Planując przejście w rozwiązania chmurowe należy określić aktywa, które będą podlegały migracji. Warto zatem przypomnieć co oznacza definicja aktywa…
Nawiązując do słownika pojęć zawartych w normie ISO/IEC 13335-1:2004 i powtórzonych w normie PN-ISO/IEC 27001:2007 aktywo to wszystko co ma wartość dla organizacji. A więc z najważniejszych w kontekście cloud computingu można wymienić procesy, w których dane są przetwarzane, funkcje jakie pełnią w organizacji, dane oraz aplikacje służące do ich przetwarzania. Ten etap można nazwać identyfikacją aktywów. Kiedy posiadamy zidentyfikowane aktywa możemy dokonać ich oceny pod kątem poufności, integralności i dostępności. Poufność odnosi się do stosowania rozwiązań kryptograficznych choć nie anonimizuje danych w sposób nieodwracalny. Warto też pamiętać, że w modelu IaaS klient usługi w chmurze, nie może polegać na rozwiązaniu szyfrowania oferowanym przez dostawcę usługi w chmurze, ale może zdecydować się na szyfrowanie danych osobowych przed wysłaniem ich do chmury. Również w zakresie komunikacji pomiędzy dostawcą usługi a klientem wymagane jest stosowanie autoryzacji i uwierzytelniania, natomiast pomiędzy ośrodkami wymiany danych komunikacja powinna być zaszyfrowana.
Integralność jest właściwością polegającą na zapewnieniu dokładności i kompletności aktywów co odnosząc wprost do danych oznacza, że są one prawdziwe i nie zostały złośliwie lub przypadkowo zmienione podczas przetwarzania, przechowywania lub przekazywania. Naruszeniu integralności danych przetwarzanych w chmurze można zapobiec lub je wykryć przy pomocy systemów służących wykrywaniu / zapobieganiu włamaniom (IPS/IDS) jako funkcji często występujących w urządzeniach klasy UTM.
Kolejną cechą jest dostępność tzn. właściwość bycia dostępnym i użytecznym na żądanie upoważnionego podmiotu. Zagrożeniem dla dostępności usług uruchomionych w środowisku chmurowym jest chociażby atak z wykorzystaniem DoS (odmowa usługi) dlatego administratorzy danych powinni zapewnić sobie prawo do kontroli w zakresie zastosowanych środków bezpieczeństwa w celu zapewnienia ciągłości działania w tym m.in.: łączy zapasowych, nadmiarowych zasobów oraz skutecznych mechanizmów wykonywania kopii zapasowych.
Kolejnym etapem będzie ocena modeli chmury, podczas której organizacja powinna rozważyć wybór pomiędzy chmurą prywatną, publiczną lub hybrydową. W każdym z tych rozwiązań nie wolno zapomnieć u umieszczeniu (lokalizacji) rozwiązania. Pierwszą grupą dostawców usług będą podmioty świadczące usług na terenie Europejskiego Obszaru Gospodarczego (EOG), są to kraje Unii Europejskiej oraz członkowie EFTA (z wyjątkiem Szwajcarii), tzn.: Norwegia, Liechtenstein, Islandia. Druga grupa dostawców to podmioty mające siedzibę w Stanach Zjednoczonych, które są zarejestrowane w ramach programu Safe Harbor (tzw. bezpieczna przystań). Dostawcę można sprawdzić z wykorzystaniem na przykład strony domowej programu pod adresem http://safeharbor.export.gov/list.aspx Przekazywanie danych do organizacji z USA przestrzegających zasad może odbywać się legalnie na mocy prawa UE, ponieważ organizacje będące odbiorcami są uznawane za zapewniające odpowiedni poziom ochrony dla przekazanych danych. Certyfikacja w ramach Safe Harbor nie może być uznana za wystarczającą przy braku solidnego wdrożenia zasad ochrony danych w środowisku cloud computingu, dlatego organizacja przekazująca dane powinna zwrócić się o dowody pokazujące, że odpowiednie zasady bezpieczeństwa są przestrzegane.
W odróżnieniu do przekazywania danych osobowych do państwa członkowskiego EOG, w przypadku przekazywania danych osobowych do państwa trzeciego, oprócz konieczności spełnienia ogólnych wymogów przewidzianych przez ustawę o ochronie danych osobowych, należy również dodatkowo wypełnić obowiązki nałożone przepisami rozdziału 7 ustawy o ochronie danych osobowych. Jeżeli nie zostały spełnione wymagania określone w art. 47 ust. 2 lub 3 ustawy, a państwo docelowe nie zapewnia odpowiednich standardów ochrony, przekazanie danych może mieć miejsce tylko po uzyskaniu zgody Generalnego Inspektora Ochrony Danych Osobowych, pod warunkiem, że administrator danych zapewni odpowiednie zabezpieczenia w zakresie ochrony prywatności oraz praw i wolności osoby, której dane dotyczą (art. 48 ustawy). Należy podkreślić, że rozpoczęcie przekazywania danych osobowych do państwa trzeciego, które nie zapewnia odpowiednich gwarancji ochrony danych osobowych jest możliwe dopiero po wydaniu pozytywnej decyzji przez Generalnego Inspektora. Decyzja ta nie legalizuje bowiem wcześniejszego przekazywania danych osobowych.
Na etapie wyboru dostawcy usług chmurowych warto przeprowadzić tzw. audyt drugiej strony, w którym będą uczestniczyć audytorzy klienta lub klient zleci audyt wyspecjalizowanej firmie w celu oceny jakości i bezpieczeństwa świadczonych usług dostawcy. W trakcie takiego audytu może zostać sprawdzona dokumentacji opisująca bezpieczeństwo przetwarzania i przechowywania danych, przegląd wypełnienia zobowiązań prawnych, regulacyjnych lub branżowych a także może zostać oceniona reputacja dostawcy pod kątem kondycji finansowej oraz opinii ubezpieczycieli a także innych podmiotów korzystających z jego usług. Na kompleksową ocenę powinny się składać następujące elementy:
a. sprawdzenie łańcucha dostaw,
b. zasady zarządzania incydentami,
c. planowanie ciągłości działania i usuwania skutków awarii,
d. jakość i bezpieczeństwo urządzeń kolokacji oraz backupu,
e. wewnętrzne oceny stosowania się do polityk, standardów i procedur,
f. miary i raportowanie efektywności i skuteczności kontroli,
g. autoryzowanie i koordynowanie testów z dostawcą.