Saturday, February 15, 2014

ข้อควรพิจารณาในการเลือกผู้ให้บริการคลาวด์ (Cloud Service Provider) ตอนที่ 1




การใช้บริการไอซีทีจากบุคคลภายนอกรวมทั้งการใช้บริการ Business Process Outsourcing (BPO) ในรูปแบบบริการคลาวด์นับวันจะเพิ่มมากขึ้น เพราะเป็นแนวทางใช้เทคโนโลยีที่มีความเหมาะสมในหลาย ๆ ด้านที่ธุรกิจไม่สามารถมองข้ามได้ การใช้บริการคลาวด์เป็นเรื่องใหม่ที่จำเป็นต้องมีหลักยึดเพื่อช่วยพิจารณาว่าถึงเวลา หรือสมควรหรือไม่ที่จะเปลี่ยนจากการลงทุนในไอซีทีมาเป็นใช้บริการคลาวด์แทน และเมื่อใช้แล้วต้องปฏิบัติอย่างไรจึงมีความปลอดภัย หรือความเสี่ยงน้อยที่สุด โดยทั่วไปหลักที่ใช้เพื่อการพิจารณาหลัก ๆ ประกอบด้วย

1.         พิจารณาจากคุณค่าที่พึงจะได้รับ ซึ่งอาจหมายถึงการลดค่าใช้จ่าย  การพัฒนากระบวนการทำงานใหม่ที่ดีกว่า การสร้างนวัตกรรมที่สามารถบริการลูกค้าได้ดีกว่า เป็นต้น
2.         องค์กรมีความรู้ความเข้าใจในเรื่อง Cloud Computing ดีระดับเพียงพอที่จะกำหนดยุทธศาสตร์ด้านไอซีทีที่เหมาะสมกว่า และมีความเข้าใจความเสี่ยง (Risk exposure) ต่าง ๆ ที่อาจเกิดจากการใช้บริการคลาวด์  และพร้อมที่จะกำหนดมาตรการในการจัดการและลดความเสี่ยงในสถานการณ์ต่าง ๆ ได้

อย่างไรก็ตาม ก็ยังมีความกังวลในเรื่องความมั่นคงปลอดภัยเกี่ยวกับข้อมูล และคุณภาพ และ Performance ที่ยังคาใจอยู่ในกลุ่มผู้ใช้ เพราะไม่สามารถหาคำตอบที่ชัดเจนได้ หลายคนเสาะหาข้อแนะนำเพื่อเป็นแนวทางสำหรับเลือกผู้ให้บริการ (Service provider) เพื่อให้มั่นใจว่าจะได้ผู้ให้บริการที่ปลอดความเสี่ยงและให้บริการอย่างมีคุณภาพได้ บทความนี้ต้องการหาคำตอบให้ผู้ที่กำลังจะใช้บริการคลาวด์ในระดับหนึ่ง โดยแบ่งประเด็นการนำเสนอเป็น 3 หัวข้อคือ 1) ข้อคิดการเลือกผู้ให้บริการ 2) ข้อที่พึงตระหนักเกี่ยวกับความมั่นคงปลอดภัยของข้อมูล และ 3) ข้อคิดในการทำสัญญาบริการ

