www.cert-ro.eu/ecsm.

php















GHID
Securitatea n Cloud








Ghid realizat de ctre:




























Pagin alb


Pagin 2 din 41

Cuprins
1. Introducere .................................................................................................................................... 4
1.1 Ce nseamn Cloud Computing ............................................................................................. 4
1.2 Tipuri de Cloud ...................................................................................................................... 4
1.3 Servicii de tip Cloud ............................................................................................................... 5
2. Cloud Computing: Caracteristici, Evoluii, Bariere de adoptare.................................................... 6
2.1 Caracteristici .......................................................................................................................... 6
2.2 Evoluii ................................................................................................................................... 7
2.3 Reglementari i recomandri la nivel UE .............................................................................. 8
2.4 Bariere de adoptare ............................................................................................................ 11
2.4.1 Constituirea unui cadru de reglementare specific ...................................................... 12
2.4.2 Securitatea .................................................................................................................. 12
2.4.3 Confidenialitatea ........................................................................................................ 13
2.4.4 ncrederea ................................................................................................................... 13
2.4.5 Blocarea serviciilor i standardele ............................................................................... 13
2.4.6 Alte probleme .............................................................................................................. 13
3. Impact pentru sectorul privat .................................................................................................... 14
3.1 Impact la nivelul sectorului financiar ................................................................................. 14
3.2 Impact la nivelul sectorului educaional ............................................................................ 16
3.3 Impact la nivelul sectorului telecomunicaiilor ................................................................. 19
3.4 Impact la nivelul sistemului de sntate ........................................................................... 20
4. Securitatea n Cloud .................................................................................................................... 22
4.1 Vulnerabiliti ...................................................................................................................... 22
4.1.1 Inclcarea securitii datelor ....................................................................................... 23
4.1.2 Pierderea datelor......................................................................................................... 23
4.1.3 Piratarea conturilor sau a serviciilor ........................................................................... 23
4.1.4 Interfete i API nesigure .............................................................................................. 24
4.1.5 Blocarea serviciilor (DoS, DDos) .................................................................................. 24
4.1.6 Insuficienta investigare i implicare (duediligence) .................................................. 24
4.1.7 Probleme cu tehnologiile distribuite ........................................................................... 25
4.2 Asigurarea conformitii n cloud ........................................................................................ 26
4.3 Riscuri i preocupri privind platformele Cloud .................................................................. 26
4.4 Recomandri ....................................................................................................................... 30
4.4.1 Guvernana i Managementul de Risc al Organizaiei ................................................ 30
4.4.2 Interoperabilitate i portabilitate ................................................................................ 33
Pagin 3 din 41

4.4.3 Securitate, continuitatea afacerii, i recuperarea dup dezastre ............................... 34
4.4.4 Arhitectura i Proceduri operaionale n Data Center ................................................. 35
4.5 Auditare i atestare ............................................................................................................. 36
Anexa nr. 1 - Caracteristici .................................................................................................................. 38
Anexa nr. 2 - Analiza SWOT ................................................................................................................. 40
Anexa nr. 3 Studii suport pentru utilizarea Cloud-ului n Romnia ..................................................... 41















































Pagin 4 din 41




1. Introducere

Comisia European a lansat n martie 2010 Strategia Europa 2020 pentru ieirea din criz i pregtirea
economiei UE pentru provocrile deceniului urmtor. Europa 2020 contureaz o perspectiv care nglobeaz
realizarea unui grad nalt de ocupare a forei de munc, crearea unei economii cu emisii sczute de carbon,
productivitate i coeziune social, obiective care urmeaz a fi atinse prin aciuni concrete la nivelul UE i la
nivel naional.
Agenda Digital pentru Europa este una dintre cele apte iniiative-pilot ale Strategiei Europa 2020 i are ca
scop definirea rolului de motor esenial pe care utilizarea tehnologiei informaiei i comunicaiilor (TIC) va
trebui s-l joace n realizarea obiectivelor Europei pentru 2020.
Dezvoltarea astzi a cloud computing-ului are acelai impact revoluionar pe care l-a avut dezvoltarea
reelelor electrice i de transport cu un secol n urm.
Aplicarea pe scar larg i utilizarea mai eficace a tehnologiilor de cloud computing vor permite guvernelor s
abordeze provocrile fundamentale cu care se confrunt i vor oferi cetenilor o mai bun calitate a vieii,
datorit accesului mai uor la serviciile publice.

1.1 Ce nseamn Cloud Computing

Cloud Computing este un concept modern, un model de servicii de acces prin Internet la sisteme distribuite
de resurse de calcul configurabile la cerere (Ex: servere, stocare de date, aplicaii i servicii) care pot fi puse
rapid la dispoziie cu eforturi minime de management i intervenie din partea clientului i a furnizorului.
Accesul se poate face de oriunde, convenabil, fr ca utilizatorul s aib nevoie s tie configuraia sistemelor
care furnizeaz aceste servicii. Mai simplu spus, aplicaiile i datele ruleaz i sunt stocate n alt parte dect
pe serverele i staiile utilizatorului, acesta accesndu-le de la distan (pe Internet, dar nu neaparat).



1.2 Tipuri de Cloud

Cloud privat descrie o infrastructur IT, prevzut pentru utilizarea exclusiv de ctre o singur organizaie
care cuprinde mai muli consumatori (Ex: business units). Infrastructura IT se afl la sediul organizaiei sau
gestionarea acesteia este externalizat la un ter (on-premises sau off-premises). Un cloud privat poate fi
comparat cu un centru de date convenional - diferena fiind c soluiile tehnologice sunt puse n aplicare
Pagin 5 din 41

pentru a optimiza utilizarea resurselor disponibile i de a spori aceste resurse prin investiii mici, care sunt
fcute ntr-un mod treptat n timp

Cloud public este o infrastructur deinut, administrat i operat de ctre un furnizor de servicii specializat,
organizaie comercial, academic, guvernamental sau o combinaie a acestora. Serviciile pot fi accesate prin
intermediul internetului, iar furnizorul de servicii are un rol esenial n ceea ce privete protecia eficient a
datelor angajate n sistemele sale.

Cloud de comunitate este o infrastructur de tip cloud prevzut pentru utilizarea exclusiv de ctre o
comunitate specific de consumatori din organizaii care au preocupri sau interese comune (de exemplu
coli, cercettori, dezvoltatori de software). Aceasta poate fi deinut, administrat i operat de ctre una
sau mai multe dintre organizaiile din comunitate, o ter parte sau o combinaie a acestora i poate exista
fizic n interiorul sau n afara organizaiei.

Cloud Hybrid, aa-numitul "cloud intermediar", descrie o infrastructur de tip cloud ca o combinaie de dou
sau mai multe infrastructuri Cloud distincte (Cloud de comunitate, privat sau public), care rmn entiti
unice, dar sunt legate mpreun de o tehnologie proprietar sau standardizat, care permite portabilitatea
datelor i aplicaiilor la cerere (un exemplu de utilizare este echilibrarea utilizrii resurselor n cazul vrfurilor
de solicitare).

1.3 Servicii de tip Cloud

n funcie de cerinele utilizatorilor, exist mai multe soluii de cloud computing disponibile pe pia, acestea
pot fi grupate n trei categorii principale sau "modele de servicii". Aceste modele se aplic, de obicei, la
ambele soluii cloud privat i public:

IaaS (Infrastructure as a Service): un furnizor nchiriaz o infrastructur tehnologic, adic servere virtuale la
distan, care pot nlocui nlocui sistemele IT de la sediul companiei sau pot fi folosite alturi de sistemele
existente. Astfel de furnizori sunt de obicei juctorii de pe piaa de specialitate i se bazeaz de fapt pe o
infrastructur fizic complex care se ntinde n mai multe zone geografice.

SaaS (Software as a Service): un furnizor ofer prin intermediul de servicii web, diverse aplicaii i le pune la
dispoziia utilizatorilor finali. Aceste servicii sunt adesea menite s nlocuiasc aplicaii convenionale instalate
de utilizatori pe sistemele lor locale. Acesta este cazul de exemplu al aplicaiilor tipice de birou bazate pe web,
cum ar fi foi de calcul, instrumente de procesare de text, registre computerizate i agende, calendare
partajate, pot electronic, etc.

PaaS (Platform as a Service): un furnizor ofer soluii de dezvoltare avansat i gzduire de aplicaii. Aceste
servicii sunt de obicei adresate companiilor pentru a dezvolta i gzdui soluii proprietare pe baz de cerere
pentru a satisface cerinele interne i / sau pentru a oferi servicii ctre teri.
La fel, serviciile livrate de un furnizor de PaaS fac inutil pentru utilizator necesitatea de hardware sau
software suplimentar specific, la nivel intern.

IaaS include ntreaga stiv de resurse de infrastructur i faciliti (energie electrica, soluii de rcire, etc)
pentru platformele hardware gzduite. Aceasta include capacitatea de a abstractiva (sau nu) resursele,
precum i de a livra conectivitate fizic i logic a acestor resurse. n cele din urm, IaaS ofer un set de API-
uri care permit forme de management i alte tipuri de interaciune cu infrastructura pentru consumatori.

PaaS se afl deasupra IaaS i adaug un nivel suplimentar de integrare cu framework-urile de dezvoltare de
aplicaii, capabiliti de middleware, i funcii, cum ar fi baze de date, stive de interogri, care permit
dezvoltatorilor s construiasc aplicaii, i ale cror limbaje de programare i instrumente sunt suportate.

SaaS la rndul su, este construit pe IaaS i PaaS i ofer un mediu de operare de sine stttor folosit pentru a
furniza ntreaga experien a utilizatorului, inclusiv coninutul, prezentarea, cererea i capabiliti de
management.

Pagin 6 din 41

Prin urmare, ar trebui s fie clar c exist compromisuri importante pentru fiecare model n termeni de
caracteristici integrate, de complexitate vs deschidere (extensibilitate), i de securitate. Compromisuri ntre
cele trei modele de implementare cloud includ:

n general, SaaS ofer cele mai integrate funcionaliti, cu cea mai mica posibilitate de
extensibilitate i un nivel relativ ridicat de securitate integrat (furnizorul poart o parte important
de responsabilitate pentru securitate).
PaaS permite dezvoltatorilor s construiasc propriile aplicaii n zona superioar a platformei. Ca
urmare, tinde s fie mai extensibil dect SaaS. Acest compromis se extinde la elementele de
securitate, dar ofer tocmai datorit flexibilitii posibilitatea integrrii unui strat de securitate
suplimentar.
IaaS ofer cea mai mult extensibilitate. Acest lucru nseamn c, n general, capacitile de
securitate i funcionalitile nu trec dincolo de protejarea infrastructurii n sine. Acest model
presupune c sistemele de operare, aplicaiile i coninutul vor fi gestionate i securizate de ctre
consumatorul de astfel de servicii.

Organizatii de reglementare i standardizare:

Cloud Security Alliance (CSA)
Cloud Security Alliance (CSA) este o organizaie non-profit, cu misiunea de a promova utilizarea celor mai
bune practici pentru furnizarea i asigurarea securitii n Cloud Computing, i de a oferi educaie cu privire la
utilizarea de cloud computing. Cloud Security Alliance este condus de o coaliie larg de practicieni din
industrie, corporaii, asociaii i alte pri interesate.



ISACA
ISACA este o asociaie independent non-profit, la nivel mondial. ISACA se angajeaz n dezvoltarea,
adoptarea i utilizarea la nivel global a cunotinelor i a practicilor pentru sistemele informatice de vrf.

Naional Institute of Standards and Technology (NIST)
Fondat n 1901, NIST este o agenie federal non-reglementare n cadrul Departamentului de Comer al SUA.
Misiunea NIST este de a promova inovaia i competitivitatea industrial prin avansarea tiinei, a
standardelor i tehnologiilor n moduri care sporesc securitatea economic i mbuntesc calitatea vieii
noastre.

Article 29 Working Party European Comision
Article 29 Working Party este un grup de lucru pentru protecia datelor ce a fost instituit n temeiul Directivei
95/46/CE a Parlamentului European i a Consiliului din 24 octombrie 1995 privind protecia persoanelor fizice
cu privire la prelucrarea datelor cu caracter personal .

European Cloud Partnership
Parteneriatul Cloud European (ECP) reunete industria i sectorul public pentru a stabili o pia unic digital
pentru cloud computing n Europa.
Acesta a fost stabilit n cadrul European Cloud Strategy.



2. Cloud Computing: Caracteristici, Evoluii, Bariere de adoptare

2.1 Caracteristici

Deoarece noiunea cloud nu se refer la o anumit tehnologie, ci la o paradigm n general, este obligatoriu
s se clarifice unele aspecte.
Aceast seciune stabilete capacitile concrete asociate cu cloud computing, care sunt considerate eseniale
(necesare n orice mediu cloud) i relevante. Putem distinge ntre capaciti non-funcionale, economice i
tehnologice adresate sau care vor fi adresate de ctre sistemele cloud.
Pagin 7 din 41


Aspectele non-funcionale se refer la calitile sau proprietile unui sistem. Acestea pot fi realizate i
interpretate n mai multe moduri ceea ce duce n mod tipic la probleme mari de compatibilitate i
interoperabilitate ntre furnizori, fiecare furnizor avnd propriile metode de satisfacere a cerinelor. Aspectele
nonfuncionale sunt unul dintre motivele pentru care cloud difer att de mult n interpretare.

Consideraiile economice sunt unul dintre motivele cheie pentru introducerea sistemelor cloud n mediul de
afaceri. Interesul particular apare n reducerea costurilor i a efortului prin externalizare i/sau automatizarea
managementului resurselor eseniale. Dup cum s-a observat n prima seciune, aspectele relevate ce trebuie
avute n vedere sunt asociate cu delimitarea dintre pierderea controlului i reducerea efortului. Cu privire la
gzduirea pe infrastructuri cloud private, ctigul prin reducerea costurilor trebuie echilibrat n mod atent
cu efortul ridicat de a construi i rula un astfel de sistem.
n mod evident, provocrile tehnologice apar implicit din aspectele economice i nonfuncionale. n opoziie
cu aceste aspecte, provocrile tehnologice presupun o realizare specific . n plus fa de aceste provocri
implicite, se pot identifica aspecte tehnologice suplimentare care vor fi adresate de sistemul cloud, parial ca
o condiie prealabil de a realiza unele dintre aspectele de nivel ridicat, dar parial deoarece sunt asociate
direct cu anumite caracteristici ale sistemelor cloud.

Caracteristicile cheie ale cloud computing-ului pot fi analizate din prisma a trei aspecte: non-funcionale,
economice, tehnologice, aspecte prezentate n Anexa nr. 1

2.2 Evoluii

Tendina spre cloud computing a nceput la finalul anilor 80 cu un concept de grid computing, cnd pentru
prima dat un numr mare de sisteme au fost dedicate rezolvrii unei singure probleme, de obicei din
domeniul cercetrii, necesitnd resurse excepionale de calcul paralel. n Europa, reelele optice de distane
lungi sunt utilizate pentru a lega multe universiti ntr-un mare computing grid pentru ca resursele s fie
partajate i scalate pentru calcule tiinifice complexe.

Grid computing a asigurat un mediu virtual de resurse de calcul, dar difer de cloud computing. Grid
computing se refer n special la dedicarea mai multor computere pentru a soluiona o anumit problem
individual sau pentru a rula o anumit aplicaie. Cloud computing, pe de alt parte, se refer la folosirea mai
multor resurse, inclusiv resurse computaionale, pentru a asigura un serviciu unitar ctre utilizatorul final.
De obicei un grid este un cluster de servere pe care o sarcin mare poate fi divizat n sarcini mai mici pentru
a rula n paralel. Din acest punct de vedere, un grid poate fi vizualizat ca un server virtual.

ntr-un mediu cloud, resursele extinse de IT i de afaceri, precum servere, stocare, reea, aplicaii i procese
pot fi puse la dispoziia sarcinilor de lucru. n plus, n timp ce un cloud poate asigura i susine un grid, un
cloud poate susine i medii non-grid, precum arhitectura Web three-tier care ruleaz aplicaiile Web
tradiionale sau Web 2.0.

n anii 90, conceptul de virtualizare a fost extins dincolo de serverele virtuale la niveluri mai ridicate de
abstractizare oferind pentru prima dat platforme virtuale, stocare i resurse de reea i apoi la nivel
aplicaie , aplicaii virtuale, care nu se bazeaz pe o infrastructur specific. Puterea de calcul existent a
oferit clusterele ca platforme virtuale de calcul pentru modele noi de business.

Mai recent, modelul software ca serviciu (SaaS) a ridicat nivelul de virtualizare la nivelul de aplicaie, cu un
model business de tarifare nu prin resursele consumate, ci prin valoarea aplicaiei pentru abonai. Este un
model emergent prin care utilizatorii pot avea acces la aplicaiile lor de oriunde, n orice moment, prin
dispozitivele lor conectate. Aceste aplicaii rezid n centre de date masiv scalabile unde resursele de calcul
pot fi furnizate dinamic.

Companiile pot alege s partajeze aceste resurse utiliznd clouds privai sau publici, n funcie de nevoile
specifice. Cloud-urile publice expun serviciile clienilor, afacerilor i consumatorilor pe Internet. Cloud-urile
private sunt n general limitate la utilizarea n cadrul unei companii n spatele unui firewall i astfel sunt mai
puin expuse. Puterea unui cloud este n gestionarea infrastructurii sale, permis prin maturitatea i progresul
tehnologiei de virtualizare pentru a gestiona i utiliza mai bine resursele de susinere prin provizionare
Pagin 8 din 41

automat, re-imaging, reechilibrarea sarcinilor de lucru, cereri sistematice de modificare i o platform
dinamic, sigur i flexibil.
Deoarece din ce n ce mai multe ntreprinderi adaug cloud computing, nivelul aplicaiilor migreaz spre
misiuni mai critice, iar SaaS va fi un pilon al strategiilor IT.

Un numr de companii au construit capaciti de calcul bazate pe centre de date enorme n toat lumea
pentru a susine ofertele de servicii web (cutare, mesagerie instant, comer electronic). Cu aceast
infrastructur de calcul, aceste companii sunt deja n poziia de a oferi aplicaii software pe baz cloud.
Soluiile software precum aplicaiile ERP (Enterprise Resource Planning - planificarea resurselor
ntreprinderii), au fost disponibile pn acum numai ntreprinderilor mari cu bugete IT consistente. Totui,
companiile care vnd astfel de soluii pot acum s le ofere acum i ntreprinderilor mici i mijlocii fcnd
aplicaiile lor foarte complexe i foarte scumpe disponibile ca servicii software online. Capacitatea SaaS de a
oferi aplicaii scumpe la preuri convenabile va continua s se accelereze.

Nu n ultimul rnd, trebuie avut n vedere faptul c la nivelul Uniunii Europene sunt constituite grupuri de
lucru privind susinerea i adoptarea modelului Cloud Computing n administraia public i n economie n
general. De asemenea, sub tutela Comisiei Europene a fost elaborat i publicat n Septembrie 2012
Strategia European privind Cloud Computing. Aceast strategie promoveaz adoptarea rapid a modelului
Cloud Computing n toate sectoarele economiei. Mai mult dect att, o serie de ri membre ale Uniunii
Europene au realizat deja pai consisteni n implementarea i operarea modelului Cloud Computing pentru
serviciile guvernamentale.


2.3 Reglementari i recomandri la nivel UE

n septembrie 2012, Comisia European a adoptat o strategie pentru Valorificarea cloud computingului n
Europa. Strategia subliniaz aciunile pentru asigurarea unui ctig net de 2,5 milioane de noi locuri de
munc n Europa i o cretere anual de 160 miliarde a PIB-ului UE (circa 1%), pn n 2020. Strategia este
conceput pentru a accelera i crete utilizarea cloud computing-ului n economie. Aceast strategie a fost
rezultatul unei analize a politicii generale, a peisajului de reglementare i tehnologic i o consultare a prilor
interesate, pentru a identifica ce este necesar s se realizeze pentru a valorifica la maximum potenialul pe
care cloud-ul il poate oferi. Acest document stabilete aciunile cele mai importante i urgente i reprezint
un angajament politic al Comisiei care servete drept apel pentru ca prile interesate s participe la
implementarea acestor aciuni.

