www.cert-ro.eu/ecsm.php

GHID Securitatea n Cloud

Ghid realizat de ctre:

Pagin alb

Pagin 2 din 41

Cuprins

1. Introducere .................................................................................................................................... 4

1.1 Ce nseamn Cloud Computing ............................................................................................. 4

1.2 Tipuri de Cloud ...................................................................................................................... 4

1.3 Servicii de tip Cloud ............................................................................................................... 5

2. Cloud Computing: Caracteristici, Evoluii, Bariere de adoptare.................................................... 6

2.1 Caracteristici .......................................................................................................................... 6

2.2 Evoluii ................................................................................................................................... 7

2.3 Reglementari i recomandri la nivel UE .............................................................................. 8

2.4 Bariere de adoptare ............................................................................................................ 11

2.4.1 Constituirea unui cadru de reglementare specific ...................................................... 12

2.4.2 Securitatea .................................................................................................................. 12

2.4.3 Confidenialitatea ........................................................................................................ 13

2.4.4 ncrederea ................................................................................................................... 13

2.4.5 Blocarea serviciilor i standardele ............................................................................... 13

2.4.6 Alte probleme .............................................................................................................. 13

3. Impact pentru sectorul privat .................................................................................................... 14

3.1 Impact la nivelul sectorului financiar ................................................................................. 14

3.2 Impact la nivelul sectorului educaional ............................................................................ 16

3.3 Impact la nivelul sectorului telecomunicaiilor ................................................................. 19

3.4 Impact la nivelul sistemului de sntate ........................................................................... 20

4. Securitatea n Cloud .................................................................................................................... 22

4.1 Vulnerabiliti ...................................................................................................................... 22

4.1.1 Inclcarea securitii datelor ....................................................................................... 23

4.1.2 Pierderea datelor......................................................................................................... 23

4.1.3 Piratarea conturilor sau a serviciilor ........................................................................... 23

4.1.4 Interfete i API nesigure .............................................................................................. 24

4.1.5 Blocarea serviciilor (DoS, DDos) .................................................................................. 24

4.1.6 Insuficienta investigare i implicare (duediligence) .................................................. 24

4.1.7 Probleme cu tehnologiile distribuite ........................................................................... 25

4.2 Asigurarea conformitii n cloud ........................................................................................ 26

4.3 Riscuri i preocupri privind platformele Cloud .................................................................. 26

4.4 Recomandri ....................................................................................................................... 30

4.4.1 Guvernana i Managementul de Risc al Organizaiei ................................................ 30

4.4.2 Interoperabilitate i portabilitate ................................................................................ 33

Pagin 3 din 41

4.4.3 Securitate, continuitatea afacerii, i recuperarea dup dezastre ............................... 34

4.4.4 Arhitectura i Proceduri operaionale n Data Center ................................................. 35

4.5 Auditare i atestare ............................................................................................................. 36

Anexa nr. 1 - Caracteristici .................................................................................................................. 38

Anexa nr. 2 - Analiza SWOT ................................................................................................................. 40

Anexa nr. 3 Studii suport pentru utilizarea Cloud-ului n Romnia ..................................................... 41

Pagin 4 din 41

1. Introducere Comisia European a lansat n martie 2010 Strategia Europa 2020 pentru ieirea din criz i pregtirea economiei UE pentru provocrile deceniului urmtor. Europa 2020 contureaz o perspectiv care nglobeaz realizarea unui grad nalt de ocupare a forei de munc, crearea unei economii cu emisii sczute de carbon, productivitate i coeziune social, obiective care urmeaz a fi atinse prin aciuni concrete la nivelul UE i la nivel naional. Agenda Digital pentru Europa este una dintre cele apte iniiative-pilot ale Strategiei Europa 2020 i are ca scop definirea rolului de motor esenial pe care utilizarea tehnologiei informaiei i comunicaiilor (TIC) va trebui s-l joace n realizarea obiectivelor Europei pentru 2020. Dezvoltarea astzi a cloud computing-ului are acelai impact revoluionar pe care l-a avut dezvoltarea reelelor electrice i de transport cu un secol n urm. Aplicarea pe scar larg i utilizarea mai eficace a tehnologiilor de cloud computing vor permite guvernelor s abordeze provocrile fundamentale cu care se confrunt i vor oferi cetenilor o mai bun calitate a vieii, datorit accesului mai uor la serviciile publice. 1.1 Ce nseamn Cloud Computing Cloud Computing este un concept modern, un model de servicii de acces prin Internet la sisteme distribuite de resurse de calcul configurabile la cerere (Ex: servere, stocare de date, aplicaii i servicii) care pot fi puse rapid la dispoziie cu eforturi minime de management i intervenie din partea clientului i a furnizorului. Accesul se poate face de oriunde, convenabil, fr ca utilizatorul s aib nevoie s tie configuraia sistemelor care furnizeaz aceste servicii. Mai simplu spus, aplicaiile i datele ruleaz i sunt stocate n alt parte dect pe serverele i staiile utilizatorului, acesta accesndu-le de la distan (pe Internet, dar nu neaparat).

1.2 Tipuri de Cloud Cloud privat descrie o infrastructur IT, prevzut pentru utilizarea exclusiv de ctre o singur organizaie care cuprinde mai muli consumatori (Ex: business units). Infrastructura IT se afl la sediul organizaiei sau gestionarea acesteia este externalizat la un ter (on-premises sau off-premises). Un cloud privat poate fi comparat cu un centru de date convenional - diferena fiind c soluiile tehnologice sunt puse n aplicare

Pagin 5 din 41

pentru a optimiza utilizarea resurselor disponibile i de a spori aceste resurse prin investiii mici, care sunt fcute ntr-un mod treptat n timp Cloud public este o infrastructur deinut, administrat i operat de ctre un furnizor de servicii specializat, organizaie comercial, academic, guvernamental sau o combinaie a acestora. Serviciile pot fi accesate prin intermediul internetului, iar furnizorul de servicii are un rol esenial n ceea ce privete protecia eficient a datelor angajate n sistemele sale. Cloud de comunitate este o infrastructur de tip cloud prevzut pentru utilizarea exclusiv de ctre o comunitate specific de consumatori din organizaii care au preocupri sau interese comune (de exemplu coli, cercettori, dezvoltatori de software). Aceasta poate fi deinut, administrat i operat de ctre una sau mai multe dintre organizaiile din comunitate, o ter parte sau o combinaie a acestora i poate exista fizic n interiorul sau n afara organizaiei. Cloud Hybrid, aa-numitul "cloud intermediar", descrie o infrastructur de tip cloud ca o combinaie de dou sau mai multe infrastructuri Cloud distincte (Cloud de comunitate, privat sau public), care rmn entiti unice, dar sunt legate mpreun de o tehnologie proprietar sau standardizat, care permite portabilitatea datelor i aplicaiilor la cerere (un exemplu de utilizare este echilibrarea utilizrii resurselor n cazul vrfurilor de solicitare). 1.3 Servicii de tip Cloud n funcie de cerinele utilizatorilor, exist mai multe soluii de cloud computing disponibile pe pia, acestea pot fi grupate n trei categorii principale sau "modele de servicii". Aceste modele se aplic, de obicei, la ambele soluii cloud privat i public: IaaS (Infrastructure as a Service): un furnizor nchiriaz o infrastructur tehnologic, adic servere virtuale la distan, care pot nlocui nlocui sistemele IT de la sediul companiei sau pot fi folosite alturi de sistemele existente. Astfel de furnizori sunt de obicei juctorii de pe piaa de specialitate i se bazeaz de fapt pe o infrastructur fizic complex care se ntinde n mai multe zone geografice. SaaS (Software as a Service): un furnizor ofer prin intermediul de servicii web, diverse aplicaii i le pune la dispoziia utilizatorilor finali. Aceste servicii sunt adesea menite s nlocuiasc aplicaii convenionale instalate de utilizatori pe sistemele lor locale. Acesta este cazul de exemplu al aplicaiilor tipice de birou bazate pe web, cum ar fi foi de calcul, instrumente de procesare de text, registre computerizate i agende, calendare partajate, pot electronic, etc. PaaS (Platform as a Service): un furnizor ofer soluii de dezvoltare avansat i gzduire de aplicaii. Aceste servicii sunt de obicei adresate companiilor pentru a dezvolta i gzdui soluii proprietare pe baz de cerere pentru a satisface cerinele interne i / sau pentru a oferi servicii ctre teri. La fel, serviciile livrate de un furnizor de PaaS fac inutil pentru utilizator necesitatea de hardware sau software suplimentar specific, la nivel intern. IaaS include ntreaga stiv de resurse de infrastructur i faciliti (energie electrica, soluii de rcire, etc) pentru platformele hardware gzduite. Aceasta include capacitatea de a abstractiva (sau nu) resursele, precum i de a livra conectivitate fizic i logic a acestor resurse. n cele din urm, IaaS ofer un set de API-uri care permit forme de management i alte tipuri de interaciune cu infrastructura pentru consumatori. PaaS se afl deasupra IaaS i adaug un nivel suplimentar de integrare cu framework-urile de dezvoltare de aplicaii, capabiliti de middleware, i funcii, cum ar fi baze de date, stive de interogri, care permit dezvoltatorilor s construiasc aplicaii, i ale cror limbaje de programare i instrumente sunt suportate. SaaS la rndul su, este construit pe IaaS i PaaS i ofer un mediu de operare de sine stttor folosit pentru a furniza ntreaga experien a utilizatorului, inclusiv coninutul, prezentarea, cererea i capabiliti de management.

Pagin 6 din 41

Prin urmare, ar trebui s fie clar c exist compromisuri importante pentru fiecare model n termeni de caracteristici integrate, de complexitate vs deschidere (extensibilitate), i de securitate. Compromisuri ntre cele trei modele de implementare cloud includ:

n general, SaaS ofer cele mai integrate funcionaliti, cu cea mai mica posibilitate de extensibilitate i un nivel relativ ridicat de securitate integrat (furnizorul poart o parte important de responsabilitate pentru securitate).

PaaS permite dezvoltatorilor s construiasc propriile aplicaii n zona superioar a platformei. Ca urmare, tinde s fie mai extensibil dect SaaS. Acest compromis se extinde la elementele de securitate, dar ofer tocmai datorit flexibilitii posibilitatea integrrii unui strat de securitate suplimentar.

IaaS ofer cea mai mult extensibilitate. Acest lucru nseamn c, n general, capacitile de securitate i funcionalitile nu trec dincolo de protejarea infrastructurii n sine. Acest model presupune c sistemele de operare, aplicaiile i coninutul vor fi gestionate i securizate de ctre consumatorul de astfel de servicii.

