Gartner Top 10 Strategic Technology Trends 2014

Mobile Device Diversity and Management

พวก Mobile Device กลายเป็นเรื่องธรรมของทุกคน ทุกคนสามารถเป็นเจ้าของได้ทั้ง Smart Phone และ Tablet และการนำอุปกรณ์ต่างๆ เหล่านี้มาใช้ในที่ทำงานก็เป็นเรื่องธรรมดาหรือที่เรียกว่า BYOD (Bring Your Own Device) เป็นการยากที่องค์จะบังคับไม่ให้พนักงานนำอุปกรณ์ต่างๆ เหล่านี้เข้ามาใช้ หากมองในอีกแง่มุมหนึ่งก็เป็นการเพิ่มประสิทธิภาพการทำงานของพนักงาน เรียกได้ว่าสามารถทำได้ทุกที่ทุกเวลา แต่หากมองในอีกแง่มุมหนึ่งก็คือเรื่องข้อมูลความลับขององค์กร มีโอกาสที่จะถูกเปิดเผยได้ง่ายขึ้น หรือไม่ก็เรื่องของ IT Security ในองค์กรที่มีโอกาสถูกโจมตีได้ง่ายขึ้นเพราะช่องทางการถูกโจมตีได้ถูกเปิดกว้างขึ้นโดย อุปกรณ์ต่างๆ เหล่านี้

ดังนั้นเพื่อให้องค์ได้ประโยชน์จาก BYOD ได้เต็มที่ องค์กรเองจึงต้องหาวิธีบริหารจัดการอุปกรณ์ต่างๆ ที่เป็นของพนักงานเหล่านี้ เพราะคงไม่สามารถใช้วิธีการเดิมๆ อย่างกับอุปกรณ์ของบริษัทได้

Mobile Apps and Applications

ด้วยประสิทธิภาพของเครื่องมือในการพัฒนา Application เช่น JavaScript หรือ HTML5 จะทำให้ Application เปลี่ยนรูปโฉมไปในเชิงของการใช้งาน User Interface การใช้เสียงที่มากขึ้น การใช้ VDO ที่มากขึ้นในรูปแบบที่แปลกออกไป Application ทั่วๆ ไปจะเล็กลงเรื่อยๆ แต่ Application สำหรับองค์กรจะเริ่มสลับสับซ้อนมากขึ้น การกระจาย Application ออกไปในหลายๆ Platform  (Mobile, Tablet, PC) ก็เป็นเรื่องสำคัญ เพื่อเพิ่มการเข้าถึง Application ให้มากขึ้น

The Internet of Everything

ส่วนนี้จะก้าวข้ามเรื่องของ PC และ Mobile Device ไปอีกขั้นหนึ่ง เรียกได้ว่าทุกๆ อุปกรณ์ที่อยู่รอบตัวเราล้วนแล้วแต่ต่อเชื่อมกับ Internet ทั้งสิ้น ไม่ว่าจะเป็น นาฬิกา รถยนต์ ทีวี ตู้เย็น ไมโครเวฟ เครื่องซักผ้า เป็นต้น พวก ทีวีเราคงพอได้เห็นแล้วบ้าง เพราะมี Internet TV ออกมาขายได้สักพักแล้ว รถยนต์ ก็เพิ่งเริ่มมีไม่กี่ยี่ห้อที่เริ่มผลิตรถบางรุ่นออกมา ปัญหาคือองค์กรต่างๆ หรือ Vendor ต่างๆ ยังไม่ค่อยได้ตระหนักถึงเรื่องนี้ ว่า เราจะสามารถเข้าไปบริหารจัดการ หรือใช้ประโยชน์อะไรจากส่วนนี้ได้บ้าง อย่าลืมว่า หากทุกสิ่งทุกอย่างรอบตัวเราเชื่อมกับ Internet ได้หมด ปริมาณข้อมูลจำนวนมหาศาลที่อุปกรณ์แต่ละตัวสร้างขึ้นและส่งออกมานั้นจะมีมากเท่าไร  สิ่งที่องค์กรควรมองคือ 4 เรื่องหลัก คือ Manage; Monetize; Operate; Extend สิ่งเหล่านี้อาจกลายเป็น Model ธุรกิจใหม่ก็ได้ ในอีกมุมมองหนึ่งของ Internets สิ่งที่เกี่ยวข้องกับ Internet ก็มี 4 ด้านเหมือนกัน คือ people, things, information and places การจับสิ่งต่างๆ เหล่านี้มาผสมผสานกันให้ลงตัวก็สามารถสร้างธุรกิจใหม่ได้ไม่ยาก