Autoritile publice au un rol important de jucat n crearea unui mediu cloud de ncredere n Europa. Acestea
au posibilitatea de a-i utiliza poziia de achizitor major pentru a promova dezvoltarea i adoptarea cloud
computing-ului n Europa, pe baza tehnologiilor deschise i a platformelor sigure. Stabilirea unui cadru clar i
solid pentru adoptarea cloud-ului de ctre sectorul public le va oferi utilizatorilor internaionali sigurana unui
acces fiabil i va face din Europa un pol activ al inovrii n materie de servicii cloud. n plus, adoptarea unor
soluii de cloud fiabile de ctre achizitorii publici ar putea ncuraja IMM-urile s adopte i ele acest tip de
soluii.

De asemenea, exist ngrijorri legate de faptul c impactul economic al cloud computing-ului nu i va atinge
ntregul potenial dect dac tehnologia este adoptat att de autoritile publice, ct i de ntreprinderile
mici i mijlocii (IMM-uri). n ambele cazuri, pn n prezent adoptarea este limitat din cauza dificultii de a
evalua riscurile adoptrii cloud-ului.

n vederea atingerii acestor obiective, Comisia European va lansa trei aciuni specifice n domeniul cloudului:
Aciunea-cheie 1: deschiderea unui drum prin jungla standardelor
Aciunea-cheie 2: clauze contractuale i condiii sigure i echitabile
Aciunea-cheie 3: instituirea unui parteneriat european pentru cloud pentru a face din sectorul
public un motor de inovare i dezvoltare.

Aciunea-cheie 1 deschiderea unui drum prin jungla standardelor

Pagin 9 din 41

O utilizare pe scar mai larg a standardelor, certificarea serviciilor cloud pentru a demonstra c respect
aceste standarde i aprobarea certificatelor de ctre autoritile de reglementare, ca prob a respectrii
obligaiilor legale, vor contribui la avntul cloudului.

n prezent, vnztorii individuali sunt tentai s lupte pentru obinerea unei poziii dominante prin inducerea
captivitii clienilor i descurajarea abordrilor standardizate, la nivel de sector. n pofida numeroaselor
eforturi de standardizare conduse, n cea mai mare parte de furnizori, cloud-urile se pot dezvolta ntr-o
direcie care nu presupune interoperabilitate, portabilitatea datelor i reversibilitate, adic tocmai
caracteristicile eseniale pentru evitarea captivitii clienilor.

Standardele pentru cloud vor avea efect i asupra prilor interesate din afara sectorului TIC, n special asupra
IMM-urilor i a utilizatorilor i consumatorilor din sectorul public. Astfel de utilizatori sunt rareori n msur s
evalueze corectitudinea declaraiilor furnizorilor privind aplicarea standardelor, interoperabilitatea
cloudurilor sau uurina cu care datele pot fi deplasate de la un furnizor la altul. Din acest motiv, este
necesar o certificare independent, care suscit ncredere.

Au fost deja demarate aciuni de standardizare i de certificare a cloud computing-ului. Administraia
Federal Institutul Naional de Standarde i Tehnologie din SUA (U.S. Naional Institute for Standards and
Technology - NIST) a publicat o serie de documente, inclusiv un set de definiii acceptate pe scar larg.
Institutul European de Standardizare n Telecomunicaii (ETSI) a instituit un grup cloud pentru a evalua
nevoile de standardizare n materie de cloud i conformitatea cu standardele de interoperabilitate. Este clar
c va fi nevoie de iniiative suplimentare viznd stabilirea de standarde. Cu toate acestea, prioritatea actual
const n implementarea standardelor existente pentru a crete ncrederea n cloud computing prin
intermediul unor pachete de servicii comparabile. Pe lng identificarea standardelor respective, este
necesar o certificare a conformitii.

Numeroase organizaii (i, cu siguran, toate marile organizaii) au nevoie de o certificare a conformitii
sistemelor lor informaice cu cerine juridice i de audit i doresc ca aplicaiile i sistemele lor s fie
interoperabile. Comisia:
va promova ofertele de servicii de cloud fiabile i de ncredere, nsrcinnd ETSI s elaboreze pn n
2013, prin cooperare transparent i deschis cu prile interesate, o hart detaliat a standardelor
necesare (printre altele, pentru securitate, interoperabilitate, portabilitatea datelor i reversibilitate).
va crete ncrederea n serviciile de cloud computing prin recunoaterea, la nivelul UE, a
specificaiilor tehnice pentru protecia datelor cu caracter personal i a datelor cu caracter sensibil n
general, n domeniul TIC, n conformitate cu noul regulament privind standardizarea european
va lucra mpreun cu ENISA i alte organisme relevante pentru a sprijini dezvoltarea de sisteme de
certificare voluntar la nivelul UE, n domeniul cloud computingului (inclusiv n ceea ce privete
protecia datelor), i crearea unei liste a acestor sisteme pn n 2014.
va aborda problemele ecologice pe care le pune creterea utilizrii cloudului, convenind cu sectorul
vizat criterii armonizate de msurare a consumului de energie, a consumului de ap i a emisiilor de
carbon ale serviciilor de cloud pn n 2014.

Aciunea-cheie 2: Clauze contractuale i condiii sigure i echitabile

De regul, n domeniul informaticii, acordurile de externalizare fceau obiectul unei negocieri i vizau
stocarea datelor, instalaiile de procesare i servicii definite i descrise n detaliu de la nceput. Pe de alt
parte, contractele de cloud computing creeaz n esen un cadru n care utilizatorul are acces la capaciti
informaice cu o scalabilitate i flexibilitate infinit, n funcie de necesitile sale. Cu toate acestea, n
prezent, flexibilitatea mai mare a cloud computingului n comparaie cu externalizarea tradiional este
adesea contrabalansat de sigurana redus a clientului, cauzat de contractele insuficient de specifice i de
echilibrate cu furnizorii de cloud.

Din cazuza complexitii i a incertitudinii cadrului juridic aferent, furnizorii de servicii de cloud utilizeaz
deseori contracte complexe sau acorduri privind nivelul serviciilor care au clauze extinse de declinare a
rspunderii. Utilizarea contractelor standard de tipul dac i convine bine, dac nu, nu (take-it-or-leave-it) i
permite furnizorului s fac economii, ns adesea utilizatorul, i n special utilizatorul final, gsete condiiile
inacceptabile. Astfel de contracte pot impune de asemenea alegerea legislaiei aplicabile sau pot interzice
Pagin 10 din 41

recuperarea datelor. Chiar i ntreprinderile mai mari nu au dect puin putere de negociere i, deseori,
contractele nu prevd rspunderea pentru integritatea sau confidenialitatea datelor, ori pentru continuitatea
serviciului.

n ceea ce-i privete pe utilizatorii profesioniti, elaborarea clauzelor contractuale tip pentru acordurile
privind nivelul serviciului n domeniul cloud computingului s-a dovedit a fi una dintre problemele cele mai
sensibile n cadrul procesului de consultare. Acordurile privind nivelul serviciului determin relaia dintre
furnizorul de cloud i utilizatorii profesionali i se afl la baza ncrederii pe care utilizatorii serviciilor de cloud
o pot avea n capacitatea unui furnizor de cloud de a furniza servicii.

n ceea ce-i privete pe consumatori i ntreprinderile mici, Comisia a prezentat, n cadrul aciunilor din
Agenda digital viznd creterea ncrederii n mediul digital, o propunere de regulament privind legislaia
european comun n materie de vnzri, care abordeaz multe dintre obstacolele generate de diferenele
dintre legislaiile naionale, punnd la dispoziia prilor contractante un set de reguli uniforme. Propunerea
conine norme adaptate la furnizarea de coninut digital care acoper anumite aspecte ale cloud
computingului.

Pentru chestiunile care nu in de legislaia european comun n materie de vnzri, sunt necesare aciuni
complementare specifice pentru a garanta c celelalte aspecte contractuale relevante pentru serviciile de
cloud computing pot fi de asemenea acoperite printr-un instrument opional similar. Aceste aciuni
complementare trebuie s acopere aspecte precum conservarea datelor dup ncetarea contractului,
divulgarea i integritatea datelor, amplasarea i transferul datelor, rspunderea direct i indirect, dreptul de
proprietate asupra datelor, modificarea serviciului de ctre furnizorii de cloud i subcontractarea.

Dei legislaia UE existent protejeaz utilizatorii serviciilor de cloud, adesea consumatorii nu i cunosc
drepturile i, n special, care sunt legile i jurisdiciile aplicabile n materie civil i comercial, n special cnd
este vorba de chestiuni care in de dreptul contractual.

n cursul consultrii, elaborarea de condiii contractuale tip a fost identificat ca soluie pentru depirea
acestor probleme. Utilizatorii industriali i furnizorii i-au exprimat opiunea pentru acorduri de
autoreglementare sau standardizare. n ceea ce privete contractele cu consumatorii i ntreprinderile mici,
pentru a crea contracte clare i echitabile n materie de cloud computing, poate fi necesar s se elaboreze
condiii i clauze contractuale tip bazate pe un instrument opional de drept contractual.
Identificarea i diseminarea celor mai bune practici privind clauzele contractuale-tip vor accelera adoptarea
tehnologiei de cloud computing, prin creterea ncrederii potenialilor clieni.

Luarea unor msuri adecvate cu privire la clauzele contractuale poate de asemenea contribui la asigurarea
proteciei datelor, care este un aspect de o importan crucial. Dup cum s-a menionat mai sus, propunerea
de regulament privind protecia datelor cu caracter personal va garanta un nivel ridicat de protecie a
persoanelor fizice, prin asigurarea continuitii proteciei atunci cnd datele sunt transferate n afara UE i a
SEE, n special prin clauze contractuale tip aplicabile transferurilor internaionale de date i prin crearea
condiiilor necesare pentru adoptarea unor norme corporative obligatorii propice cloud computingului.
Aceste modificri vor garanta c normele UE n materie de protecie a datelor iau n considerare realitile
geografice i tehnice ale cloud computingului. Pn la sfritul anului 2013, Comisia:
va elabora, mpreun cu prile interesate, clauze contractuale tip pentru acordurile privind nivelul
serviciului aplicabile contractelor dintre furnizorii de cloud i utilizatorii de cloud profesionali, lund
n considerare acquis-ul UE n curs de elaborare n acest domeniu.
va propune, conform comunicrii privind legislaia european comun n materie de vnzri, condiii
i clauze contractuale tip consumatorilor i ntreprinderilor mici pentru aspectele care in de
propunerea n cauz.
Va avea ca obiectiv standardizarea termenilor contractuali i a condiiilor cheie, oferind cele mai
bune practici n materie de clauze contractuale pentru serviciile de cloud n ceea ce privete
aspectele legate de furnizarea de coninut digital .
va nsrcina un grup de experi, creat n acest scop i cuprinznd reprezentani ai sectorului, s
defineasc, pn la sfritul anului 2013, pentru acele aspecte ale cloud computingului care nu in de
legislaia european comun n materie de vnzri, clauze contractuale i condiii pentru
consumatori i ntreprinderile mici, pe baza unui instrument opional similar.
Pagin 11 din 41

va facilita participarea Europei la creterea global a cloud computingului prin: revizuirea clauzelor
contractuale tip aplicabile transferului de date cu caracter personal ctre ri tere i adaptarea
acestora la serviciile de cloud, dup necesiti, i prin invitarea autoritilor naionale de protecie a
datelor s aprobe norme corporative obligatorii pentru furnizorii de cloud.
va colabora cu industria de profil pentru a conveni asupra unui cod de conduit pentru furnizorii de
cloud computing pentru a sprijini o aplicare uniform a normelor de protecie a datelor, care poate fi
transmis grupului de lucru articolul 29 pentru avizare, n vederea asigurrii certitudinii juridice i a
coerenei dintre codul de conduit i legislaia UE.

Aciunea cheie 3 Promovarea rolului de lider al sectorului public prin Parteneriaul european pentru cloud

Sectorului public i revine un rol important n configurarea pieei de cloud computing. n calitate de cel mai
mare cumprtor din UE de servicii informaice, sectorul public poate stabili cerine stricte privind
caracteristicile, performana, securitatea, interoperabilitatea i portabilitatea datelor, precum i de
conformitate cu exigenele tehnice. Acesta poate, de asemenea, s stabileasc cerine de certificare. Cteva
state membre au lansat iniiative naionale, cum ar fi Andromede n Frana, G-Cloud n Regatul Unit i Trusted
Cloud n Germania. Dar din cauz c piaa sectorului public este fragmentat, cerinele acestuia au un impact
redus, integrarea serviciilor este sczut, iar cetenii nu obin cel mai bun raport calitate-pre. Gruparea
cerinelor publice ar putea crete eficiena, iar cerinele sectoriale comune (de exemplu, privind e-sntatea,
ngrijirile sociale, asistena pentru autonomie la domiciliu i serviciile de e-guvernare cum ar fi datele
deschise) ar putea reduce costurile i ar permite interoperabilitatea.

Sectorul privat ar beneficia, de asemenea, de servicii de mai bun calitate, de concuren sporit, de
standardizare rapid i de o mai mare interoperabilitate, precum i de oportuniti de pia pentru IMM-urile
din sectorul tehnologiei avansate.

Drept urmare, n acest an, Comisia creeaz un Parteneriat european pentru cloud, cu scopul de a oferi un
cadru pentru iniiativele similare lansate la nivelul statelor membre. Acest parteneriat va reuni experi ai
ntreprinderilor vizate i utilizatori din sectorul public, care vor elabora, ntr-un mod deschis i complet
transparent, cerine comune privind achiziiile publice n domeniul cloud computingului. Parteneriatul nu are
ca obiectiv crearea unei infrastructuri fizice de cloud computing. Prin cerinele privind achiziiile, care vor fi
promovate de statele membre participante i de autoritile publice n vederea utilizrii pe ntreg teritoriul
UE, obiectivul este mai degrab de a garanta c oferta comercial din Europa este adaptat nevoilor
europene. Parteneriatul va permite de asemenea s se evite fragmentarea i s se garanteze c utilizarea
cloudului public este interoperabil i sigur, securizat, ecologic i pe deplin conform cu normele
europene, de exemplu n domeniul proteciei datelor i al securitii. Sub supravegherea unui comitet
director, parteneriatul va regrupa autoriti publice i consorii de ntreprinderi care vor colabora pentru a
pune n aplicare o aciune de achiziie pre-comercial destinat:
s identifice cerinele sectorului public n materie de cloud computing; s elaboreze specificaii
pentru achiziiile din domeniul IT i s conduc la obinerea unor implementri de referin pentru
demonstrarea conformitii i a performanei.
s avanseze n direcia achiziiilor comune de servicii de cloud computing, efectuate de ctre
organismele publice pe baza noilor cerine comune ale utilizatorilor.
s elaboreze i s aplice alte msuri care necesit o coordonare cu prile interesate, astfel cum se
prevede n prezentul document.


2.4 Bariere de adoptare

Barierele majore pentru adoptarea cloud computingului sunt lipsa unui cadru de reglementare specific i
ngrijorrile cu privire la securitate i confidenialitate. Asigurarea unui comportament de ncredere al
clienilor i al furnizorilor este un aspect important. Securitatea a fost ntotdeauna o problem important a
managerilor IT, iar protecia informaiilor personale, tiinifice, comerciale i a proprietii intelectuale trebuie
s fie asigurat de ctre furnizorii de servicii cloud.

O metod universal valabil pentru a asigura ultimele tehnologii de securitate, confidenialitate i ncredere
nu este nici adecvat, nici posibil. Fiecare modalitate de utilizare a tehnologiei cloud computing trebuie s fie
Pagin 12 din 41

evaluat critic i cu mare atenie i luat n considerare n ceea ce privete ameninrile identificate, riscurile
i cerinele de soluionare a conflictelor.

Pentru a consolida contribuia lor la informaiile reglementate i sensibile, furnizorii de servicii cloud trebuie
s defineasc limitele i responsabilitile, observnd ce funcii i politici de securitate i de management al
informaiilor asigur ei, i ce management al informaiilor i ce securitate trebuie asigurate n plus de ctre
client sau alt furnizor de servicii partener. n mod tipic, acordurile de nivel de servicii (SLA) trebuie s reflecte
aceast mprire.

2.4.1 Constituirea unui cadru de reglementare specific

Lipsa unui cadru de reglementare specific genereaz reticen n privina adoptrii conceptului de Cloud
Computing, mai ales la nivelul instituiilor publice. La nivelul organizaiilor private limitele de autoritate n
privina opiunilor legate de soluii tehnice i tehnologii permit o mai mare flexibilitate, deci o adoptare mai
rapid a soluiilor i conceptelor noi. Pe de alt parte, n sectorul public limitele de autoritate date de
structura ierarhic centralizat fac necesar iniiativa i coordonarea la nivel central.

Principalul mod de exprimare a iniiativei i coordonrii la nivel central n privina cloudului este elaborarea
unei strategii i a unui cadru de reglementare specific, care:
s defineasc i s delimiteze rolurile entitilor implicate; un aspect esenial n definirea acestor
roluri este definirea rolului de evaluator i auditor al serviciilor de tip cloud guvernamental, rol
atribuit guvernului
s definesc criteriile de securitate, performan i funcionalitate care trebuie satisfcute n
furnizarea de servicii de tip cloud; aceste criterii trebuie, pe de o parte, s asigure ncrederea n
aceste servicii, iar pe de alt parte s asigure costuri eficiente ale serviciilor prin crearea unui mediu
competitiv pentru furnizorii de astfel de servicii;
s defineasc modalitatea de utilizare a serviciilor de tip cloud;

2.4.2 Securitatea

Un numr de aplicaii curente de cloud computing presupun servicii oferite ctre consumatori finali, inclusiv
e-mail i reele sociale. Aceste servicii colecteaz i stocheaz volume mari de terabytes de informaii
personale, n centrele de date n toate rile din lume. Protecia datelor personale i gestionarea problemelor
de confidenialitate pot determina succesul sau eecul multor servicii cloud.

Problemele de securitate i de confidenialitate sunt complicate de amplasarea datelor n mai multe jurisdicii
diferite cu niveluri diferite de protecie. Interceptarea i alte activiti de supraveghere ale ageniilor
guvernamentale reprezint o alt problem. Au existat instane n trecut cnd activitile de strngere de
informaii au fost la limita spionajului comercial. Pe de alt parte, accesul legitim al ageniilor de aplicare a
legii poate fi dificil. Protecia proprietii intelectuale, mai ales n ceea ce privete protecia drepturilor de
autor, va pune i aceasta probleme. Au existat deja ncercri de a face companiile de servicii de Internet (ISP)
responsabile pentru mpiedicarea partajrii neautorizate de materiale protejate de drepturile de autor. Nu
este nc clar cum vor fi soluionate aceste probleme n mediul cloud.

Asigurarea securitii informaiilor n mediul cloud computingului impune trei niveluri de securitate:
securitatea reelei, securitatea serverului i securitatea aplicaiei. Aceste nevoi de securitate sunt prezente i
n infrastructura intern i sunt afectate direct de politicile de acces i fluxurile de lucru ale unei entiti care
i deine i gestioneaz resursele. Cnd o entitate trece pe cloud computing, apar provocri de securitate la
fiecare dintre cele trei niveluri, ct i cele care privesc operarea activitii economice i persoanele implicate
n managementul sistemului. Dei aceste provocri de securitate sunt exacerbate prin cloud computing, nu
sunt produse de acesta.

Criptarea nu este o soluie complet, pentru c datele trebuie s fie decriptate n anumite situaii astfel
nct s se poata prelucra i s se poat duce la ndeplinire funciile normale de management de date, de
indexare i de sortare. Astfel, dei datele n tranzit i datele stocate sunt efectiv criptate, nevoia de a decripta,
n general de furnizorul de servicii cloud, poate fi o problem de securitate.