Organizatii de reglementare i standardizare: Cloud Security Alliance (CSA) Cloud Security Alliance (CSA) este o organizaie non-profit, cu misiunea de a promova utilizarea celor mai bune practici pentru furnizarea i asigurarea securitii n Cloud Computing, i de a oferi educaie cu privire la utilizarea de cloud computing. Cloud Security Alliance este condus de o coaliie larg de practicieni din industrie, corporaii, asociaii i alte pri interesate. ISACA ISACA este o asociaie independent non-profit, la nivel mondial. ISACA se angajeaz n dezvoltarea, adoptarea i utilizarea la nivel global a cunotinelor i a practicilor pentru sistemele informatice de vrf. Naional Institute of Standards and Technology (NIST) Fondat n 1901, NIST este o agenie federal non-reglementare n cadrul Departamentului de Comer al SUA. Misiunea NIST este de a promova inovaia i competitivitatea industrial prin avansarea tiinei, a standardelor i tehnologiilor n moduri care sporesc securitatea economic i mbuntesc calitatea vieii noastre. Article 29 Working Party European Comision Article 29 Working Party este un grup de lucru pentru protecia datelor ce a fost instituit n temeiul Directivei 95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995 privind protecia persoanelor fizice cu privire la prelucrarea datelor cu caracter personal . European Cloud Partnership Parteneriatul Cloud European (ECP) reunete industria i sectorul public pentru a stabili o pia unic digital pentru cloud computing n Europa. Acesta a fost stabilit n cadrul European Cloud Strategy. 2. Cloud Computing: Caracteristici, Evoluii, Bariere de adoptare 2.1 Caracteristici Deoarece noiunea cloud nu se refer la o anumit tehnologie, ci la o paradigm n general, este obligatoriu s se clarifice unele aspecte. Aceast seciune stabilete capacitile concrete asociate cu cloud computing, care sunt considerate eseniale (necesare n orice mediu cloud) i relevante. Putem distinge ntre capaciti non-funcionale, economice i tehnologice adresate sau care vor fi adresate de ctre sistemele cloud.

Pagin 7 din 41

Aspectele non-funcionale se refer la calitile sau proprietile unui sistem. Acestea pot fi realizate i interpretate n mai multe moduri ceea ce duce n mod tipic la probleme mari de compatibilitate i interoperabilitate ntre furnizori, fiecare furnizor avnd propriile metode de satisfacere a cerinelor. Aspectele nonfuncionale sunt unul dintre motivele pentru care cloud difer att de mult n interpretare. Consideraiile economice sunt unul dintre motivele cheie pentru introducerea sistemelor cloud n mediul de afaceri. Interesul particular apare n reducerea costurilor i a efortului prin externalizare i/sau automatizarea managementului resurselor eseniale. Dup cum s-a observat n prima seciune, aspectele relevate ce trebuie avute n vedere sunt asociate cu delimitarea dintre pierderea controlului i reducerea efortului. Cu privire la gzduirea pe infrastructuri cloud private, ctigul prin reducerea costurilor trebuie echilibrat n mod atent cu efortul ridicat de a construi i rula un astfel de sistem. n mod evident, provocrile tehnologice apar implicit din aspectele economice i nonfuncionale. n opoziie cu aceste aspecte, provocrile tehnologice presupun o realizare specific . n plus fa de aceste provocri implicite, se pot identifica aspecte tehnologice suplimentare care vor fi adresate de sistemul cloud, parial ca o condiie prealabil de a realiza unele dintre aspectele de nivel ridicat, dar parial deoarece sunt asociate direct cu anumite caracteristici ale sistemelor cloud. Caracteristicile cheie ale cloud computing-ului pot fi analizate din prisma a trei aspecte: non-funcionale, economice, tehnologice, aspecte prezentate n Anexa nr. 1 2.2 Evoluii Tendina spre cloud computing a nceput la finalul anilor 80 cu un concept de grid computing, cnd pentru prima dat un numr mare de sisteme au fost dedicate rezolvrii unei singure probleme, de obicei din domeniul cercetrii, necesitnd resurse excepionale de calcul paralel. n Europa, reelele optice de distane lungi sunt utilizate pentru a lega multe universiti ntr-un mare computing grid pentru ca resursele s fie partajate i scalate pentru calcule tiinifice complexe. Grid computing a asigurat un mediu virtual de resurse de calcul, dar difer de cloud computing. Grid computing se refer n special la dedicarea mai multor computere pentru a soluiona o anumit problem individual sau pentru a rula o anumit aplicaie. Cloud computing, pe de alt parte, se refer la folosirea mai multor resurse, inclusiv resurse computaionale, pentru a asigura un serviciu unitar ctre utilizatorul final. De obicei un grid este un cluster de servere pe care o sarcin mare poate fi divizat n sarcini mai mici pentru a rula n paralel. Din acest punct de vedere, un grid poate fi vizualizat ca un server virtual. ntr-un mediu cloud, resursele extinse de IT i de afaceri, precum servere, stocare, reea, aplicaii i procese pot fi puse la dispoziia sarcinilor de lucru. n plus, n timp ce un cloud poate asigura i susine un grid, un cloud poate susine i medii non-grid, precum arhitectura Web three-tier care ruleaz aplicaiile Web tradiionale sau Web 2.0. n anii 90, conceptul de virtualizare a fost extins dincolo de serverele virtuale la niveluri mai ridicate de abstractizare oferind pentru prima dat platforme virtuale, stocare i resurse de reea i apoi la nivel aplicaie , aplicaii virtuale, care nu se bazeaz pe o infrastructur specific. Puterea de calcul existent a oferit clusterele ca platforme virtuale de calcul pentru modele noi de business. Mai recent, modelul software ca serviciu (SaaS) a ridicat nivelul de virtualizare la nivelul de aplicaie, cu un model business de tarifare nu prin resursele consumate, ci prin valoarea aplicaiei pentru abonai. Este un model emergent prin care utilizatorii pot avea acces la aplicaiile lor de oriunde, n orice moment, prin dispozitivele lor conectate. Aceste aplicaii rezid n centre de date masiv scalabile unde resursele de calcul pot fi furnizate dinamic. Companiile pot alege s partajeze aceste resurse utiliznd clouds privai sau publici, n funcie de nevoile specifice. Cloud-urile publice expun serviciile clienilor, afacerilor i consumatorilor pe Internet. Cloud-urile private sunt n general limitate la utilizarea n cadrul unei companii n spatele unui firewall i astfel sunt mai puin expuse. Puterea unui cloud este n gestionarea infrastructurii sale, permis prin maturitatea i progresul tehnologiei de virtualizare pentru a gestiona i utiliza mai bine resursele de susinere prin provizionare

Pagin 8 din 41

automat, re-imaging, reechilibrarea sarcinilor de lucru, cereri sistematice de modificare i o platform dinamic, sigur i flexibil. Deoarece din ce n ce mai multe ntreprinderi adaug cloud computing, nivelul aplicaiilor migreaz spre misiuni mai critice, iar SaaS va fi un pilon al strategiilor IT. Un numr de companii au construit capaciti de calcul bazate pe centre de date enorme n toat lumea pentru a susine ofertele de servicii web (cutare, mesagerie instant, comer electronic). Cu aceast infrastructur de calcul, aceste companii sunt deja n poziia de a oferi aplicaii software pe baz cloud. Soluiile software precum aplicaiile ERP (Enterprise Resource Planning - planificarea resurselor ntreprinderii), au fost disponibile pn acum numai ntreprinderilor mari cu bugete IT consistente. Totui, companiile care vnd astfel de soluii pot acum s le ofere acum i ntreprinderilor mici i mijlocii fcnd aplicaiile lor foarte complexe i foarte scumpe disponibile ca servicii software online. Capacitatea SaaS de a oferi aplicaii scumpe la preuri convenabile va continua s se accelereze. Nu n ultimul rnd, trebuie avut n vedere faptul c la nivelul Uniunii Europene sunt constituite grupuri de lucru privind susinerea i adoptarea modelului Cloud Computing n administraia public i n economie n general. De asemenea, sub tutela Comisiei Europene a fost elaborat i publicat n Septembrie 2012 Strategia European privind Cloud Computing. Aceast strategie promoveaz adoptarea rapid a modelului Cloud Computing n toate sectoarele economiei. Mai mult dect att, o serie de ri membre ale Uniunii Europene au realizat deja pai consisteni n implementarea i operarea modelului Cloud Computing pentru serviciile guvernamentale. 2.3 Reglementari i recomandri la nivel UE n septembrie 2012, Comisia European a adoptat o strategie pentru Valorificarea cloud computingului n Europa. Strategia subliniaz aciunile pentru asigurarea unui ctig net de 2,5 milioane de noi locuri de munc n Europa i o cretere anual de 160 miliarde a PIB-ului UE (circa 1%), pn n 2020. Strategia este conceput pentru a accelera i crete utilizarea cloud computing-ului n economie. Aceast strategie a fost rezultatul unei analize a politicii generale, a peisajului de reglementare i tehnologic i o consultare a prilor interesate, pentru a identifica ce este necesar s se realizeze pentru a valorifica la maximum potenialul pe care cloud-ul il poate oferi. Acest document stabilete aciunile cele mai importante i urgente i reprezint un angajament politic al Comisiei care servete drept apel pentru ca prile interesate s participe la implementarea acestor aciuni. Autoritile publice au un rol important de jucat n crearea unui mediu cloud de ncredere n Europa. Acestea au posibilitatea de a-i utiliza poziia de achizitor major pentru a promova dezvoltarea i adoptarea cloud computing-ului n Europa, pe baza tehnologiilor deschise i a platformelor sigure. Stabilirea unui cadru clar i solid pentru adoptarea cloud-ului de ctre sectorul public le va oferi utilizatorilor internaionali sigurana unui acces fiabil i va face din Europa un pol activ al inovrii n materie de servicii cloud. n plus, adoptarea unor soluii de cloud fiabile de ctre achizitorii publici ar putea ncuraja IMM-urile s adopte i ele acest tip de soluii. De asemenea, exist ngrijorri legate de faptul c impactul economic al cloud computing-ului nu i va atinge ntregul potenial dect dac tehnologia este adoptat att de autoritile publice, ct i de ntreprinderile mici i mijlocii (IMM-uri). n ambele cazuri, pn n prezent adoptarea este limitat din cauza dificultii de a evalua riscurile adoptrii cloud-ului. n vederea atingerii acestor obiective, Comisia European va lansa trei aciuni specifice n domeniul cloudului:

Aciunea-cheie 1: deschiderea unui drum prin jungla standardelor

Aciunea-cheie 2: clauze contractuale i condiii sigure i echitabile

Aciunea-cheie 3: instituirea unui parteneriat european pentru cloud pentru a face din sectorul public un motor de inovare i dezvoltare.