Hybrid Cloud and IT as Service Broker

Cloud Computing น่าจะกลายเป็นเรื่องธรรมดาของแต่ละองค์กร ใครๆ ก็สามารถพัฒนาระบบ Cloud ขึ้นมาเป็นของตัวเองได้ เป็น Private Cloud ของตัวเอง แต่พอทำไปสักพักหนึ่ง องค์กรเองก็จะเริ่มมีข้อจำกัดเกิดขึ้น อาจจะเป็นเรื่องเงินลงทุน เรื่องสถานที่ เรื่องความพร้อมของบุคลากร หรือเรื่องอื่นๆ เมื่อองค์กรต้องการที่ขยาย Service ใหม่ หรือย้าย Service เดิมออกไป Outsource หรือไปฝากที่ผู้ให้บริการ (Cloud Provider) องค์กรเองจำต้องออกแบบ Private Cloud ของตัวเองให้สามารถที่จะปรับเป็น Hybrid Cloud ในอนาคตได้ ซึ่งจะต้องพร้อมที่จะเชื่อมต่อและสามารถทำ Interoperability กับระบบอื่นๆได้

Cloud/Client Architecture

สถาปัตยกรรมคอมพิวเตอร์กำลังจะเปลี่ยนไป จากยุคเมนเฟรม ที่การประมวลผลอยู่ที่เครื่องศูนย์กลาง มาสู่ Client-Server ที่ตัว Client มีประสิทธิภาพมากขึ้น การประมวลผลบางอย่าง อยู่ที่ Client บางอย่างอยู่ที่ Server มาถึงยุค Internet ที่การประมวลผลกลับไปอยู่ที่ Server ใน Internet อีกครั้งหนึ่ง ต่อมาจนจะกลายเป็น Cloud/Client ที่ Mobile Device เป็นที่แพร่หลาย ระบบสถาปัตยกรรมก็เริ่มเปลี่ยนไป การทำงานฝั่ง Client คืออุปกรณ์ต่างๆ ไม่ว่าจะเป็น Smart Phone, Tablet, PC หรือ Notebook จะเป็น Rich Application ที่มีการทำงานและการประมวลผลในตัว ทางฝั่ง Server ที่อยู่บน Cloud ก็มีการประมวลผลอีกส่วนหนึ่งอาจเป็นการเชื่อมข้อมูลของแต่ละ User เข้าด้วยกัน เน้นการประมวลผลข้อมูลจำนวนมากหรือความยากในการประมวลผลสูงๆ เพราะตัว Cloud สามารถขยายได้อย่างไม่จำกัด และแน่นอนว่าข้อมูลที่จำเป็นต้องจัดเก็บก็จะมีปริมาณสูงมากขึ้นตามไปด้วย ซึ่ง Cloud ก็รองรับเรื่องนี้อยู่แล้ว

The Era of Personal Cloud

ยุคสมัยของการพึงพิง Device เพียงอย่างใดอย่างหนึ่งกำลังจะหมดไป มันจะเปลี่ยนจาก Device ไปสู่ Service สมัยก่อนเวลาเราอุปกรณ์ต่างๆ ไม่ว่าจะเป็น PC, Notebook หรือ Mobile Device (Smartphone/Tablet) ข้อมูลต่างๆ ที่เราใช้งานหรือที่เราเก็บก็จะอยู่บนตัว Device ตัวนั้นๆ ปัญหาเดิมๆ ที่เราเคยเจอคือ เมื่ออุปกรณ์ตัวใดตัวหนึ่งหายไป ข้อมูลของเราที่ติดอยู่กับอุปกรณ์ตัวนั้นๆ ก็หายไปด้วย เช่นมือถือหาย เบอร์โทรต่างๆ ที่เคยเก็บไว้ก็หายไปกับโทรศัพท์นั้นด้วย แต่ในยุคของ Personal Cloud ข้อมูลของเราจะถูกเก็บบน Cloud ไม่ว่าเราจะใช้อุปกรณ์ไหนๆ เราก็สามารถเข้าถึงข้อมูลของเราได้ตลอดเวลา ถึงอุปกรณ์หนึ่งหายไปก็ยังใช้อุปกรณ์ตัวอื่น หรือซื้ออุปกรณ์ใหม่มาทดแทนได้โดยที่ข้อมูลไม่ได้หายไปด้วย อย่างเช่น ผู้ใช้ iPhone สามารถใช้บริการ iCloud ที่เอาไว้เก็บข้อมูล Contact List, Email, Calendar หรือ Application ต่างๆ ของเราไว้บน Cloud เราสามารถเรียกข้อมูลมาใช้เมื่อไรก็ได้ เมื่อเปลี่ยนเครื่องโทรศัพท์ ก็สามารถ Sync ข้อมูลต่างๆ เหล่านั้นกลับมาที่เครื่องใหม่ได้เลย

