TelkomCloud merupakan Solusi yang dihadirkan oleh Telkom Indonesia untuk memenuhi kebutuhan pasar akan Cloud Computing di Indonesia
Berita, Liputan Media

Bagaimana untuk membuat keputusan ketika outsourcing komputasi awan

Para eksekutif melompat pada kereta musik outsourcing sebagai penyedia layanan awan menjanjikan skalabilitas terbatas, pengeluaran dikurangi untuk hardware dan staf TI, dan kemampuan untuk offload perangkat lunak dan pemeliharaan rutin pada saat itu juga. Bahkan, analis Gartner memprediksi bahwa 35 persen dari pengeluaran TI perusahaan akan dikelola di luar anggaran departemen TI pada tahun 2015.
Tapi eksekutif terlalu bersemangat ingin melompat ke awan mungkin mengalami masalah keamanan di jalan, dengan praktek keamanan dari penyedia layanan awan sering tidak jelas – sampai dengan dan termasuk di mana data disimpan. Sebuah survei oleh Symantec menunjukkan bahwa hanya 27 persen perusahaan telah menetapkan prosedur untuk menyetujui aplikasi awan yang menggunakan informasi sensitif atau rahasia.
“Sangat mudah untuk menyebarkan data dan aplikasi ke awan, tapi sebagian besar eksekutif tidak memiliki pegangan pada risiko yang benar terkait dengan keputusan tersebut. Jadi mereka gagal untuk membangun jaminan yang tepat dalam proses pengadaan, “kata Brian Thomas, penasehat TI layanan mitra untuk Weaver. Smart Business berbicara dengan Thomas tentang risiko layanan komputasi outsourcing dan mengapa perusahaan harus mencari jaminan auditor selama proses pengadaan.

Apa resiko tertentu yang terkait dengan awan dan komputasi outsourcing?

Kemungkinan masalah termasuk data integritas, kerahasiaan, privasi dan keamanan, ketersediaan dan keandalan sistem, dan data retensi dan kepemilikan. Namun tingkat ancaman dan strategi mitigasi bervariasi tergantung pada pentingnya dan sensitivitas dari data yang diproses oleh penyedia layanan awan.
Mungkin tidak masalah jika Anda tidak dapat mengakses prospek penjualan Anda selama beberapa jam jika aplikasi CRM host Anda turun, tapi bisnis akan terhenti jika host e-mail atau e-commerce sistem crash. Oleh karena itu, server redundansi penyedia dan tingkat layanan jaminan kontrak mungkin risiko yang paling penting untuk menangani, di mana dalam kasus lain, perhatian utama mungkin masalah keamanan dan privasi. Tentu, perusahaan diatur perlu membayar perhatian khusus pada bagaimana penyedia layanan awan alamat risiko peraturan mereka.

Bagaimana para eksekutif mengidentifikasi risiko outsourcing?

Ketika mempertimbangkan ide-ide komputasi awan proyek, eksekutif harus mengajukan banyak pertanyaan. Pertama, mereka harus memahami sifat dari layanan awan yang dibeli dan aspek sensitif dari sistem yang diselenggarakan atau dikelola oleh provider. Setelah mendapatkan pemahaman tentang jenis data dan sistem yang akan terkena awan, eksekutif harus bertanya ‘bagaimana jika’ pertanyaan dari tim proyek mereka. Pertanyaan seperti itu harus difokuskan pada daerah risiko umum termasuk data, kerahasiaan privasi integritas, dan keamanan, dan ketersediaan dan keandalan sistem.
Eksekutif juga harus mendapatkan pemahaman tentang eksposur perusahaan mereka untuk risiko yang berkaitan dengan kepemilikan data dan retensi. Contoh pertanyaan untuk meminta mencakup, ‘Apa yang akan terjadi jika kita kehilangan konektivitas ke penyedia layanan awan kami untuk jangka waktu? “Dan,” Apa yang terjadi jika awan penyedia layanan kita diakuisisi oleh perusahaan lain? ”

Bagaimana para eksekutif menggunakan audit luar untuk memastikan kinerja penyedia layanan?