Aciunea-cheie 1 deschiderea unui drum prin jungla standardelor

Pagin 9 din 41

O utilizare pe scar mai larg a standardelor, certificarea serviciilor cloud pentru a demonstra c respect aceste standarde i aprobarea certificatelor de ctre autoritile de reglementare, ca prob a respectrii obligaiilor legale, vor contribui la avntul cloudului. n prezent, vnztorii individuali sunt tentai s lupte pentru obinerea unei poziii dominante prin inducerea captivitii clienilor i descurajarea abordrilor standardizate, la nivel de sector. n pofida numeroaselor eforturi de standardizare conduse, n cea mai mare parte de furnizori, cloud-urile se pot dezvolta ntr-o direcie care nu presupune interoperabilitate, portabilitatea datelor i reversibilitate, adic tocmai caracteristicile eseniale pentru evitarea captivitii clienilor. Standardele pentru cloud vor avea efect i asupra prilor interesate din afara sectorului TIC, n special asupra IMM-urilor i a utilizatorilor i consumatorilor din sectorul public. Astfel de utilizatori sunt rareori n msur s evalueze corectitudinea declaraiilor furnizorilor privind aplicarea standardelor, interoperabilitatea cloudurilor sau uurina cu care datele pot fi deplasate de la un furnizor la altul. Din acest motiv, este necesar o certificare independent, care suscit ncredere. Au fost deja demarate aciuni de standardizare i de certificare a cloud computing-ului. Administraia Federal Institutul Naional de Standarde i Tehnologie din SUA (U.S. Naional Institute for Standards and Technology - NIST) a publicat o serie de documente, inclusiv un set de definiii acceptate pe scar larg. Institutul European de Standardizare n Telecomunicaii (ETSI) a instituit un grup cloud pentru a evalua nevoile de standardizare n materie de cloud i conformitatea cu standardele de interoperabilitate. Este clar c va fi nevoie de iniiative suplimentare viznd stabilirea de standarde. Cu toate acestea, prioritatea actual const n implementarea standardelor existente pentru a crete ncrederea n cloud computing prin intermediul unor pachete de servicii comparabile. Pe lng identificarea standardelor respective, este necesar o certificare a conformitii. Numeroase organizaii (i, cu siguran, toate marile organizaii) au nevoie de o certificare a conformitii sistemelor lor informaice cu cerine juridice i de audit i doresc ca aplicaiile i sistemele lor s fie interoperabile. Comisia:

va promova ofertele de servicii de cloud fiabile i de ncredere, nsrcinnd ETSI s elaboreze pn n 2013, prin cooperare transparent i deschis cu prile interesate, o hart detaliat a standardelor necesare (printre altele, pentru securitate, interoperabilitate, portabilitatea datelor i reversibilitate).

va crete ncrederea n serviciile de cloud computing prin recunoaterea, la nivelul UE, a specificaiilor tehnice pentru protecia datelor cu caracter personal i a datelor cu caracter sensibil n general, n domeniul TIC, n conformitate cu noul regulament privind standardizarea european

va lucra mpreun cu ENISA i alte organisme relevante pentru a sprijini dezvoltarea de sisteme de certificare voluntar la nivelul UE, n domeniul cloud computingului (inclusiv n ceea ce privete protecia datelor), i crearea unei liste a acestor sisteme pn n 2014.

va aborda problemele ecologice pe care le pune creterea utilizrii cloudului, convenind cu sectorul vizat criterii armonizate de msurare a consumului de energie, a consumului de ap i a emisiilor de carbon ale serviciilor de cloud pn n 2014.

Aciunea-cheie 2: Clauze contractuale i condiii sigure i echitabile De regul, n domeniul informaticii, acordurile de externalizare fceau obiectul unei negocieri i vizau stocarea datelor, instalaiile de procesare i servicii definite i descrise n detaliu de la nceput. Pe de alt parte, contractele de cloud computing creeaz n esen un cadru n care utilizatorul are acces la capaciti informaice cu o scalabilitate i flexibilitate infinit, n funcie de necesitile sale. Cu toate acestea, n prezent, flexibilitatea mai mare a cloud computingului n comparaie cu externalizarea tradiional este adesea contrabalansat de sigurana redus a clientului, cauzat de contractele insuficient de specifice i de echilibrate cu furnizorii de cloud. Din cazuza complexitii i a incertitudinii cadrului juridic aferent, furnizorii de servicii de cloud utilizeaz deseori contracte complexe sau acorduri privind nivelul serviciilor care au clauze extinse de declinare a rspunderii. Utilizarea contractelor standard de tipul dac i convine bine, dac nu, nu (take-it-or-leave-it) i permite furnizorului s fac economii, ns adesea utilizatorul, i n special utilizatorul final, gsete condiiile inacceptabile. Astfel de contracte pot impune de asemenea alegerea legislaiei aplicabile sau pot interzice

Pagin 10 din 41

recuperarea datelor. Chiar i ntreprinderile mai mari nu au dect puin putere de negociere i, deseori, contractele nu prevd rspunderea pentru integritatea sau confidenialitatea datelor, ori pentru continuitatea serviciului. n ceea ce-i privete pe utilizatorii profesioniti, elaborarea clauzelor contractuale tip pentru acordurile privind nivelul serviciului n domeniul cloud computingului s-a dovedit a fi una dintre problemele cele mai sensibile n cadrul procesului de consultare. Acordurile privind nivelul serviciului determin relaia dintre furnizorul de cloud i utilizatorii profesionali i se afl la baza ncrederii pe care utilizatorii serviciilor de cloud o pot avea n capacitatea unui furnizor de cloud de a furniza servicii. n ceea ce-i privete pe consumatori i ntreprinderile mici, Comisia a prezentat, n cadrul aciunilor din Agenda digital viznd creterea ncrederii n mediul digital, o propunere de regulament privind legislaia european comun n materie de vnzri, care abordeaz multe dintre obstacolele generate de diferenele dintre legislaiile naionale, punnd la dispoziia prilor contractante un set de reguli uniforme. Propunerea conine norme adaptate la furnizarea de coninut digital care acoper anumite aspecte ale cloud computingului. Pentru chestiunile care nu in de legislaia european comun n materie de vnzri, sunt necesare aciuni complementare specifice pentru a garanta c celelalte aspecte contractuale relevante pentru serviciile de cloud computing pot fi de asemenea acoperite printr-un instrument opional similar. Aceste aciuni complementare trebuie s acopere aspecte precum conservarea datelor dup ncetarea contractului, divulgarea i integritatea datelor, amplasarea i transferul datelor, rspunderea direct i indirect, dreptul de proprietate asupra datelor, modificarea serviciului de ctre furnizorii de cloud i subcontractarea. Dei legislaia UE existent protejeaz utilizatorii serviciilor de cloud, adesea consumatorii nu i cunosc drepturile i, n special, care sunt legile i jurisdiciile aplicabile n materie civil i comercial, n special cnd este vorba de chestiuni care in de dreptul contractual. n cursul consultrii, elaborarea de condiii contractuale tip a fost identificat ca soluie pentru depirea acestor probleme. Utilizatorii industriali i furnizorii i-au exprimat opiunea pentru acorduri de autoreglementare sau standardizare. n ceea ce privete contractele cu consumatorii i ntreprinderile mici, pentru a crea contracte clare i echitabile n materie de cloud computing, poate fi necesar s se elaboreze condiii i clauze contractuale tip bazate pe un instrument opional de drept contractual. Identificarea i diseminarea celor mai bune practici privind clauzele contractuale-tip vor accelera adoptarea tehnologiei de cloud computing, prin creterea ncrederii potenialilor clieni. Luarea unor msuri adecvate cu privire la clauzele contractuale poate de asemenea contribui la asigurarea proteciei datelor, care este un aspect de o importan crucial. Dup cum s-a menionat mai sus, propunerea de regulament privind protecia datelor cu caracter personal va garanta un nivel ridicat de protecie a persoanelor fizice, prin asigurarea continuitii proteciei atunci cnd datele sunt transferate n afara UE i a SEE, n special prin clauze contractuale tip aplicabile transferurilor internaionale de date i prin crearea condiiilor necesare pentru adoptarea unor norme corporative obligatorii propice cloud computingului. Aceste modificri vor garanta c normele UE n materie de protecie a datelor iau n considerare realitile geografice i tehnice ale cloud computingului. Pn la sfritul anului 2013, Comisia:

va elabora, mpreun cu prile interesate, clauze contractuale tip pentru acordurile privind nivelul serviciului aplicabile contractelor dintre furnizorii de cloud i utilizatorii de cloud profesionali, lund n considerare acquis-ul UE n curs de elaborare n acest domeniu.

va propune, conform comunicrii privind legislaia european comun n materie de vnzri, condiii i clauze contractuale tip consumatorilor i ntreprinderilor mici pentru aspectele care in de propunerea n cauz.

Va avea ca obiectiv standardizarea termenilor contractuali i a condiiilor cheie, oferind cele mai bune practici n materie de clauze contractuale pentru serviciile de cloud n ceea ce privete aspectele legate de furnizarea de coninut digital .

va nsrcina un grup de experi, creat n acest scop i cuprinznd reprezentani ai sectorului, s defineasc, pn la sfritul anului 2013, pentru acele aspecte ale cloud computingului care nu in de legislaia european comun n materie de vnzri, clauze contractuale i condiii pentru consumatori i ntreprinderile mici, pe baza unui instrument opional similar.

Pagin 11 din 41

va facilita participarea Europei la creterea global a cloud computingului prin: revizuirea clauzelor contractuale tip aplicabile transferului de date cu caracter personal ctre ri tere i adaptarea acestora la serviciile de cloud, dup necesiti, i prin invitarea autoritilor naionale de protecie a datelor s aprobe norme corporative obligatorii pentru furnizorii de cloud.

va colabora cu industria de profil pentru a conveni asupra unui cod de conduit pentru furnizorii de cloud computing pentru a sprijini o aplicare uniform a normelor de protecie a datelor, care poate fi transmis grupului de lucru articolul 29 pentru avizare, n vederea asigurrii certitudinii juridice i a coerenei dintre codul de conduit i legislaia UE.

Aciunea cheie 3 Promovarea rolului de lider al sectorului public prin Parteneriaul european pentru cloud Sectorului public i revine un rol important n configurarea pieei de cloud computing. n calitate de cel mai mare cumprtor din UE de servicii informaice, sectorul public poate stabili cerine stricte privind caracteristicile, performana, securitatea, interoperabilitatea i portabilitatea datelor, precum i de conformitate cu exigenele tehnice. Acesta poate, de asemenea, s stabileasc cerine de certificare. Cteva state membre au lansat iniiative naionale, cum ar fi Andromede n Frana, G-Cloud n Regatul Unit i Trusted Cloud n Germania. Dar din cauz c piaa sectorului public este fragmentat, cerinele acestuia au un impact redus, integrarea serviciilor este sczut, iar cetenii nu obin cel mai bun raport calitate-pre. Gruparea cerinelor publice ar putea crete eficiena, iar cerinele sectoriale comune (de exemplu, privind e-sntatea, ngrijirile sociale, asistena pentru autonomie la domiciliu i serviciile de e-guvernare cum ar fi datele deschise) ar putea reduce costurile i ar permite interoperabilitatea. Sectorul privat ar beneficia, de asemenea, de servicii de mai bun calitate, de concuren sporit, de standardizare rapid i de o mai mare interoperabilitate, precum i de oportuniti de pia pentru IMM-urile din sectorul tehnologiei avansate. Drept urmare, n acest an, Comisia creeaz un Parteneriat european pentru cloud, cu scopul de a oferi un cadru pentru iniiativele similare lansate la nivelul statelor membre. Acest parteneriat va reuni experi ai ntreprinderilor vizate i utilizatori din sectorul public, care vor elabora, ntr-un mod deschis i complet transparent, cerine comune privind achiziiile publice n domeniul cloud computingului. Parteneriatul nu are ca obiectiv crearea unei infrastructuri fizice de cloud computing. Prin cerinele privind achiziiile, care vor fi promovate de statele membre participante i de autoritile publice n vederea utilizrii pe ntreg teritoriul UE, obiectivul este mai degrab de a garanta c oferta comercial din Europa este adaptat nevoilor europene. Parteneriatul va permite de asemenea s se evite fragmentarea i s se garanteze c utilizarea cloudului public este interoperabil i sigur, securizat, ecologic i pe deplin conform cu normele europene, de exemplu n domeniul proteciei datelor i al securitii. Sub supravegherea unui comitet director, parteneriatul va regrupa autoriti publice i consorii de ntreprinderi care vor colabora pentru a pune n aplicare o aciune de achiziie pre-comercial destinat:

s identifice cerinele sectorului public n materie de cloud computing; s elaboreze specificaii pentru achiziiile din domeniul IT i s conduc la obinerea unor implementri de referin pentru demonstrarea conformitii i a performanei.

s avanseze n direcia achiziiilor comune de servicii de cloud computing, efectuate de ctre organismele publice pe baza noilor cerine comune ale utilizatorilor.

s elaboreze i s aplice alte msuri care necesit o coordonare cu prile interesate, astfel cum se prevede n prezentul document.

