De AWS-storing benadrukt het belang van concentratierisico’s
AWS, vierde grote storing in vijf jaar tijd. Volgens Brent Ellis, Principal Analyst bij Forrester, is het hoog tijd om lessen te trekken uit de gevaren van een te grote afhankelijkheid van één cloudprovider.
Afhankelijk zijn van één cloudprovider, en meer bepaald van één regio die door die provider wordt gedekt, vormt een systeemrisico. Dit risico wordt echter vaak over het hoofd gezien.
“Het gebruik van technologiereuzen is erg aantrekkelijk, maar het is een vergissing om aan te nemen dat ze te groot zijn om failliet te gaan of intrinsiek veerkrachtig zijn”, zegt Brent Ellis. Wat betreft de beloften van veerkracht, verwijst AWS zijn klanten naar zijn model van gedeelde verantwoordelijkheid om de verantwoordelijkheid voor de beschikbaarheid van diensten en de verantwoordelijkheden van klanten te benadrukken. Maar wanneer essentiële diensten zoals DNS uitvallen, kunnen zelfs goed ontworpen applicaties instabiel worden. AWS doet zijn best om zijn infrastructuur te herstellen, maar veel bedrijven moeten wachten totdat dit is gebeurd, zelfs als ze de aanbevolen ontwerpmodellen hebben gevolgd. Dit probleem beperkt zich niet tot AWS, het is een terugkerend probleem geworden.
Concentratie en cascade-effecten
Het gemak overschaduwt vaak het beheer van complexe en verweven afhankelijkheden in sterk geconcentreerde omgevingen. Ondanks eerdere storingen waren organisaties die deze complexiteit niet konden beheersen, als eerste getroffen toen cascade-effecten systemen, processen en activiteiten verstoorden.
Brent Ellis windt er geen doekjes om: “De verankering van de cloud, en met name AWS, in moderne bedrijven, in combinatie met een verweven ecosysteem van SaaS-diensten, de uitbesteding van softwareontwikkeling en een vrijwel nulzicht op afhankelijkheden, is geen bug: het is het kenmerk van een sterk geconcentreerd risico waarbij zelfs kleine storingen in de dienstverlening gevolgen kunnen hebben voor de wereldeconomie. “
Volgens Forrester is het tijd om de veerkracht van de cloud aan te pakken, uiteraard vanuit technisch oogpunt, maar ook vanuit regelgevend en strategisch oogpunt. ”Begin met het aanpakken van de contractuele grijze zones in verband met modellen voor gedeelde verantwoordelijkheid met leveranciers!”
Compliance, ja, maar zonder de veerkracht te verwaarlozen
Eerste actie: breng de kritieke afhankelijkheden in kaart. “Concentreer u op klantgerichte applicaties, unieke storingspunten en verborgen verbindingen die de impact van storingen kunnen versterken. Neem geen genoegen met webdocumentatie: eis dat uw technische cloudaccountmanagers u de specifieke kenmerken van uw omgeving uitleggen.”
Volgens Brent Ellis wordt het risico te veel bekeken vanuit het oogpunt van conformiteit en te weinig vanuit het oogpunt van veerkracht. “Daardoor worden belangrijke gebeurtenissen zoals deze laatste storing, die zelfs gevolgen hebben voor conforme leveranciers, over het hoofd gezien. Technologische managers kunnen het zich niet veroorloven om de leverancier niet te beoordelen op meerdere risicogebieden, zoals bedrijfscontinuïteit en operationele veerkracht, en niet alleen op cyberbeveiliging.”
In dit perspectief kan het contract worden gebruikt als een instrument om risico’s te beperken. Aangezien grote technologische storingen steeds vaker voorkomen, is het belangrijk om samen te werken met de inkoop- en juridische afdelingen om clausules bij te werken of toe te voegen die de verantwoordelijkheid bij verstorende gebeurtenissen toewijzen en duidelijk de termijnen vastleggen waarbinnen leveranciers corrigerende maatregelen moeten nemen.
Test de veerkrachtplannen van leveranciers
“Overweeg om deze incidenten en hun gevolgen te gebruiken als basis voor het implementeren van maatregelen in contracten of service level agreements”, adviseert Brent Ellis. Als u financiële compensatie of kortingen voor downtime wilt, wees dan bereid om te onderhandelen. Als leveranciers zich hiertegen verzetten, ga dan na of de onderhandelde prijs nog steeds relevant is en of het misschien verstandig is om met hen in zee te gaan… “
Kortom, het gaat om continue monitoring. ”Uw derde partijen zijn dynamische entiteiten, hun risico-, compliance- en veerkrachtniveau verandert in de loop van de tijd. Vul uw jaarlijkse beoordelingen aan met tools voor continue monitoring die veranderingen bij leveranciers in realtime kunnen identificeren. Sluit de cirkel met TPRM-platforms die het aanmaken van problemen automatiseren, herstelplannen lanceren en de nodige meldingen activeren voor goedkeuring en verificatie dat het risico is behandeld in overeenstemming met de risicobereidheid of de wettelijke vereisten, concludeert Brent Ellis. Test de veerkrachtplannen van leveranciers. Eis dat de herstel- en continuïteitsplannen van uw leveranciers worden gevalideerd door middel van theoretische oefeningen en simulaties.
