Zjawisko ukrytej chmury, nazywane często BYOC (ang. Bring Your Own Cloud – weź własną chmurę), polega na tym, że pracownicy firmy bez wiedzy i zgody działu IT korzystają z zewnętrznych narzędzi oferowanych w modelu usługowym. Ukryta chmura zazwyczaj kojarzy się z wykorzystywaniem usług konsumenckich, takich jak Dropbox, ale nie musi być do nich ograniczone. W wielu działach powoli powstaje świadomość ryzyka związanego z takimi usługami i podpisywane są kontrakty na usługi klasy Enterprise, ale nadal zawiera się podobne umowy bez zgody i wiedzy IT. Razem z kontraktami pojawia się wiele pytań, począwszy od problemów z bezpieczeństwem danych aż po oczekiwania związane z dostępnością i jakością świadczenia danej usługi.

Zgodnie ze zdrowym rozsądkiem

Wykorzystywanie usług z zewnątrz do obsługi procesów biznesowych w przedsiębiorstwie nie jest złym zjawiskiem, pod warunkiem że odbywa się w sposób zaplanowany i kontrolowany, a przy rozważaniu każdej usługi brane są pod uwagę takie zagadnienia, jak bezpieczeństwo przechowywania i przetwarzania danych oraz dostępność usługi.

Istotną poprawę w tej dziedzinie może przynieść poprawa świadomości biznesu, choćby w postaci prostych do zrozumienia porad przygotowanych przez IT. Wprowadzenie podobnego dokumentu zdecydowanie redukuje ryzyko nieświadomego wynajmowania usług, które w przyszłości naraziłyby firmę na straty. Rzadko kiedy dokument powstaje na czas, poza tym nie zawsze dział IT ma wystarczająco silne wsparcie po stronie zarządu, by wymusić na biznesie stosowanie zasad dobrego wyboru zewnętrznego dostawcy. Niekiedy podobny dokument jest zbyt trudny w zrozumieniu dla biznesu, gdyż bywa napisany technicznym językiem.

Lista dobrych porad

Z zewnętrznych usług można skorzystać bez nadmiernego narażania bezpieczeństwa i ciągłości obsługi procesów biznesowych, jeśli tylko zachowane zostanie pewne minimum wymagań odnośnie do usług i zastosowane będą zasady wyboru usługi. Oto przykładowa lista zagadnień, na które warto zwrócić uwagę. Opracowana na tej podstawie procedura wyboru i oceny dostawcy na pewno pomoże przy minimalizacji ryzyka związanego z usługami w modelu cloud computing.

Klasyfikacja informacji

W firmie przetwarza się dane o różnej ważności, a zatem skutki ich utraty również są zróżnicowane. Wprowadzenie choćby uproszczonej klasyfikacji w połączeniu z przeszkoleniem w zakresie ochrony takich informacji sprawia, że osoby odpowiedzialne za dany proces biznesowy będą zwracać większą uwagę na dokumenty i porcje danych, które należy chronić w sposób szczególny.

Reguły składowania danych

Gdy w organizacji wdrożono już klasyfikację informacji, jej uzupełnienie powinny stanowić reguły, które określają, jaki materiał można przechowywać w chmurze publicznej. W praktyce poza firmową zaporę sieciową nie wypuszcza się danych stanowiących tajemnicę firmy. Od reguły można odstąpić dopiero po przeprowadzeniu audytu bezpieczeństwa u dostawcy usługi. Organizacje zajmujące się bezpieczeństwem usług są w stanie ocenić poziom bezpieczeństwa dostawcy i jego usługi, określając stosowane zabezpieczenia, takie jak szyfrowanie danych. Zależnie od informacji, które mają być składowane i przetwarzane, należy zadbać o szyfrowanie w tranzycie i podczas samego przechowywania. Nie wszystkie usługi to umożliwiają. Równie ważnym zagadnieniem jest zarządzanie kluczami szyfrującymi.