Software Defined Anything

ในโลกของ Cloud ทุกอย่างในมุมมองของผู้ใช้ล้วนแล้วเป็นเรื่องของเสมือน (Virtual) ทั้งนั้น ทุกอย่างคือ Service ที่เราสามารถเรียกใช้ได้ตามที่เราต้องการ ก่อนหน้านี้ เราอาจจะเห็น Service ในรูปของ Platform, Software หรือ Infrastructure เป็นต้น Software Define Anything ต่อยอดจาก”Software Defined Networking” และ  ”Software Defined Data Center” เป็นการที่เราสามารถกำหนดทุกสิ่งทุกอย่างได้ด้วย Software อธิบายง่ายๆ คือ จากเดิมที่เวลาเราสร้างระบบๆ หนึ่งขึ้นมา เราก็ต้องหา Server มา สร้างระบบ Network ขึ้นมาเพื่อเชื่อมต่อกับอินเตอร์เน็ต สร้างระบบ Security เพื่อป้องกันระบบของเรา และพัฒนา Application ขึ้นมาให้บริการตามที่เราต้องการ แต่ด้วย Software Define Anything ทุกสิ่งทุกอย่างที่กล่าวมาแล้วจะถูกทำโดย Software และเป็นแบบ Virtual ทั้งหมด เราสามารถสร้าง Virtual Server ขึ้นมาด้วย Spec ที่เราต้องการ สร้างระบบ Virtual Network ตามที่เราอยากได้ อยากให้ Server อยู่ตรงไหน Firewall อยู่ตรงไหน สามารถกำหนดได้หมด ผ่านทาง Software ของผู้ให้บริการ

Web-Scale IT

การให้บริการไอทีกำลังเปลี่ยนไปเพราะมีผู้ใช้จำนวนมหาศาล ระบบอย่าง Facebook, Amazon และ  Google  ทำให้ Enterprise Data Center ต่างๆต้องออกแบบระบบที่จะรองรับผู้ใช้จำนวนมากที่จะเพิ่มขึ้นอย่างรวดเร็วได้ ซึ่งจะเป็นเรื่องยากที่องค์กรส่วนใหญ่จะทำระบบแบบนั้นได้ การจะสร้างระบบ Data Center ให้สามารถให้บริการได้ระดับเดียวกับ Provider อย่าง IDC (Internet Data Center) เป็นเรื่องที่ทำได้ยาก จริงๆ สามารถทำได้แต่อาจจะไม่คุ้มกับเงินทุนที่ลงไป บริการที่ว่าก็คือเรื่องของ ระบบ Infrastructure เอง เรื่องของ Computing Performance หรือเรื่องของ Security หรือเรื่องของการขยายระบบ (Extension) และรวมไปถึงเรื่อง Redundant ด้วย ดังนั้นในอนาคตเราอาจจะเห็นองค์กรต่างๆมาใช้ระบบ  Cloud มากขึ้น เพื่อการลงทุนที่คุ้มค่ากว่า

Smart Machines

Smart Machines คืออุปกรณ์ต่างๆ ที่สามารถทำงานต่างๆ เองได้ โดยไม่ต้องมีมนุษย์ควบคุม การ์ดเนอร์คาดว่าภายใน 2020 น่าจะเริ่มมีใช้กันแล้ว และ Smart Machine จะเข้ามาเปลี่ยนวงการ IT อย่างแน่นอน เส้นแบ่งระหว่างว่า อะไรที่คนทำได้ กับ อะไรที่เครื่องทำได้จะหายไป ในปีนี้น่าจะเริ่มมีคนลงทุนในเรื่อง Smart Machine