Pagin 13 din 41

Totui serviciile cloud pot fi securizate prin filtrarea e-mailurilor (inclusiv back-up i spam), filtrarea
coninutului web i gestionarea vulnerabilitilor, toate acestea mbuntind securitatea. Unele ameninri
sunt mai bine tratate de centrele de date de dimensiuni mari (de exemplu atacuri de tipul Distributed Denial
of Service, care presupun ncercri de a mpiedica un sit de internet sau un serviciu s funcioneze). Aplicaiile
care ruleaz n cloud sunt mai puin vulnerabile la astfel de atacuri.

Managementul identitii i al accesului i politicile asociate pentru utilizarea serviciilor cloud trebuie s fie
echivalente practicilor curente de la nivelul ntreprinderilor i s asigure capacitatea de a interopera cu aceste
aplicaii existente.

2.4.3 Confidenialitatea

Legile i reglementrile cu privire la confidenialitate i protecia datelor, precum acelea ale rilor din
Uniunea European i Programul US Safe Harbor, necesit cunoaterea locaiei datelor stocate n orice
moment. Datele pot fi stocate n mai multe copii, n mai multe jurisdicii cu diverse tipuri de legislaie cu
privire la confidenialitate i protecia datelor. Aceasta este o problem particular pentru ageniile
guvernamentale care proceseaz informaiile personale. Aceast problem poate ncuraja unii furnizori de
servicii cloud s i situeze centrele de date n jurisdicii cu cerine juridice minime (posibil n afara Europei i a
SUA). Totui utilizatorii de servicii cloud pot avea nevoie de protecia juridic asigurat de o legislaie
puternic cu privire la protecia datelor cu caracter personal.

Din nou, integrnd comportamentul convenit ntre furnizor i client, demonstrnd unul altuia pentru fiecare
tranzacie c acordul este meninut, dar i un registru care poate fi controlat din exterior, va nate ncredere
i susinere n utilizarea serviciilor cloud.


2.4.4 ncrederea

n ultim instan totui, asimilarea serviciilor cloud depinde de ncrederea pe care clientul i furnizorii o au
unii fa de ceilali. ncrederea trebuie s fie aplicabil legal sau pe baza standardelor dac activeaz n
practic. ncrederea n cloud computing trebuie s utilizeze o metod integrat care se construiete pe ideile
care susin Acordurile de nivel de servicii (SLAs):
Acordul asupra politicilor pentru partajarea informaiilor nainte de orice interaciune ntre client i
furnizorii de servicii cloud. Acest lucru se poate face prin utilizarea de contracte sau SLA care definesc
accesul la serviciile specializate sau politici de control al accesului.
Dovezi riguroase ale comportamentului convenit (definit n SLA) ntre furnizorul de servicii cloud i
clienii lui pe durata interaciunilor critice i dup ce s-a ajuns la acorduri cu privire la politici.
Asigurarea c arhive verificabile i controlabile din exterior cu privire la buna conduit sunt
pstrate, de la nceput pn la sfrit.

Luate separat, aceste msuri sporesc ncrederea prilor. Numai atunci cnd toate cele trei componente sunt
corelate, se atinge un sistem n care se poate avea cu adevrat ncredere.

2.4.5 Blocarea serviciilor i standardele

Blocarea serviciilor este o problem pentru unii utilizatori. Din cauza lipsei de standardizare, consumatorii nu
pot extrage cu uurin propriile date i programe i merge spre un alt furnizor din cloud. Succesul
internetului se datoreaz adopiei standardelor deschise i dezvoltrii de software open source. Pentru ca
cloud computing s fie un succes, guvernele trebuie s promoveze standarde internaionale deschise pentru
Cloud, astfel nct utilizatorii s poat schimba furnizorii de servicii Cloud cu costuri i riscuri minime.

2.4.6 Alte probleme

S-au exprimat preocupri cu privire la:
Congestia transferurilor de date pe msur ce aplicaiile devin mai intense din punctul de vedere al
datelor i computaia este distribuit n cloud, nevoia de a muta volume largi de date poate crete;
Pagin 14 din 41

Costurile traficului de reea unele organizaii au modele de cost care restrng sau sancioneaz
accesul la facilitile externe i din strintate;
Pierderea datelor dac un serviciu cloud pierde date, aceasta este o problem major pentru
utilizatorii care se bazeaz pe serviciu;
Incapacitatea consumatorilor de a se redresa dupa o problema major.

3. Impact pentru sectorul privat

3.1 Impact la nivelul sectorului financiar

Industria serviciilor financiare continu s adopte Cloud Computing-ul. Nu se pot nega avantajele mutrii n
cloud costuri reduse, scalabilitate i flexibilitate mai mare, mobilitate crescut i implementare mai rapid
etc.

Cerina de protejare a informaiilor clienilor, nc reprezint o barier pentru multe firme. Faptul c
nregistrrile i informaiile clienilor trebuie securizate i pstrate confidenial cauzeaz mari dificulti
acestei industrii. Ar trebui precizat necesitatea companiilor de a proteja nregistrrile clienilor mpotriva
oricror ameninri sau ct i a acceselor neautorizate care ar putea afecta sau cauza inconveniene clienilor
n cauz.
Studiul Ernst & Young denumit 2012 Global Informaion Security Survey a artat c 59% dintre respondeni
au spus c folosesc sau planific s foloseasc servicii de cloud. Cu toate acestea, peste 33% nu au ntreprins
nicio msur pentru administrarea sau diminuarea riscurilor de securitate.

Provocrile pe care le introduce cloud computing-ul influeneaz industria serviciilor financiare n
urmtoarele moduri:

Companiile sunt reticente, considernd posibilitatea compromiterii datelor dintr-un cloud public
precum i posibilitatea monetizrii acestor date (de clieni) de ctre furnizorii de cloud. De exemplu,
angajai din trezorerie (traders) din diferite companii de profil ar fi foarte circumspeci n a-i ine
strategiile de tranzacionare ntr-un cloud, temndu-se de faptul c un competitor de pe acelai
cloud ar putea obine acces la ele. Similar, manageri de portofolii i analiti de risc sunt reticeni cu
privire la detalii de alocarea a activelor sau a strategiilor de referin a relansrii a unei companii.
De vreme ce companiile de servicii financiare opereaz ntr-un mediu ultra reglementat, orice
pierdere sau compromitere a datelor clienilor sau oricare din scenariile de mai sus poate avea
implicaii i repercursiuni reputaionale i poate duce la procese colective din partea clienilor.
Managerii IT sunt de asemenea ngrijorai n ceea ce privete disponibilitatea aplicaiilor meninute n
cloud. Furnizorii de servicii de tip cloud computing asigur serviciile n nite condiii standard,
acestea neputnd fi negociate efectiv de ctre un client, tinznd a fi evident n beneficiul furnizorilor,
inclusiv oferind clienilor doar garanii limitate. Imaginai-v un scenariu n care un furnizor de servicii
cloud computing terge datele clienilor sau oprete un serviciu sau o aplicaie pe o perioad de zile
sau sptmni, dintr-un motiv de nclcare a contractului, cum ar fi neplata temporar. Acest tip de
scenariu ar crea multe probleme pentru o companie care nu ar avea prghii reale de negociere ntr-
un astfel de scenariu.
Dependena de tehnologia furnizorului este un alt motiv de ngrijorare. Marea majoritate a
furnizorilor de servicii cloud computing asigur accesul la resurse prin tehnologii proprii, interfee
patentate ale aplicaiilor, serviciilor web sau instrumente proprii de linie de comand. Dac o
companie dorete s i schimbe furnizorul de servicii cloud computing, acest lucru ar presupune
costuri ridicate doar pentru modificarea ctre noile interfee i tehnologii, costuri care anuleaz
tocmai avantajele utilizrii acestui tip de serviciu.

Proprietatea Intelectual

Companiile care i-au implementat servicii de cloud computing au observat cazuri n care diferite persoane au
obinut acces neautorizat la datele aflate sub incidena Proprietii Intelectuale. intirea acestui tip de active
valoroase are o tendin cresctoare. Cel mai probabil vom identifica n viitor metode suplimentare de tip
atacuri persistente avansate (APTs Advanced Persistent Threats) mpotriva multor companii. Dat fiind
Pagin 15 din 41

cantitatea mare de date ale clienilor, industria de servicii financiare este o int viabil i atractiv. Din
aceast cauz, Proprietatea Intelectual este min de aur pentru hackeri.

Un atac reuit de acest tip, lansat mpotriva serviciilor de cloud computing poate afecta la modul cel mai
serios Proprietatea Intelectual i reputaia companiilor. Au fost cazuri n care angajai au czut victime i au
permis ca nclcri de mare anvergur s se ntmple; acetia au fost bine intenionai dar netiutori. Mai
mult dect att, exist ntotdeauna pericolul unor atacuri intenionate din interior. Dac un angajat lucrnd la
un furnizor de servicii de cloud computing decide s vnd date ale unui client celui care ofer mai mult, acest
lucru ar determina un incident costisitor i jenant de compromitere a datelor pentru respectivul client.

Necunoaterea nu este acceptabil

Ca i consumator de cloud computing, trebuie nelese responsabilitile ce revin clientului i s se in cont
c a te baza doar pe furnizorul de servicii de cloud computing nu este suficient. Multe organizaii n
necunotin de cauz se bazeaz pe acordurile privind nivelurile serviciilor (SLA - Service-level Agreement) cu
furnizorul de servicii i presupun c acetia sunt responsabili de securitatea datelor lor. Nu este acceptabil
pentru o companie de servicii financiare s invoce necunoaterea acestor aspecte i s impute un incident
ctre furnizorul de servicii.

Acum, c datele despre clieni i informaia n general, pot fi oriunde ntr-un cloud digital, nu mai este
ndeajuns s se ia n considerare aspectele de securitate doar prin prisma infrastructurii.

Conformitatea prin criptare

Companiile de servicii financiare ar trebui sa foloseasc metode de criptare pentru a reduce riscul dezvluirii
i alterrii datelor senzitive aflate n repaos sau n tranzit. Aceasta este una din cele mai bune metode de a
menine informaia n condiii de siguran fa de hackeri. Folosing aceast metod, o pereche secret de
coduri digitale numit cheie este folosit pentru a cripta datele. Fr aceast cheie, datele nu pot fi
decriptate.

Criptarea, protejeaz datele importante mpotriva ochilor curioi, indiferent unde este informaia stocat.
Entitile care ncearc s evite modul uzual de acces al datelor i protocoalele companiilor, vor obine astfel
doar informaii criptate.
Criptarea nu trebuie s aib un efect negativ asupra utilizatorilor legitimi sau asupra clienilor acestora, astfel
nct acetia s poat obin informaiile fr probleme. ns, aceasta n sine reprezint o problem. Cine mai
exact ar trebui s dein cheile de criptare?

Gestionarea cheilor de criptare

Deseori, furnizorii de servicii de cloud computing care cripteaz datele clienilor, dein cheile de criptare. Cu
toate acestea, revenim la situaia expus mai devreme. Dac un hacker sau un angajat nemulumit fur
cheile, acetia au acces la informaii n form necriptat.
Pentru a ajuta la rezolvarea acestei situaii, Gartner recomand clienilor s rein, s gestioneze local cheile
de criptare i s se asigure c acestea sunt schimbate i distruse n mod corespunztor pentru a le menine
secrete n timp.

Mai sunt i alte considerente de luat n calcul pentru industria financiar, atunci cnd adopt o strategie de tip
cloud computing. n primul rnd, informaia trebuie definit ca fiind de prim rang n interiorul cloud-ului. Mai
presus de orice, informaia trebuie protejat. Cnd se stabilesc strategiile pentru protejarea informaiei,
trebuie luate n calcul cerinele de reglementare i trebuie faptul c cerinele referitoare la exportul datelor i
restriciile de reziden sunt respectate.

Administrarea a astfel de cerine poate fi descurajatoare pentru multe companii care nu au expertiz n cloud
computing sau securitatea informaiilor. Lucrul cu un ter de ncredere poate ajuta la acoperirea nevoilor, n
acelai timp maximiznd inovaia i competitivitatea furnizat de ctre cloud.

Pagin 16 din 41

Aceste recomandri v vor ajuta la eliminarea ngrijorrilor legate de confidenialitatea i integritatea datelor
pe masur ce, mbrind cloud-ul, migrai datele i aplicaiile. Cu ct petrecei mai puin timp cu ngrijorrile
legate de securitate, cu att putei petrece mai mult timp cu strategiile de afaceri.


Un sondaj Internaional Data Group din 2010 a relevat c:
6% dintre CIO interpelai au afirmat c reducerea de costuri este o prioritate critic de business
pentru viitor n cadrul board-ului
62% au afirmat c optimizarea resurselor i a proceselor de afaceri vor fi o prioritate
67% au prevzut mbuntirea timpului de marketing pentru produse i servicii la fel de critic
n anii urmtori.

O companie de servicii financiare care se bazeaz puternic pe serviciile IT poate beneficia de cloud computing
n ciuda obieciilor menionate mai sus. Reducerile de cost percepute, uurina scalrii, un timp mai rapid de
ajungere ctre pia i implementare a sistemelor, virtualizarea datelor din ntreaga ntreprindere ca i
serviciu, standardizarea tehnologiei enterprise i abilitatea de a accesa date i aplicaii de oriunde sunt toi
factori critici care pot conduce companiile de servicii financiare la adoptarea cloud computing-ului.

Pentru companiile de servicii financiare exist nenumrate oportuniti de a beneficia de avantajele cloud
computing, prin migrarea diferitelor aplicaii n cloud. Aplicaiile auxiliare (non-core) , precum cele pentru
anumite procese de business - de recrutare, de facturare, de managementul deplasrilor, pot i trebuie n
mod simplu mutate n cloud. Un numr de operaiuni de infrastructur, precum managementul centrului de
date, stocarea acelor date i recuperarea lor n caz de dezastru, ar trebui de asemenea s se mute n cloud
dup o evaluare minuioas a ofertelor diverilor vendori i lund n calcul i flexibilitatea furnizorilor de de
cloud n documentarea contractelor. Dei foarte puine companii folosesc acum cloud computing pentru
aplicaiile lor de baz, diferite arhitecturi de gzduire de tip IaaS ale furnizorilor de cloud, vor face ca mai
multe companii s i mute aplicaiile n mediul cloud. De fapt, soluiile principale, precum procesele de tip
batch care ruleaz pe durata ntregii zile, aplicaiile de analiz i raportare reprezint prin caracteristicile lor,
candidaii perfeci pentru cloud computing.

3.2 Impact la nivelul sectorului educaional

Instituiile din sectorul educaional adopt sistemul Cloud, la fel cum o fac i celelalte organizaii. Peste tot n
lume, universitile studiaz serviciile Cloud computing prin cooptarea oamenilor de tiin, dar i prin
intermediul colaborrilor interuniversitare, strduindu-se s gseasc calea cea mai potrivit de a folosi
aceste servicii, date fiind preocuprile legate de securitate. Drept urmare, putem vedea un interes crescut i o
investiie pe msur n soluii tip Cloud privat, dar i de interes public, specifice sectorului educaional.
Compania Forrester a avut discuii cu directori IT axate pe gradul de adoptare a sistemului Cloud de ctre
universiti din S.U.A., Anglia, Australia, Noua Zeelanda i India, n primul rnd legate de nvare, cooperare i
cercetare iar, n al doilea rnd, de administare.


Rezultate cheie

n urma discuiilor avute, Forrester a identificat cinci elemente cheie:

Funcionalitatea, scalabilitatea i agilitatea sunt cele mai valoroase caracteristici ale unui sistem
Cloud. Toi cei intervievai erau de prere c nu puteau construi un sistem funcional fr s fi ieit n
pierdere din punct de vedere al costurilor asigurnd aceeai vitez ca i furnizorii de Cloud si, n
acelasi timp, s redimensioneze resursele proporional cu nevoile instituionale. n plus,
implementrile Cloud permit angajailor IT s-i concentreze eforturile pentru a lucra n mod direct
cu departamentele academice i s aloce personal pentru alte nevoi tehnologice critice instituiilor.
Responsabilizarea angajatului i punerea n umbra a IT-ului sunt factori cheie n adoptarea unui
sistem Cloud. Accesul direct al consumatorului la serviciile Cloud au fcut posibil ca profesorii cu
spirit practic s acioneze n calitate de resurs IT i s creeze propriile lor sisteme Cloud prin
intermediu serviciilor, ceea ce a furnizat infrastructur i aplicaii ntr-un mod mai rapid i mai
eficient din punct de vedere al costurilor dect prin intermediul centrului IT. Drept urmare, putem
Pagin 17 din 41

vedea cum multe departamente, dar i angajai ai universitilor simt nevoia s utilizeze aceste
servicii.
Liderii mari din domeniul IT prefer sisteme de Cloud private. Fie c sunt pentru cercetare sau pentru
colaborare, acest tip de sisteme sunt preferate pentru educaie. Toate universitile intervievate si-
au manifestat reinerea n a ncredina orice fel de proprietate intelectual sau date care ar putea
fi prelucrate, unui serviciu ter.
Universitile au interese solide vizavi de Cloud-ul comunitar. n aceeai msur n care colaborarea
ntre universiti continu s creasc ca i importan, la fel crete i dorina de a-i uni eforturile sau
de a participa mpreun la acelai serviciu Cloud. Cel mai important lucru din interesul pentru acest
model a fost acela de a sprijini cercetarea i procesul de nvare.
nvtmntul superior IT nu are ncredere n securitatea sistemelor Cloud. Liderii IT ai universitilor
i exprim nelinitea n legtur cu proprietatea intelectual i datele studenilor care ar putea
ajunge pe mini greite; astfel, securitatea este pe primul loc ca motiv de respingere a sistemului
Cloud. Facultatea ct i angajaii IT au fost cu toii deschii asupra nelegerii mai bune a securitii
Cloud i au artat bunvoin de a folosi servicii Cloud, presupunnd c furnizorul poate da
asigurrile potrivite.
Universitile vor parteneriate flexibile i de lung durat cu furnizorii. Liderii IT ai universitilor
ateapt ca furnizorul s neleag nvamntul superior, s fie expert n implementarea Cloud, s
ofere sugestii i bune practici, dar i s fie deschis la dezvoltarea unei relaii furnizor/universitate, n
care fiecare parte are ceva de nvat de la cealalt. Aceast relaie trebuie s fie ndeajuns de
flexibil nct s permit schimbri i dezvoltri educaionale i de tehnologie pe perioada
contractului.

Tehnologia Cloud se face cunoscut nvmntului superior cu anumite reineri.

Acesul rapid la resurse, ajutorul obinut uor i rapid i un model economic n care se pltete doar pentru
ceea ce ai nevoie, toate acestea se fac simite n lumea educaiei superioare care devine tot mai competitiv.
Astfel, nu e deloc surprinztor faptul c serviciile Cloud au ptruns pe aceast pia foarte rapid. Forrester
Consulting a descoperit c majoritatea marilor instituii de nvmnt superior, experimenteaz serviciile
Cloud dup modelul celor folosite de marile companii. Adoptarea timpurie este de cele mai multe ori
determinat de profesori i ali membri ai personalului avnd o gndire vizionar i o minte liber i care, ei
inii, pot presta servicii pentru un anume curs sau proiect. Adoptarea formal de ctre personalul IT al
universitilor ntrzie din cauza preocuprilor legate de sigurana proprietii intelectuale . Instituiile i
doresc mai mult flexibilitate n utilizarea tehnologiilor, dar sunt foarte preocupate de securitatea datelor,
mai ales cnd este vorba de un sistem Cloud public - de fapt, de orice alt mediu gzduit. IT-ul formal accept
mai degrab soluii de tip Cloud privat care furnizeaz date dintr-un centru intern sau dintr-o platforma Cloud
comunitar extins.