1.         ข้อคิดในการเลือกผู้ให้บริการ
ผู้ให้บริการคลาวด์มีมากมาย ทั้งขนาดยักษ์และขนาดจิ๋ว ทั้งจากต่างประเทศและในประเทศ ผู้ใช้ต้องมีความรอบคอบที่จะคัดเลือกผู้ให้บริการที่เหมาะสม ในกระบวนคัดเลือกผู้ให้บริการนั้นอย่างน้อยต้องทำ Due Diligence ในตัวผู้ให้บริการเพื่อให้มั่นใจว่ามีมั่นคง จะไม่ล้มหายตายจากไปภายในปีสองปี การประเมินความมั่นคงของผู้ให้บริการนั้น ให้ศึกษาจากผลประกอบการว่ามีความมั่นคงทางการเงินเพียงใด แนวทางและรูปแบบธุรกิจมีโอกาสจะเติบโตและแข่งขันอย่างยั่งยืนได้เพียงใด การเปลี่ยนมาใช้บริการคลาวด์จากบุคคลภายนอก เท่ากับบริษัทกำลังฝากความสำเร็จให้กับผู้ให้บริการคลาวด์ ถ้าผู้ให้บริการมีปัญญา จะส่งผลกระทบต่อธุรกิจของเราอย่างหลีกเลี่ยงไม่ได้ เนื่องจากข้อกังวลของผู้ใช้บริการคลาวด์ยังอยู่ในประเด็นของความมั่นคงปลอดภัยของข้อมูล และคุณภาพและ Performance ของการให้บริการระบบไอซีที ความสำเร็จของผู้ให้บริการจึงอยู่บนพื้นฐานว่าได้ลงทุนในเรื่องดังกล่าวมากน้อยเพียงใด โดยเฉพาะได้ลงทุนในบุคลากรเกี่ยวกับเรื่องนี้ดีเพียงใด
วิธีหนึ่งที่นิยมทำกันคือ ให้ผู้ใช้จัดเตรียมร่าง เอกสารเชิญชวนยื่นข้อเสนอ (Request for proposal (RFP) ที่ค่อนข้างเป็นมาตรฐานไว้ล่วงหน้า โดยให้ผู้ยื่นข้อเสนอส่งมอบข้อมูลที่ใช้วิเคราะห์สถานะของบริษัทในเรื่องเกี่ยวกับความมั่นคงทางการเงิน  ความเป็นไปได้ในรู้แบบธุรกิจ (Business model viability) และด้านความพร้อมเกี่ยวกับความมั่นคงปลอดภัยของข้อมูล และการให้บริการอย่างมีคุณค่าและมี Performance ที่ดี
ผู้ที่ไม่มีประสบการณ์ใช้บริการคลาวด์มักจะพบปัญหาว่าไม่สามารถกำหนดระดับความเสี่ยง หรือระดับคุณภาพบริการที่ควรได้รับจากคลาวด์ในบริบทของตนเอง การกำหนดเงื่อนไขในเอกสารเชิญชวนยื่นข้อเสนอ (Request for proposal (RFP) จึงทำได้ยากในระยะแรก วิธีที่ดีคือให้เริ่มทดลองใช้บริการเล็ก ๆ เป็นโครงการนำร่อง (Pilot project) ก่อนเพื่อการเรียนรู้ การมีโอกาสได้สัมผัสกับบริการคลาวด์จริงจากผู้ให้บริการ ทำให้ผู้ใช้เริ่มเรียนรู้จุดอ่อนจุดแข็งของตนเองและผู้ให้บริการในบริบทของบริการคลาวด์ เข้าใจระดับความเสี่ยงที่คาดว่าจะได้รับ และเข้าใจผลกระทบที่อาจเกิดจากการบริการที่ด้อยคุณภาพ การเรียนรู้จากโครงการนำร่อง จะนำไปสู่การพัฒนาเงื่อนไขที่นำมาใช้กำหนดในเอกสารเชิญชวนยื่นข้อเสนอ (Request for proposal (RFP) สำหรับโครงการใหญ่ต่อไป