3-D Printing

การพิมพ์งานแบบ 3 มิติเริ่มเป็นที่นิยมมากขึ้น อุปกรณ์เครื่องพิมพ์ 3 มิติก็เริ่มมีมากขึ้นเช่นกัน ราคาก็เริ่มถูกลงเรื่อยๆ พอที่คนธรรมดาจะเริ่มเป็นเจ้าของได้ แต่ก่อนเราอาจจะเห็นแต่ในภาพยนตร์ ซึ่งการพิมพ์งาน 3 มิติจะเป็นการพิมพ์โดยใช้พลาสติกเส้นแล้วใช้ความร้อนละลายพลาสติกพิมพ์ออกมาเป็น Model ตามที่เราต้องการ

อ้างอิง http://www.gartner.com/newsroom/id/2603623

ไปหรือไม่ไป Cloud Computing

หลายองค์กรเริ่มสนใจในเรื่อง Cloud Computing ว่าจะเป็นประโยชน์กับองค์กรของเรามากน้อยแค่ไหน พวก Cloud Service ต่างๆ เช่น SaaS, PaaS และ IaaS ต่างก็น่าจะสร้างประโยชน์ให้กับองค์กรในด้านของ Cost Saving, On-Demand และ Economy of Scale ซึ่งลักษณะการใช้งานแบบ Pay-per-use นั้นต่างเป็นที่สนใจของใครต่อใครหลายคน เพราะนั้นหมายความว่าองค์กรเองสามารถวางแผนสำหรับอนาคตได้โดยไม่จำเป็นต้องลงทุนมหาศาลในตอนแรก เริ่มแต่เล็กแล้วค่อยๆ ขยายความสามารถออกไปเรื่อยๆ ตามความต้องการหรือการเติบโตของธุรกิจ

แต่ว่าองค์กรใหญ่ๆ ก็ยังลังเลในเรื่องการย้ายทุกอย่างไปอยู่บน Cloud ผลจากการสำรวจบริษัทใน Fortune 1000 ผลส่วนใหญ่ระบุว่าในช่วงเวลา 2-3 ปีข้างหน้าจะยังไม่เปลี่ยนไปใช้ Public Cloud Storage เพื่อเก็บข้อมูลขององค์กร ผลสำรวจระบุว่าองค์กร 75% ยังมีปัญหาเรื่องความเชื่อมั่นในด้าน Reliability, Security, Availability และ การควบคุมข้อมูลต่างๆ ขององค์กร ตัวอย่างเช่น องค์กรกังวลเรื่องการเก็บข้อมูลของบริษัทตัวเองภายใน Storage ของ Cloud อาจจะไปปะปนกับข้อมูลขององค์กรอื่นๆ รวมถึงปัญหาความมั่นใจในการเข้าถึงข้อมูลว่าจะให้มั่นใจได้อย่างไรว่าข้อมูลของเรานั้นเราสามารถเข้าได้เพียงคนเดียว บางรายอาจจะคำนึงถึงเรื่องการย้ายข้อมูลจาก Cloud Service Provider กลับมาที่องค์กรเอง ในกรณีเราเลิกใช้บริการ หรือการย้ายไป Service Provider เจ้าอื่น ในกรณีที่เราต้องการเปลี่ยนผู้ให้บริการว่าทำได้หรือไม่

สิ่งต่างๆ เหล่านี้อาจจะไม่เกิดขึ้นถ้าทางผู้ให้บริการหรือ Service Provider เองให้ความมั่นใจกับผู้ใช้บริการว่าการบริการของตนนั้นรับรองว่ามั่นคงปลอดภัย มีความสามารถที่ทำได้ในด้านต่างๆ หรือจำเป็นต้องมีมาตรฐานสากลรับรองเพื่อความมั่นใจของผู้ใช้งานมากขึ้น เพราะเพียงแต่คำบอกกล่าวของ Service Provider เองคงจะไม่มีน้ำหนักพอ ก็คงต้องให้คนกลางเข้ามาช่วย