Instituiile pro-Cloud demonstreaz anumite caracteristici

Majoritatea marilor instituiilor de nvmnt superior studiaz tehnologiile Cloud pe diferite nivele de
interes.
Acelea care sunt cele mai favorabile sistemului Cloud demonstreaz anumite caracteristici :

Cunotinele i experiena liderului IT. Universitile care lucreaz cel mai mult cu sistemul Cloud au
un CIO sau un director IT care nelege avantajele tehnologiei Cloud i are o experien direct legat
de lucrul cu un astfel de sistem. n multe cazuri, aceti lideri au lucrat n sistemul corporatist nainte a
de fi fost angajai ntr-un mediu universitar n care au cunoscut cerinele studenilor.
Aici, prioritatea lor este de a face cunoscut personalului, valoarea tehnologiei Cloud. Pentru a
convinge, creeaz programe pilot pe care le fac cunoscute i altor departamente, mprtind studii
de pia i evalund rezultatele pentru procesul de nvare, robusteea tehnologiei i perspectivele
celui care ndrum.
Natura instituiei. Unele instituii au programe puternice de studiu n domenii foarte tehnice,
beneficiind astfel la maxim de avantajele unor investiii importante n tehnologia Cloud. Studiile
noastre arat c profesorii bine informai i deschii n domeniul tehnologiei, sunt de departe cei mai
buni candidai pentru punerea la punct a unui sistem Cloud pentru proiectele i aciunile academice.
Pagin 18 din 41

Aceast tehnologie poate uura punerea la punct a unor instrumente pe care studenii i profesorii
s le foloseasc pentru proiectele propuse pe parcursul unui curs i faciliteaz eliberarea resurselor
la sfritul cursului.
Locaia geografic. Instituiile S.U.A. par a fi mult mai avansate n ceea ce privete acceptarea i
folosirea serviciilor i soluiilor Cloud. Se pare c aceste instituii au un avans mult mai mare n
descoperirea provocrilor i a eventualelor capcane oferite de Cloud, dar i n educarea factorilor de
decizie din cadrul facultii sau al universitii vis-a-vis de beneficiile aduse de Cloud. Lipsa de
cunotine i de nelegere cu privire la caracteristicile mediului Cloud a afectat instituiile din
majoritatea zonelor geografice n care am efectuat interviuri. Aceste diferene nu sunt o piedic n
calea instituiilor n a descoperii tehnologia Cloud, dar fac progrese ntr-un ritm lent i precaut i n
acelai timp pstreaz contactul cu reuitele i provocrile altor instituii.

Terminologia Cloud este adesea o provocare

n cadrul instituiilor exist confuzie n legatur cu ceea ce reprezint Cloud. Forrester definete Cloud
computing ca un sistem standardizat care include servicii, programe informatice sau acces la informaii
furnizate ca un serviciu de sine stttor pentru a crui utilizare se pltete. Exist trei nivele n structura
Cloud:
serviciul software (Software-as-a-service, SaaS)
serviciul de infrastructur (infrastructure-as-a-service, IaaS)
serviciul platform (platform-as-a-service, PaaS).

Forrester definete cinci modele pentru dezvoltarea sistemelor Cloud:
public
privat intern
privat gzduit virtual
hibrid
comunitar

Instituiile de nvmnt superior prefer modelul privat intern n centrele lor de date. Majoritatea
instituiilor cu care Forrester Consulting a avut discuii, folosesc un fel de form hibrid, pstrnd informaiile
despre studeni pe servere proprii, iar email-urile i documentele legate de cercetare ntr-un sistem Cloud.
Deoarece instituiile colaboreaz, se ateapt ca i platforma Cloud s creasc, mai ales n ceea ce privete
instituiile de cercetare i cele care ofer cursuri de nvare online.

Universitile exploreaz un spectru larg de tehnologii cloud

Instituiile de nvmnt superior nu sunt novice n tehnologiile Cloud. Unele dintre ele deja au avut un fel de
tehnologie Cloud n ultimii cinci ani sau mai mult. ncrederea lor n platformele Cloud variaz, lucru ce
afecteaz dorina de a utiliza anumite tehnologii de Cloud, dar toate instituiile exploreaz posibilitile i au
planuri de a adopta asta n zone diferite. Exist urmtoarele puncte de vedere despre platformele Cloud:

Platformele Cloud sunt utilizate pe scar larg. Utilizarea cea mai consistent a tehnologiilor de tip
Cloud de ctre toate universitile intervievate a fost utilizarea de soluii SaaS pentru studieni, cum
ar fi servicii de email. Alte utilizri comune - din nou, cea mai mare parte tot de tip SaaS - au avut la
baza preocupri academice, cum ar fi laboratoare i mediile de colaborare folosite pentru o anumit
perioad de timp ca suport pentru anumite cursuri. Unele folosesc posibiliti de urmrire, de
colaborare i de gestionare, cum sunt platformele de tip Cloud eLearning, altele au preferat s-i
configureze soluiile respective pe serverele lor interne. Aceste utilizri de platforme Cloud publice se
concentreaz pe procesul de nvare, iar studenii sunt capabili s se conecteze utiliznd toate
dispozitivele lor.
Departamentele IT n domeniul educaional prefer platforme Cloud private. Responsabilii IT din
nvmntul superior sunt foarte preocupai de drepturile pe proprietatea intelectual i
confidenialitatea datelor. Ca urmare, toi liderii IT ai instituiilor au fost mult mai confortabili cu o
platforma Cloud privat instalat i livrat printr-un centru de date din campusul universitar.
Platformele Cloud publice i private vor fuziona n cele din urm. n timp ce profesionitii IT din
educaie prefer platforme Cloud privat, ei recunosc c acestea au limite i sunt deschii, astfel, la
Pagin 19 din 41

completarea lor cu servicii de Cloud public. De exemplu, unele servicii necesit un volum ridicat de
cereri i o funcionare fr ntreruperi, cum ar fi optarea i nscrierea studenilor la anumite cursuri,
acestea fiind candidate perfecte pentru servicii Cloud public. Platformele hibride Cloud au, de
asemenea, beneficii puternice n actul de predare, instituia putnd suplimenta cu uurin instruirea
din clas cu nvarea on-line.
Platformele Cloud comunitare sunt populare n special pentru partajarea rezultatelor cercetrilor i
articolelor. Unele universiti lucreaz mpreun pentru a partaja spaiu de stocare i capacitile de
procesare. Grupuri de universiti formeaz comuniti pentru a facilita proiecte comune n care
schimbul de informaii este esenial.

Recomandari cheie

Avnd n vedere utilizarea tot mai susinut a serviciilor Cloud de ctre departamentele academice, precum i
necesitatea de a schimba comportamentul departamentelor IT aliniindu-l criteriilor de agilitate i
productivitate oferite de aceste servicii, liderii tehnici din departamentele IT ale instituiilor din educaie
trebuie s-i concentreze eforturile asupra a trei domenii principale:

1) trecerea de la organizarea departamentului IT (Informaion Technology) ctre noiunea de BT
(Business Technology) pentru a consolida legturile cu departamentele academice
2) trecerea infrastructurii interne ctre o platforma de Cloud privat
3) adoptarea unei platforme Cloud hibrid n viitor.
Specialitii IT din nvmntul superior trebuie s:

recunoasc faptul c departamentul IT nu mai este centrul de tehnologie al universitii.
Departamentul IT trebuie s devin mai orientat spre funcional i s acioneze ca o resurs
pentru departamentele academice i organizaionale ale universitii. Astfel, acesta trebuie s
dispuna de relaii puternice cu comunitatea academic i s migreze de la furnizarea de
capabiliti de tehnologie ctre o poziie de consiliere i consultan cu privire la modul n care
tehnologiile pot mbunti misiunea academic.
nceap cltoria spre platformele Cloud privat cu o nelegere a ceea ce face un Cloud privat.
Virtualizarea nu este echivalent cu o platform Cloud. Acest lucru are implicaii operaionale
mai mari dect tehnologia n sine. Arhitectura platformei de Cloud privat ar trebui s fie n aa
fel gndit nct s poat oferi o soluie care s ofere o experien de utilizare similar cu
soluiile Cloud publice.
verifice serviciile Cloud. Instituiile trebuie s gseasc metodele potrivite pentru a testa
capabilitile i performanele platformei Cloud alese. Testele pot conine scenarii care s
verifice securitatea soluiei, rezistena la atacuri externe, protecia datelor, performana etc.
Sursa: Cloud Bursts Into Higher Education - A Forrester Consulting Thought Leadership Paper
Commissioned By Cisco Systems




3.3 Impact la nivelul sectorului telecomunicaiilor

O evoluie dramatic are loc n prezent n industria de telecomunicaii. Operatorii de telefonie mobil, fix i
broadband precum i furnizorii de servicii din ntreaga lume opereaz pe infrastructuri de reea de
telecomunicaii proprietare, nvechite i costisitoare. Creterea numrului i diversitii de dispozitive mobile
care acceseaz reelele, nu numai pentru voce, ci i pentru multimedia i date, face ca traficul total s creasc,
n timp ce ARPU (Average Revenue Per User) a rmas constant sau chiar este n scdere. Cuplat cu faptul c
pentru aceste reele de telecomunicaii au fost construite o multitudine de aplicaii complexe, inflexibile,
proprietare i specifice, precum i necesitatea de a servi ct mai multe companii, operatorii i furnizorii de
echipamente trebuie s treac de la un model tradiional, nchis, ctre un cadru care este deschis, centrat pe
consumator, care s permit dezvoltarea serviciilor mai rapid i cu costuri reduse.

Pagin 20 din 41

Platformele Cloud sunt o continuare natural a tendinei de virtualizare, tendin ce are o istorie care
depete 15 ani. Acest trend a ajuns acum la un punct critic n care se poate crea i livra valoare de business.
Aceast valoarea poate fi creat n trei direcii principale:

Eficientizarea fluxurilor i serviciilor actuale
Crearea de noi modele pentru furnizarea serviciilor curente
Crearea n ntregime de noi modele i servicii.

O mare varietate de juctori n domeniul telecomunicaiilor se grbete s exploateze aceste oportuniti de
afaceri n ecosistemul Cloud. Furnizorii de top (Google i Amazon), integratorii de sistem, furnizorii de servicii
i infrastructuri de Cloud, precum i alte companii, par dornici de a apuca o felie din plcinta Cloud. De
asemenea, furnizorii de servicii de comunicaii (ISP) au recunoscut platformele Cloud ca surs de noi venituri.
O parte important dintre ei deja a fcut din serviciile de Cloud o parte integrant din strategia lor de afaceri.
Ca furnizori de reele interconectate, companiile ISP au un avantaj unic fa de ali juctori din piaa Cloud i
pot juca un rol-cheie n crearea de valoare pe partea tehnologiilor Cloud. Dei, doar cteva companii ISP
genereaz o valoare semnificativ din servicii Cloud, acest lucru se va schimba dramatic n urmtorii ani.
Companiile din domeniul telecomunicaiilor sunt n mod activ n cutarea de noi modele de servicii n Cloud.

Ceea ce noi numim acum Cloud Computing este rezultatul unei evoluii naturale din adoptarea pe scar larg
a noiunilor de virtualizare i arhitectur orientat spre servicii. Platformele Cloud sunt o evoluie n
administrarea infrastructurii din centrele de date, n care conceptele au evoluat de la capacitatea de a
gestiona hardware eterogen, software, aplicaii - nti n cadrul centrului de date, apoi la nivel de companie,
iar acum cu platformele Cloud, la nivelul mai multor companii simultan. Platformele Cloud pot fi considerate
ca un sistem de management recunoscut pentru capacitile sale tehnologice, i este vzut de muli ca un
scop n sine. Din acest punct de vedere, Cloud Computing poate servi ca bun de larg consum pentru
optimizarea IT.

Prin studiul nostru, am descoperit c firmele ISP - att mari ct i cele mici, n toate zonele geografice
adopt tehnologii Cloud ca o modalitate de a merge mai departe. Mai mult de trei sferturi dintre companiile
ISP (n sondajul nostru) au indicat c au pilotat, adoptat sau implementat tehnologii Cloud n organizaiile lor.
94% dintre respondeni se ateapt s fac acest lucru n urmtorii trei ani. Numrul de respondeni ISP care
au implementat tehnologii sau platforme Cloud este de ateptat s creasc brusc de la 11% n prezent la 41%
n urmtorii trei ani.

Acest nivel de adoptare a platformelor Cloud nu se limiteaz la companiile ISP mari. Studiul de fa a artat c
n timp ce un procent mai mare de companii ISP (cele cu venituri anuale mai mari de 20 de miliarde de USD),
piloteaz tehnologii Cloud, companiile ISP mici nu au rmas afar din joc. De fapt, 53% dintre companiile ISP
cu venituri mai puin de 1 miliard de dolari i 90% din cei cu venituri ntre 1 miliard USD i 20 de miliarde de
USD, au adoptat Cloud intr-o anumit msur. n comparaie cu organizaii din alte industrii, companiile ISP
investesc la rndul lor n servicii Cloud pentru a realiza noi surse de venit. Potrivit Informas Telecom Cloud
Monitor, numrul de companii ISP care ofer spre vnzare servicii Cloud, a crescut de la aproximativ 60 n
2009 la mai mult de 140 n primul trimestru al 2012. Mai mult, companiile ISP din ntreaga lume au cheltuit
aproape 14 miliarde de USD pe implementare de tehnologii Cloud n 2011. Prognozele pentru piaa totala
Cloud sunt foarte diverse, dar ele arat n mod constant c, n general, cheltuielile pe tehnologii Cloud sunt n
cretere.
Sursa: The natural fit of Cloud with Telecommunications, IBM Global Business Services, Executive
Report

3.4 Impact la nivelul sistemului de sntate

n comparaie cu alte industrii, sistemul de sntate are o tehnologie care este subutilizat i care ar putea s
contribuie la mbuntirea eficienei operaionale. Majoritatea sistemelor medicale se bazeaz pe arhivele
medicale vechi, scrise pe hrtie.

Informaiile care sunt digitalizate nu sunt de obicei portabile, inhibnd partajarea informaiilor n rndul
diverilor actori din domeniul sanitar. Utilizarea tehnologiei pentru a facilita colaborarea dintre medici i
pacieni i ntre comunitile medicale este limitat.
Pagin 21 din 41


Industria sanitar trece spre un model de asigurare a ngrijirii medicale centrate pe informaii, permis parial
de standardele deschise care susin cooperarea, fluxurile de lucru cooperative i partajarea informaiilor.
Cloud Computingul asigur o infrastructur care permite spitalelor, cabinetelor medicale, companiilor de
asigurri i facilitilor de cercetare s dein resurse computaionale mbuntite, cu cheltuieli de capital
mai reduse. Cloud Computing-ul satisface cerinele tehnologice cheie ale industriei medicale:

permite accesul la cerere la bazele de date i facilitile mari de stocare care nu sunt furnizate n mod
tradiional n mediile IT.
susine seturile mari de date pentru arhivele electronice din domeniul sntii (EHR - Electronic
Health Record), imaginile radiologice i datele genomice (o sarcin dificil - de la departamentele IT
are spitalelor).
faciliteaz partajarea EHR ntre medicii autorizai i spitalele din diverse zone geografice, asigurnd
acces mai rapid la informaii i reducnd nevoia de a duplica testele.
mbuntete capacitatea de a analiza i urmrii informaiile (cu guvernan adecvat a
informaiilor), astfel nct datele cu privire la tratamente, costuri, performan i studii de eficien
s fie analizate i utilizate.

Datele din sistemul sanitar au cerine stringente de securitate, confidenialitate, disponibilitate pentru
utilizatorii autorizai, trasabilitate de acces, reversibilitatea datelor i pstrare pe termen lung. De aceea,
vnztorii de Cloud trebuie s in cont de acestea toate n timp ce respect reglementrile industriale i
guvernamentale. Problemele de transformare a sistemelor IT n sisteme interoperabile au ntrziat creterea
Cloud Computingului n industria sanitar.

Cnd se are n vedere o mutare ctre Cloud Computing, actorii din domeniul sanitar (cabinete medicale,
faciliti de cercetare, spitale etc.) trebuie s in cont de tipul de aplicaii care se mut n Cloud (aplicaii
clinice i neclinice). Aplicaiile clinice sunt formate din EHR, introducerea de date de ctre medici, i software
pentru utilizare imagistic i farmacologic. Aplicaiile neclinice includ managementul ciclului de venituri,
facturarea ctre pacieni, gestionarea tatelor de plat, contabilizarea costurilor i gestionarea revendicrilor.

Actorii din sistemul de sntate trebuie s aib n vedere modelul serviciului Cloud (IaaS - Infrastructure as a
Service, PaaS - Platform as a Service, sau SaaS Software as a Service) care se adreseaz cel mai bine
cerinelor business. n multe cazuri, SaaS, cu modelul business de plat la utilizare, va fi opiunea economic
cea mai atractiv, mai ales pentru cabinetele medicale mici, deoarece nevoia pentru personalul IT cu norm
ntreag este eliminat mpreun cu cheltuielile de capital asociate cu sistemul hardware, sistemele de
operare i software. PaaS este opiunea viabil pentru instituiile sanitare care au resurse de a dezvolta
propriile soluii pe baz Cloud. Pentru instituiile sanitare care caut o infrastructur mai scalabil, IaaS ofer
o soluie la cheie mai eficient din punctul de vedere al costurilor care asigur scalabilitate cu flexibilitate,
securitate, acorduri de nivel de servicii definite, salvarea i protecia datelor.

Beneficiile Cloud Computing pentru sistemul de sntate

Centricitatea pacientului a devenit tendina cheie n furnizarea sistemului de sntate i conduce la
dezvoltarea constant n adoptarea nregistrrilor medicale electronice (EMR), a nregistrrilor electronice
privind sntatea (EHR), a nregistrrilor personale privind sntatea (PHR) i tehnologiilor legate de ngrijirea
medical integrat, sigurana pacientului, accesul punctelor de intervenie la informaiile demografice i
clinice i suportul decizional clinic. Disponibilitatea datelor, fr a lua n considerare locaia pacientului i a
medicului, a devenit cheia att pentru satisfacerea pacientului, ct i pentru rezultatele clinice mbuntite.
Tehnologiile Cloud pot facilita n mod semnificativ aceast tendin.

Cloud Computing ofer beneficii semnificative pentru sectorul sistemului de sntate: clinicile i spitalele
solicit au acces rapid la sistemul computerizat i faciliti mari de depozitare care nu sunt furnizate n
configuraiile standard din domeniul IT. Mai mult dect att, datele referitoare la sistemul de sntate trebuie
distribuite n diverse zone geografice, cauznd ntrzieri semnificative n tratament i pierdere de timp.
Cloud-ul nglobeaz toate aceste cerine, furniznd astfel organizaiilor din sistemul de sntate o ans
incredibil de mbuntire a serviciilor pentru clienii i pacienii lor, de distribuire a informaiilor cu mai
mult uurin i de mbuntire a eficienei operaionale n acelai timp.
Pagin 22 din 41


Cercetarea Clinic. Numeroi comerciani de produse farmaceutice ncep s apeleze la Cloud pentru
mbuntirea cercetrii i dezvoltarea industriei de medicamente. Importana din ce n ce mai mare a
produselor biologice n procesul de cercetare fac din Cloud-based Computing un aspect deosebit de
important al R&D cercetare / dezvlotare. n prezent, companiile farmaceutice nu au capacitatea de a rula
seturi mari de date - ndeosebi determinarea secvenei ADN - deoarece dimensiunea datelor poate depi
capacitatea calculatoarele lor.

nregistrri Medicale Electronice. Spitalele i medicii ncep s ia n considerare evidenele medicale din
bazele Cloud i serviciile de arhivare a imaginilor medicale, care sunt furnizate online. Obiectivul const n
descrcarea de sarcini a departamentele IT ale spitalului i permiterea lor de a se concentra asupra susinerii
altor elemente deosebit de importante (ex. adoptarea EMR i a sistemelor clinice mbuntite de susinere).

Telemedicin. Prin creterea disponibilitii tehnologiilor mobile i a dispozitivelor medicale inteligente,
telemedicina s-a dezvoltat, incluznd nu numai tele-consultaii i tele-operaii, dar i schimb de nregistrri
medicale, videoconferine i monitorizare la domiciliu.

