לחברה. באותה מידה, אם אתם משנים את אופי השירות או מקטינים את נפח השירות, ודאו, שיש מנגנונים, שידאגו לכך, שהחברה לא תשלם מחיר מלא.
- ודאו כי יש בהסכם סעיפי יציאה
מהרגע שנכנסים להתקשרות עם ספק, נמצאים למעשה ב-
Vendor Lock (נעילת ספק). המצב הזה הוא מצב בו הספק יכול לשנות את תנאי השירות די בקלות ולפעמים ללא הודעה מראש. משום שללקוחות כמעט בלתי אפשרי לעזוב את הספק לטובת חברה אחרת. לכן, חשוב לוודא מראש, שיש "פתח מילוט" המגן משפטית ומאפשר שינויים ועדכונים.
- תקינה ורגולציה
לארגונים רבים יש רגולציות ייעודיות בהתאם לתחום העיסוק. בזמן מעבר תשתיות המחשוב לענן צריך עדיין לשמור על כללי הרגולציה. ישנם ספקים המסוגלים לעמוד ברגולציות מורכבות. אולם, זה תחום, שחשוב לוודא לפני תחילת ההתקשרות. ישנה רגולציה המתייחסת גם לעמידה בתקינה מסוגים שונים. אמנם, הטכנולוגיה מתפתחת מהר יותר מהתקינה, אבל תו תקן מהווה אסמכתא לרצינותו ולאיכותו של הארגון.
מספר תקנים שכדאי וחשוב לכל ארגון ועסק להכיר:
תקן ISO 27000 - זה תקן של ארגון התקינה הבינלאומי, שנועד להוות תקן של אבטחת מידע. אמנם, זו לא תקינה ייעודית למחשוב ענן, אבל תקן קריטי לכל ארגון הרוצה לשמור על סטנדרט בו הוא מסוגל להגן על המידע שברשותו.
תקן FIPS140-2 - תקן אמריקאי מטעם משרד המסחר והמוסד הלאומי של ארה"ב. מטרתו להסדיר את תחום הצפנת המידע הדיגיטלי. לתקן זה יש 4 רמות, ככל שההצפנה תתמוך בתקן
FIPS ברמה גבוהה יותר, כך רמת האמינות של שירות הענן תעלה.
תקן PCI-SSC- משפחה של תקני אבטחה באשראי, שיזמו 5 חברות האשראי הגדולות ביותר. מטרתו להגדיר אילו פרמטרים ובקרות יחייבו כל ארגון, מוסד וחברה, שמעוניינים להשתמש במערכות המידע שלהם בכרטיסי האשראי של הלקוחות. למרות שאין לתקן קשר ישיר למחשוב ענן, ספקי הענן מאחסנים את פרטי כרטיסי האשראי של לקוחות על השרתים שלהם.
תקן SSAE - תקן של ארגון רואי החשבון האמריקאי, שמסדיר את הדרך בה ארגון מחויב לדווח על אמצעי הבקרה הקיימים אצלו. גם תקן זה הוא ללא קשר ישיר למחשוב ענן, אך הוא מבטיח רצינות ואיכות מצד הארגון בהתנהלות הכללית שלו.
לסיכום, תחילת ההתקשרות עם הספקים היא חיונית וקריטית לקבלת החלטות נכונות ומותאמות לחברה. זה זמן יחסית נדיר בו הספקים מחזרים אחריכם. אם תשכילו ליצור את המסגרת המיטבית לחברה, כזו שתהיה גמישה מבחינה טכנולוגית אבל יציבה כלכלית, תוכלו לחסוך לחברה הרבה זמן וכסף. דעו מה אתם רוצים, דעו לעגן את זה בחוזה, ומפה הדרך סלולה ובטוחה.
מאת:
נדב ווקס, אוגוסט 2016.
חברת
Energy Team