Sebuah penilaian pihak ketiga oleh seorang profesional yang berkualitas adalah satu-satunya cara untuk mengetahui apakah penyedia layanan awan telah merancang dan menerapkan langkah-langkah efektif untuk mengidentifikasi dan mengurangi risiko yang relevan, seperti pelaporan diri tidak memadai dan penyedia hanya mungkin mengatakan kepada Anda apa yang ingin Anda dengar.
Anda dapat menyimpan uang dengan memiliki Tinjauan auditor Anda layanan layanan awan penyedia kontrol organisasi (SOC) laporan. Ada tiga laporan yang tersedia di bawah standar AICPA untuk penyedia layanan. SOC 1 didasarkan pada Pernyataan Standar Atestasi Pertunangan No 16 (SSAE 16) dan sangat cocok bagi perusahaan yang sebelumnya digunakan SAS 70 untuk Sarbanes-Oxley atau kepatuhan keuangan audit. SOC 2 membahas efektivitas desain dan operasi pengendalian organisasi jasa atas ketersediaan, keamanan, pengolahan integritas, kerahasiaan dan privasi dari suatu sistem. Hal ini mungkin lebih berharga bagi para eksekutif mengevaluasi kontrol penyedia layanan awan telah di tempat untuk mengatasi risiko di luar yang berkaitan dengan pelaporan keuangan.
SOC 3 melibatkan ruang lingkup yang sama seperti SOC 2, namun, laporan itu berisi kurang detail dan dimaksudkan untuk lebih luas (pemasaran) khalayak.

Kapan SOC 2 dan 3 SOC tepat?

Eksekutif harus meminta mereka bahwa awan penyedia layanan menyerahkan laporan SOC 2 mana yang berlaku. Ruang lingkup umumnya paling cocok untuk mengatasi masalah pengguna layanan awan. SOC 2 laporan memberikan rincian dari prosedur yang dilakukan oleh auditor untuk menguji kontrol di tempat di penyedia layanan awan, dan hasil prosedur tersebut.
Jika penyedia layanan awan hanya memiliki SOC 3 laporan yang tersedia, yang mungkin cukup untuk merasa nyaman saat mengevaluasi penyedia layanan selama proses pengadaan. Namun, eksekutif bertanggung jawab atas layanan awan harus meminta bahwa penyedia layanan menyerahkan SOC 2 menuju ke depan untuk memastikan bahwa mereka dapat memantau upaya operator untuk mengatasi setiap kegiatan pengendalian gagal.

Apakah ada sertifikasi lain yang dapat membantu mengurangi risiko ketika transisi ke awan?

Jika operator tidak dapat memberikan laporan SOC 2, melihat apakah mereka disertifikasi sebagai ISO 27001 compliant atau jika mereka telah mendapatkan laporan jaminan dari sebuah perusahaan keamanan menangani ISO 27001 standar. Jika proses provider, toko atau mentransmisikan informasi kartu kredit, diperlukan untuk memenuhi Industri Kartu Pembayaran Standar Keamanan Data itu (PCI DSS). Hati-hati bila menggunakan bentuk-bentuk keyakinan lain. Lingkup mereka pada umumnya lebih sempit dari laporan SOC dan dapat mengikuti standar jaminan kualitas kurang ketat. Namun, dalam konteks yang tepat, mereka dapat berguna bagi para eksekutif mencoba untuk mendapatkan informasi tentang kegiatan yang dilakukan pada penyedia layanan awan.

© TelkomCloud

All rights reserved.
Terms of Service | Privacy Policy

Hubungi Kami

Corporate Customer Care Telkom
Telp Bebas Pulsa:
08001 TELKOM (835566)
SMS:
08111 TELKOM (835566)
Email:
c4@telkom.co.id