Big Data. Organizaiile de sntate revin la cloud computing pentru economisirea costurilor de stocare a
hardware-ului pe plan local. Cloud-ul pstreaz seturi mari de date pentru EHR-uri, imagini radiologice i date
genomice pentru testrile clinice ale medicamentelor. ncercarea de a distribui EHR n diverse zone
geografice fr beneficiile de depozitare cloud, poate amna tratarea pacienilor.

Analitic. Cloud computing faciliteaz practica, iar informaiile i observaiile la scara populaiei sunt
disponibile aproape n timp real. Aceast disponibilitate asigur cele mai actuale i complete observaii, iar
cunotinele clinice sunt disponibile pentru susinerea deciziilor referitoare la furnizorul de servicii medicale i
pentru a permite concentrarea asupra crerii valorii legate de mbuntirea rezultatelor, mai degrab dect
asupra consumului. Informaiile cuprinse n Cloud pot fi, de asemenea, mai bine analizate i evaluate (prin
guvernarea corect a informaiilor) astfel nct datele referitoare la studiile privind tratamentele, costurile,
performana i eficacitatea, pot fi analizate i se poate conta pe acestea.



4. Securitatea n Cloud

4.1 Vulnerabiliti

Pentru a identifica cele mai importante vulnerabiliti legate de securitatea Cloud, CSA a efectuat un sondaj
printre experii din domeniu. Pe baza acestui studiu s-a ntocmit raportul final pentru anul 2013, raport n care
au fost identificate urmtoarele nou probleme critice ale securitii Cloud, prezentate n ordinea severitatii
lor:
a) Compromiterea securitii datelor
b) Pierderea datelor
c) Piratarea conturilor sau a serviciilor
d) Nesigurana API-urilor
e) Blocarea serviciilor Cloud
f) Persoane ru-intenionate din interiorul sistemului
g) Abuz asupra serviciilor Cloud
h) Insuficienta investigare i implicare (duediligence)
i) Probleme cu tehnologiile distribuite

Astfel, acest raport servete drept un ghid bine pus la punct de identificare a vulnerabilitilor i care va ajuta
att utilizatorii ct i furnizorii Cloud n a lua decizii n cunotin de cauz cu privire la diminuarea riscului
ntr-un sistem Cloud. Acest studiu ar trebui s fie utilizat mpreun cu ghidurile celor mai bune practici,
"Ghidul de securitate pentru zone critice n Cloud Computing V.3" i "Securitatea vzut ca un Ghid de
implementare a unui serviciu." mpreun, aceste documente vor oferi indicaii preioase pentru alctuirea
unor strategii complexe i adecvate securitii Cloud.

Pagin 23 din 41

4.1.1 Inclcarea securitii datelor

Una dintre principalele preocupri ale oricrui CIO este c datele interne, senzitive i secrete ar putea ajunge
n minile concurenei. Chiar dac aceast problem a existat i nainte de apariia calculatorului, tehnologia
Cloud aduce cu ea numeroase alte ci de atac asupra informaiei. n noiembrie 2012, cercettorii de la
Universitatea din Carolina de Nord, Universitatea din Wisconsin i corporaia RSA au lansat un document care
descrie modul n care o main virtual ar putea folosi un canal ascuns de informaii pentru a extrage cheile
private criptografice i a le folosi n alte maini virtuale de pe acelai server fizic. n cele mai multe cazuri ns,
un atacator nu va trebui s mearg att de departe, adic pn la compromiterea cheilor de criptare. Dac un
serviciu Cloud care deservete mai muli clieni nu este proiectat corespunztor, atunci un defect sau o
vulnerabilitate ntr-una din aplicaiile unui client ar putea permite escaladarea drepturilor de acces ale unui
atacator nu doar la datele clientului respectiv, dar i a datelor altor clieni.

Consecine

Dei att pierderea ct i scurgerea de date reprezint n egal msur ameninri serioase pentru un sistem
Cloud, din pcate msurile pe care le putem lua pentru adresarea uneia ar putea-o agrava pe cealalt. Mai
exact, prin criptarea informaiilor se reduce impactul nclcrii securitii datelor, ns, n eventualitatea
pierderii cheilor de decriptare se vor pierde de asemenea exact datele ce trebuiau protejate. n mod similar,
dac s-ar decide pstrarea unei copii locale necriptate a datelor pentru a reduce impactul unei astfel de
pierderi, atunci ar crete ansele unei scurgeri a datelor.

4.1.2 Pierderea datelor

Att pentru consumatori ct i pentru marile organizaii, perspectiva pierderii permanente de informaii este
ngrijortoare. Desigur, datele stocate n Cloud pot fi pierdute i din alte motive. Orice tergere accidental
din partea furnizorului de Cloud, sau mai ru, un dezastru natural cum ar fi un incendiu sau un cutremur, ar
putea duce la pierderi definitive ale datelor clienilor, cu excepia cazului n care furnizorul pstreaz copii ale
acelor date.

n plus, sarcina de a evita pierderea informaiilor nu este doar a furnizorului. De exemplu, dac un client ii
cripteaz datele nainte de a le stoca n Cloud i pierde cheia de decriptare, atunci acele date vor fi pierdute,
iar vina este a clientului.


Consecine

Conform noilor norme UE privind protecia datelor, distrugerea i coruperea datelor cu caracter personal sunt
considerate forme de inclcare a securitii datelor i necesit a fi notificate ctre organele competente.
n plus, multe dintre politicile de conformitate solicit organizaiilor s pstreze nregistrri sau alte
documente de audit. n cazul n care o organizaie stocheaz aceste date n Cloud, pierderea lor ar putea pune
n pericol gradul de conformitate a organizaiei.

4.1.3 Piratarea conturilor sau a serviciilor

Deturnarea conturilor sau a serviciilor nu este ceva nou. Metode de atac precum phishing-ul, frauda i
exploatarea vulnerabilitilor software sunt nc folosite i funcioneaz. Credenialele i parolele sunt adesea
refolosite, ceea ce amplific impactul unor astfel de atacuri. n acest context, soluiile Cloud vin ca o nou
ameninare. Un atacator care obine acces la datele unei persoane sau unei organizaii i poate urmri
activitile i tranzaciile, i poate manipula datele, i poate rspunde cu informaii false i i poate redireciona
clienii la site-uri ilegale. Astfel, un cont sau un serviciu piratat poate deveni un punct de plecare pentru a
lansarea unor atacuri ulterioare.

n aprilie 2010, datorit unei vulnerabiliti de securitate (Cross-Site Scripting XSS), site-ul web Amazon a
fost inta unui atac ce a permis atacatorilor s obin acces la credenialele site-ului. n 2009, multe sisteme
Amazon au fost piratate i deturnate pentru a rula ca noduri de rspndire a botnetului Zeus.

Pagin 24 din 41

Consecine

Piratrile de conturi i de servicii, de obicei reuite prin obinerea credenialelor de acces, rmn o
ameninare de top. Astfel, atacatorii pot accesa de mai multe ori zonele critice ale serviciilor Cloud,
permindu-le s compromit confidenialitatea, integritatea i disponibilitatea acestor servicii. Organizaiile
ar trebui s fie contiente de aceste tehnici, precum i de strategiile de protecie mpotriva lor, pentru a limita
daunele rezultate dintr-o astfel de bre de securitate. Organizaiile ar trebui s interzic schimbul de
credeniale ntre utilizatori i servicii, i s foloseasc tehnici puternice de autentificare acolo unde este
posibil.

4.1.4 Interfete i API nesigure

Furnizorii de Cloud propun un set de interfee software (API) pe care clienii le folosesc pentru a interaciona
i a gestiona serviciile Cloud. Prin urmare, securitatea i disponibilitatea serviciilor Cloud sunt dependente de
securitatea acestor interfee de baz. ncepnd cu autentificarea i controlul accesului i terminnd cu
criptarea i monitorizarea activitii, aceste interfee trebuie concepute astfel nct s protejeze att
mpotriva accidentelor ct i a aciunilor ru-voitoare.

Mai mult, organizaii i pri tere se bazeaz adesea pe aceste interfee pentru a oferi servicii de valoare
clienilor lor. Aceasta duce la o complexitate mrita a acestor interfee; de asemenea, crete riscul deoarece
organizaiile ar putea fi obligate s mpart credenialele cu tere pri care implementeaz aceste API-uri.

Consecine

n timp ce majoritatea furnizorilor fac eforturi pentru a garanta securitatea serviciului, este foarte important
ca utilizatorii acelor servicii s neleag implicaiile legate de securitate vizavi de folosirea, administrarea,
orchestrarea i monitorizarea serviciilor Cloud.

4.1.5 Blocarea serviciilor (DoS, DDos)

Blocarea serviciilor este un atac menit s mpiedice utilizatorii unui serviciu Cloud s acceseze propriile date
sau aplicaii. Prin forarea serviciului s foloseasc ct mai multe resurse cum ar fi puterea procesorului,
memoria, spaiul pe disc sau banda de reea, atacatorul (sau atacatorii, dac vorbim despre o blocare de
serviciu distribuit) provoac o ncetinire considerabil a sistemului, mergnd pn la lipsa unui rspuns, ceea
ce duce la confuzia i chiar furia utilizatorului.

Desi atacurile de tip DDoS tind s genereze multa teama i atentie din partea mass-media (mai ales cnd
autorii acioneaz n numele unei idei politice hactivism), acestea nu reprezint singura forma de blocare a
unui serviciu. Atacuri la nivel de aplicatii pot inti anumite vulnerabilitai ale serverelor web, a celor de baze
de date sau a altor resurse Cloud i, avnd avantajul dimensiunilor mici, n unele cazuri chiar mai mici de 100
de bytes, blocheaza serviciul.

Consecine

Ca i consumatori, ntreruperile serviciului nu doar ca devin frustrante, dar ncepem s ne ntrebm dac, n
ideea de a de a reduce costurile, chiar a meritat mutarea datelor importante n Cloud. Chiar mai rau, deoarece
furnizorii de Cloud pot taxa clienii pe baza timpului de procesare i a spatiului folosit pe disc, exist
posibilitatea ca un eventual atac s determine sistemul folosit s foloseasca att de mult timp pentru
procesare nct s devin prea scump pentru client i atunci acesta va fi nevoit s-l opreasca el nsui.


4.1.6 Insuficienta investigare i implicare (duediligence)

Tehnologia Cloud s-a dovedit a fi un fel de goana dup aur, n care multe organizatii s-au grabit s gseasc
promisiunea unor costuri reduse, a unei eficiene operaionale i a unei securiti mbuntite. n timp ce
toate acestea pot fi scopuri realiste pentru organizatii care au resursele necesare pentru a adopta aceast
tehnologie n mod corespunztor, prea multe companii s-au grabit s o adopte fr a o nelege pe deplin.
Pagin 25 din 41


Fr o bun nelegere, aplicaii sau servicii puse n Cloud i responsabiliti operationale cum ar fi raspunsul
la incidente, criptarea i monitorizarea securitii, organizaiile ajung la nivele de risc necunoscute n moduri
pe care nici ei nsii nu le pot nelege, dar care reprezint de departe o abatere de la riscurile lor curente.

Consecine

O organizaie care se grbete s adopte tehnologiile Cloud se expune unei serii de probleme. Probleme
contractuale apar peste obligaiile privind rspunderea, crend astfel nenelegeri ntre furnizorul serviciului i
client. Expunerea n Cloud a aplicaiilor care depind de controale de securitate la nivel de reea intern
reprezint un pericol atunci cnd acele controale dispar sau nu rspund asteptrilor clientului. Atunci cnd
arhiteci nefamiliarizai cu sistemul Cloud proiecteaz aplicaii pentru Cloud, apar probleme operaionale i de
arhitectur.
Concluzia este ca organizaiile care doresc s utilizeze servicii Cloud trebuie s aib resurse competente i s
se asigure de o investigare, o ntelegere clar i o implicare constant nainte de a lua aceast decizie.


4.1.7 Probleme cu tehnologiile distribuite

Furnizorii de servicii Cloud folosesc aceleai resurse (infrastructura, platform, aplicaii) pentru clieni multipli.
Fie ca este vorba de componente de baza care alcatuiesc aceast infrastructur (ex. cache CPU, GPU, etc.)
care nu sunt proiectate pentru o arhitectur multi-client (IaaS), de platforme redistribuite (PaaS) sau de
aplicaii multi-client (SaaS), ameninarea unor vulnerabiliti comune exist n toate modelele de livrare. Se
recomand o strategie de aprare bine pusa la punct i care trebuie s se desfoare la nivel de resurse de
calcul, stocare, reea, aplicaie i utilizator, fie c este vorba de un model de serviciu IaaS, PaaS sau SaaS.
Secretul este acela c o singur vulnerabilitate sau greeal de configuraie poate compromite un ntreg
sistem Cloud.


Consecine

Compromiterea unei componente a unei tehnologii comune mai multor clieni cum ar fi hipervizorul, o
componenta a unei platforme sau o aplicaie ntr-un mediu SaaS, nseamn mai mult dect afectarea unui
client. Aceast vulnerabilitate este periculoas pentru c poate afecta un ntreg system Cloud.

CA Technologies i Institutul Ponemon prezint rezultatele studiului asupra securitii Cloud (Security of
Cloud Computing Providers Study). Aceast lucrare este a doua dintr-o serie de dou pri despre situaia
securitii n Cloud. Primul studiu aparut n mai 2010 se numea Securitatea utilizatorilor Cloud (Security of
Cloud Computing Users) .

Sondajul a fost fcut pe 103 furnizori de servicii Cloud n SUA i 24 n ase ri europene, pentru un total de
127 de furnizori diferii. Cei care au rspuns ntrebrilor afirm ca SaaS (55%) este serviciul Cloud cel mai
folosit, urmat de IaaS (34%) i PaaS (11).
65% dintre furnizorii de Cloud prezenti n acest studiu, au implementat resursele IT n Cloud public, 18% n
Cloud privat i 18% sunt hibride.

Concluziile cele mai importante ale furnizorilor de Cloud

Un rezumat al celor mai importante rezultate ale studiului amintit mai sus:
Majoritatea furnizorilor de Cloud intervievai nu vd securitatea serviciilor lor de Cloud ca un avantaj
competitiv. Mai mult, nu consider securitatea ca una dintre responsabilitile cele mai importante i
nu cred c produsele sau serviciile lor protejeaza i securizeaz n mod substanial informaiile
confideniale ale clienilor lor.
Cei mai multi furnizori de Cloud cred c securitatea Cloud este responsabilitatea clientului. De
asemenea, spun c sistemele i aplicaiile lor nu sunt ntotdeauna evaluate din punct de vedere al
ameninrilor la adresa securitii nainte de a fi furnizate clienilor.
Pagin 26 din 41

Atenionare pentru cumprtori - n medie, furnizorii de tehnologii Cloud aloc cel mult 10% dintre
resursele operaionale securitii i cei mai muli nu sunt convini c cerinele legate de securitate
din partea clienilor sunt ndeplinite.
Principalele motive pentru care clienii cumpr resurse Cloud sunt costurile reduse i dezvoltarea
rapid de aplicaii. n schimb, securitatea mbuntit sau conformitatea cu reglementrile nu
reprezint motive de a alege servicii Cloud.
Cei mai muli furnizori de Cloud prezeni la studiu recunosc faptul ca nu au personal dedicat pentru
supravegherea securitii aplicatiilor, a infrastructurii sau a platformelor.
Furnizorii de resurse Cloud private par s acorde o mai mare importan i au un nivel mai ridicat de
ncredere n capacitatea organizaiei lor de a ndeplini obiectivele de securitate, fa de furnizorii de
servicii Cloud publice sau hybrid.
n timp ce securitatea ca i serviciu oferit de Cloud este foarte puin oferit clienilor, aproximativ o
treime dintre furnizorii de Cloud prezeni la studiu l au n vedere ca viitoare surs de venit undeva n
urmtorii 2 ani.

4.2 Asigurarea conformitii n cloud

Unele dintre problemele cheie care vor trebui abordate sunt:
Transparena. Furnizorii de servicii trebuie s demonstreze existena unor controale eficiente i
robuste de securitate, asigurnd clienii c informaiile lor sunt asigurate n mod corect mpotriva
accesului neautorizat, modificrii sau distrugerii lor. ntrebrile cheie care ar trebui adresate pentru a
decide sunt: Ct de multa transparen este suficient? Ce trebuie s fie transparent? Va ajuta
aceasta transparen rufctorii? Domenii-cheie n care transparena furnizorul este important
includ: Ce angajai (de la furnizor) au acces la informaiile despre clieni? Este definit clar separarea
funciilor ntre angajaii furnizorului? Cum sunt separate (logic i fizic) informaiile ntre clieni? Ce
controale sunt implementate pentru a preveni, detecta i reaciona la nclcarea regulilor descrise
mai sus?
Confidenialitate. Cu probleme de confidenialitate n cretere pe tot globul, este imperativ pentru
furnizorii de servicii de cloud computing s demonstreze clienilor capacitatea controalelor de
confidenialitate implementate. Furnizorul trebuie s pun la dispozitie mai multe canale de
comunicare nainte de inceperea livrrii serviciului. Aceste canale de comunicare trebuie s fie
testate periodic n timpul operaiilor.
Conformitatea. Cele mai multe organizaii de astzi trebuie s respecte o suit ntreag de legi,
regulamente i standarde. Exist ngrijorri legate de platformele de cloud computing, n sensul c
datele nu pot fi stocate ntr-un singur loc i nu poate fi uor de accesat. Este esenial s se asigure c,
acestea pot fi accesate fr a compromite alte informaii sau ali clieni, dac datele sunt cerute de
ctre autoriti. Audituri executate de ctre autoritile judiciare, de standardizare i de
reglementare demonstreaz c aceste cazuri pot exista. Atunci cnd se utilizeaz servicii de cloud nu
exist nici o garanie c o organizaie poate obine informaii atunci cnd este necesar, i unii
furnizori chiar isi rezerv dreptul de a nu prezenta anumite informaii ctre autoriti.
Transmiterea informaiilor. Cnd informaiile pot fi stocate oriunde n platforma Cloud, locaia fizic
a informaiilor poate deveni o problem pentru ca locaia fizic dicteaz competena i obligaia
legal. Legile rii privind informaiile de identificare personal variaz foarte mult, ceea ce este
permis ntr-o ar constituind o posibil nclcare n alta.
Certificare. Furnizorii de servicii de Cloud vor trebui s ofere o asigurare clienilor lor, c ei fac
lucrurile "corect". Asigurarea acestui lucru se obine prin audituri externe de la autoriti
independente, de aceea rapoarte ale acestor audituri sunt o parte vital a oricrui program de
certificare.