2.4 Bariere de adoptare Barierele majore pentru adoptarea cloud computingului sunt lipsa unui cadru de reglementare specific i ngrijorrile cu privire la securitate i confidenialitate. Asigurarea unui comportament de ncredere al clienilor i al furnizorilor este un aspect important. Securitatea a fost ntotdeauna o problem important a managerilor IT, iar protecia informaiilor personale, tiinifice, comerciale i a proprietii intelectuale trebuie s fie asigurat de ctre furnizorii de servicii cloud. O metod universal valabil pentru a asigura ultimele tehnologii de securitate, confidenialitate i ncredere nu este nici adecvat, nici posibil. Fiecare modalitate de utilizare a tehnologiei cloud computing trebuie s fie

Pagin 12 din 41

evaluat critic i cu mare atenie i luat n considerare n ceea ce privete ameninrile identificate, riscurile i cerinele de soluionare a conflictelor. Pentru a consolida contribuia lor la informaiile reglementate i sensibile, furnizorii de servicii cloud trebuie s defineasc limitele i responsabilitile, observnd ce funcii i politici de securitate i de management al informaiilor asigur ei, i ce management al informaiilor i ce securitate trebuie asigurate n plus de ctre client sau alt furnizor de servicii partener. n mod tipic, acordurile de nivel de servicii (SLA) trebuie s reflecte aceast mprire. 2.4.1 Constituirea unui cadru de reglementare specific Lipsa unui cadru de reglementare specific genereaz reticen n privina adoptrii conceptului de Cloud Computing, mai ales la nivelul instituiilor publice. La nivelul organizaiilor private limitele de autoritate n privina opiunilor legate de soluii tehnice i tehnologii permit o mai mare flexibilitate, deci o adoptare mai rapid a soluiilor i conceptelor noi. Pe de alt parte, n sectorul public limitele de autoritate date de structura ierarhic centralizat fac necesar iniiativa i coordonarea la nivel central. Principalul mod de exprimare a iniiativei i coordonrii la nivel central n privina cloudului este elaborarea unei strategii i a unui cadru de reglementare specific, care:

s defineasc i s delimiteze rolurile entitilor implicate; un aspect esenial n definirea acestor roluri este definirea rolului de evaluator i auditor al serviciilor de tip cloud guvernamental, rol atribuit guvernului

s definesc criteriile de securitate, performan i funcionalitate care trebuie satisfcute n furnizarea de servicii de tip cloud; aceste criterii trebuie, pe de o parte, s asigure ncrederea n aceste servicii, iar pe de alt parte s asigure costuri eficiente ale serviciilor prin crearea unui mediu competitiv pentru furnizorii de astfel de servicii;

s defineasc modalitatea de utilizare a serviciilor de tip cloud;

2.4.2 Securitatea Un numr de aplicaii curente de cloud computing presupun servicii oferite ctre consumatori finali, inclusiv e-mail i reele sociale. Aceste servicii colecteaz i stocheaz volume mari de terabytes de informaii personale, n centrele de date n toate rile din lume. Protecia datelor personale i gestionarea problemelor de confidenialitate pot determina succesul sau eecul multor servicii cloud. Problemele de securitate i de confidenialitate sunt complicate de amplasarea datelor n mai multe jurisdicii diferite cu niveluri diferite de protecie. Interceptarea i alte activiti de supraveghere ale ageniilor guvernamentale reprezint o alt problem. Au existat instane n trecut cnd activitile de strngere de informaii au fost la limita spionajului comercial. Pe de alt parte, accesul legitim al ageniilor de aplicare a legii poate fi dificil. Protecia proprietii intelectuale, mai ales n ceea ce privete protecia drepturilor de autor, va pune i aceasta probleme. Au existat deja ncercri de a face companiile de servicii de Internet (ISP) responsabile pentru mpiedicarea partajrii neautorizate de materiale protejate de drepturile de autor. Nu este nc clar cum vor fi soluionate aceste probleme n mediul cloud. Asigurarea securitii informaiilor n mediul cloud computingului impune trei niveluri de securitate: securitatea reelei, securitatea serverului i securitatea aplicaiei. Aceste nevoi de securitate sunt prezente i n infrastructura intern i sunt afectate direct de politicile de acces i fluxurile de lucru ale unei entiti care i deine i gestioneaz resursele. Cnd o entitate trece pe cloud computing, apar provocri de securitate la fiecare dintre cele trei niveluri, ct i cele care privesc operarea activitii economice i persoanele implicate n managementul sistemului. Dei aceste provocri de securitate sunt exacerbate prin cloud computing, nu sunt produse de acesta. Criptarea nu este o soluie complet, pentru c datele trebuie s fie decriptate n anumite situaii astfel nct s se poata prelucra i s se poat duce la ndeplinire funciile normale de management de date, de indexare i de sortare. Astfel, dei datele n tranzit i datele stocate sunt efectiv criptate, nevoia de a decripta, n general de furnizorul de servicii cloud, poate fi o problem de securitate.

Pagin 13 din 41

Totui serviciile cloud pot fi securizate prin filtrarea e-mailurilor (inclusiv back-up i spam), filtrarea coninutului web i gestionarea vulnerabilitilor, toate acestea mbuntind securitatea. Unele ameninri sunt mai bine tratate de centrele de date de dimensiuni mari (de exemplu atacuri de tipul Distributed Denial of Service, care presupun ncercri de a mpiedica un sit de internet sau un serviciu s funcioneze). Aplicaiile care ruleaz n cloud sunt mai puin vulnerabile la astfel de atacuri. Managementul identitii i al accesului i politicile asociate pentru utilizarea serviciilor cloud trebuie s fie echivalente practicilor curente de la nivelul ntreprinderilor i s asigure capacitatea de a interopera cu aceste aplicaii existente. 2.4.3 Confidenialitatea Legile i reglementrile cu privire la confidenialitate i protecia datelor, precum acelea ale rilor din Uniunea European i Programul US Safe Harbor, necesit cunoaterea locaiei datelor stocate n orice moment. Datele pot fi stocate n mai multe copii, n mai multe jurisdicii cu diverse tipuri de legislaie cu privire la confidenialitate i protecia datelor. Aceasta este o problem particular pentru ageniile guvernamentale care proceseaz informaiile personale. Aceast problem poate ncuraja unii furnizori de servicii cloud s i situeze centrele de date n jurisdicii cu cerine juridice minime (posibil n afara Europei i a SUA). Totui utilizatorii de servicii cloud pot avea nevoie de protecia juridic asigurat de o legislaie puternic cu privire la protecia datelor cu caracter personal. Din nou, integrnd comportamentul convenit ntre furnizor i client, demonstrnd unul altuia pentru fiecare tranzacie c acordul este meninut, dar i un registru care poate fi controlat din exterior, va nate ncredere i susinere n utilizarea serviciilor cloud. 2.4.4 ncrederea n ultim instan totui, asimilarea serviciilor cloud depinde de ncrederea pe care clientul i furnizorii o au unii fa de ceilali. ncrederea trebuie s fie aplicabil legal sau pe baza standardelor dac activeaz n practic. ncrederea n cloud computing trebuie s utilizeze o metod integrat care se construiete pe ideile care susin Acordurile de nivel de servicii (SLAs):

Acordul asupra politicilor pentru partajarea informaiilor nainte de orice interaciune ntre client i furnizorii de servicii cloud. Acest lucru se poate face prin utilizarea de contracte sau SLA care definesc accesul la serviciile specializate sau politici de control al accesului.

Dovezi riguroase ale comportamentului convenit (definit n SLA) ntre furnizorul de servicii cloud i clienii lui pe durata interaciunilor critice i dup ce s-a ajuns la acorduri cu privire la politici.

Asigurarea c arhive verificabile i controlabile din exterior cu privire la buna conduit sunt pstrate, de la nceput pn la sfrit.

Luate separat, aceste msuri sporesc ncrederea prilor. Numai atunci cnd toate cele trei componente sunt corelate, se atinge un sistem n care se poate avea cu adevrat ncredere. 2.4.5 Blocarea serviciilor i standardele Blocarea serviciilor este o problem pentru unii utilizatori. Din cauza lipsei de standardizare, consumatorii nu pot extrage cu uurin propriile date i programe i merge spre un alt furnizor din cloud. Succesul internetului se datoreaz adopiei standardelor deschise i dezvoltrii de software open source. Pentru ca cloud computing s fie un succes, guvernele trebuie s promoveze standarde internaionale deschise pentru Cloud, astfel nct utilizatorii s poat schimba furnizorii de servicii Cloud cu costuri i riscuri minime. 2.4.6 Alte probleme S-au exprimat preocupri cu privire la:

Congestia transferurilor de date pe msur ce aplicaiile devin mai intense din punctul de vedere al datelor i computaia este distribuit n cloud, nevoia de a muta volume largi de date poate crete;

Pagin 14 din 41

Costurile traficului de reea unele organizaii au modele de cost care restrng sau sancioneaz accesul la facilitile externe i din strintate;

Pierderea datelor dac un serviciu cloud pierde date, aceasta este o problem major pentru utilizatorii care se bazeaz pe serviciu;

Incapacitatea consumatorilor de a se redresa dupa o problema major. 3. Impact pentru sectorul privat 3.1 Impact la nivelul sectorului financiar Industria serviciilor financiare continu s adopte Cloud Computing-ul. Nu se pot nega avantajele mutrii n cloud costuri reduse, scalabilitate i flexibilitate mai mare, mobilitate crescut i implementare mai rapid etc. Cerina de protejare a informaiilor clienilor, nc reprezint o barier pentru multe firme. Faptul c nregistrrile i informaiile clienilor trebuie securizate i pstrate confidenial cauzeaz mari dificulti acestei industrii. Ar trebui precizat necesitatea companiilor de a proteja nregistrrile clienilor mpotriva oricror ameninri sau ct i a acceselor neautorizate care ar putea afecta sau cauza inconveniene clienilor n cauz. Studiul Ernst & Young denumit 2012 Global Informaion Security Survey a artat c 59% dintre respondeni au spus c folosesc sau planific s foloseasc servicii de cloud. Cu toate acestea, peste 33% nu au ntreprins nicio msur pentru administrarea sau diminuarea riscurilor de securitate. Provocrile pe care le introduce cloud computing-ul influeneaz industria serviciilor financiare n urmtoarele moduri:

Companiile sunt reticente, considernd posibilitatea compromiterii datelor dintr-un cloud public precum i posibilitatea monetizrii acestor date (de clieni) de ctre furnizorii de cloud. De exemplu, angajai din trezorerie (traders) din diferite companii de profil ar fi foarte circumspeci n a-i ine strategiile de tranzacionare ntr-un cloud, temndu-se de faptul c un competitor de pe acelai cloud ar putea obine acces la ele. Similar, manageri de portofolii i analiti de risc sunt reticeni cu privire la detalii de alocarea a activelor sau a strategiilor de referin a relansrii a unei companii.

