日前,在行业媒体举办的活动中,美国铁山(IronMountain)公司数据中心业务部门产品营销总监MarkW.Jobson阐述了行业厂商为什么应该以积极的态度来看待数据中心合规性,而不是将其看作是一种限制数据中心发展的法规。
他表示,在询问了业内人士听到“数据中心合规性”时会想到什么时,正如人们所料,常见的回应是“规定”,“限制”,“审计”等消极的词语,甚至超出人们预期,有人说这是一种“必要的邪恶”,虽然这个描述并不确切,但他开始怀疑合规性的遵守情况可能不尽人意。
Iron Mountain数据中心业务部产品营销总监MarkW.Jobson
Jobson表示作为托管服务提供商,他认为数据中心的合规性远非“必要的邪恶”。当合规性正确执行时,它不只是PowerPoint演示文稿或网页上的描述。而提供完全一体化的合规计划成为服务提供的基础,并发展以确保长期的客户满意度和行业可持续性。考虑到这一点,用户能够以更积极的方式查看运行良好的数据中心合规性工作,如果愿意的话,就会发现这是“必要的”。
以下是五个对此表示支持的想法。
(1)合规计划使数据中心托管服务提供商专注于关键的核心竞争力,以满足广泛市场中不同客户的需求
在数据中心世界中,人们一直在寻找新的差异化方式,更好地为客户服务,提高效率和提升盈利能力。但是,如果无法专注于支持客户的核心安全和合规性要求,那么数据中心故障就会导致出现全球性的新闻。因此,高调的数据中心问题会影响整个行业发展,影响用户的信心,并进一步影响拥有内部数据中心的企业心态。
拥有强大合规计划的托管服务提供商有助于保护他们的客户和行业。采用一致的计划可以确保每个员工定期接受有关安全协议,事件管理和基于角色的数据中心最佳实践的培训。年度第三方审核将记录的控制和最佳实践放在测试中,确定可能进一步微调以确保最佳性能的领域。
运行良好的数据中心合规计划的最终结果是降低了数据中心的运营风险。卓越的文档和改进的流程可以帮助IT团队在发生事故之前识别潜在的风险。当事件发生时,IT团队更好地准备执行更快的恢复。
(2)合规性使公共和私营组织有信心相互信任第三方数据中心服务
尽管IT环境发生颠覆性的变化,第三方数据中心服务(例如托管)节省了TCO成本,但许多企业仍然继续保留大部分IT业务和数据中心。根据研究机构451Research公司的“企业报告”报告,52.1%的受访厂商将其数据中心外包给托管公司,集成商,管理服务提供商或合作伙伴,而47.9%的受访厂商拥有自己的内部解决方案。为什么会这样?铁山公司在企业客户群中的研究表明,将安全性和合规性问题采用云计算和托管的最大障碍。因此,采用强大的数据中心合规框架的托管服务提供商可以最有效地解决这些对变革挑战的信任/担忧,并通过经验证的实践和文档在操作运营时轻松解决。
第三方从技术操作到业务功能审核验证这些控制。合规性甚至允许最具变革能力的企业确保其提供商的控制能力达到或超过其内部控制的能力,一旦对此满意,就可以使用完整的数据集,并执行成本效益分析。
大多数数据中心专业人士都知道,托管数据中心厂商的价值主张是令人信服的:减少TCO,提高运营效率,直接访问网络生态系统,获得其他收益。但是,如果数据中心安全有任何灰色地带,可能很容易地使感知风险超过这些优点。数据中心合规性可以最大限度地减少未知风险的数量,并使组织能够信任地选择托管服务。
(3)良好的架构合规计划,专门的支持驱动责任,一致性和增值
在销售,入职,支持阶段进行过程中,通常有许多不同角色的客户互动。资源充足的合规程序可以提高服务效率,减少组织内部的摩擦,减少指责,提高客户和员工的满意度。
在铁山公司,履行安全职能的部门是一个独立的组织,给予了很大的自主权力。模拟此模式并投资于专业合规专家来管理其计划的数据中心提供商(而不是将合规性支持作为附加职责)可以实现显著的效益。最常见的好处包括集中关注客户监管和合规需求,使更大的服务提供机构承担责任并消除冲突与竞争性工作职责的能力。
此外,合规专家将构建更高效的程序,并且能够最好地了解多个评估中的常见控制。这样可以减少内部资源的不必要的重复和压力。而合规性专家的全面了解,可以提供更一致的数据,更快的结果和正确对齐的目标/KPI。其动机和补偿是由合规成功驱动的,而偏差和合规威胁与目标直接相冲突。这种问责制导致问题公开解决和纠正,然后才会变成事件,并最大限度地降低总体风险的可能性。
此外,专门的合规计划管理人员通过开发一致的可交付成果为客户提供附加值,从而实现自己的合规计划。例如,希望完成FedRAMP要求的云计算提供商能够与供应商的专业团队合作,以及时,一致,准确的方式开发新的控制措施,继承其供应商的适用控制。
相比之下,依赖运营管理团队进行一次性审核的多任务的供应商通常在性能方面缺乏一致性,承担了控制差距的风险,并且在客观地优先考虑客户的数据安全需求时往往不足。
(4)不同的合规性组合使数据中心提供商了解客户不断变化的具体需求
如今,技术和最终用户行为的变化速度令人震惊。这为特定行业如何规范服务提供了新机会,又带来了威胁。
具有良好运行合规性计划的托管服务提供商能够支持不同的合规性要求(NIST,HIPAA,PCI-DSS,ISO27001SOC2等),并保持最新的行业最佳实践,并找到影响客户经营业务的痛点。将这些知识应用于服务交付,使托管提供商能够提高客户满意度,保留期和推荐次数;从而增加长期收入来源。
(5)不断发展的合规计划有助于人们优先考虑资本投资和产品创新
有效的数据中心合规计划利用产品开发和创新来有效适应不断变化的客户合规需求。在美国联邦法规和数据中心合并与优化计划(“DCOI”)的背景下,可以看到这一点。数据中心合并与优化计划要求减少美国联邦政府的数据中心设施,写成能源使用效率(“PUE”)目标,并要求实施数据中心基础设施管理(DCIM)技术,以确保机构运营既能源和资本效率。
数据中心合并与优化计划明确表示,向美国联邦需求基地提供营销的供应商必须将其资本和创新力量集中在确保其产品包括正确的功能(DCIM,电力监控等)),以使其PUE的目标小于1.4。
如今,很多消费者已经采用了物联网设备,例如在家里的“连接设备”列表中有智能冰箱。如果冰箱中的牛奶即将过期,冰箱自动通知发送智能手机。用户点击当地的杂货商,重新购买了牛奶,然后将其数据复位。那么,这与合规关系有什么关系?
公众的日常生活与数据中心联系越来紧密,来自较大市场的负面托管相关关注的风险越大。托管服务提供商的故障可能导致大量的云中断,从而阻止访问流行的Web实体,泄漏机密信息并卖到混乱。如果有那么一天中断,数百万人无法进入住宅,因为他们的“解锁”应用程序无法访问的。
以合规为中心的托管服务大大降低了数据中心和安全失败的风险。铁山公司在过去30年中采用了这种方式,并且已经为受到严格监管的客户群提供了可靠合规的数据中心服务。
本文转自d1net(转载)