3 punkter kring fysisk säkerhet och IT-outsourcing

 

Outsourcing är i många fall den enklaste vägen till att lösa alla delar kring skalskydd (den fysiska säkerheten där servrarna står). Exempelvis har många IT-leverantörer idag högklassiga faciliteter för att drifta kunders system och molntjänsterna bygger på säkerhet från a till ö. Detta är ju så vi tänker men så är tyvärr inte alltid fallet.

Vad är en molntjänst och när blir den en bra molntjänst? Det är en fråga som har jag ställt mig många gånger, till exempel när det gäller den fysiska säkerheten.

Begreppet molntjänst är svårdefinierat. Utbudet spänner från anteckningar som man kan få upp på alla sina enheter till multinationella företags affärssystem. Det inkluderar också leverantörer som har egna serverhallar med servrar där man hyr ut virtuella strukturer till kunder och kallar det privata eller hybrida molntjänster. Det finns också fall där ett företag till och med hyr en fysisk server och leverantörerna kallar det molntjänst bara för att servern inte står hos kunden. Personligen tycker jag att ingen av dessa varianter ska kallas molntjänst.

En äkta molntjänst är för mig när någon producerar en tjänst/funktion i stora datacenter där man köper en produkt och inte behöver fundera över servrar eller fysisk säkerhet. Allt är professionellt och genomtänkt och kunden kan slappna av och koncentrera sig på sitt. Problemet är att detta blir oftast en isolerad leverans och till slut blir det svårt för företag att hålla ihop sitt IT-stöd på ett bra sätt.

Det finns massor med små företag som utvecklar och levererar molntjänster med applikationer som man kan använda sig av i en webbläsare. Även små leverantörer kan erbjuda servrar och mycket mer på ett säkert sätt. Tyvärr är det inte alltid fallet. Det finns många leverantörer som bygger sin tjänst kring en server hemma eller i en affärslokal på ett mindre professionellt sätt. Det är i många fall inga problem i början men med tiden blir det mer och mer sårbart. Om något händer med systemen blir det svårt att komma igång igen och då kan platsen som företaget har sin utrustning på vara en begränsande faktor.

Stora aktörer som Microsoft, Amazon, IBM, SalesForce bygger hårdvarusäkerhet på ett helt annat och mycket mer storskaligt sätt än vad som gjordes för 15 år sedan. Här pratar vi om containrar med resurser som man ansluter med extremt hög prestanda in i byggnader. Hela byggnaden blir som en gigantisk server. Det finns massor av fysisk säkerhet och mångdubblade ingångar både kommunikationsmässigt men även ström, kyla och brandsläckning. I många fall har även dessa anläggningar egen elproduktion, dels för att minska sårbarheten men också för att vara klimatsmart (till exempel med solceller, vindkraft eller vattenkraft).

Outsourcing av IT-som begrepp kan rymma fler varianter av strukturer där man har en leverantör som syr ihop hela kundens behov. Situationen är densamma som molnleverantörens men i detta fall har kunden oftast lite mer kontroll kring hur leverantören resonerar och levererar.

Fysisk säkerhet och IT-outsourcing

Här är 3 punkter som är bra att ha med sig innan man bestämmer sig för vilken IT-outsourcing partner man skall välja.

  • Ställ krav

Glöm inte att ta med i upphandlingen av ert IT-stöd att det finns en säker plats där både det är kontroll på vem som kommer in i anläggningen, brandsläckningssystem, reservkraft, kyla och installationen av servrar sker på ett professionellt sätt. Det kan vara en viktig faktor att det inte är i anknytning till bolaget utan att det är en tredjepartsleverantör som tillhandahåller detta för att det ska bli så bra som möjligt. Då har den leverantören fokus på den delen och ställer krav kring personers tillgång samt att allting är ordnat och snyggt. Då bidrar det till mindre risker till fel eller intern slapphet hos outsourcing leverantören.

  • Möjlighet att få se och uppleva fysiskt hur det fungerar

Ni som kund ska kunna besöka serverhallen och be att få förklarat hur det fungerar (en punkt som ofta glöms bort). Även om inte alla förstår till fullo alla delar så får man antingen en bra eller dålig känsla i samband med detta besök. Var också noga med så att de som kommer jobba närmast leverantören är med på besöket, det gynnar individkontakten och skapar lite gemenskap.

  • Reservrutiner och återställning i fall det händer något

Det som också är viktigt oavsett hur bra fysisk säkerhet leverantören har är ifall ”The shit hits the fan” (om det exempelvis blir brand eller annan allvarlig incident). Hur gör då leverantören för att återställa och komma igång igen? Faktum är att det finns flera sätt att göra detta på och det finns olika dyra sätt att hantera det på. Om ni som kund kräver extremt hög säkerhet och inte kan vara utan ert IT-stöd under några omständigheter, då kommer det kosta mycket pengar. Om ni som kund däremot kan acceptera 2-3 timmars stillestånd om leverantören blir av med hela sin serverpark, då blir det inte fullt så dyrt. Tillslut så kanske det är så att det räcker att ni kan få ut er information inom någon vecka vid katastrof, då blir det ännu enklare att hitta ett riktigt kostnadseffektivt alternativ.

Sammanfattning:

Alla leverantörer hanterar frågan om fysisk säkerhet på olika sätt. Det viktiga för dig som kund är att du vet hur det hanteras och att det hanteras samt att ni har ett förtroende för leverantörens kapacitet att lösa och hantera frågan oavsett vad som händer. Sedan är det en kostnadsfråga hur mycket ni som kund är beredda att betala för det ena eller det andra. Hälsa på, begär att ni får se lokalerna och få förklarat för er hur leverantören tänker. Då kommer ni komma väldigt långt och får en bra uppfattning över läget.

Checklista för dig som vill se över din IT-miljö