4.3 Riscuri i preocupri privind platformele Cloud

Multe dintre riscurile asociate frecvent cu platformele Cloud nu sunt noi, i pot fi ntalnite n multe din
companiile de astzi. Planificarea eficient a activitilor de gestionare a riscurilor este crucial n asigurarea
faptului c informaiile sunt disponibile, n acelai timp i protejate.
Procesele i procedurile de business trebuie s in seama de securitate, i managerii de securitate a
informaiilor trebuie s ajusteze politicile i procedurile organizaiilor lor pentru a satisface nevoile de
Pagin 27 din 41

business. Avnd n vedere mediul de afaceri dinamic i concentrat pe globalizare, exist foarte puine
organizatii care nu externalizeaz mcar o parte din activitatea lor. Angajarea ntr-o relaie cu o ter parte nu
nseamn numai utilizarea serviciilor i tehnologiei furnizorului platformei de Cloud, dar, de asemenea,
trebuie s se ia n considerare modul n care furnizorul funcioneaza, arhitectura soluiilor oferite, precum i
cultura i politicile organizaionale ale furnizorului. Cteva exemple de riscuri care trebuie s fie gestionate
sunt:
Organizaiile trebuie s fie foarte specifice n alegerea unui furnizor. Reputaia, istoria i
sustenabilitatea ar trebui s fie factori de luat n considerare. Sustenabilitatea este de o importan
deosebit pentru a se asigura c serviciile vor fi disponibile i datele pot fi urmrite.
Furnizorul platformei Cloud i asum de multe ori responsabilitatea pentru gestionarea
informaiilor, care este o parte esenial. Imposibilitatea de a atinge un anumit nivel de calitate a
serviciilor poate avea un impact major nu numai pentru confidenialitatea datelor, dar, de asemenea,
pentru disponibilitatea lor, afectnd grav fluxurile de operaiuni.
Caracterul dinamic al tehnologiilor Cloud poate duce la confuzie cu privire la locul n care informaiile
rezid de fapt. Cnd este necesar regsirea de informaii, acest lucru poate crea ntrzieri.
Accesul terilor la informaii sensibile creeaz un risc de compromitere a informaiilor confideniale.
n cloud computing, acest lucru poate reprezenta o ameninare semnificativ la asigurarea proteciei
proprietii intelectuale i a secretelor comerciale.
Platformele Cloud permit sistemelor s ofere nivele de high-availability de multe ori imposibil de a fi
atinse n reelele private, cu excepia cazurilor n care se investeste masiv. Dezavantajul const n
posibilitatea de mixare a informaiilor cu ali clieni Cloud, inclusiv cu concureni. Respectarea
regulamentelor i legilor n diferite regiuni geografice poate fi o provocare pentru organizaii. n acest
moment exist puine precedente juridic n ceea ce privete asumarea rspunderii pentru
platformele Cloud. Este extrem de important obinerea unei consilieri juridice adecvate pentru a se
asigura c n contract se stipuleaz clar zonele n care furnizorul platformei Cloud este responsabil i
rspunztor.
Datorit naturii dinamice a platformelor Cloud, informaiile nu pot fi localizate imediat n caz de
dezastre. Planurile de continuitate a afacerilor n caz de dezastru (DRP) trebuie s fie bine
documentate i testate. Furnizorul de cloud trebuie s neleag rolul pe care l joac n termeni de
backup, de reacie la incidente i de recuperare a serviciilor. Obiectivele privind timpul de recuperare
ar trebui s fie prevzute n contract.
Strategii de adresare a riscurilor pe platforme Cloud
Aceste riscuri, precum i altele pe care o organizaie le identific, trebuie s fie gestionate n mod eficient. O
organizaie trebuie s pun la punct un program robust de management al riscului care s fie suficient de
flexibil pentru a face fa riscurilor. ntr-un mediu n care confidenialitatea a devenit extrem de important
pentru clienii enterprise, accesul neautorizat la datele din Cloud este o preocupare critica. Atunci cnd se
semneaza un contract cu un furnizor de servicii cloud, o organizaie trebuie s aib un inventar al datelor lor i
s se asigure c sunt clasificate i etichetate n mod corespunztor. Acest lucru va ajuta n determinarea a
ceea ce trebuie specificat n momentul elaborrii unui acord de asigurare a nivelului de calitate a serviciilor
(Service Level Agreement - SLA), - de obicei completeaza un contract de servicii - identificarea nevoilor de
criptare a datelor transmise sau stocate, precum i controale suplimentare de informaii sensibile sau de mare
valoare pentru organizaie.
Acordul de asigurare a nivelului de calitate a serviciilor (SLA) este cel care definete relaia dintre organizaie
i furnizor de servicii cloud, fiind unul dintre cele mai eficiente instrumente pentru a asigura o protecie
adecvat a informaiilor stocate n platforma Cloud. Contractul SLA este instrumentul prin care clienii pot
specifica ce modele de control se vor utiliza i descrie ateptarile n urma unui audit extern. Ateptrile clare
n ceea ce privete manipularea, utilizarea, stocarea i disponibilitatea de informaii trebuie s fie specificat n
SLA. n plus, cerinele de continuitate a afacerii i recuperare n urma dezastrelor (discutate anterior), vor
trebui s fie comunicate n acest acord.
Protecia informaiilor va evolua ca urmare a unei acord SLA puternic, cuprinztor, care este susinut de un
proces de asigurare la fel de puternic i cuprinztoar. Structurarea unui SLA detaliat i complet, care include
drepturi specifice pentru audit va ajuta organizaia n gestionarea informaiilor sale odat ce acestea prsesc
organizaia i sunt transportate, stocate sau prelucrate n Cloud.
Implementarea i utilizarea serviciilor Cloud trebuie s fie considerate nu numai n contextul "intern" vs.
"extern", care se refer la locaia fizic a bunurilor, resurselor i informaiilor, dar, de asemenea, prin
definirea consumatorului serviciului i prin definirea responsabilului pentru guvernarea lor, de securitate,
precum i conformitatea cu politicile i standardele.
Pagin 28 din 41

Acest lucru nu vrea s sugereze c localizarea (n sau n afara premiselor ) unui bun, a unei resurse sau a
datelor nu afecteaz modul de tratare a securitii i riscul unei organizaii, ci pentru a sublinia c riscul, de
asemenea, depinde de:
Tipurile de bunuri, resurse i informaii gestionate
Cine le gestioneaz i cum
Controalele selectate i modul n care acestea sunt integrate
Probleme de conformitate
De exemplu, o soluie LAMP explicaie - instalat pe Amazon AWS EC2 ar fi clasificat ca o soluie public,
off-premise, o soluie IaaS gestionat de o ter parte, chiar dac instanele i aplicaiile / datele cuprinse n
acestea au fost gestionate de ctre consumator sau de o ter parte. O soluie particularizat care deserveste
mai multe departamente, instalat pe Eucalyptus sub controlul i managementul unei corporaii, ar putea fi
descrisa ca o aplicatie privata, on-premise, auto-gestionat SaaS. Ambele exemple descriu elasticitatea i
capabilitatea de self-service a platformelor Cloud.
Tabelul de mai jos rezuma aceste puncte:

Referinta: CSA Cloud Computing Security Guidance V2.1 pag. 22
Modelul Cloud Cube evideniaz provocrile n a nelege i a asigna modele de cloud cu standarde cum ar fi
ISO/IEC 27002, standard ce ofer "... o serie de orientri i principii generale pentru iniierea, implementarea,
meninerea i mbuntirea securitii informaiilor n cadrul unei organizaii."
ISO/IEC 27002, punctul 6.2 se concentreaza pe obiectivele de control ale prilor terte i prevede: "...
securitatea informaiilor organizaiei i securitatea prelucrrii informaiilor nu trebuie s fie reduse prin
introducerea de produse sau servicii externe"
Ca atare, diferenele n metodele i responsabilitatea de a asigura securitatea datelor n cele trei modele de
servicii Cloud evideniaz faptul c consumatorii de servicii Cloud se confrunt cu situaii dificile. Dac
furnizorii de servicii Cloud nu pot demonstra uor controalele de securitate, precum i msura n care acestea
sunt puse n aplicare pentru consumator, iar consumatorul tie care controale sunt necesare pentru a
menine securitatea informaiilor lor, exist un potenial imens pentru deciziile greite i rezultatele negative.
Acest lucru este critic. Primul pas este categorisirea serviciului Cloud oferit relativ la modelele arhitecturale
Cloud. Apoi este posibila determinerea arhitecturii de securitate, precum i alte cerine de conformitate, ca
un exerciiu de analiz i determinare a lucrurilor lips (gap-analysis sau analiza diferenial). Rezultatul
acestei analize determin starea general a serviciului din punct de vedere "securitate" i modul n care
acesta rspunde cerinelor de protecie.
Pagin 29 din 41

Figura de mai jos prezint un exemplu de analiz a unui serviciu Cloud n compararea cu un catalog predefinit
de controale de securitate, pentru a determina existena sau lipsa anumitor controale. Aceasta, la rndul su,
poate fi comparat cu un set de norme sau un set de cerine, cum ar fi PCI DSS.


Referinta: CSA Cloud Computing Security Guidance V2.1 pag. 23-24

Controalele de securitate n cloud computing sunt, n cea mai mare parte, similare cu controalele de
securitate n orice mediu IT. Cu toate acestea, din cauza modelelor i arhitecturilor serviciilor Cloud, a
modelelor operaionale diferite i a tehnologiilor utilizate, serviciile n Cloud computing pot prezenta riscuri
diferite de soluiile IT tradiionale.
Politica de securitate a unei organizaii este caracterizat prin maturitatea, eficiena, i completitudinea
controalelor de securitate. Aceste controale sunt puse n aplicare pe mai multe niveluri, pornind de la
securitatea locaiei (securitatea fizic), la infrastructura de reea (de securitate de reea), a sistemelor
informatice (sistemul de securitate), pn la securitatea datelor i a aplicaiilor (securitatea aplicaiilor). n
plus, controalele sunt puse n aplicare i la nivelul persoanelor i proceselor, cum ar fi separarea atribuiilor,
respectiv managementul schimbrii.
Unul dintre avantajele majore ale cloud computing este eficiena costurilor rezultat direct din economiile
provenite din scalabilitatea soluiilor, nivelul mare de reutilizare i standardizare. Pentru a aduce soluiile lor
la aceste randamente, furnizorii de servicii Cloud trebuie s ofere un nivel ridicat de flexibilitate pentru a
putea adresa un segment ct mai mare din pia. Din pcate, integrarea securitii n aceste soluii este
adesea perceput ca o rigidizare a lor.
Aceast rigiditate se manifest adesea n imposibilitatea de a obine paritatea n desfurarea controlului de
securitate n medii Cloud, comparativ cu mediile IT tradiionale. Acest lucru rezult n mare parte din
abstractizarea infrastructurii, precum i din lipsa de vizibilitate i de capacitatea de a integra mai multe
controale de securitate familiare - mai ales la nivelul reelei.
Figura de mai jos ilustreaz aceste probleme: n mediile SaaS controalele de securitate i domeniul lor de
aplicare sunt negociate n contractele de servicii, inclusiv aspecte legate de nivelul de calitate a serviciilor, de
confidenialitate i de conformitate. ntr-o oferta IaaS, n timp ce responsabilitatea pentru asigurarea
Pagin 30 din 41

infrastructurii i nivelurile de abstractizare aparine furnizorului, restul nivelurilor (pn la aplicaie) este
responsabilitatea consumatorului. PaaS ofer un echilibru ntre cele doua, unde asigurarea platformei n sine
cade n responsabilitatea furnizorului, dar asigurarea securitii aplicaiilor dezvoltate pe platforma respectiva
aparin consumatorului.

Referinta: CSA Cloud Computing Security Guidance V2.1 pag. 26

4.4 Recomandri

4.4.1 Guvernana i Managementul de Risc al Organizaiei

n cele ce urmeaz, prin guvernan vom nelege ansamblul unitar de activiti conexe din domeniile
conducerii i controlului.
Iar guvernana corporativ este definit ca fiind un sistem de reglementri aprofundate prin care corporaiile
sunt conduse i controlate, punnd accent pe structurile interne i externe ale corporaiei, cu intenia de a
monitoriza activitile de management i de a reduce riscul apariiei unor evenimente nedorite din interiorul
corporaiei.

Guvernana eficient i Managementul de Risc al Organizaiei din cadrul mediilor Cloud Computing decurg din
procesele continuu perfecionate de guvernan din domeniul securitii informaiilor, ca parte a ndatoririlor
generale de guvernan corporativ, care se cuvin. Procesele perfecionate de guvernan din domeniul
securitii informaiilor trebuie s duc la programe de management al securitii informaiilor care n mod
permanent trebuie s fie extensibile n funcie de business, repetabile n cadrul organizaiei, msurabile,
meninute n funciune, perfecionate i s fie economice.
Chestiunile fundamentale de guvernan i management de risc al organizaiei n Cloud Computing privesc
identificarea i implementarea de structuri, procese i controale organizaionale adecvate, n scopul
meninerii cu eficien a conceptului GRC n domeniul securitii informaiilor. GRC reprezint ansamblul de
activiti strns nrudite din sferele Guvernan-Risk Management- Conformitate. Organizaiile trebuie de
asemenea s asigure condiii corespunztoare de securitate a informaiei pe tot lanul informaional,
cuprinznd inclusiv furnizori i clieni de servicii Cloud Computing, precum i furnizorii lor subcontractai care,
pot exista n diverse modele de structuri de cloud.

Recomandri adresate guvernanei

Pagin 31 din 41

O parte din economiile realizate din servicii de Cloud Computing, trebuie investite n analizarea minuioas
a capabilitilor de securitate ale furnizorului, a utilizrii de controale de securitate i aplicrii n permanen
de evaluri i audituri detaliate, pentru asigurarea ndeplinirii cerinelor de securitate.
Att clienii ct i furnizorii de servicii Cloud Computing, trebuie s dezvolte o guvernan ct mai viguroas
n domeniul securitii informaiilor, indiferent de modelul serviciului sau al modului de implementare a
acestuia. Guvernana din securitatea informaiei trebuie s duc la colaborare dintre clieni i furnizori,
pentru atingerea intelor prestabilite n sprijinul desfurrii activitilor organizaiei i ndeplinirii
programelor de securitate a informaiei. Modelul adoptat pentru serviciu, permite reglarea rolurilor i
responsabilitilor guvernanei i managementului de risc (bazat pe controlul utilizatorului i furnizorului), n
timp ce modelul de implementare poate determina responsabilitile i perspectivele (bazat pe evaluarea
riscului).
Organizaiile clienilor trebuie s aib n vedere analizarea proceselor i structurii guvernanei din domeniul
securitii informaiei, ca parte a ateniei cuvenite fa de furnizori. Procesele i capabilitile guvernanei de
securiate ale furnizorului, trebuie s fie dimensionate pentru a asigura suficien, performan i consisten,
proceselor de management al securitii informaiilor clienilor. Controalele privind securitatea informaiei la
nivelul furnizorului, trebuie s fie n mod evident bazate pe analiza de risc i s sprijine vizibil aceste procese
de management.
Procesele i structurile guvernanei colaborative dintre clieni i furnizori trebuie s se dovedeasc necesare,
att ca parte a proiectrii i dezvoltrii furnizrii de servicii, ct i pentru evaluarea de risc a serviciului.
Departamentele de securitate trebuie s participe la stabilirea acordurilor SLA (Service Level Agreements)
dintre furnizorii de servicii Cloud Computing i clienii acestora. De asemenea, trebuie s participe la stabilirea
obligaiilor contractuale, pentru a se asigura c cerinele de securitate sunt impuse prin prevederile
contractuale.
Parametrii i standardele de apreciere a performanelor i eficienei managementului securitii
informaiilor, trebuie s fie stabilii nainte de pornirea funcionrii n cloud. Cel puin, organizaiile clientelare
trebuie s neleag i s se documenteze temeinic privind proprii lor parametri i felul cum acetia se pot
schimba cnd se va funciona n cloud, caz n care, un furnizor poate s foloseasc parametri diferii (posibil s
fie chiar incompatibili !).
Ori de cte ori este posibil, parametrii i standardele de securitate (n special cei legai de cerine legale i de
conformitate), trebuie s fie prevzui n acordurile SLAs i n contracte. Aceste standarde i aceti parametrii
trebuie menionai n documente i trebuie s fie auditabili.

Recomandri privind Managementul de Risc al organizaiei

Aa cum se ntmpl la demararea oricrei activiti noi, este important de urmat cele mai bune practici
pentru realizarea managementului de risc. Aceste practici trebuie s fie proporionale cu modul particular de
utilizare a serviciilor cloud care pot fi de la o slab i sporadic procesare de date, pn la procese critice care
vehiculeaz informaii sensibile de nivel nalt.
Datorit lipsei de control fizic asupra infrastructurii multor sisteme Cloud Computing, acordurile SLA,
cerinele contractuale i documentaia furnizorului joac un rol foarte important n managementul de risc, n
comparaie cu cazul tradiional al infrastructurilor proprietare ale organizaiilor.
Datorit serviciilor diversificate oferite la cerere, precum i aspectelor multi-tenant specifice Cloud
Computing-ului (multi-tenant este un principiu n arhitectura software n care, un singur program care ruleaz
pe un sever servete simultan mai multe organizaii client), formele tradiionale de audit i de evaluare nu
sunt aplicabile sau pot avea rezultate incomplete. De exemplu, unii furnizori nu permit evaluarea
vulnerabilitilor i testarea penetrrii, n timp ce alii limiteaz disponibilitatea rapoartelor de audit i
monitorizarea activitilor. Dac astfel de informaii sunt necesare unui utilizator conform politicii sale
interne, acesta trebuie s caute alte evaluri alternative, sau unele excepii contractuale sau, n ultim
instan, un alt furnizor, mai apropiat de cerinele sale din domeniul managementului riscurilor.
n legtur cu utilizarea serviciilor cloud pentru funciuni critice unei organizaii, managementul de risc
trebuie s cuprind identificarea i aprecierea valorilor organizaiei, identificarea i analiza ameninrilor i
vulnerabilitilor i impactul potenial al acestora asupra acelor valori (scenariul de incidente), probabilitatea
evenimentelor/scenariilor, nivelurile i criteriile de acceptare ale riscului rezidual i dezvoltarea planurilor de
tratare a riscului cu multiple opiuni (control, anulare, transfer, acceptare). Rezultatul final al planurilor de
tratare a riscurilor, trebuie s fie incluse n acordurile serviciilor achiziionate.
Etapele de evaluare a riscurilor dintre furnizor i beneficiar trebuie s fie cuprinztoare, cu consisten n
privina criteriilor de analiz a impactului i n estimarea probabilitii de apariie a evenimentelor. Utilizatorul
Pagin 32 din 41

i furnizorul trebuie, n mod conjugat, s dezvolte scenariul de risc pentru serviciile cloud; acesta trebuie s fie
intrinsec proiectului serviciului oferit de furnizor, precum i evalurii riscului de serviciu de cloud efectuat de
utilizator.
Inventarele valorilor organizaiei clientului trebuie s gestioneze serviciile de cloud care produc valoare i
care se afl sub controlul furnizorului.
Serviciul, i nu furnizorul, trebuie s fie subiectul evalurii riscurilor. Utilizarea serviciilor cloud, i a
modelelor de implementare, trebuie s rspund obiectivelor managementului de risc al organizaiei, precum
i obiectivelor activitii acesteia.
n cazul n care un furnizor se bazeaz pe un management al riscurilor necuprinztor i ineficient n asociere
cu serviciile sale, clienii trebuie s evalueze cu atenie oportunitatea de a se folosi de serviciile furnizorului,
precum i abilitile utilizatorilor de compensare a posibilelor lipsurilor ale managementului riscurilor.
Clienii serviciilor cloud, trebuie s cerceteze dac propriul lor management a luat n considerare tolerana
la risc cu privire la serviciile cloud i are n vedere acceptarea de risc rezidual n utilizarea serviciilor cloud.

Recomandri privind Managementul de Risc al Informaiilor

Managementul de Risc al Informaiilor - MRI const n acceptarea expunerii inevitabile la risc, asociat cu
capabilitatea de a-l controla, pe baza toleranei la risc, acceptat de proprietarul informaiilor. n felul acesta,
MRI este instrumentul principal al suportului decizional privind resursele IT, destinat s protejeze
confidenialitatea, integritatea, disponibilitatea i autenticitatea valorilor informaionale.