การตัดสินใจ    

ในแง่ขององค์กรเองคงจำเป็นต้องทำการศึกษาข้อมูลของ Service Provider อย่างละเอียดว่า Service Provider รายไหนสามารถตอบสนองความต้องการขององค์กรเราได้อย่างครบถ้วน แต่ก่อนจะไปถึงจุดนั้นตัวองค์กรเองต้องตัดสินใจก่อนว่าเราจะเปลี่ยนไปใช้ Cloud หรือจะใช้งานแบบเดิม ผมอยากจะขอนำเสนอวิธีตัดสินใจง่ายๆ ว่าองค์กรของท่านควรหรือไม่ควรย้ายไปบน Cloud กันแน่ เพื่อให้เข้าใจง่ายๆ ขอนำเสนอเป็น Flow การคิดดังนี้

ขั้นแรกเราต้องมองให้ออกว่าสินทรัพย์ขององค์กรเราที่จะย้ายไปอยู่บน Cloud มีอะไรบ้าง จากนั้นก็ต้องทำการประเมินความสำคัญของ Asset เรา จากนั้นก็ต้องไปศึกษาว่า Cloud Service ที่ให้บริการอยู่นั้นตัวไหนมีความสามารถตรงตามที่เราต้องการ และประเมินความเหมาะสมในการให้บริการของผู้ให้บริการรายนั้น และต้องอย่าลืมเรื่องการไหลของข้อมูลว่าข้อมูลขององค์กรเราจะมี flow การทำงานอย่างไร

Identify Asset

เรื่องแรกก็คือการที่แต่ละองค์กรต้องแยกให้ออกว่า Asset ของเราที่เราจะย้ายไปอยู่บน Cloud นั้นมีอะไรบ้าง ซึ่งในความเป็นจริงแล้ว Asset ก็สามารถแบ่งออกได้เป็น 2 ประเภทคือ

1.     Data

2.     Applications/Functions/Processes

เพราะสิ่งที่เราทำในการย้ายไปทำงานบน Cloud ก็คือการย้ายข้อมูลเดิมที่มีในองค์กรไปรันอยู่บน Application สำเร็จรูปที่มีอยู่แล้วบน Cloud หรือการย้ายกระบวนการบางอย่างที่ทำงานอยู่เดิมขึ้นไปไว้บน Cloud หรือแม้กระทั้งย้ายทั้งหมดก็คือย้ายทั้ง Application ขึ้นไปไว้บน Cloud เลย

ซึ่งตาม Concept ของ Cloud แล้ว ทั้งตัว Application และข้อมูลไม่จำเป็นต้องอยู่ในที่ๆเดียวกัน เราสามารถเลือกที่จะย้ายบางส่วนของการทำงานไปอยู่บน Cloud ได้ เช่น เรายังเก็บทั้ง Application และ Data ไว้ภายใน Data Center ขององค์กรแต่เลือกที่จะ Outsource บางส่วนของฟังก์ชั่นการทำงานใน Application ไปอยู่ที่บน Cloud ผ่านทาง Platform as a Service

ซึ่งงานแรกที่จะต้องทำก็คือการหาให้ได้ว่า Data ส่วนไหน หรือ Function ส่วนใด หรือแม้แต่ Application ตัวไหนที่สามารถย้ายไปอยู่บน Cloud ได้

Evaluate Asset

ขั้นตอนต่อไปก็คือการประเมินความสำคัญของ Data หรือ Function ที่เราจะย้ายไป Cloud ต่อองค์กร ถ้าองค์กรของท่านมีวิธีการประเมินความเสี่ยงของ Asset อยู่แล้วก็สามารถใช้วิธีการขององค์กรท่านได้ แต่ถ้าหากยังไม่มีก็สามารถใช้คำถามเหล่านี้ในการประเมินความเสี่ยงของ Asset แต่ละตัวที่เราจะย้ายไปทำงานอยู่บน Cloud ได้

คำถามที่กล่าวมีทั้งหมด 6 ข้อ ซึ่งแต่ละคำถามก็จะเริ่มด้วย “จะเกิดความเสียหายกับองค์กรอย่างไรถ้า...”