2.         ข้อที่พึงตระหนักเกี่ยวกับความมั่นคงปลอดภัยของข้อมูล
ความมั่นคงปลอดภัยของข้อมูลยังเป็นข้อกังวลในใจอันดับแรกของผู้ใช้บริการคลาวด์ ในยุคที่องค์กรยังประมวลผลจากศูนย์คอมพิวเตอร์ของตนเอง ได้สร้างกำแพง หรือ Fire wall ล้อมรอบระบบคอมพิวเตอร์ไว้อย่างแน่นหนาเพื่อกันการบุกรุกจากบุคคลที่ไม่พึงปรารถนาจากภายนอก บังเกิดความสบายใจและรู้สึกปลอดภัย แต่เมื่อถึงคราเปลี่ยนมาประมวลผลจากศูนย์บริการคลาวด์ผ่านอินเทอร์เน็ต ความไม่มั่นใจในความปลอดภัยของข้อมูลไม่เพียงเกิดจากการนำข้อมูลไปประมวลผลในอุปกรณ์ของบุคคลที่สาม แต่โดยโครงสร้างของระบบ Cloud Computing ผู้ใช้ไม่มีทางรู้ว่า ณ ขณะใดขณะหนึ่ง ข้อมูลถูกประมวลผลจากเครื่องคอมพิวเตอร์ชุดใด ในประเทศใด และข้อมูลจะถูกจัดเก็บไว้ในฐานข้อมูล ณ แห่งหนใด ซึ่งเป็นเรื่องไม่น่าแปลงใจที่เจ้าของข้อมูลต้องเกิดความกังวล
ในเรื่องนี้ การ์ตเนอร์ได้แนะนำให้ผู้ใช้สอบถามจากผู้ให้บริการ 7 เรื่อง[1] เพื่อประกอบการประเมินศักยภาพของผู้ให้บริการในเรื่องรักษาความมั่นคงปลอดภัยข้อมูล เพื่อให้รู้ว่า ตนเองจะมีความเสี่ยงระดับใด และจะต้องหามาตรการแก้ไขล่วงหน้าอย่างไรเมื่อเลือกผู้ให้บริการนี้แล้ว
1)        การเข้าถึงของผู้ที่มีสิทธิพิเศษ (Privileged user access)
ให้ถามผู้ให้บริการว่า มีมาตรการอย่างไรในการจัดการให้เจ้าหน้าที่ของผู้ให้บริการเข้าถึงข้อมูลของลูกค้า โดยเฉพาะเงื่อนไขการให้สิทธิ์ในการเข้าถึงฐานข้อมูลแก่เจ้าหน้าที่ของผู้ให้บริการที่ทำหน้าที่จัดการระบบฐานข้อมูลและระบบงาน
2)        การปฏิบัติตามกฎระเบียบ (Regulatory compliance)
ธุรกิจบางประเภทจำเป็นต้องปฏิบัติตามกฎระเบียบของทางราชการเพื่อปกป้องความลับข้อมูลส่วนบุคคลและประโยชน์ของผู้บริโภค เช่นธนาคาร โรงพยาบาล บริษัทมหาชน ฯลฯ เมื่อธุรกิจเหล่านี้ใช้บริการคลาวด์จากบุคคลที่สาม การรับผิดในเรื่องนี้ก็ยังตกเป็นภาระของธุรกิจ อย่างไรก็ตาม ผู้ให้บริการคลาวด์ต้องมีมาตรการช่วยปกป้องไม่ให้เกิดปัญหาแก่ผู้ใช้บริการ โดยเจ้าหน้าที่ของผู้ให้บริการอาจจำเป็นต้องผ่านการฝึกอบรมในเรื่อง Regulatory compliance อย่างดี และอาจถึงขั้นต้องผ่านการรับรองเรื่องเกี่ยวกับ Security  (Security certification) จากสถาบันที่น่าเชื่อถือ
3)        การระบุตำแหน่งของข้อมูล (Data location)
ผู้ให้บริการคลาวด์บางรายอาจมีศูนย์คอมพิวเตอร์กระจายอยู่ประเทศต่าง ๆ ทั่วโลก ผู้ใช้จะไม่มีโอกาสได้รู้ว่าข้อมูลของตนกระจายไปอยู่ในศูนย์คอมพิวเตอร์ของประเทศใด หลายประเทศมีกฎหมายว่าด้วยการคุ้มครองข้อมูลส่วนบุคคล และมีเงื่อนไขห้ามการโยกย้ายข้อมูลไปในประเทศที่ไม่กฎหมายคุ้มครอง หรือไม่ให้โยกย้ายเลย ผู้ใช้อาจต้องถามผู้ให้บริการว่า สามารถให้บริการโดยมีข้อมูลอยู่ภายในประเทศ หรือในประเทศที่กำหนดได้หรือไม่
4)        การแยกข้อมูลจากลูกค้าหลายคน (Data segregation)
