Bør bedriften din ha en exit-strategi for sky-tjenester?

Kompleksiteten øker i skyen

Utenlandske skyleverandører tilbyr et bredt spekter av løsninger, fra fundamental infrastruktur til avanserte forretningsapplikasjoner. Selv om skytjenestene brukes for å øke fleksibilitet og effektivitet, kan de også medføre en betydelig økning i operasjonell og administrativ kompleksitet. Denne kompleksiteten stammer fra et stadig mer mangfoldig landskap av ulike tjenester og leverandører, krevende systemintegrasjoner, et fragmentert ansvar for informasjonssikkerhet på tvers av plattformer, samt en stadig mer intrikat regulatorisk situasjon. En proaktiv og velutviklet exit-strategi er derfor ikke en indikasjon på en umiddelbar endring, men heller en sentral del av robust risikostyring og en langsiktig digital strategi.

Hvorfor exit-strategier er aktuelt nå

Det er flere faktorer du bør vurdere dersom du tenker å lage en exit-strategi:

Regulatorisk etterlevelse

Personvernforordningen (GDPR) stiller strenge krav til behandling og overføring av personopplysninger. Lovgivning i tredjeland, slik som den amerikanske CLOUD Act, kan medføre utfordringer knyttet til vern av data lagret hos leverandører underlagt slik jurisdiksjon, uavhengig av serverlokasjon. Dette krever grundige vurderinger og potensielle risikoreduserende tiltak.

Leverandøravhengighet (vendor lock-in)

En sterk integrasjon med én enkelt leverandørs proprietære teknologi og økosystem kan begrense bedriftens fleksibilitet og forhandlingsposisjon. Kostnadene og kompleksiteten ved et eventuelt bytte kan bli betydelige.

Geopolitisk og økonomisk usikkerhet

Endringer i internasjonale relasjoner, handelsavtaler eller sanksjoner kan påvirke tilgjengeligheten og stabiliteten til tjenester levert fra spesifikke jurisdiksjoner. Leverandørers prismodeller kan også endres, og påvirke den langsiktige kostnadseffektiviteten.

Sikring av forretningskontinuitet

Uforutsette hendelser som oppkjøp av leverandører, endringer i deres tjenesteportefølje, økonomisk ustabilitet hos leverandøren, eller alvorlige sikkerhetshendelser, kan true kontinuiteten i tjenesteleveransen. En exit-strategi er en kritisk del av en helhetlig plan for forretningskontinuitet.

Exit-strategi er strategisk beredskap

En exit-strategi for skytjenester er en formalisert plan som beskriver hvordan en virksomhet på en kontrollert og effektiv måte kan migrere sine data, applikasjoner og tjenester fra en nåværende skyleverandør til en alternativ løsning. Formålet er å minimere operasjonelle forstyrrelser, datatap og unødvendige kostnader, dersom en slik overgang blir nødvendig. Det handler om å sikre valgfrihet og strategisk handlingsrom.

Kjerneelementer i utviklingen av en exit-strategi

Prosessen kan deles inn i følgende hovedfaser:

Fase 1: Kartlegging og risikoanalyse

Det er helt nødvendig at vi har en grundig forståelse an nå-situasjonen.

• Kartlegg tjenesteporteføljen: Identifiser samtlige utenlandske skytjenester dere bruker, inkludert de som eventuelt ikke er formelt administrert ("skygge-IT"). Dokumenter formålet med hver tjeneste, hvilke data som behandles (inkludert klassifisering av sensitivitet og personopplysninger), og hvilke forretningsprosesser som er avhengige av dem.
• Risikoanalyse: Vurder de spesifikke risikoene knyttet til hver tjeneste. Dette inkluderer risiko relatert til datasuverenitet, leverandøravhengighet, kostnadsstruktur, datasikkerhet og operasjonell stabilitet. Identifiser hvilke tjenester som er mest forretningskritiske.

Fase 2: Identifisere alternativer og utforming av migreringsplaner

Med en klar risikoprofil kan dere starte arbeidet med å identifisere og planlegge for alternativer.

• Undersøk markedet for alternative leverandører, med et særskilt fokus på norske og europeiske aktører som opererer innenfor EØS-regelverket. Evaluer disse basert på funksjonalitet, kostnad, sikkerhetsprofil (inkludert GDPR-etterlevelse), datalokasjon, og migreringskompleksitet. Vurder også ulike leveransemodeller som hybridsky eller multi-cloud.
• For de mest kritiske tjenestene, utarbeid skisserte migreringsplaner. Disse bør adressere dataeksport og -import, rekonfigurering av applikasjoner og integrasjoner, samt estimert tidsbruk og ressursbehov.
• Definer utløsende faktorer ("triggere"). Fastsett spesifikke hendelser eller terskelverdier som vil initiere en beslutning om å iverksette exit-planen. Dette kan inkludere vesentlige prisøkninger, endringer i lovgivning, alvorlige sikkerhetsbrudd, eller vedvarende brudd på tjenestenivåavtaler (SLA).

Fase 3: Forberedelser og risikoreduserende tiltak

Implementering av visse tiltak i forkant kan betydelig forenkle en eventuell fremtidig migrering.

• Der det er mulig, favoriser åpne standarder og teknologier som fremmer portabilitet, slik som containerisering (f.eks. Docker). Dette reduserer teknisk binding til spesifikke plattformer.
• Etabler robuste rutiner for uavhengig sikkerhetskopiering av data fra skytjenester, fortrinnsvis til en separat lokasjon (ideelt sett innenfor EØS). Gjennomfør regelmessige tester av datagjenoppretting.
• Gjennomgå eksisterende avtaler med skyleverandører med fokus på vilkår for dataportabilitet, oppsigelse og assistanse ved tjenesteavvikling. Vær bevisst på disse aspektene ved inngåelse av nye avtaler.

Fase 4: Kontinuerlig vedlikehold og oppdatering

En exit-strategi er et dynamisk dokument som krever periodisk revisjon.

• Gjennomgå og oppdater strategien årlig, eller ved vesentlige endringer i virksomhetens IT-miljø, risikobilde, eller det regulatoriske landskapet.
• Følg med på utviklingen hos nåværende og potensielle alternative leverandører, samt relevante endringer i lovgivning og trusselbildet.

Innledende tiltak

1. Intern forankring: Plasser temaet på agendaen for ledelsen og relevante beslutningstakere.
2. Prioriter kartlegging: Begynn med en kartlegging og risikovurdering av de mest forretningskritiske utenlandske skytjenestene.
3. Søk kompetanse: Vurder å engasjere eksterne rådgivere med spesialisert kompetanse innen IT-sikkerhet, skyarkitektur og regulatorisk etterlevelse for å støtte prosessen.