De vreme ce companiile de servicii financiare opereaz ntr-un mediu ultra reglementat, orice pierdere sau compromitere a datelor clienilor sau oricare din scenariile de mai sus poate avea implicaii i repercursiuni reputaionale i poate duce la procese colective din partea clienilor.

Managerii IT sunt de asemenea ngrijorai n ceea ce privete disponibilitatea aplicaiilor meninute n cloud. Furnizorii de servicii de tip cloud computing asigur serviciile n nite condiii standard, acestea neputnd fi negociate efectiv de ctre un client, tinznd a fi evident n beneficiul furnizorilor, inclusiv oferind clienilor doar garanii limitate. Imaginai-v un scenariu n care un furnizor de servicii cloud computing terge datele clienilor sau oprete un serviciu sau o aplicaie pe o perioad de zile sau sptmni, dintr-un motiv de nclcare a contractului, cum ar fi neplata temporar. Acest tip de scenariu ar crea multe probleme pentru o companie care nu ar avea prghii reale de negociere ntr-un astfel de scenariu.

Dependena de tehnologia furnizorului este un alt motiv de ngrijorare. Marea majoritate a furnizorilor de servicii cloud computing asigur accesul la resurse prin tehnologii proprii, interfee patentate ale aplicaiilor, serviciilor web sau instrumente proprii de linie de comand. Dac o companie dorete s i schimbe furnizorul de servicii cloud computing, acest lucru ar presupune costuri ridicate doar pentru modificarea ctre noile interfee i tehnologii, costuri care anuleaz tocmai avantajele utilizrii acestui tip de serviciu.

Proprietatea Intelectual Companiile care i-au implementat servicii de cloud computing au observat cazuri n care diferite persoane au obinut acces neautorizat la datele aflate sub incidena Proprietii Intelectuale. intirea acestui tip de active valoroase are o tendin cresctoare. Cel mai probabil vom identifica n viitor metode suplimentare de tip atacuri persistente avansate (APTs Advanced Persistent Threats) mpotriva multor companii. Dat fiind

Pagin 15 din 41

cantitatea mare de date ale clienilor, industria de servicii financiare este o int viabil i atractiv. Din aceast cauz, Proprietatea Intelectual este min de aur pentru hackeri. Un atac reuit de acest tip, lansat mpotriva serviciilor de cloud computing poate afecta la modul cel mai serios Proprietatea Intelectual i reputaia companiilor. Au fost cazuri n care angajai au czut victime i au permis ca nclcri de mare anvergur s se ntmple; acetia au fost bine intenionai dar netiutori. Mai mult dect att, exist ntotdeauna pericolul unor atacuri intenionate din interior. Dac un angajat lucrnd la un furnizor de servicii de cloud computing decide s vnd date ale unui client celui care ofer mai mult, acest lucru ar determina un incident costisitor i jenant de compromitere a datelor pentru respectivul client. Necunoaterea nu este acceptabil Ca i consumator de cloud computing, trebuie nelese responsabilitile ce revin clientului i s se in cont c a te baza doar pe furnizorul de servicii de cloud computing nu este suficient. Multe organizaii n necunotin de cauz se bazeaz pe acordurile privind nivelurile serviciilor (SLA - Service-level Agreement) cu furnizorul de servicii i presupun c acetia sunt responsabili de securitatea datelor lor. Nu este acceptabil pentru o companie de servicii financiare s invoce necunoaterea acestor aspecte i s impute un incident ctre furnizorul de servicii. Acum, c datele despre clieni i informaia n general, pot fi oriunde ntr-un cloud digital, nu mai este ndeajuns s se ia n considerare aspectele de securitate doar prin prisma infrastructurii. Conformitatea prin criptare Companiile de servicii financiare ar trebui sa foloseasc metode de criptare pentru a reduce riscul dezvluirii i alterrii datelor senzitive aflate n repaos sau n tranzit. Aceasta este una din cele mai bune metode de a menine informaia n condiii de siguran fa de hackeri. Folosing aceast metod, o pereche secret de coduri digitale numit cheie este folosit pentru a cripta datele. Fr aceast cheie, datele nu pot fi decriptate. Criptarea, protejeaz datele importante mpotriva ochilor curioi, indiferent unde este informaia stocat. Entitile care ncearc s evite modul uzual de acces al datelor i protocoalele companiilor, vor obine astfel doar informaii criptate. Criptarea nu trebuie s aib un efect negativ asupra utilizatorilor legitimi sau asupra clienilor acestora, astfel nct acetia s poat obin informaiile fr probleme. ns, aceasta n sine reprezint o problem. Cine mai exact ar trebui s dein cheile de criptare? Gestionarea cheilor de criptare Deseori, furnizorii de servicii de cloud computing care cripteaz datele clienilor, dein cheile de criptare. Cu toate acestea, revenim la situaia expus mai devreme. Dac un hacker sau un angajat nemulumit fur cheile, acetia au acces la informaii n form necriptat. Pentru a ajuta la rezolvarea acestei situaii, Gartner recomand clienilor s rein, s gestioneze local cheile de criptare i s se asigure c acestea sunt schimbate i distruse n mod corespunztor pentru a le menine secrete n timp. Mai sunt i alte considerente de luat n calcul pentru industria financiar, atunci cnd adopt o strategie de tip cloud computing. n primul rnd, informaia trebuie definit ca fiind de prim rang n interiorul cloud-ului. Mai presus de orice, informaia trebuie protejat. Cnd se stabilesc strategiile pentru protejarea informaiei, trebuie luate n calcul cerinele de reglementare i trebuie faptul c cerinele referitoare la exportul datelor i restriciile de reziden sunt respectate. Administrarea a astfel de cerine poate fi descurajatoare pentru multe companii care nu au expertiz n cloud computing sau securitatea informaiilor. Lucrul cu un ter de ncredere poate ajuta la acoperirea nevoilor, n acelai timp maximiznd inovaia i competitivitatea furnizat de ctre cloud.

Pagin 16 din 41

Aceste recomandri v vor ajuta la eliminarea ngrijorrilor legate de confidenialitatea i integritatea datelor pe masur ce, mbrind cloud-ul, migrai datele i aplicaiile. Cu ct petrecei mai puin timp cu ngrijorrile legate de securitate, cu att putei petrece mai mult timp cu strategiile de afaceri. Un sondaj Internaional Data Group din 2010 a relevat c:

6% dintre CIO interpelai au afirmat c reducerea de costuri este o prioritate critic de business pentru viitor n cadrul board-ului

62% au afirmat c optimizarea resurselor i a proceselor de afaceri vor fi o prioritate 67% au prevzut mbuntirea timpului de marketing pentru produse i servicii la fel de critic

n anii urmtori.

O companie de servicii financiare care se bazeaz puternic pe serviciile IT poate beneficia de cloud computing n ciuda obieciilor menionate mai sus. Reducerile de cost percepute, uurina scalrii, un timp mai rapid de ajungere ctre pia i implementare a sistemelor, virtualizarea datelor din ntreaga ntreprindere ca i serviciu, standardizarea tehnologiei enterprise i abilitatea de a accesa date i aplicaii de oriunde sunt toi factori critici care pot conduce companiile de servicii financiare la adoptarea cloud computing-ului. Pentru companiile de servicii financiare exist nenumrate oportuniti de a beneficia de avantajele cloud computing, prin migrarea diferitelor aplicaii n cloud. Aplicaiile auxiliare (non-core) , precum cele pentru anumite procese de business - de recrutare, de facturare, de managementul deplasrilor, pot i trebuie n mod simplu mutate n cloud. Un numr de operaiuni de infrastructur, precum managementul centrului de date, stocarea acelor date i recuperarea lor n caz de dezastru, ar trebui de asemenea s se mute n cloud dup o evaluare minuioas a ofertelor diverilor vendori i lund n calcul i flexibilitatea furnizorilor de de cloud n documentarea contractelor. Dei foarte puine companii folosesc acum cloud computing pentru aplicaiile lor de baz, diferite arhitecturi de gzduire de tip IaaS ale furnizorilor de cloud, vor face ca mai multe companii s i mute aplicaiile n mediul cloud. De fapt, soluiile principale, precum procesele de tip batch care ruleaz pe durata ntregii zile, aplicaiile de analiz i raportare reprezint prin caracteristicile lor, candidaii perfeci pentru cloud computing. 3.2 Impact la nivelul sectorului educaional Instituiile din sectorul educaional adopt sistemul Cloud, la fel cum o fac i celelalte organizaii. Peste tot n lume, universitile studiaz serviciile Cloud computing prin cooptarea oamenilor de tiin, dar i prin intermediul colaborrilor interuniversitare, strduindu-se s gseasc calea cea mai potrivit de a folosi aceste servicii, date fiind preocuprile legate de securitate. Drept urmare, putem vedea un interes crescut i o investiie pe msur n soluii tip Cloud privat, dar i de interes public, specifice sectorului educaional. Compania Forrester a avut discuii cu directori IT axate pe gradul de adoptare a sistemului Cloud de ctre universiti din S.U.A., Anglia, Australia, Noua Zeelanda i India, n primul rnd legate de nvare, cooperare i cercetare iar, n al doilea rnd, de administare. Rezultate cheie n urma discuiilor avute, Forrester a identificat cinci elemente cheie:

Funcionalitatea, scalabilitatea i agilitatea sunt cele mai valoroase caracteristici ale unui sistem Cloud. Toi cei intervievai erau de prere c nu puteau construi un sistem funcional fr s fi ieit n pierdere din punct de vedere al costurilor asigurnd aceeai vitez ca i furnizorii de Cloud si, n acelasi timp, s redimensioneze resursele proporional cu nevoile instituionale. n plus, implementrile Cloud permit angajailor IT s-i concentreze eforturile pentru a lucra n mod direct cu departamentele academice i s aloce personal pentru alte nevoi tehnologice critice instituiilor.