หลักการทำงานของ Cloud computing คือการ Share resources หรือแบ่งปันใช้ทรัพยากรคอมพิวเตอร์ร่วมกัน เมื่อเป็นเช่นนี้ ระบบซอฟต์แวร์ที่ให้บริการแบบ Software as a Service มักถูกออกแบบให้ข้อมูลของลูกค้าทุกรายใช้ฐานข้อมูลร่วมกัน แต่อาศัยมาตรการทางเทคนิคเพื่อการแยกข้อมูลออกจากกัน และเพื่อความปลอดภัย ผู้ให้บริการอาจจะใช้เทคนิคเข้ารหัส (Encryption) เพื่อการแยกข้อมูลระหว่างกันอย่างปลอดภัย ผู้ใช้อาจต้องเรียนรู้วิธีเข้ารหัสที่ผู้ใช้นำมาใช้กับข้อมูลของตน และต้องพิสูจน์ว่าเป็นวิธีที่มีความปลอดภัย เนื่องจากเทคนิคเข้ารหัสที่ไม่มีศักยภาพอาจทำให้ข้อมูลเสียหาย หรือถูกทำลายจนแก้ไขไม่ได้
5)        การกู้คืนข้อมูล (Recovery)
เพื่อป้องกันการหยุดชะงักของธุรกิจที่อาจเกิดจากระบบคอมพิวเตอร์ล้มเลวหรือเสียหายอันเกิดจากภัยพิบัติ ในกรณีที่ทำงานกับศูนย์คอมพิวเตอร์ของตนเอง มักจะใช้มาตรการทำสำเนาฐานข้อมูลไว้เป็นประจำ และกำหนดวิธีแก้ไขกู้คืนข้อมูลรวมทั้งระบบงานได้ ในกรณีใช้บริการคลาวด์ ผู้ใช้ต้องมั่นใจว่าผู้ให้บริการมีมาตรการในการแก้ไขเหตุอันไม่คาดคิดที่เป็นอันตรายต่อระบบงานและระบบข้อมูลของผู้ใช้บริการ ให้ถามผู้ให้บริการว่า เขามีมาตรการอย่างไรในการจัดทำระบบสำรองข้อมูล และมีวิธีกู้คืนระบบงานและระบบข้อมูลอย่างไร โดยเฉพาะกรณีที่บริการจากศูนย์คอมพิวเตอร์ในหลาย ๆ ประเทศ  ถ้าเป็นไปได้ ให้ผู้ให้บริการสัญญาว่าจะสามารถกู้คืนระบบงานและระบบข้อมูลสู่สภาวะปกติภายในเวลาที่กำหนด
6)        การตรวจสอบหรือสืบสวนในกรณีที่เกิดการกระทำมิชอบ (Investigative support)
การแกะรอยการกระทำผิดกับงานที่ใช้บริการคลาวด์นั้นทำได้ยากมาก เนื่องจากระบบงานและระบบข้อมูลมีโอกาสถูกแยกกระจายไปอยู่หลาย ๆ แห่งที่เชื่อมโยงกันผ่านอินเทอร์เน็ต การสืบสวนสอบสวนเมื่อเกิดการแฮก (Hack) จึงเกือบทำไม่ได้เลย ให้ถามผู้ให้บริการว่ามีมาตรการแก้ไขอย่างไร ถ้าคำตอบนั้นไม่ชัดเจน ผู้ใช้ต้องยอมรับว่าเป็นความเสี่ยงที่ต้องพึงระวัง และหามาตรการเยี่ยวยาเพื่อบรรเทาความเสียหายในระดับที่ยอมรับได้ด้วยตนเอง
7)        ความมั่นคงในตัวผู้ให้บริการ (Long-term viability)
ถึงแม้จะระมัดระวังคัดเลือกผู้ให้บริการที่มีความมั่นคงและบริการอย่างมีคุณภาพได้ แต่ก็ไม่มีใครรับรองได้ว่าผู้ให้บริการจะไม่ล้มละลายหรือถูกยึดครองโดยบริษัทอื่น สิ่งที่ผู้ใช้สามารถป้องกันได้ คือกำหนดมาตรการแก้ไขด้วยวิธีการให้ผู้ให้บริการสัญญาจะมอบข้อมูลคืนเพื่อนำไปใช้กับศูนย์บริการอื่นได้ ดังนั้น ผู้ใช้ต้องถามผู้ให้บริการว่ามีวิธีการส่งคืนข้อมูลได้ด้วยวิธีใด และเป็นรูปแบบใด เพื่อจะได้เตรียมตัวล่วงหน้าในการโอนถ่ายข้อมูลไปทำงานกับระบบงานอื่นเมื่อมีความจำเป็นโดยไม่เกิดความเสียหาย


ในตอนหน้าจะพูดถึงเรื่องข้อคิดในการทำสัญญาบริการ โดยเฉพาะเรื่องเกี่ยวกับ SLA ครับ


[1] Gartner, Assessing the Security Risks of Cloud Computing, June 2008.