Se recomand adoptarea unui model cadru pentru evaluarea MRI, i un model bine gndit de evaluare a
eficienei MRI.
Se recomand stabilirea de cerine contractuale adecvate i de controale, pentru colectarea datelor
necesare lurii deciziilor n analiza riscului informaional (de ex. felul cum este folosit informaia, controlul
accesului, controalele de securitate, securitatea locaiei, etc...)
Se recomand adoptarea unui proces de determinare a expunerii la risc, naintea elaborrii cerinelor
pentru un proiect Cloud Computing. Dei categoriile de informaii necesare pentru nelegerea nivelului de
expunere i a capabilitilor de management sunt generale, parametrii reali care stau ca prob i care pot fi
colectai n condiiile serviciului, sunt specifici naturii modelului SPI de Cloud Computing. (Reamintim c
modelul SPI nseamn Software, Platform&Infrastructure luate ca Servicii).
n cazul n care se utilizeaz modelul SaaS (Software as a Service), covritoarea majoritate a informaiilor,
va trebui s fie asigurat de furnizorul serviciului. Organizaiile trebuie s structureze procese de obinere de
informaii analitice, necesare n obligaiile contractuale ale serviciului SaaS.
n cazul n care se utilizeaz un furnizor de serviciu PaaS (Platform as a Service), se poate construi un sistem
de culegere de informaii la fel ca la SaaS, dar exist i posibilitatea de a aduna informaii din controale,
precum i de a crea prevederi contractuale pentru testarea eficienei acestor controale.
n cazul n care se utilizeaz un furnizor de serviciu IaaS (Infrastructure as a Service), trebuie asigurat
transparena informaiei n modul de exprimare al contractului, pentru informaiile cerute de analiza de risc.
Furnizorii de servicii cloud trebuie s includ parametri i controale pentru asistarea clienilor n procesul de
implementare a cerinelor lor din MRI.

Recomandri privind managementul entitilor intermediare (third party)

Clienii trebuie s perceap serviciile cloud i securitatea n cloud ca o chestiune de securitate pe ntreg
lanul de furnizare de servicii. n sensul c, n msura n care este posibil, se fac verificri i evaluri pe tot
lanul care realizeaz serviciul (inclusiv conexiuni i externalizri ale furnizorului). Cu alte cuvinte, vorbim
despre verificarea managementului tuturor entitilor intermediare, subcontractate ale furnizorului.
Evaluarea furnizorilor de servicii intermediare, trebuie avut n vedere n mod special n managementul
incidentelor efectuat de furnizor, n politicile de recuperare dup dezastru i de continuare a activitii, n
procese i proceduri; i neaprat trebuie s includ controlul ncperilor n care se face co-locare i salvri
back-up. De asemenea, mai trebuie adugat controlul evalurilor interne ale furnizorului privind respectarea
propriilor politici i proceduri, dar i evaluarea indicatorilor pe baza crora, se msoar performana i
eficiena controalelor furnizorului.
Planul de recuperare dup dezastru i de continuitate a activitii utilizatorului, trebuie s includ scenarii
de ntrerupere a serviciilor furnizorului, de ntrerupere a serviciilor intermediare care relaioneaz cu
furnizorul, i a capabilitilor dependente de entiti intermediare.
Pagin 33 din 41

Guvernana privind securitatea infomaiei la nivelul furnizorului, managementul riscurilor, procesele i
structurile de verificare a conformitii, trebuie s fie n mod cuprinztor evaluate, astfel:
o Este necesar o documentare clar despre felul cum facilitile i serviciile sunt evaluate n raport
cu riscurile, despre felul cum sunt auditate n privina punctelor slabe ale controlului, ct de des se
fac aceste evaluri, i cum sunt atenuate slbiciunile controlului n timp util.
o Este necesar definirea clar a felului n care furnizorul ia n considerare serviciile critice i factorii
de succes n securitatea informaiei, indicatorii cheie de performan, i felul n care toate acestea
sunt msurate n serviciile IT i n Managementul Securitii Informaiilor.
o n scopul bunei cunoateri a furnizorului, este necesar revizuirea cerinelor acestuia de legalitate,
de reglementare, de activitate i contractuale; de asemenea, procesele sale de evaluare i
comunicare.
o Din analiza contractului i a condiiilor de utilizare, trebuie identificate roluri, responsabiliti i
sarcini. Asigurarea controlului legalitii, inclusiv includerea unei evaluri privind capabilitatea de
control al respectrii prevederilor contractuale i al aplicrii legii de jurisdicie strin sau aparinnd
unui stat comunitar.
o Este necesar de stabilit dac elementele de bonitate credibilitate ale furnizorului cuprind toate
aspectele materiale ale relaionrilor acestuia, cum ar fi situaia lui financiar, reputaia acestuia,
verificrile care i se fac, personalul-cheie, testele i planurile de recuperare dup dezastru, ce fel de
asigurare are, posibilitile de comunicare i folosire de subcontractori.

4.4.2 Interoperabilitate i portabilitate

Organizaiile trebuie s abordeze tehnologia cloud, tiind c ar putea n viitor s-i schimbe furnizorii.
Portabilitatea i interoperabilitatea trebuie avute n vedere n avans, ca elemente ale managementului
riscurilor i asigurrii pe linie de securitate ale oricrui program cloud.

Datorit unei lipse generale de standarde de interoperabilitate, dar i din lips de cerin a pieei pentru
aceste standarde, trecerea de la un furnizor de cloud la altul, poate fi un proces manual care s necesite
mult munc. Din perspectiva securitii, una dintre principalele griji trebuie s fie meninerea consecvenei i
seriozitii controalelor de securitate, atunci cnd este schimbat mediul cloud.

Recomandri pentru toate soluiile de cloud:

Schimbarea furnizorilor de cloud este realmente n toate cazurile, o chestiune negativ pentru cel puin una
dintre pri, fapt care poate determina o reacie negativ neateptat, de la vechiul furnizor de cloud.
Trebuie luat n considerare mrimea depozitelor de date stocate la furnizorul de cloud. Cantitatea real de
date poate cauza ntreruperea serviciului n timpul unei tranziii, sau o prelungire a timpului de tranziie, mai
mare dect a fost anticipat. Muli clieni au descoperit c folosind un curier care transport hard discurile
este o soluie mai rapid dect transmisia electronic atunci cnd este vorba de depozite mari de date.
Trebuie bine documentat arhitectura de securitate i configuraia controalelor de securitate a
componentelor individuale, aa nct, acestea s poat fi folosite n cadrul auditurilor interne, precum i
pentru a facilita trecerea la un nou furnizor.

Recomandri pentru soluiile IaaS de cloud (Infrastructure as a Service):

Trebuie neles modul cum imagimile mainilor virtuale pot fi capturate i portate la un nou furnizor de
cloud, care ar putea s foloseasc tehnologii de virtualizare diferite.
Trebuie identificat i eliminat (sau mcar de documentat), orice extensii specifice, aplicate de furnizor
mediului de maini virtuale.
Trebuie neles care practici sunt implementate pentru a face sigur deprovizionarea corespunztoare
(deconfigurarea mainilor dintr-un centru de date virtual) a imaginilor VM dup ce o aplicaie este portat de
la un furnizor de cloud la altul.
Trebuiesc nelese practicile utilizate pentru dezafectarea discurilor i dispozitivelor de stocare.
Trebuiesc nelese dependenele bazate pe hardware / platforme i care trebuie s fie identificate, nainte
de migrarea aplicaiilor / datelor.
Trebuie solicitat acces la jurnalele de sistem, la evidena succesiunii evenimentelor, dar i la nregistrri de
acces i financiare (facturi ) de la furnizorul de cloud iniial.
Pagin 34 din 41

Trebuiesc identificate opiunile necesare pentru a relua sau pentru a extinde serviciul cu furnizorul cloud
initial, n parte sau n totalitate, pentru cazul n care, noul serviciu se dovedete a fi inferior.
Trebuie stabilit dac exist funcii de management, interfee, sau API-uri (interfee software) utilizate dar
care sunt incompatibile sau, sunt neimplementate de ctre noul furnizor.

Recomandri pentru soluiile PaaS de cloud (Platform as a Service):

Atunci cnd este posibil, se vor utiliza componente de platform cu sintax standard, API-uri deschise, i
standarde deschise.
Trebuie neles care instrumente sunt disponibile pentru transferul sigur al datelor, pentru copii de rezerv
i restaurare.
Trebuiesc nelese i documentate componentele aplicaiilor i modulele specifice furnizorului PaaS i e
recomandabil s fie dezvoltat o arhitectur de aplicaie structurat pe niveluri, pentru a minimiza accesul
direct la modulele proprietare.
Trebuie neles modul n care serviciile de baz, cum ar fi monitorizarea, jurnalizarea i auditul ar fi
transferate la un nou furnizor.
Trebuiesc nelese funciile de control utilizate de ctre furnizorul iniial de cloud, i modul n care acestea s-
ar traduce la noul furnizor.
Atunci cnd se migrareaz ctre o nou platform, trebuie neles impactul asupra performanei i
disponibilitii aplicaiei, i modul n care vor fi msurate aceste efecte.
Trebuie neles modul n care testele vor fi finalizate nainte i dup migrare, pentru a verifica dac serviciile
sau aplicaiile funcioneaz corect. Trebuie s ne asigurm c, responsabilitile pentru testare att ale
furnizorului ct i ale utilizatorului, sunt bine cunoscute i documentate.

Recomandri pentru soluiile SaaS de cloud (Software as a Service):

Trebuiesc efectuate extrageri periodice de date i backup ntr-un format care este uor de utilizat, fr
implicarea furnizorului SaaS.
Trebuie neles dac metadatele pot fi pstrate n siguran i migrate.
Trebuie neles c orice instrumente personalizate implementate vor trebui s fie refcute sau, noul furnizor
trebuie s furnizeze aceste instrumente.
Trebuie asigurat temeinicie eficienei controlului asupra furnizorilor vechi i noi.
Trebuie asigurat posibilitatea de migrare a copiilor de siguran i a altor copii ale jurnalelor, ale
nregistrrilor de acces, precum i a oricror alte informaii pertinente care pot fi cerute, din motive de
verificare a respectrii legalitii i conformitii.
Trebuiesc nelese interfeele de management, monitorizare, raportare i integrarea lor ntre mediile de
lucru.
Trebuie verificat dac exist o prevedere pentru noul furnizor, pentru a testa i evalua aplicaiile, nainte de
migrare?

4.4.3 Securitate, continuitatea afacerii, i recuperarea dup dezastre

Volumul de cunotine acumulate n domeniul securitii fizice tradiionale, n planificarea tradiional a
continuitii afacerii i n recuperarea dup dezastru, rmn destul de relevante pentru Cloud Computing.
Ritmul rapid al schimbrilor i lipsa de transparen n Cloud Computing, cer ca profesionitii formai n
securitate tradiional, n planificarea continuitii activitii BCP i n recuperarea dup dezastru DR s fie
n mod continuu angajai n verificarea i monitorizarea furnizorilor de servicii de cloud pe care i alegem.
Provocarea este de a colabora la identificarea riscurilor, la recunoaterea interdependenelor, la a integra i
valorifica resursele ntr-un mod dinamic i puternic. Cloud Computing i infrastructura sa aferent ajut la
diminuarea anumitor probleme de securitate, dar pot s duc la creterea altora, aa nct, n nici un caz nu
pot elimina nevoia de securitate. n timp ce n afaceri i tehnologie continu s se produc schimbri majore,
principiile tradiionale de securitate rmn.

Recomandri

De reinut faptul c centralizarea datelor face ca riscul de abuz intern din cadrul furnizorului de cloud, s fie
un aspect semnificativ.
Pagin 35 din 41

Furnizorii de cloud ar trebui s vad n adoptare, o chestiune important de securitate, cu cele mai severe
cerine din partea oricrui client. n msura n care aceste practici de securitate nu au un impact negativ
asupra experienei clientului, practicile severe de securitate ar trebui s se dovedeasca a fi eficiente pe
termen lung prin reducerea riscurilor, precum i prin control orientat intereselor clientului, n mai multe
domenii de interes.
Furnizorii ar trebui s aib o compartimentare robust a atribuiilor de serviciu, s efectueze controale de
fond, s cear/impun acorduri de confidenialitate pentru angajai, i s limiteze accesul angajailor
la informaiile clienilor, i anume, numai la ceea ce este absolut necesar pentru ndeplinirea sarcinilor de
serviciu.
Clienii ar trebui s efectueze inspecii la locatiile furnizorului de cloud ori de cte ori este posibil.
Clienii ar trebui s examineze planurile furnizorul de cloud pentru recuperarea n caz de dezastru i pentru
continuitate a afacerii.
Clienii ar trebui s identifice interdependenele fizice din infrastructura furnizorului de cloud.
Este recomandabil s ne asigurm c exist stipulat n contract, o decizie a conducerii organizaiei
furnizorului, care n mod clar s defineasc n capitole distincte, obligaiile contractuale referitoare la
securitate, la recuperare, i la accesul la date.
Clienii ar trebui s cear documentaia controalelor de securitate interne i externe ale furnizorului,
precum i documentaia din care s rezulte aderarea (i respectiv certificarea) la standarde industriale.
Asigurarea pentru clienti a Obiectivelor de Timp de Recuperare (RTO), trebuie s fie pe deplin neleas i
definit n relaii contractuale i coerent integrat n procesul de planificare tehnologic. Trebuie s ne
asigurm c planificarile tehnologice, politicile, precum i capabilitile operaionale pot satisface aceste
cerine.
Clienii trebuie s confirme c furnizorul are o politic existent privind Programul de Continuitate a
Activitii -BCP, care s fie aprobat prin consiliul director al furnizorului.
Clienii ar trebui s se intereseze de dovezi de susinere a managementului activ i de revizuirea periodic a
Programului de Continuitate a Activitii -BCP pentru a se asigura c programul BCP este activ.
Clienii trebuie s verifice dac programul BCP este certificat i/sau mapat la standarde recunoscute la nivel
internaional, cum ar fi ISO 27001.
Clienii ar trebui s constate dac furnizorul are o resurs online dedicat securitii i programului BCP, n
care sunt disponibile ca referin, prezentarea general a programului i documentele n care sunt rezumate
problemele cheie.
Este necesar asigurarea c furnizorii cloud sunt verificai prin intermediul unei organizaii specializate, de
exemplu Vendor Security Process (VSP), astfel nct, s existe o nelegere clar privind care date sunt
destinate pentru a fi accesate de teri utilizatori, i care sunt controalele care urmeaz s fie efectuate.
Concluziile unei organizaii de tip VSP ar trebui s serveasc n procesul de luare a deciziilor i n evaluarea
pentra a decide nivelul de risc acceptabil.
Caracterul dinamic al Cloud Computing i maturitatea relativ justific reluarea ciclic frecvent a tuturor
activitilor de mai sus.

4.4.4 Arhitectura i Proceduri operaionale n Data Center

Este imperios necesar ca o organizaie ce are n vedere achiziionarea de servicii de cloud, de orice fel, s fie
n deplin cunotin de cauz despre exact acele servicii care sunt contractate i despre ce nu este inclus.
Mai jos este un rezumat al informaiilor care trebuie s fie revizuite n cadrul procesului de selecie a
vnztorului de servicii, i ntrebri suplimentare pentru a ajuta la calificarea furnizorilor i pentru o mai bun
adaptare a serviciilor oferite de acetia.
Indiferent de certificrile deinute de furnizorii cloud, este important de a primi sarcina de a executa
audituri la furnizor sau, mcar permisiunea pentru client sau pentru o ter parte extern de a supraveghea
audituri la furnizor.
Clienii Cloud ar trebui s neleag modul n care furnizorii cloud implementeaz arhitecturile tehnologice i
impactul infrastructurii asupra capacitii lor de a satisface acordurile la nivel de serviciu.
n timp ce arhitecturile tehnologice ale furnizorilor cloud difer, ei trebuie s fie n msur s demonstreze
completa compartimentare a sistemelor, reelelor, managementului, a alocrii de resurse cloud ctre fiecare
client (provisioning) i a personalului.
Trebuie neles modul n care se realizeaz alocarea de resurse la furnizorul la care suntem abonai, pentru
a putea avea cea mai bun predicie asupra disponibilitii i performanei sistemului, constatate n timpul
fluctuaiilor activitii noastre n cloud. Dac e posibil, putem s analizm ali clieni ai furnizorului pentru a
Pagin 36 din 41

evalua impactul pe care fluctuaiile activitii lor poate s-l aib asupra noastr, innd cont de experiena
noastr de client n relaie cu furnizorul. n orice caz, astfel de rezultate, nu pot nlocui cerina c nelegerile
la nivel de service trebuie s fie clar definite, msurabile, aplicabile, i adecvate cerinelor noastre.
Clienii Cloud ar trebui s neleag politicile i procedurile de management al patch-urilor elaborate de
furnizorii lor de cloud, i modul n care acestea pot afecta mediul lor de lucru. Cunotinele acestea ar trebui
s fie reflectate n prevederile contractului.
mbuntirea continu este deosebit de important ntr-un mediu cloud pentru c orice mbuntire a
politicilor, proceselor, procedurilor, sau instrumentelor pentru un singur client, ar putea duce la
mbuntirea serviciilor pentru toi clienii. E recomandabil s-i cutm pe acei furnizori de cloud care sunt n
permanent proces de mbuntite a aderrii la standarde.
Asistena tehnic sau serviciul Help Desk reprezint de multe ori o fereastr a clientului n operaiunile
furnizorului. Pentru a obine o experien buna i constant de asisten pentru clieni ca utilizatori finali, este
esenial s ne asigurm c procesele furnizorului de asisten pentru clieni, procedurile, instrumentele, i
orele de asisten sunt compatibile cu ale clientilor.
Trebuie analizat Procesul de Continuitate a Activitii i Planurile de Recuperare dup Dezastru, i din
perspectiv IT, i n legtur cu modul n care acestea se refer la utilizatori i la procese. Arhitectura
tehnologiei unui furnizor de cloud poate utiliza metode noi dar care, uneori, se pot dovedi nesatisfctoare n
unele privine, de exemplu pentru modul de operare failover. (Reamintim c modul de operare failover const
n existena unor elemente redundante hard i/sau soft de rezerv, care preiau automat executarea unei
funcii, atunci cnd, componenta iniial asignat pentru acea funcie, nu mai funcioneaz).
Aadar propriile planuri de continuitate a activitii clienilor ar trebui de asemenea, s aib n vedere
impactul i limitrile tehnologiei cloud computing.