Responsabilizarea angajatului i punerea n umbra a IT-ului sunt factori cheie n adoptarea unui sistem Cloud. Accesul direct al consumatorului la serviciile Cloud au fcut posibil ca profesorii cu spirit practic s acioneze n calitate de resurs IT i s creeze propriile lor sisteme Cloud prin intermediu serviciilor, ceea ce a furnizat infrastructur i aplicaii ntr-un mod mai rapid i mai eficient din punct de vedere al costurilor dect prin intermediul centrului IT. Drept urmare, putem

Pagin 17 din 41

vedea cum multe departamente, dar i angajai ai universitilor simt nevoia s utilizeze aceste servicii.

Liderii mari din domeniul IT prefer sisteme de Cloud private. Fie c sunt pentru cercetare sau pentru colaborare, acest tip de sisteme sunt preferate pentru educaie. Toate universitile intervievate si-au manifestat reinerea n a ncredina orice fel de proprietate intelectual sau date care ar putea fi prelucrate, unui serviciu ter.

Universitile au interese solide vizavi de Cloud-ul comunitar. n aceeai msur n care colaborarea ntre universiti continu s creasc ca i importan, la fel crete i dorina de a-i uni eforturile sau de a participa mpreun la acelai serviciu Cloud. Cel mai important lucru din interesul pentru acest model a fost acela de a sprijini cercetarea i procesul de nvare.

nvtmntul superior IT nu are ncredere n securitatea sistemelor Cloud. Liderii IT ai universitilor i exprim nelinitea n legtur cu proprietatea intelectual i datele studenilor care ar putea ajunge pe mini greite; astfel, securitatea este pe primul loc ca motiv de respingere a sistemului Cloud. Facultatea ct i angajaii IT au fost cu toii deschii asupra nelegerii mai bune a securitii Cloud i au artat bunvoin de a folosi servicii Cloud, presupunnd c furnizorul poate da asigurrile potrivite.

Universitile vor parteneriate flexibile i de lung durat cu furnizorii. Liderii IT ai universitilor ateapt ca furnizorul s neleag nvamntul superior, s fie expert n implementarea Cloud, s ofere sugestii i bune practici, dar i s fie deschis la dezvoltarea unei relaii furnizor/universitate, n care fiecare parte are ceva de nvat de la cealalt. Aceast relaie trebuie s fie ndeajuns de flexibil nct s permit schimbri i dezvoltri educaionale i de tehnologie pe perioada contractului.

Tehnologia Cloud se face cunoscut nvmntului superior cu anumite reineri. Acesul rapid la resurse, ajutorul obinut uor i rapid i un model economic n care se pltete doar pentru ceea ce ai nevoie, toate acestea se fac simite n lumea educaiei superioare care devine tot mai competitiv. Astfel, nu e deloc surprinztor faptul c serviciile Cloud au ptruns pe aceast pia foarte rapid. Forrester Consulting a descoperit c majoritatea marilor instituii de nvmnt superior, experimenteaz serviciile Cloud dup modelul celor folosite de marile companii. Adoptarea timpurie este de cele mai multe ori determinat de profesori i ali membri ai personalului avnd o gndire vizionar i o minte liber i care, ei inii, pot presta servicii pentru un anume curs sau proiect. Adoptarea formal de ctre personalul IT al universitilor ntrzie din cauza preocuprilor legate de sigurana proprietii intelectuale . Instituiile i doresc mai mult flexibilitate n utilizarea tehnologiilor, dar sunt foarte preocupate de securitatea datelor, mai ales cnd este vorba de un sistem Cloud public - de fapt, de orice alt mediu gzduit. IT-ul formal accept mai degrab soluii de tip Cloud privat care furnizeaz date dintr-un centru intern sau dintr-o platforma Cloud comunitar extins. Instituiile pro-Cloud demonstreaz anumite caracteristici Majoritatea marilor instituiilor de nvmnt superior studiaz tehnologiile Cloud pe diferite nivele de interes. Acelea care sunt cele mai favorabile sistemului Cloud demonstreaz anumite caracteristici :

Cunotinele i experiena liderului IT. Universitile care lucreaz cel mai mult cu sistemul Cloud au un CIO sau un director IT care nelege avantajele tehnologiei Cloud i are o experien direct legat de lucrul cu un astfel de sistem. n multe cazuri, aceti lideri au lucrat n sistemul corporatist nainte a de fi fost angajai ntr-un mediu universitar n care au cunoscut cerinele studenilor. Aici, prioritatea lor este de a face cunoscut personalului, valoarea tehnologiei Cloud. Pentru a convinge, creeaz programe pilot pe care le fac cunoscute i altor departamente, mprtind studii de pia i evalund rezultatele pentru procesul de nvare, robusteea tehnologiei i perspectivele celui care ndrum.

Natura instituiei. Unele instituii au programe puternice de studiu n domenii foarte tehnice, beneficiind astfel la maxim de avantajele unor investiii importante n tehnologia Cloud. Studiile noastre arat c profesorii bine informai i deschii n domeniul tehnologiei, sunt de departe cei mai buni candidai pentru punerea la punct a unui sistem Cloud pentru proiectele i aciunile academice.

Pagin 18 din 41

Aceast tehnologie poate uura punerea la punct a unor instrumente pe care studenii i profesorii s le foloseasc pentru proiectele propuse pe parcursul unui curs i faciliteaz eliberarea resurselor la sfritul cursului.

Locaia geografic. Instituiile S.U.A. par a fi mult mai avansate n ceea ce privete acceptarea i folosirea serviciilor i soluiilor Cloud. Se pare c aceste instituii au un avans mult mai mare n descoperirea provocrilor i a eventualelor capcane oferite de Cloud, dar i n educarea factorilor de decizie din cadrul facultii sau al universitii vis-a-vis de beneficiile aduse de Cloud. Lipsa de cunotine i de nelegere cu privire la caracteristicile mediului Cloud a afectat instituiile din majoritatea zonelor geografice n care am efectuat interviuri. Aceste diferene nu sunt o piedic n calea instituiilor n a descoperii tehnologia Cloud, dar fac progrese ntr-un ritm lent i precaut i n acelai timp pstreaz contactul cu reuitele i provocrile altor instituii.

Terminologia Cloud este adesea o provocare n cadrul instituiilor exist confuzie n legatur cu ceea ce reprezint Cloud. Forrester definete Cloud computing ca un sistem standardizat care include servicii, programe informatice sau acces la informaii furnizate ca un serviciu de sine stttor pentru a crui utilizare se pltete. Exist trei nivele n structura Cloud:

serviciul software (Software-as-a-service, SaaS)

serviciul de infrastructur (infrastructure-as-a-service, IaaS)

serviciul platform (platform-as-a-service, PaaS).

Forrester definete cinci modele pentru dezvoltarea sistemelor Cloud:

public

privat intern

privat gzduit virtual

hibrid

comunitar

Instituiile de nvmnt superior prefer modelul privat intern n centrele lor de date. Majoritatea instituiilor cu care Forrester Consulting a avut discuii, folosesc un fel de form hibrid, pstrnd informaiile despre studeni pe servere proprii, iar email-urile i documentele legate de cercetare ntr-un sistem Cloud. Deoarece instituiile colaboreaz, se ateapt ca i platforma Cloud s creasc, mai ales n ceea ce privete instituiile de cercetare i cele care ofer cursuri de nvare online. Universitile exploreaz un spectru larg de tehnologii cloud Instituiile de nvmnt superior nu sunt novice n tehnologiile Cloud. Unele dintre ele deja au avut un fel de tehnologie Cloud n ultimii cinci ani sau mai mult. ncrederea lor n platformele Cloud variaz, lucru ce afecteaz dorina de a utiliza anumite tehnologii de Cloud, dar toate instituiile exploreaz posibilitile i au planuri de a adopta asta n zone diferite. Exist urmtoarele puncte de vedere despre platformele Cloud:

Platformele Cloud sunt utilizate pe scar larg. Utilizarea cea mai consistent a tehnologiilor de tip Cloud de ctre toate universitile intervievate a fost utilizarea de soluii SaaS pentru studieni, cum ar fi servicii de email. Alte utilizri comune - din nou, cea mai mare parte tot de tip SaaS - au avut la baza preocupri academice, cum ar fi laboratoare i mediile de colaborare folosite pentru o anumit perioad de timp ca suport pentru anumite cursuri. Unele folosesc posibiliti de urmrire, de colaborare i de gestionare, cum sunt platformele de tip Cloud eLearning, altele au preferat s-i configureze soluiile respective pe serverele lor interne. Aceste utilizri de platforme Cloud publice se concentreaz pe procesul de nvare, iar studenii sunt capabili s se conecteze utiliznd toate dispozitivele lor.

Departamentele IT n domeniul educaional prefer platforme Cloud private. Responsabilii IT din nvmntul superior sunt foarte preocupai de drepturile pe proprietatea intelectual i confidenialitatea datelor. Ca urmare, toi liderii IT ai instituiilor au fost mult mai confortabili cu o platforma Cloud privat instalat i livrat printr-un centru de date din campusul universitar.

Platformele Cloud publice i private vor fuziona n cele din urm. n timp ce profesionitii IT din educaie prefer platforme Cloud privat, ei recunosc c acestea au limite i sunt deschii, astfel, la

Pagin 19 din 41

completarea lor cu servicii de Cloud public. De exemplu, unele servicii necesit un volum ridicat de cereri i o funcionare fr ntreruperi, cum ar fi optarea i nscrierea studenilor la anumite cursuri, acestea fiind candidate perfecte pentru servicii Cloud public. Platformele hibride Cloud au, de asemenea, beneficii puternice n actul de predare, instituia putnd suplimenta cu uurin instruirea din clas cu nvarea on-line.

Platformele Cloud comunitare sunt populare n special pentru partajarea rezultatelor cercetrilor i articolelor. Unele universiti lucreaz mpreun pentru a partaja spaiu de stocare i capacitile de procesare. Grupuri de universiti formeaz comuniti pentru a facilita proiecte comune n care schimbul de informaii este esenial.

