пятница, 29 июля 2016 г.

Американский специалист об использовании облачных услуг


Это, очень интересное на мой взгляд, письмо известного американского специалиста Патрика Каннингема (Patrick Cunningham – на фото) было опубликовано 20 июля 2016 года на международном форуме (листе рассылки) специалистов по управлению документами RECMGMT-L (см. https://lists.ufl.edu/cgi-bin/wa?A2=ind1607C&L=RECMGMT-L&P=R2346&D=0 ).

Я бы сказал, что нам нужно очень аккуратно различать услуги, предлагаемые различными поставщиками облачных вычислений «бесплатно», и услуги, получаемые и оплачиваемые на основании договоров. За прошедшее время мне довелось принимать участие в подготовке многих таких соглашений, и могу сказать, что здесь существуют значительные различия.

Начну с правила №1 - если облачная услуга «бесплатна», то Вы и Ваш контент являетесь для поставщика тем продуктом, на котором они будут делать деньги.

Условия предоставления услуг и язык договорных обязательств в этом случае редко будут в Вашу пользу, и у Вас практически не будет рычагов влияния на поставщика услуг. Если поставщик решит уничтожить Ваш контент, Вы мало что сможете сделать. Вы получаете ровно то, за что платите. Хотя этот вопрос для большинства людей редко становится серьезной проблемой, пост на форуме (на который данное письмо является ответом; в нем рассказывалось о том, как Google удалил весь контент живущего во Франции американского писателя Денниса Купера (Dennis Cooper) – блог в системе Blogger и учетную запись электронной почты, - сочтя, что тот «нарушает правила оказания услуг», см. http://www.itwire.com/business-it-news/storage/73849-google-deletes-artist-s-blog,-email-due-to-tos-violation.html  – Н.Х.) является ясным напоминанием о существующем риске.

Если же Вы платите за облачные услуги, то обычно есть два пути. В первом случае, Вы «прощёлкиваете» на сайте текст соглашения и сообщаете сведения о своей кредитной карте. Это типичный для многих потребителей подход к получению более продвинутых услуг. По такой же схеме взаимодействует с поставщиками облачных услуг и ряд организаций. В дальнейшем, однако, Вы уже не сможете повлиять на условия соглашения, так что всегда в Ваших интересах внимательно его прочитать и понять, под чем Вы подписываетесь.

Второй путь получения платных услуг – тот, который использует большинство крупных организаций, а именно заключение соглашения с провайдером по итогам переговоров. В этом случае договорные условия согласуются сторонами и устанавливаются индивидуальные расценки. В большинстве случаев организация может включить в контракт определенные условия, обязывающие поставщика обеспечить конфиденциальность, целостность и доступность хранимых им данных. Можно договориться о месте хранения данных. Это очень похоже на заключение любых других договоренностей об аутсорсинге.

Последний подход устраняет многие вопросы, беспокоящие людей в отношении действий некоторых провайдеров. Поставщикам облачных услуг запрещается проводить интеллектуальный анализ данных, от них требуется обеспечить определенный уровень защиты этих данных. Очень многие из опасений, высказанных Хью Смитом в своем посте, могут быть смягчены или устранены в случае проведения формальных переговоров о заключении контракта.

Описанные выше ситуации типичны в случае, когда Вы или Ваша организация имеете дело непосредственно с поставщиком облачных услуг, который обеспечивает Вам как платформу, так и программное обеспечение. Есть, однако, и иные поставщики, которые оказывают услуги или предоставляют в пользование программное обеспечение, но при этом используют инфраструктуру другого поставщика. Взаимодействие с такими организациями часто связано с наибольшим риском, потому что Вы заключаете договор с одной компанией, но не имеете никаких взаимоотношений с компанией, которая реально хранит Ваши данные.

Несколько лет назад наш внешний юрисконсульт предложил нам использовать «облако для э-раскрытия» его юридической фирмы. Гиперссылка выглядела примерно так: э-раскрытие.крупная-юридическая-фирма.com . Мы зарегистрировались на сайте и тут заметили, что на странице входа было написано: «Использует программное решение для э-раскрытия Джим-Боба».

Тогда мы посмотрели на IP-адрес этого веб-сайта и обнаружили, что он ведёт к «облачному» поставщику в Южной Африке. Мы прекратили процесс регистрации и обратились в юридическую фирму. Её совладелец утверждал, что сайт поддерживается самой фирмой в их серверной комнате, но когда мы представили собранные нами факты, он вызвал своего ИТ-специалиста. Судя по всему, Крупная-юридическая-фирма заключила контракт с Джим-Бобом. Джим-Боб в свою очередь заключил контракт с Билли-Джо на вычислительные мощности и дисковое пространство, а Билли-Джо договорился с «облаком» в Южной Африке о получении этих ресурсов. Да, к тому же это южноафриканское облако принадлежало японской телекоммуникационной компании, которая находилась в процессе приобретения китайской компанией (я это рассказываю абсолютно серьёзно!).

И Джим-Боб, и Билли-Джо имели заключенные онлайн (прощёлкнутые) соглашения со следующим поставщиком в цепочке, так что ни один из них не мог предоставить копии того, на что он, собственно, согласился.

Наше единственное соглашение было с Крупной-юридической-фирмой. Единственное соглашение у фирмы было с Джим-Бобом. Наши данные должны были располагаться на сервере в Южной Африке под управлением компании, с которыми ни мы, ни Крупная-юридическая-фирма не имели прямых договорных отношений.

В конечном итоге мы записали свои данные на USB-диски и отправили их в юридическую фирму с курьером, вместе с предостережением о том, что лучше бы этим данным не оказываться в этом облаке.

Недавно моя группа анализировала проект договора с компанией, предоставляющей облачные инструменты для построения блок-схем (наподобие Microsoft Visio). Цена составляла небольшую часть стоимости Visio, вдобавок имелся ряд удобных дополнительных возможностей, а вычислительные ресурсы и дисковое пространство брались у Amazon Web Services. «Великолепно!». – говорили некоторые. «Мы ведь тоже используем сервис Amazon». Да, но… Компания-поставщик программного обеспечения для построения блок-схем не могла поместить наши данные в нашем Amazon-пространстве, а наше соглашение с Amazon не пересиливало соглашения с Amazon других потребителей, даже если речь шла о наших данных. Таким образом, если бы компания-поставщик программного обеспечения вышла из бизнеса или вовремя не уплатила Amazon за услуги, то наши данные могли бы подвергнуться риску. Урок из этой истории в том, что Вам всегда следует понимать, кто вовлечен в предоставление услуги, от начала и до конца.

Общий вывод заключается в том, что облако не является само по себе проблематичным, если риски полностью осознаны, и если заключены соответствующие договоренности со всеми сторонами, вовлеченными в деловой процесс. Организации лучше пореже использовать «бесплатные» облачные сервисы, и ей следует проявлять большую осторожность как при «прощёлкивании» соглашений, так и использовании решений, в которые ряд сторон обеспечивает части этих решений. Сотрудников следует предупредить об осторожности и ответственности при заключении соглашений от имени их работодателя. В организации должен быть налажен процесс заключения контрактов с поставщиками, включающий в себя оценку рисков безопасности и правовой анализ проектов соглашений. Частью этого процесса должно быть управление документами / полномасштабное управление информацией.

Патрик Каннингем (Patrick Cunningham)

Источник: лист рассылки RECMGMT-L
https://lists.ufl.edu/cgi-bin/wa?A2=ind1607C&L=RECMGMT-L&P=R2346&D=0

Комментариев нет:

Отправить комментарий