1  จะเกิดความเสียหายกับองค์กรอย่างไรถ้า “Asset เกิดถูกเปิดเพยออกสู่สาธารณะและถูกแจกจ่ายไปทั่ว”
2.     จะเกิดความเสียหายกับองค์กรอย่างไรถ้า  “พนักงานของผู้ให้บริการ Cloud เข้าถึง Asset นั้น”
3.     จะเกิดความเสียหายกับองค์กรอย่างไรถ้า “Process หรือ Function ดังกล่าวถูกควบคุมโดยคนนอกองค์กร”
4.     จะเกิดความเสียหายกับองค์กรอย่างไรถ้า “Process หรือ Function มีการทำงานที่ไม่ตรงตามที่ต้องการ”
5.     จะเกิดความเสียหายกับองค์กรอย่างไรถ้า “ข้อมูลถูกทำการแก้ไขเปลี่ยนแปลงโดยไม่ได้คาดหวัง”
6.     จะเกิดความเสียหายกับองค์กรอย่างไรถ้า “Asset ไม่สามารถให้บริการได้ช่วงเวลาหนึ่ง”
สิ่งที่เราทำการประเมินความต้องการของแต่ละ Asset ก็คือ Confidentiality, Integrity และ Availability นั่นเอง รวมไปถึงความเสี่ยงของการที่เราปล่อยให้บางส่วนหรือทั้งหมดของ Asset เราออกไปอยู่ใน Cloud

Select Cloud Model

เมื่อผ่านมาถึงจุดนี้องค์กรเองควรจะตระหนักถึงความสำคัญของ Asset ขององค์กรเอง ขั้นต่อไปก็คือการเลือกว่า Cloud Service Model ไหนถึงจะเหมาะกับความต้องการของเรา ซึ่งองค์กรเองก็ควรจะศึกษาลงลึกลงไปในแต่ละ Model ว่ามีลักษณะอย่างไร และแต่ละแบบมีความเสี่ยงหรือจะมีผลกระทบอย่างไรกับองค์กร

Model ที่ว่าก็คือ Software as a Service (SaaS), Platform as a Service (PaaS) และ Infrastructure as a Service (IaaS) นั่นเอง ผมคิดว่าท่านผู้อ่านคงคุ้นกับทั้งสาม Model นี้อยู่แล้ว

ภาพจาก http://www.opencrowd.com/assets/images/views/views_cloud-tax-lrg.png

นอกจากจะเลือก Model ว่าจะ Deploy ตัว Model นั้นไว้ที่ไหน ภายในหรือภายนอกองค์กร

1.     Public คือระบบ Infrastructure ของ Cloud นั้นเป็นของสาธารณะที่ใครๆ ที่ต้องการใช้งาสามารถเข้าถึงได้และดูแลโดยผู้ให้บริการ Cloud Provider

2.     Private คือระบบ Infrastructure ของ Cloud ที่ถูกจัดสรรไว้ให้สำหรับองค์กรใดองค์กรหนึ่งเท่านั้นไม่แบ่งให้องค์กรอื่นๆ มาใช้งานร่วมกัน โดยการบริหารงานอาจจะบริหารงานโดยตัวองค์กรเอง หรือโดยผู้ให้บริการ และจะวางระบบทั้งระบบไว้ภายในองค์กร(On-Premise) หรือภายนอกองค์กรก็ได้ (Off-Premise)

3.     Community คือระบบ Infrastructure ของ Cloud ที่ใช้ร่วมกันหลายองค์กรที่รวมกลุ่มกันเป็นชุมชนเพื่อทำงานเรื่องใดเรื่องหนึ่ง หรือเพื่อจุดประสงค์ใดจุดประสงค์หนึ่ง โดยการบริหารงานระบบ Infrastructure อาจจะบริหารงานโดยตัวองค์กรใดองค์กรหนึ่ง หรือโดยผู้ให้บริการ และจะวางระบบทั้งระบบไว้ภายในองค์กร(On-Premise) หรือภายนอกองค์กรก็ได้ (Off-Premise)

4.     Hybrid คือระบบ Infrastructure ของ Cloud ที่เป็นการนำหลายๆ Model มาผสมกันไม่ว่าจะเป็น Public, Community หรือ Private

แต่ละ Model ก็มีความเสี่ยงแตกต่างกันไป ขึ้นอยู่กับว่าองค์กรรับได้มากน้อยแค่ไหน เพราะแต่ละ Model เราก็ต้องมาเลือกอีกว่าเราจะวาง Model ที่เราเลือกนั้นไว้ที่ไหนและให้ใครบริหารจัดการ วางไว้ที่ภายในองค์กรหรือว่าไว้ข้างนอกดี ซึ่งจากตารางก็น่าจะพอช่วยให้เห็นภาพได้บ้าง