Recomandari cheie Avnd n vedere utilizarea tot mai susinut a serviciilor Cloud de ctre departamentele academice, precum i necesitatea de a schimba comportamentul departamentelor IT aliniindu-l criteriilor de agilitate i productivitate oferite de aceste servicii, liderii tehnici din departamentele IT ale instituiilor din educaie trebuie s-i concentreze eforturile asupra a trei domenii principale: 1) trecerea de la organizarea departamentului IT (Informaion Technology) ctre noiunea de BT (Business Technology) pentru a consolida legturile cu departamentele academice 2) trecerea infrastructurii interne ctre o platforma de Cloud privat 3) adoptarea unei platforme Cloud hibrid n viitor. Specialitii IT din nvmntul superior trebuie s:

recunoasc faptul c departamentul IT nu mai este centrul de tehnologie al universitii. Departamentul IT trebuie s devin mai orientat spre funcional i s acioneze ca o resurs pentru departamentele academice i organizaionale ale universitii. Astfel, acesta trebuie s dispuna de relaii puternice cu comunitatea academic i s migreze de la furnizarea de capabiliti de tehnologie ctre o poziie de consiliere i consultan cu privire la modul n care tehnologiile pot mbunti misiunea academic.

nceap cltoria spre platformele Cloud privat cu o nelegere a ceea ce face un Cloud privat. Virtualizarea nu este echivalent cu o platform Cloud. Acest lucru are implicaii operaionale mai mari dect tehnologia n sine. Arhitectura platformei de Cloud privat ar trebui s fie n aa fel gndit nct s poat oferi o soluie care s ofere o experien de utilizare similar cu soluiile Cloud publice.

verifice serviciile Cloud. Instituiile trebuie s gseasc metodele potrivite pentru a testa capabilitile i performanele platformei Cloud alese. Testele pot conine scenarii care s verifice securitatea soluiei, rezistena la atacuri externe, protecia datelor, performana etc.

Sursa: Cloud Bursts Into Higher Education - A Forrester Consulting Thought Leadership Paper Commissioned By Cisco Systems 3.3 Impact la nivelul sectorului telecomunicaiilor O evoluie dramatic are loc n prezent n industria de telecomunicaii. Operatorii de telefonie mobil, fix i broadband precum i furnizorii de servicii din ntreaga lume opereaz pe infrastructuri de reea de telecomunicaii proprietare, nvechite i costisitoare. Creterea numrului i diversitii de dispozitive mobile care acceseaz reelele, nu numai pentru voce, ci i pentru multimedia i date, face ca traficul total s creasc, n timp ce ARPU (Average Revenue Per User) a rmas constant sau chiar este n scdere. Cuplat cu faptul c pentru aceste reele de telecomunicaii au fost construite o multitudine de aplicaii complexe, inflexibile, proprietare i specifice, precum i necesitatea de a servi ct mai multe companii, operatorii i furnizorii de echipamente trebuie s treac de la un model tradiional, nchis, ctre un cadru care este deschis, centrat pe consumator, care s permit dezvoltarea serviciilor mai rapid i cu costuri reduse.

Pagin 20 din 41

Platformele Cloud sunt o continuare natural a tendinei de virtualizare, tendin ce are o istorie care depete 15 ani. Acest trend a ajuns acum la un punct critic n care se poate crea i livra valoare de business. Aceast valoarea poate fi creat n trei direcii principale:

Eficientizarea fluxurilor i serviciilor actuale Crearea de noi modele pentru furnizarea serviciilor curente Crearea n ntregime de noi modele i servicii.

O mare varietate de juctori n domeniul telecomunicaiilor se grbete s exploateze aceste oportuniti de afaceri n ecosistemul Cloud. Furnizorii de top (Google i Amazon), integratorii de sistem, furnizorii de servicii i infrastructuri de Cloud, precum i alte companii, par dornici de a apuca o felie din plcinta Cloud. De asemenea, furnizorii de servicii de comunicaii (ISP) au recunoscut platformele Cloud ca surs de noi venituri. O parte important dintre ei deja a fcut din serviciile de Cloud o parte integrant din strategia lor de afaceri. Ca furnizori de reele interconectate, companiile ISP au un avantaj unic fa de ali juctori din piaa Cloud i pot juca un rol-cheie n crearea de valoare pe partea tehnologiilor Cloud. Dei, doar cteva companii ISP genereaz o valoare semnificativ din servicii Cloud, acest lucru se va schimba dramatic n urmtorii ani. Companiile din domeniul telecomunicaiilor sunt n mod activ n cutarea de noi modele de servicii n Cloud. Ceea ce noi numim acum Cloud Computing este rezultatul unei evoluii naturale din adoptarea pe scar larg a noiunilor de virtualizare i arhitectur orientat spre servicii. Platformele Cloud sunt o evoluie n administrarea infrastructurii din centrele de date, n care conceptele au evoluat de la capacitatea de a gestiona hardware eterogen, software, aplicaii - nti n cadrul centrului de date, apoi la nivel de companie, iar acum cu platformele Cloud, la nivelul mai multor companii simultan. Platformele Cloud pot fi considerate ca un sistem de management recunoscut pentru capacitile sale tehnologice, i este vzut de muli ca un scop n sine. Din acest punct de vedere, Cloud Computing poate servi ca bun de larg consum pentru optimizarea IT. Prin studiul nostru, am descoperit c firmele ISP - att mari ct i cele mici, n toate zonele geografice adopt tehnologii Cloud ca o modalitate de a merge mai departe. Mai mult de trei sferturi dintre companiile ISP (n sondajul nostru) au indicat c au pilotat, adoptat sau implementat tehnologii Cloud n organizaiile lor. 94% dintre respondeni se ateapt s fac acest lucru n urmtorii trei ani. Numrul de respondeni ISP care au implementat tehnologii sau platforme Cloud este de ateptat s creasc brusc de la 11% n prezent la 41% n urmtorii trei ani. Acest nivel de adoptare a platformelor Cloud nu se limiteaz la companiile ISP mari. Studiul de fa a artat c n timp ce un procent mai mare de companii ISP (cele cu venituri anuale mai mari de 20 de miliarde de USD), piloteaz tehnologii Cloud, companiile ISP mici nu au rmas afar din joc. De fapt, 53% dintre companiile ISP cu venituri mai puin de 1 miliard de dolari i 90% din cei cu venituri ntre 1 miliard USD i 20 de miliarde de USD, au adoptat Cloud intr-o anumit msur. n comparaie cu organizaii din alte industrii, companiile ISP investesc la rndul lor n servicii Cloud pentru a realiza noi surse de venit. Potrivit Informas Telecom Cloud Monitor, numrul de companii ISP care ofer spre vnzare servicii Cloud, a crescut de la aproximativ 60 n 2009 la mai mult de 140 n primul trimestru al 2012. Mai mult, companiile ISP din ntreaga lume au cheltuit aproape 14 miliarde de USD pe implementare de tehnologii Cloud n 2011. Prognozele pentru piaa totala Cloud sunt foarte diverse, dar ele arat n mod constant c, n general, cheltuielile pe tehnologii Cloud sunt n cretere. Sursa: The natural fit of Cloud with Telecommunications, IBM Global Business Services, Executive Report 3.4 Impact la nivelul sistemului de sntate n comparaie cu alte industrii, sistemul de sntate are o tehnologie care este subutilizat i care ar putea s contribuie la mbuntirea eficienei operaionale. Majoritatea sistemelor medicale se bazeaz pe arhivele medicale vechi, scrise pe hrtie. Informaiile care sunt digitalizate nu sunt de obicei portabile, inhibnd partajarea informaiilor n rndul diverilor actori din domeniul sanitar. Utilizarea tehnologiei pentru a facilita colaborarea dintre medici i pacieni i ntre comunitile medicale este limitat.

Pagin 21 din 41

Industria sanitar trece spre un model de asigurare a ngrijirii medicale centrate pe informaii, permis parial de standardele deschise care susin cooperarea, fluxurile de lucru cooperative i partajarea informaiilor. Cloud Computingul asigur o infrastructur care permite spitalelor, cabinetelor medicale, companiilor de asigurri i facilitilor de cercetare s dein resurse computaionale mbuntite, cu cheltuieli de capital mai reduse. Cloud Computing-ul satisface cerinele tehnologice cheie ale industriei medicale:

permite accesul la cerere la bazele de date i facilitile mari de stocare care nu sunt furnizate n mod tradiional n mediile IT.

susine seturile mari de date pentru arhivele electronice din domeniul sntii (EHR - Electronic Health Record), imaginile radiologice i datele genomice (o sarcin dificil - de la departamentele IT are spitalelor).

faciliteaz partajarea EHR ntre medicii autorizai i spitalele din diverse zone geografice, asigurnd acces mai rapid la informaii i reducnd nevoia de a duplica testele.

mbuntete capacitatea de a analiza i urmrii informaiile (cu guvernan adecvat a informaiilor), astfel nct datele cu privire la tratamente, costuri, performan i studii de eficien s fie analizate i utilizate.

Datele din sistemul sanitar au cerine stringente de securitate, confidenialitate, disponibilitate pentru utilizatorii autorizai, trasabilitate de acces, reversibilitatea datelor i pstrare pe termen lung. De aceea, vnztorii de Cloud trebuie s in cont de acestea toate n timp ce respect reglementrile industriale i guvernamentale. Problemele de transformare a sistemelor IT n sisteme interoperabile au ntrziat creterea Cloud Computingului n industria sanitar. Cnd se are n vedere o mutare ctre Cloud Computing, actorii din domeniul sanitar (cabinete medicale, faciliti de cercetare, spitale etc.) trebuie s in cont de tipul de aplicaii care se mut n Cloud (aplicaii clinice i neclinice). Aplicaiile clinice sunt formate din EHR, introducerea de date de ctre medici, i software pentru utilizare imagistic i farmacologic. Aplicaiile neclinice includ managementul ciclului de venituri, facturarea ctre pacieni, gestionarea tatelor de plat, contabilizarea costurilor i gestionarea revendicrilor. Actorii din sistemul de sntate trebuie s aib n vedere modelul serviciului Cloud (IaaS - Infrastructure as a Service, PaaS - Platform as a Service, sau SaaS Software as a Service) care se adreseaz cel mai bine cerinelor business. n multe cazuri, SaaS, cu modelul business de plat la utilizare, va fi opiunea economic cea mai atractiv, mai ales pentru cabinetele medicale mici, deoarece nevoia pentru personalul IT cu norm ntreag este eliminat mpreun cu cheltuielile de capital asociate cu sistemul hardware, sistemele de operare i software. PaaS este opiunea viabil pentru instituiile sanitare care au resurse de a dezvolta propriile soluii pe baz Cloud. Pentru instituiile sanitare care caut o infrastructur mai scalabil, IaaS ofer o soluie la cheie mai eficient din punctul de vedere al costurilor care asigur scalabilitate cu flexibilitate, securitate, acorduri de nivel de servicii definite, salvarea i protecia datelor. Beneficiile Cloud Computing pentru sistemul de sntate Centricitatea pacientului a devenit tendina cheie n furnizarea sistemului de sntate i conduce la dezvoltarea constant n adoptarea nregistrrilor medicale electronice (EMR), a nregistrrilor electronice privind sntatea (EHR), a nregistrrilor personale privind sntatea (PHR) i tehnologiilor legate de ngrijirea medical integrat, sigurana pacientului, accesul punctelor de intervenie la informaiile demografice i clinice i suportul decizional clinic. Disponibilitatea datelor, fr a lua n considerare locaia pacientului i a medicului, a devenit cheia att pentru satisfacerea pacientului, ct i pentru rezultatele clinice mbuntite. Tehnologiile Cloud pot facilita n mod semnificativ aceast tendin. Cloud Computing ofer beneficii semnificative pentru sectorul sistemului de sntate: clinicile i spitalele solicit au acces rapid la sistemul computerizat i faciliti mari de depozitare care nu sunt furnizate n configuraiile standard din domeniul IT. Mai mult dect att, datele referitoare la sistemul de sntate trebuie distribuite n diverse zone geografice, cauznd ntrzieri semnificative n tratament i pierdere de timp. Cloud-ul nglobeaz toate aceste cerine, furniznd astfel organizaiilor din sistemul de sntate o ans incredibil de mbuntire a serviciilor pentru clienii i pacienii lor, de distribuire a informaiilor cu mai mult uurin i de mbuntire a eficienei operaionale n acelai timp.