4.5 Auditare i atestare

Din cele mai multe reglementri care se refer la tehnologia informaiei cu care organizaiile trebuie s se
conformeze, puine dintre ele au inut cont i de tehnologia Cloud Computing. Pot fi auditori i evaluatori care
s nu fie familiarizai cu Cloud Computing, n general, sau cu un anume serviciu de cloud n special. Aa stnd
lucrurile, se cuvine ca cei care apeleaz la servicii de cloud s aib cunotin despre:
Dac reglementrile privind utilizarea unui serviciu de cloud dat, sunt aplicabile
Responsabilitile privind conformitatea, s fie mprite ntre furnizorul i clientul cloud
Capacitatea furnizorului de cloud de a oferi dovezile necesare pentru dovedirea conformitii
Rolul pe care poate s-l aib clientul cloud n medierea unor posibile nenelegeri dintre furnizorul de cloud
i auditor / evaluator

Recomandri

Trebuie implicai specialiti n domeniile juridic i contractual. Regulile standard dup care funcioneaz
furnizorul de cloud pot s nu se adreseze cerinelor de conformitate ale clientului; de aceea este n beneficiul
clientului de a implica nc de la nceput personal juridic i contractual, cu scopul de a se asigura c
prevederile contractuale ale serviciilor de cloud sunt adecvate pentru ndeplinirea obligaiilor de conformitate
i de audit.
n privina dreptului la clauza de audit. Clienii vor avea nevoie adesea de posibilitatea de a audita furnizorul
de cloud, dat fiind natura dinamic att a cloud-ului ct i a cadrului de reglementare. Dreptul legat de
clauza contractual de audit trebuie obinut oricnd e posibil, de exemplu n cazul particular cnd, vorbim de
un serviciu al furnizorului, pentru care, clientul are responsabiliti privind conformitatea de reglementare.
Ulterior, nevoia pentru acest drept ar trebui s fie redus i, n multe cazuri, nlocuit cu certificri
corespunztoare ale furnizorului, n raport cu standardul ISO / IEC 27001.
Trebuie analizat problematica conformitii i determinarea dac reglementrile de conformitate adresate
organizaiei vor fi afectate de utilizarea serviciilor de cloud, pentru un anumit set de aplicaii i date.
Trebuie analizat impactul reglementrilor asupra securitii datelor. Utilizatorii finali poteniali de servicii
Cloud Computing ar trebui s ia n considerare aplicaiile i datele pe care le au n vedere la trecerea serviciilor
n cloud, precum i msura n care acestea sunt supuse reglementrilor de conformitate.
Trebuie revizuiti partenerii relevani i furnizorii de servicii. Aceasta este o orientare general privind
asigurarea c relaiile furnizorului de servicii nu determin impact negativ asupra conformitaii. Evaluarea
furnizorilor de servicii care prelucreaz date supuse reglementrilor de conformitate, i apoi evaluarea
controalelor de securitate efectuate de ctre aceti furnizori, este fundamental. Multe reglementari de
Pagin 37 din 41

conformitate au prevederi specifice cu privire la evaluarea i gestionarea riscurilor furnizor teri. Ca i n cazul
serviciilor de IT non-cloud, organizaiile trebuie s neleag care dintre partenerii lor de afaceri cloud
prelucreaz date care fac obiectul unor reglementari de conformitate.
Trebuie nelese responsabilitile contractuale privind protecia datelor i contractele aferente. Modelul de
serviciu cloud impune care dintre client sau furnizor de servicii cloud este responsabil pentru implementarea
controalelor de securitate. ntr-un scenariu de implementare IaaS, clientul are un grad mai mare de control i
responsabilitate dect ntr-un scenariu SaaS. Dintr-un punct de vedere al controalelor de securitate, acest
lucru nseamn c clienii IaaS vor trebui s implementeze multe dintre controalele de securitate pentru
conformitatea cu reglementrile n vigoare. ntr-un scenariu SaaS, furnizorul de servicii cloud trebuie s
asigure controalele necesare. Din perspectiv contractual, este foarte important de neles cerinele
specifice precum i contractul de servicii cloud i acordurile aferente.
Trebuie analizat impactul reglementrilor asupra infrastructurii furnizorului. n domeniul infrastructurii,
trecerea la servicii de cloud, cere analizare minuioas. Unele cerine de reglementare pot duce la controale
care sunt greu sau imposibil de realizat n unele tipuri de servicii cloud.
Trebuie analizat impactul reglementrilor asupra politicilor i procedurilor. Migrarea de date i aplicaii n
serviciile de cloud, probabil c genereaz impact asupra politicilor i procedurilor. Clienii ar trebui s evalueze
care politici i proceduri legate de reglementri vor trebui modificate / actualizate. Exemple de politici i
proceduri afectate sunt rapoartele de activitate, jurnalizrile, pstrarea datelor, reacia la incidente, controlul
testrii, precum i politicile de confidenialitate.
Trebuie pregtit probe privind modul de ndeplinire al cerinelor. Colectarea dovezilor de conformitate pe
multitudinea de reglementari de conformitate i a cerinelor reprezint o provocare. Clienii serviciilor de
cloud ar trebui s utilizeze procese de colectare i stocare de dovezi de conformitate, cum ar fi jurnalele de
audit i rapoarte de activitate, copii ale configuraiilor de sistem, rapoartele privind modificrile aplicate,
precum i alte rezultate ale procedurilor de testare. n funcie de modelul de serviciu cloud, furnizorul de
cloud ar putea avea nevoie de o mare parte din aceste informaii.
Chestiunea calificrii i selecionrii auditorului. n multe cazuri, organizaia nu are nicio atitudine n
selectarea auditorilor sau a evaluatorilor de securitate. n cazul n care o organizaie are un proces de selecie,
este recomandabil de a alege un auditor "contient cloud", deoarece muli s-ar putea s nu fie familiarizai cu
tehnologiile cloud i provocarile virtualizarii. Testarea familiarizrii lor cu terminologia IaaS, PaaS, i SaaS este
un bun punct de plecare.
Despre declaraiile de audit SAS 70 -Statement on auditing Standards.
SAS 70 reprezint un set de declaraii referitoare la ndeplinirea standardelor de audit emise de American
Institute of Cerified Public Accountants. Acestea sunt de 2 tipuri. SAS 70 Type I i Type II sunt utile auditorilor
de organizaii prestatoare de servicii. Furnizorii de cloud ar trebui s aib aceste declaraii de audit cel puin la
un nivel minim, deoarece acestea vor oferi un punct recunoscut de referin pentru auditori i evaluatori. Din
moment ce SAS 70 Type II asigur doar faptul c controalele sunt puse n aplicare aa cum au fost
documentate, este important s nelegem c auditul SAS 70 acoper o arie larg n privina modului cum
controalele satisfac cerinele.
Despre ndeplinirea de ctre furnizorul de cloud a standardelor ISO/IEC 27001/27002.
Furnizorii de cloud care doresc s ofere servicii critice ar trebui s adopte standardul ISO / IEC 27001 pentru
sistemele de management al securitatii informaiei - SMSI. n cazul n care furnizorul nu a obinut certificarea
ISO / IEC 27001, acestea trebuie s demonstreze alinierea cu practicile ISO 27002 de management al
securitii informaiilor. Aliana Cloud Security emite un apel la aciune pentru a alinia furnizorii de cloud la
certificarea ISO / IEC 27001.








Pagin 38 din 41





Anexa nr. 1 - Caracteristici

1. ASPECTE NON-FUNCIONALE
Cele mai importante aspecte non-funcionale sunt:
Elasticitatea este un aspect esenial central al sistemelor de cloud computing i se circumscrie capacitii de a
susine infrastructura s se adapteze la cerinele non-funcionale n continu schimbare, de exemplu
cantitatea i dimensiune datelor suportate de o aplicaie, numrul de utilizatori concomiteni etc. Se poate
distinge ntre scalabilitatea orizontal i vertical, unde scalabilitatea orizontal se refer la suma instanelor
de satisfcut, de exemplu numrul de cereri care se schimb, iar scalabilitatea vertical se refer la
dimensiunea instanelor i astfel, implicit la suma resurselor necesare care menin dimensiunea.
Fiabilitatea este esenial pentru toate sistemele de cloud computing pentru a susine aplicaiile prezente
de tip centru de date ntr-un cloud, fiabilitatea este considerat unul dintre aspectele principale pentru
exploatarea capacitilor cloud computing-ului. Fiabilitatea denot capacitatea de a asigura operarea
constant a sistemului fr ntrerupere, adic nicio pierdere de date, nicio resetare a codului pe durata
executrii etc. Fiabilitatea se atinge de obicei prin utilizarea redundant a resurselor. n mod interesant, multe
dintre aspectele de fiabilitate de la o soluie pe baz hardware la una pe baz software. (Redundana din
sistemele de fiiere vs. controlerele RAID, servere statice front end vs. UPS etc.). n mod remarcabil, este o
relaie puternic ntre disponibilitate (mai jos prezentat) i fiabilitate, fiabilitatea se centreaz mai ales pe
mpiedicarea pierderii (datelor sau progresul executrii).
Calitatea suportului de servicii este o capacitate relevant, esenial n multe cazuri de utilizare n care
anumite cerine trebuie s fie satisfcute prin servicii externalizate i/sau resurse. n cazurile de afaceri,
msurtorile de baz QoS precum timpul de rspuns, randamentul etc. trebuie s fie cel puin garantate,
pentru a se asigura c garaniile de calitate ale utilizatorului de cloud sunt respectate. Fiabilitatea este un
aspect QoS particular care formeaz o cerin specific de calitate.
Agilitatea i adaptabilitatea sunt aspecte eseniale ale sistemelor de cloud computing care sunt asociate n
mod puternic cu capacitile elastice. Include reacia on-time la modificrile de cantitate a cererilor i
dimensiunea resurselor, dar i adaptarea la modificrile condiiilor de mediu care, de exemplu, necesit tipuri
diferite de resurse (sau cel puin administrarea lor) care s fie autonome i s le activeze pentru a furniza
auto-capaciti.
Disponibilitatea serviciilor i a datelor este o capacitate esenial a sistemelor de cloud computing i a fost,
de fapt, unul dintre aspectele centrale care au dus la apariia cloud computing-ului n prim instan.
Disponibilitatea reiese din capacitatea de a introduce redundana pentru servicii i date, astfel nct eecurile
pot fi transparent mascate. Tolerana la defecte impune i capacitatea de introduce o nou redundan (de
exemplu noduri defecte sau nou) n manier online fr intruziune (fr o penalizare semnificativ pentru
performan). Disponibilitatea se atinge mai ales prin replicarea datelor / a serviciilor i distribuirea lor cu
diverse resurse pentru a atinge echilibrul sarcinii. Acest lucru poate fi privit ca esena original a scalabilitii
din sistemele cloud.

2. ASPECTE ECONOMICE
Pentru consideraii economice, sistemele de cloud computing ajut la realizarea urmtoarelor aspecte:
Reducerea costurilor este una dintre principalele preocupri pentru construirea unui sistem cloud care se
poate adapta la comportamentul consumatorului i reduce costul pentru achiziia i ntreinerea
infrastructurii. Scalabilitatea i plata n funcie de utilizare sunt aspecte eseniale ale acestei probleme. Astfel,
stabilirea unui sistem de cloud computing presupune de obicei costuri adiionale fie prin adaptarea logicii de
afaceri la interfeele specifice cloud host sau mbuntind infrastructura local s fie cloud-ready. Vedei i
randamentul investiiilor mai jos.
Plata n funcie de utilizare. Capacitatea de a construi costul n conformitate cu consumul real de resurse este
un aspect relevant al sistemelor de cloud computing. Plata n funcie de utilizare privete calitatea suportului
de servicii, unde cerinele specifice ce trebuie atinse de ctre sistem i astfel pltite pot fi specificate. Unul
dintre motoarele economice cheie pentru nivelul curent al interesului n cloud computing este modificarea
structural din acest domeniu. Trecnd de la un model de investiie de capital normal la o cheltuial
operaional, cloud computing promite s permit mai ales IMM-urilor i antreprenorilor s accelereze
dezvoltarea i adoptarea soluiilor inovatoare.
Pagin 39 din 41

Timpul mbuntit de introducere pe pia, mai ales pentru ntreprinderile mici i mijlocii care vor s i
vnd serviciile repede i uor cu mici ntrzieri provocate de achiziia i stabilirea infrastructurii, mai ales n
scop compatibil i competitiv cu industriile mari. ntreprinderile mai mari trebuie s poat publica noile
capaciti cu mici cheltuieli generale pentru a rmne competitive. Cloud computing-ul poate susine acest
lucru asigurnd infrastructurile dedicate anumitor cazuri de utilizare specifice care preiau capacitile
eseniale pentru a susine previzionarea uoar i astfel pentru a reduce timpul de introducere pe pia.
Returnarea investiiilor (ROI) este esenial pentru toi investitorii i nu poate fi garantat ntotdeauna de
fapt, unele sisteme de cloud computing dau gre n acest aspect. Pentru a fi viabil din punct de vedere
comercial, cei care doresc migrarea n cloud trebuie s se asigure c efortul i costul sunt depite de beneficii
acest lucru poate presupune ROI direct (de exemplu mai muli clieni) i indirect (de exemplu beneficiile din
publicitate). Externalizarea resurselor versus creterea infrastructurii locale i folosirea tehnologiilor (private)
cloud necesit astfel s fie depit i punctele limit s fie identificate.
Transformarea CAPEX n OPEX este o caracteristic implicit i controversat a sistemelor de cloud
computing, deoarece beneficiul real de cost (cf. ROI) nu este ntotdeauna clar. Cheltuielile de capital (CAPEX)
sunt necesare pentru a construi infrastructura local, dar prin externalizarea resurselor computaionale ctre
sisteme cloud la cerere i scalabile, o companie va face de fapt cheltuieli operaionale (OPEX) pentru
furnizarea capacitilor, deoarece va achiziiona i utiliza resursele n conformitate cu nevoile operaionale.
Ecologizarea este relevant nu numai pentru a reduce costurile suplimentare de consum de energie, dar i
pentru a reduce amprenta de carbon. n timp ce emisia de carbon a mainilor individuale poate fi estimat
destul de bine, aceste informaii sunt foarte puin luate n considerare cnd se scaleaz sistemele pe Cloud,
ceea ce permit reducerea consumului de resurse neutilizate (reducere). n plus, escaladarea trebuie s fie
foarte bine echilibrat cu costurile, dar i cu problemele asociate cu emisiile de carbon.

3. ASPECTELE TEHNOLOGICE
Principalele provocri tehnologice care pot fi identificate i care sunt asociate cu sistemele de cloud
computing sunt:
Virtualizarea este o caracteristic tehnologic esenial care ascunde complexitatea tehnologic de utilizator
i permite flexibilitate sporit (prin agregare, rutare i translaie). Mai concret, virtualizarea susine
urmtoarele aspecte:
Facilitarea: ascunznd complexitatea infrastructurii (inclusiv management, configurare etc.), virtualizarea
poate face mai simplu pentru utilizator s dezvolte noi aplicaii, ct i reduce timpul suplimentar pentru
controlarea sistemului.
Independena infrastructurii: n principiu, virtualizarea permite interoperabilitate mai ridicat fcnd
platforma de cod independent.
Flexibilitatea i adaptabilitatea: expunnd un mediu virtual de executare, infrastructura de susinere se
poate face mai flexibil n conformitate cu diversele condiii i cerine (desemnarea mai multor resurse etc.).
Independena amplasrii: serviciile pot fi accesate independent de amplasarea fizic a utilizatorului i a
resursei.
Partajarea serviciilor este o problem esenial n sistemele de cloud computing, unde situarea codului i/sau
datelor este n principal necunoscut i aceeai resurs se poate aloca mai multor utilizatori (chiar i n acelai
timp). Acest lucru afecteaz resursele infrastructurii, dar i datele / aplicaiile / serviciile care sunt gzduite pe
resurse partajate, dar trebuie fcute disponibile n multiple instane izolate. n mod clasic, toate informaiile
sunt meninute n baze de date separate sau tabele, cu toate acestea, n cazuri mai complicate, informaiile
pot fi modificate concurent, chiar dac sunt meninute pentru diveri utilizatori izolai. Partajarea serviciilor
implic multe probleme poteniale, de la protecia datelor la problemele legislatorului.
Securitatea, confidenialitatea i compliana sunt evident eseniale pentru toate sistemele care manipuleaz
date sau cod potenial sensibil.
Managementul datelor este un aspect esenial mai ales pentru stocarea datelor, acolo unde datele sunt
distribuite flexibil pe mai multe resurse. Implicit, consistena datelor trebuie s fie meninut peste o
distribuie larg a surselor de date replicate. Deoarece dimensiunea datelor se poate modifica din cnd n
cnd, managementul datelor se adreseaz att aspectelor verticale ct i orizontale ale scalabilitii. Un alt
aspect crucial al managementul de date este furnizarea garaniilor de consisten (consistena eventual vs.
puternic, izolarea translaiei vs. nicio izolare, operaiunile atomice pe itemi individuali de date vs. multiplii
timpi de date etc.).
API (application programe interface) i/sau mbuntirea programrii sunt eseniale pentru a exploata
aspectele cloud computing-ului: modelele comune de programare necesit ca dezvoltatorul s fie atent la
Pagin 40 din 41

scalabilitate i capacitile autonome, n timp ce mediul cloud asigur capacitile ntr-un mod care permite
utilizatorului s lase acest management sistemului.
Msurarea oricrui tip de resurse i consumul de servicii sunt eseniale pentru a oferi preuri elastice,
facturare i tarifare. De a ceea este o condiie preliminar pentru elasticitatea cloud-ului.







Anexa nr. 2 - Analiza SWOT

Punctele tari Punctele slabe Oportunitile Ameninrile
costuri fixe
Nicio infrastructur
Acces din ntreaga
lume
Actualizri software
Reduce orele
suplimentare
Controale de securitate
consistente echilibrate
pe infrastructura cloud
(DDOS, Firewall-ing,
verificri de
vulnerabilitate,
antimalware etc.)
Cunotine i
experien n domeniile
tehnologice asociate
Experien
semnificativ n
construirea de aplicaii
specifice industriei
Proiecte continue de
cercetare i tehnologii
open source
SOA puternic (Service
Oriented Architecture) i
sisteme distribuite n
comunitatea de
cercetare
Sinergii puternice ntre
cercetare i industrie;
Platforme tehnologice
Eforturi
guvernamentale
concertate (legislaie
etc.)
Vnzare de produse i
telecomunicaii (fa de
vnzare de noi
tehnologii)
Furnizarea de procese
complexe precum
servicii, n loc de
Securitatea platformei
necontrolat de
consumatorul de servicii
Confidenialitatea,
regulile de complian IP
i reglementare divers
trebuie avute n vedere
dinainte
Lime de band
disponibil
Bariere tehnice
Lipsa controlului
modificrii
Calendare de cercetare
vs. piee n continu
micare
Niciun ecosistem al
pieei n jurul furnizorilor
din Romnia
Sucursale i
fragmentarea industriilor
cheie
Nicio platform pentru
cutarea / selectarea
furnizorilor
Flexibil
Integrare viitoare
Canale suplimentare
client
Costuri mai reduse de
deinere
Scalabilitate
Fuziuni / achiziii:
Adaptare mai rapid
Experien puternic n
implicarea n eforturile
de standardizare
Companiile romneti
utilizeaz (i au nevoie
de) proprii clouds (clouds
privai)
Interes sporit din
partea industriei i a
mediului academic n
tehnologiile cloud
Infrastructurile
existente cu resurse
puternice i mai ales cu
reelele puternice de
comunicaii puternice
(de exemplu telecoms)
Clouds asigur o
susinere excelent
pentru aplicaiile de
telefonie mobil
(care de obicei au
resurse locale cu putere
redus).
Creterea
competitivitii i a
productivitii, a
furnizorilor de servicii
prin adoptarea
platformelor
computaionale locale /
hibride / specifice
Furnizarea aplicaiilor
n loc de orientarea pe
Indisponibilitate
Imposibilitatea de a
personaliza
Protecia datelor
Este posibil ca clienilor
s nu le plac datele n
cloud
Procedura de
restaurare mai lent, mai
puin flexibil, pierderea
granularitii
Investiii ridicate i
fonduri necesare pentru
construirea
infrastructurii
Lipsa furnizorilor IaaS
Impact tehnologic /
dezvoltare subestimat

Pagin 41 din 41

infrastructuri de nivel
redus
Industrie de
telecomunicaii
puternic (cercetare,
orientare asupra
consumatorului,
capaciti de investiie)
Poveti comerciale de
succes
tehnologie
Noi modele business
pentru produse
mbuntite i adoptare
de cloud
Contientizare a
agendei ecologice i noi
metode de a reduce
amprenta de carbon




Anexa nr. 3 Studii suport pentru utilizarea Cloud-ului n Romnia

Numeroase studii legate de adoptarea cloud-ului (BSA pentru utilizatori de PC-uri; TechSoup pentru ONG-
uri; CIO Council pentru organizaii mari) confirm un interes ridicat pentru cloud computing n Romnia i, n
general, o deschidere mai ridicat fa de celelalte ri.
Studiu CIO Council (pe ntreprinderi mari, iulie 2013): 60% dintre ntreprinderile mari din Romnia
folosesc Cloud i pn n 2017 acest procent va crete la 100%.
Studiu IPSOS Mori (pe companii cu mai puin de 25 de angajai, iunie 2013): puin peste jumtate dintre
firmele mici din Romnia folosesc soluii de Cloud i 38% dintre companiile intervievate vor direciona
bugetele IT n soluii Cloud.
Studiu BSA (pe utilizatori de PC-uri, august 2012): n Europa, Romnia ocup locul al patrulea n topul
rilor cu cel mai ridicat nivel de familiarizare cu soluiile de cloud computing: unul din cinci utilizatori
romni (20%) se consider cunosctor al soluiilor bazate pe cloud.
Studiu TechSoup (pe organizaii non-guvernamentale, septembrie 2012): unul dintre cele mai accelerate
ritmuri de adoptare a soluiilor bazate pe Cloud din lume n rndul ONG-urilor din Romnia (13% dintre
ONG-uri n urmtoarele 6 luni, 19% n 6-12 luni, 31% n 1-2 ani, 16% n urmtorii 2-3 ani).