Evaluate Cloud Model & Provider

วิธีการหนึ่งที่ทำให้เราจะมั่นใจได้ว่าข้อมูลของเราหรือระบบของเราที่ไปใช้บริการอยู่บน Cloud Service นั้นมีความปลอดภัยเพียงพอกับความต้องการของเราหรือไม่ก็คือการสอบถามจากทางผู้ให้บริการ Cloud Service ว่ากระบวนการทำงานต่าง ๆ หรือพวกระบบที่ให้บริการ Cloud Service นั้นมีการวางแผนไว้อย่างไรบ้าง มีกระบวนการทำงานอย่างไร มีการป้องกันอย่างไรบ้าง ซึ่งเกณฑ์ในการตัดสินที่ดีที่สุดในตอนนี้ก็คงหนีไม่พ้นเกณฑ์ของ ISO 27001 ซึ่งว่าด้วยเรื่องของ Information Security การดึงเอา ISO 27001 มาเป็นหลักในการตั้งคำถามจะทำให้เราสามารถตรวจสอบได้ว่าผู้ให้บริการ Cloud ที่เรากำลังสนใจเขาอยู่นี้เขาใส่ใจในเรื่องของ Information Security มากน้อยเพียงใด กลุ่มของคำถามสามารถแบ่งออกได้เป็นหลายเรื่องด้วยกันคือ

•              Personal Security

•              Supply-Chain Assurance

•              Operational Security

•              Identity and Access Management

•              Asset Management

•              Data and Service Portability

•              Business Continuity Management

•              Physical Security

•              Environment Controls

•              Legal Requirements

ตัวอย่างคำถามจากทาง ENISA ในเรื่องของ Physical Security

•              Do you carry out regular risk assessments which include things such as neighboring buildings?

•              Do you control or monitor personnel (including third parties) who access secure areas?

•              What policies or procedures do you have for loading, unloading and installing equipment?

•              Are deliveries inspected for risks before installation?

•              Is there an up-to-date physical inventory of items in the data centre?

•              Do network cables run through public access areas?

•              Do you use armored cabling or conduits? 

•              Do you regularly survey premises to look for unauthorized equipment?

•              Is there any off-site equipment?

•              How is this protected?

นี่เป็นเพียงแค่ส่วนหนึ่งของคำถามที่เราสามารถใช้เป็นเครื่องมือในการวัดความน่าเชื่อถือของผู้ให้บริการ Cloud Service ปัจจุบันหลายองค์กรได้นำมาตรฐาน ISO 27001 มาใช้ในองค์กร แต่ถึงแม้ว่าผู้ให้บริการ Cloud Service นั้นจะได้รับการรับรองว่าผ่าน ISO 27001 แล้วแต่เพื่อความมั่นใจแล้วเราก็ไม่ควรละเลยคำถามเหล่านี้ เพราะถ้าผู้ให้บริการได้ทำตามมาตรฐานเหล่านี้มาแล้วเขาก็น่าจะยินดีที่จะตอบคำถามของเราเพราะนั่นคือการแสดงให้เห็นถึงความพร้อมในการให้บริการของเขาด้วย ถ้าจะให้ดียิ่งไปกว่านั้นผมคิดว่าทางผู้ให้บริการ Cloud  Service เองน่าจะเตรียมคำตอบเหล่านี้เอาไว้เลย ไม่ต้องรอให้ผู้ใช้บริการต้องถามด้วยซ้ำ

ส่งท้าย

เทคโนโลยีของ Cloud ถือได้ว่าผ่านร้อนผ่านหนาวผมพอสมควรแล้ว ระดับของเทคโนโลยีค่อนข้างจะเสถียรแล้ว ก็คงเหลือแต่ในส่วนของผู้ใช้ว่าพร้อมหรือยัง ลองใช้วิธีการที่นำเสนอมาในตอนต้นเป็นตัวช่วยในการตัดสินใจขององค์กรดูก็ได้ครับว่า ตอนนี้องค์กรของเราพร้อมหรือยังสำหรับ Cloud Computing

อ้างอิง

Cloud Security Alliance (CSA), http://www.cloudsecurityalliance.org

European Network and Information Security Agency (ENISA), http://www.enisa.europa.eu