Jak w zalewie certyfikatów dostrzec zweryfikowanego dostawcę?

Aleksander Wangin

Dane to najcenniejszy kapitał Twojej firmy. Często nazywane są najważniejszymi zasobami XXI wieku, a infrastruktura odpowiadająca za ich gromadzenie i przetwarzanie jest niezbędnym ogniwem codziennego funkcjonowania każdej firmy. Są zbyt ważnym aspektem, by bagatelizować kwestię zapewnienia im odpowiedniego bezpieczeństwa i przechowywać je w miejscu pozbawionym odpowiednich systemów zabezpieczeń i sprawdzonych procedur.

Jak wynika z danych Polskiego Związku Ośrodków Przetwarzania Danych, zdecydowana większość firm posiadających własne serwerownie nie spełnia podstawowych globalnych standardów. A każda, nawet najmniejsza awaria może doprowadzić do poważnych strat finansowych oraz wizerunkowych Twojej firmy.

Nie ma bezpieczniejszego miejsca dla Twoich danych niż profesjonalny ośrodek, który został wybudowany od podstaw w celu przechowywania danych, ze zdublowaną (redundantną) infrastrukturą odporną na awarię każdego z jej elementów, pełnią zabezpieczeń fizycznych i cyfrowych oraz wykwalifikowanym personelem i rygorystycznymi procedurami. Poziom zabezpieczeń profesjonalnego data center jest praktycznie nieosiągalny dla firm nie zajmujących się taką działalnością. Dostosowanie lokalnej firmowej serwerowni wymagałoby olbrzymich nakładów finansowych i przy doskonale funkcjonującym modelu usługowym jest zwyczajnie nieracjonalne.

Przy wyborze data center zwróć szczególną uwagę na niezależne potwierdzenie standardu dostarczanych rozwiązań. Pozwala to wyselekcjonować bezpiecznych usługodawców w dużo prostszy i tańszy sposób niż prowadzenie szczegółowych analiz i audytów na etapie wyboru ośrodka. Sam zapis o spełnianiu standardu bez certyfikacji jest pustym sloganem i olbrzymim nadużyciem wprowadzającym klienta w błąd.

Certyfikacja gwarantem Twojego poczucia bezpieczeństwa

Ostatnie raporty branżowe są zgodne, że certyfikacja jest obecnie drugim najistotniejszym czynnikiem przy wyborze dostawcy, zaraz po cenie. Wybierając wysoko certyfikowany ośrodek zyskujesz pewność, że Twoje dane znajdują się w idealnym miejscu i funkcjonowanie Twojej firmy jest niezagrożone. Opieka nad Twoimi zasobami podlega ściśle regulowanym i sprawdzonym procedurom, których funkcjonowanie jest regularnie testowane i dostosowywane wraz z rozwojem całego ośrodka. Doświadczenia z rynku krajowego pokazują, że nawet duże i uznane marki w obliczu awarii czy pożaru mają problem z utrzymaniem ciągłości działania. Oznacza to tylko tyle i aż tyle, że odpowiednie procedury i wysokodostępna infrastruktura są naprawdę istotne.

Właściwa, niezależna certyfikacja jest gwarancją odpowiedniego poziomu bezpieczeństwa i funkcjonowania odpowiednich procedur, co w efekcie oznacza gwarancję ciągłości dostarczania usług i dostępności Twoich danych. Jak jednak odnaleźć się w gąszczu coraz to kolejnych certyfikatów i na co zwrócić uwagę wybierając dostawcę dla swojej firmy?

Standard standardowi nierówny

Na szczególną uwagę zasługuje zakres certyfikowanych obszarów i weryfikacja, czy obejmuje on oferowane usługi. Jest to kluczowa informacja dla klientów centrów danych, ponieważ potwierdza, czy zakres certyfikatu i związane z jego uzyskaniem procedury obejmują także rozwiązania, z których klient chce skorzystać, np. chmurę obliczeniową czy kolokację. Zdarza się też, że certyfikacja nie obejmuje całego ośrodka, a zaledwie jego część, np. specjalnie wydzielony klaster, o czym dostawcy już otwarcie nie informują.

Koniecznie powinniśmy zwrócić również uwagę na niezależność instytucji certyfikującej oraz charakter przyznanego atestu. Wiele z dostępnych na rynku wyróżnień w ogóle nie jest certyfikacją, a jedynie standardem lub normą, której spełnienie może zadeklarować w zasadzie każdy obiekt. Warto też zweryfikować dokładnie, kto audytował dany ośrodek i w jaki sposób.

Wystrzegajmy się też firm posługujących się marketingowymi slogananami-wydmuszkami, np. „w 99% spełnia normę” – właśnie ten jeden brakujący procent najczęściej decyduje o bezpieczeństwie naszych danych. Zaniepokoić powinny nas też terminy „TIER 3” lub „TIER III+” oraz „spełnia standard TIER” – teoretycznie spełniać, a przetestować w praktyce pod okiem uprawnionych inżynierów i uzyskać certyfikację po serii drobiazgowych testów, to dwie różne kwestie. Czy kupiłbyś fotelik samochodowy dla swojego dziecka, który w 99% spełnia normy bezpieczeństwa, a jego producent bezpodstawnie posługuje się uznanymi atestami?

Warto zatem zawsze wymagać, by ośrodek, z którym prowadzimy rozmowy, przesłał potwierdzenie posiadania danej certyfikacji wystawione przez uprawnioną do tego jednostkę certyfikującą.