Pagin 22 din 41

Cercetarea Clinic. Numeroi comerciani de produse farmaceutice ncep s apeleze la Cloud pentru mbuntirea cercetrii i dezvoltarea industriei de medicamente. Importana din ce n ce mai mare a produselor biologice n procesul de cercetare fac din Cloud-based Computing un aspect deosebit de important al R&D cercetare / dezvlotare. n prezent, companiile farmaceutice nu au capacitatea de a rula seturi mari de date - ndeosebi determinarea secvenei ADN - deoarece dimensiunea datelor poate depi capacitatea calculatoarele lor. nregistrri Medicale Electronice. Spitalele i medicii ncep s ia n considerare evidenele medicale din bazele Cloud i serviciile de arhivare a imaginilor medicale, care sunt furnizate online. Obiectivul const n descrcarea de sarcini a departamentele IT ale spitalului i permiterea lor de a se concentra asupra susinerii altor elemente deosebit de importante (ex. adoptarea EMR i a sistemelor clinice mbuntite de susinere). Telemedicin. Prin creterea disponibilitii tehnologiilor mobile i a dispozitivelor medicale inteligente, telemedicina s-a dezvoltat, incluznd nu numai tele-consultaii i tele-operaii, dar i schimb de nregistrri medicale, videoconferine i monitorizare la domiciliu. Big Data. Organizaiile de sntate revin la cloud computing pentru economisirea costurilor de stocare a hardware-ului pe plan local. Cloud-ul pstreaz seturi mari de date pentru EHR-uri, imagini radiologice i date genomice pentru testrile clinice ale medicamentelor. ncercarea de a distribui EHR n diverse zone geografice fr beneficiile de depozitare cloud, poate amna tratarea pacienilor. Analitic. Cloud computing faciliteaz practica, iar informaiile i observaiile la scara populaiei sunt disponibile aproape n timp real. Aceast disponibilitate asigur cele mai actuale i complete observaii, iar cunotinele clinice sunt disponibile pentru susinerea deciziilor referitoare la furnizorul de servicii medicale i pentru a permite concentrarea asupra crerii valorii legate de mbuntirea rezultatelor, mai degrab dect asupra consumului. Informaiile cuprinse n Cloud pot fi, de asemenea, mai bine analizate i evaluate (prin guvernarea corect a informaiilor) astfel nct datele referitoare la studiile privind tratamentele, costurile, performana i eficacitatea, pot fi analizate i se poate conta pe acestea. 4. Securitatea n Cloud 4.1 Vulnerabiliti Pentru a identifica cele mai importante vulnerabiliti legate de securitatea Cloud, CSA a efectuat un sondaj printre experii din domeniu. Pe baza acestui studiu s-a ntocmit raportul final pentru anul 2013, raport n care au fost identificate urmtoarele nou probleme critice ale securitii Cloud, prezentate n ordinea severitatii lor:

a) Compromiterea securitii datelor b) Pierderea datelor c) Piratarea conturilor sau a serviciilor d) Nesigurana API-urilor e) Blocarea serviciilor Cloud f) Persoane ru-intenionate din interiorul sistemului g) Abuz asupra serviciilor Cloud h) Insuficienta investigare i implicare (duediligence) i) Probleme cu tehnologiile distribuite

Astfel, acest raport servete drept un ghid bine pus la punct de identificare a vulnerabilitilor i care va ajuta att utilizatorii ct i furnizorii Cloud n a lua decizii n cunotin de cauz cu privire la diminuarea riscului ntr-un sistem Cloud. Acest studiu ar trebui s fie utilizat mpreun cu ghidurile celor mai bune practici, "Ghidul de securitate pentru zone critice n Cloud Computing V.3" i "Securitatea vzut ca un Ghid de implementare a unui serviciu." mpreun, aceste documente vor oferi indicaii preioase pentru alctuirea unor strategii complexe i adecvate securitii Cloud.

Pagin 23 din 41

4.1.1 Inclcarea securitii datelor Una dintre principalele preocupri ale oricrui CIO este c datele interne, senzitive i secrete ar putea ajunge n minile concurenei. Chiar dac aceast problem a existat i nainte de apariia calculatorului, tehnologia Cloud aduce cu ea numeroase alte ci de atac asupra informaiei. n noiembrie 2012, cercettorii de la Universitatea din Carolina de Nord, Universitatea din Wisconsin i corporaia RSA au lansat un document care descrie modul n care o main virtual ar putea folosi un canal ascuns de informaii pentru a extrage cheile private criptografice i a le folosi n alte maini virtuale de pe acelai server fizic. n cele mai multe cazuri ns, un atacator nu va trebui s mearg att de departe, adic pn la compromiterea cheilor de criptare. Dac un serviciu Cloud care deservete mai muli clieni nu este proiectat corespunztor, atunci un defect sau o vulnerabilitate ntr-una din aplicaiile unui client ar putea permite escaladarea drepturilor de acces ale unui atacator nu doar la datele clientului respectiv, dar i a datelor altor clieni. Consecine Dei att pierderea ct i scurgerea de date reprezint n egal msur ameninri serioase pentru un sistem Cloud, din pcate msurile pe care le putem lua pentru adresarea uneia ar putea-o agrava pe cealalt. Mai exact, prin criptarea informaiilor se reduce impactul nclcrii securitii datelor, ns, n eventualitatea pierderii cheilor de decriptare se vor pierde de asemenea exact datele ce trebuiau protejate. n mod similar, dac s-ar decide pstrarea unei copii locale necriptate a datelor pentru a reduce impactul unei astfel de pierderi, atunci ar crete ansele unei scurgeri a datelor. 4.1.2 Pierderea datelor Att pentru consumatori ct i pentru marile organizaii, perspectiva pierderii permanente de informaii este ngrijortoare. Desigur, datele stocate n Cloud pot fi pierdute i din alte motive. Orice tergere accidental din partea furnizorului de Cloud, sau mai ru, un dezastru natural cum ar fi un incendiu sau un cutremur, ar putea duce la pierderi definitive ale datelor clienilor, cu excepia cazului n care furnizorul pstreaz copii ale acelor date. n plus, sarcina de a evita pierderea informaiilor nu este doar a furnizorului. De exemplu, dac un client ii cripteaz datele nainte de a le stoca n Cloud i pierde cheia de decriptare, atunci acele date vor fi pierdute, iar vina este a clientului. Consecine Conform noilor norme UE privind protecia datelor, distrugerea i coruperea datelor cu caracter personal sunt considerate forme de inclcare a securitii datelor i necesit a fi notificate ctre organele competente. n plus, multe dintre politicile de conformitate solicit organizaiilor s pstreze nregistrri sau alte documente de audit. n cazul n care o organizaie stocheaz aceste date n Cloud, pierderea lor ar putea pune n pericol gradul de conformitate a organizaiei. 4.1.3 Piratarea conturilor sau a serviciilor Deturnarea conturilor sau a serviciilor nu este ceva nou. Metode de atac precum phishing-ul, frauda i exploatarea vulnerabilitilor software sunt nc folosite i funcioneaz. Credenialele i parolele sunt adesea refolosite, ceea ce amplific impactul unor astfel de atacuri. n acest context, soluiile Cloud vin ca o nou ameninare. Un atacator care obine acces la datele unei persoane sau unei organizaii i poate urmri activitile i tranzaciile, i poate manipula datele, i poate rspunde cu informaii false i i poate redireciona clienii la site-uri ilegale. Astfel, un cont sau un serviciu piratat poate deveni un punct de plecare pentru a lansarea unor atacuri ulterioare. n aprilie 2010, datorit unei vulnerabiliti de securitate (Cross-Site Scripting XSS), site-ul web Amazon a fost inta unui atac ce a permis atacatorilor s obin acces la credenialele site-ului. n 2009, multe sisteme Amazon au fost piratate i deturnate pentru a rula ca noduri de rspndire a botnetului Zeus.

Pagin 24 din 41

Consecine Piratrile de conturi i de servicii, de obicei reuite prin obinerea credenialelor de acces, rmn o ameninare de top. Astfel, atacatorii pot accesa de mai multe ori zonele critice ale serviciilor Cloud, permindu-le s compromit confidenialitatea, integritatea i disponibilitatea acestor servicii. Organizaiile ar trebui s fie contiente de aceste tehnici, precum i de strategiile de protecie mpotriva lor, pentru a limita daunele rezultate dintr-o astfel de bre de securitate. Organizaiile ar trebui s interzic schimbul de credeniale ntre utilizatori i servicii, i s foloseasc tehnici puternice de autentificare acolo unde este posibil. 4.1.4 Interfete i API nesigure Furnizorii de Cloud propun un set de interfee software (API) pe care clienii le folosesc pentru a interaciona i a gestiona serviciile Cloud. Prin urmare, securitatea i disponibilitatea serviciilor Cloud sunt dependente de securitatea acestor interfee de baz. ncepnd cu autentificarea i controlul accesului i terminnd cu criptarea i monitorizarea activitii, aceste interfee trebuie concepute astfel nct s protejeze att mpotriva accidentelor ct i a aciunilor ru-voitoare. Mai mult, organizaii i pri tere se bazeaz adesea pe aceste interfee pentru a oferi servicii de valoare clienilor lor. Aceasta duce la o complexitate mrita a acestor interfee; de asemenea, crete riscul deoarece organizaiile ar putea fi obligate s mpart credenialele cu tere pri care implementeaz aceste API-uri. Consecine n timp ce majoritatea furnizorilor fac eforturi pentru a garanta securitatea serviciului, este foarte important ca utilizatorii acelor servicii s neleag implicaiile legate de securitate vizavi de folosirea, administrarea, orchestrarea i monitorizarea serviciilor Cloud. 4.1.5 Blocarea serviciilor (DoS, DDos) Blocarea serviciilor este un atac menit s mpiedice utilizatorii unui serviciu Cloud s acceseze propriile date sau aplicaii. Prin forarea serviciului s foloseasc ct mai multe resurse cum ar fi puterea procesorului, memoria, spaiul pe disc sau banda de reea, atacatorul (sau atacatorii, dac vorbim despre o blocare de serviciu distribuit) provoac o ncetinire considerabil a sistemului, mergnd pn la lipsa unui rspuns, ceea ce duce la confuzia i chiar furia utilizatorului. Desi atacurile de tip DDoS tind s genereze multa teama i atentie din partea mass-media (mai ales cnd autorii acioneaz n numele unei idei politice hactivism), acestea nu reprezint singura forma de blocare a unui serviciu. Atacuri la nivel de aplicatii pot