Certyfikacja w praktyce

Polskie centra danych coraz bardziej doceniają wagę certyfikacji i rozumieją, że dzięki nim zyskują przewagę konkurencyjną na rosnącym rynku. Jest to jak najbardziej pozytywny trend, który pozwala usługobiorcom łatwiej dostrzec rzetelne ośrodki. Kiedy wiemy już, które ośrodki faktycznie posiadają deklarowane certyfikaty i mamy pewność, że dotyczą one interesujących nas usług pora zwrócić uwagę na jeszcze jedną kwestię.

Zdecydowana większość certyfikatów przyznawana jest w normatywny sposób. Oznacza to, że narzucają one szczegółowe, identyczne dla każdego data center wymogi, które musi spełnić obiekt. Wytyczne te oderwane są od specyfiki potrzeb biznesowych konkretnego ośrodka, rodzaju działalności i jego potrzeb. Wystarczy posiadać określone w tabeli wymagań komponenty, bez testowania pod nominalnym obciążeniem. Wyniki audytów uzależnione są jedynie od deklarowanego spełnienia wymagań przez ośrodek i nie są w jakikolwiek sposób potwierdzane przez testy z udziałem kwalifikowanych inżynierów.

Krótko mówiąc nie dają pewności ciągłości działania usług i odporności na awarie, które mogą skutkować paraliżem działania całej firmy – zatrzymaniem sprzedaży, brakiem dostępu do e-maili czy systemu CRM, generując ciężkie do przewidzenia straty finansowe i wizerunkowe.

TIER jest tylko jeden…

Jak podaje rządowe Centrum Projektów Polska Cyfrowa, najbardziej znaną i poważaną na świecie certyfikacją centrów danych jest klasyfikacja TIER przyznawana przez Uptime Institute. To niezależna i bezstronna organizacja badawczo-edukacyjno-doradcza sektora data center. Jako jedyna na świecie wydaje certyfikaty zgodności z wytycznymi TIER i kryteriami stabilności operacyjnej. Certyfikacja przyznawana jest niezależnie na projekt centrum oraz na gotowy, funkcjonujący ośrodek. Wytyczne są obiektywną informacją, która służy do porównania możliwości ochrony infrastruktury IT w centrach danych.

Część dotyczącą projektu, oficjalnie nazwana TIER of Design Documents, można przyrównać do pozostałych funkcjonujących na naszym rynku norm i certyfikacji. Weryfikuje ona dokumentację i komponenty składowe serwerowni. Kilka kroków dalej idzie druga, znacznie istotniejsza część – TIER of Constructed Facility, która stanowi swojego rodzaju ukoronowanie prac nad zagwarantowaniem bezpieczeństwa centrum danych.

Certyfikat ten przyznawany jest po serii testów prowadzonych przez wysoko wykwalifikowanych inżynierów Uptime Institute, którzy na miejscu przez dwa tygodnie codziennie sprawdzają każdy, nawet najmniejszy element systemów data center. Weryfikowana jest m.in. kwestia bezprzerwowej pracy całego ośrodka pod pełnym obciążeniem w razie wystąpienia awarii jakiegokolwiek komponentu jego infrastruktury

W trakcie pracy całego układu wykonywane są przełączenia na układy redundantne, ścieżki zapasowe, następuje także izolowanie poszczególnych elementów infrastruktury. Każda pozycja z długiej listy testów traktowana jest w sposób zero-jedynkowy i musi być zaakceptowana bez uwag. Najmniejsze odstępstwa od normy oznaczają brak certyfikatu, pomimo poniesionych kosztów. Zatem TIER kierowany jest do centrów wyjątkowo pewnych swojej infrastruktury i usług.

Nietrafiony jest argument twierdzący, że certyfikacja Uptime Institute jest zbyt droga. Jest to nadzwyczajnie drobiazgowa i czasochłonna atestacja nastawiona na badanie w pełni profesjonalnych ośrodków, w którą zaangażowany jest dedykowany zespół inżynierów. Efektem jest najwyższy poziom usług i Twoje poczucie bezpieczeństwa.

Po serii rygorystycznych testów zakończonych sukcesem, Exea Data Center w listopadzie 2015 roku otrzymało pierwszy i jedyny w Polsce certyfikat TIER III obejmujący zarówno projekt, jak i wybudowane i funkcjonujące centrum przetwarzania danych.

Poznaj obiekt Exea Data Center

Inne w tej kategorii

Czy Twoja firma jest gotowa do zdalnej pracy?
Czy Twoja firma jest gotowa do zdalnej pracy?
Czy Twoja firma jest gotowa do zdalnej pracy?

W świetle ostatnich wydarzeń związanych z rozprzestrzeniającym się koronawirusem COVID-19, gwałtownie wzrasta konieczność wspierania przez firmy elastycznego modelu pracy.

autor:

opublikowano 11.3.2020

Wdrożenie Exea z prestiżowym wyróżnieniem
Wdrożenie Exea z prestiżowym wyróżnieniem
Wdrożenie Exea z prestiżowym wyróżnieniem

Projekt obejmujący usługi ChainDoc i WORM as a Service otrzymał wyróżnienie w konkursie Innowacyjny Samorząd.

autor:

opublikowano 2.3.2020

Nigdy więcej nie przejmuj się wygasającym wsparciem dla Windows Server
Nigdy więcej nie przejmuj się wygasającym wsparciem dla Windows Server
Nigdy więcej nie przejmuj się wygasającym wsparciem dla Windows Server

Microsoft zakończył wsparcie dla systemów Windows Server 2008 R2 i Windows 7.

autor:

opublikowano 17.1.2020