Dags för ordning och reda i molnet – ny standard reglerar SLA

Hur är det egentligen – har din organisation kontroll över de molntjänster som ni använder? Mäter ni kontinuerligt molntjänstens tillgänglighet och vet ni vad som händer om molntjänsten inte är tillgänglig? Har ni koll på er data och data som skapas i molntjänsten och kan ni ta hem er data om ni vill avsluta användandet av aktuell molntjänst?

I takt med att fler och fler organisationer och företag börjar använda molntjänster för it-stöd, ökar behovet av att utgå från och använda standardavtal för att reglera och följa upp överenskommelsen mellan leverantör och kund. En tjänstebaserad konsumtion av it regleras vanligtvis via en överenskommelse om tjänstenivå (på engelska “Service Level Agreement”, SLA).

Läs också: Budskapen som får kunderna på din sida

Den internationella standardiseringsorganisationen ISO/IEC bedriver sedan en tid ett arbete som syftar till att ta fram ett ramverk för överenskommelse om tjänstenivå för molntjänster, ÖTM (på engelska ”Cloud Service Level Agreement” – CSLA), ISO/IEC 19086. Standarden publiceras i fyra olika delar där den första delen är redo för publicering under hösten 2016.

Sverige deltar i det internationella arbetet via SIS TK 542, en del av SIS med fokus på standarder inom bland annat molnet. I februari i år beslutade SIS TK 542 att under 2016 publicera en svensk version av 19086 del 1 (översikt och terminologi). Kommittén har tidigare tagit fram en svensk standard av ISO/IEC 17788 (molnbaserade datortjänster, översikt och terminologi).

Varför behöver vi en standard för molntjänst-avtal?
Att konsumera it via molnet innebär i någon mening att man som kund överlåter åt tjänsteleverantören att sköta mycket av det som tidigare kunden själv hade ansvar för och kontroll över. Men det är givetvis viktigt att säkerställa att molntjänsten uppfyller de krav och villkor som överenskommits mellan molntjänstkunden och molntjänstleverantören. För detta krävs att det finns ett standardiserat sätt att beskriva och följa upp hur molntjänsten fungerar.

Med standarden underlättas en proaktiv dialog mellan kund och leverantör, baserat på begrepp och ett innehåll som marknaden utgår från och använder.
ISO/IEC 19086 kan också användas för att jämföra olika molntjänster innan man som kund valt vilken som passar bäst för det ändamål som är aktuellt. Detta görs möjligt via standardiserade tjänstenivåbeskrivningar som är baserade på definierade mätetal.

Vad innehåller ISO/IEC 19086?
Ramverket består av fyra olika delar:

1. Översikt och begrepp: Denna del utgör en översikt över avtalsstrukturen och de ingående delarna i en överenskommelse om tjänstenivå för molntjänster (ÖTM). Den beskriver även hur ramverket kan användas och tillämpas för att skapa avtal och överenskommelse om tjänstenivå för molntjänster. Del 1 beskriver också de centrala begreppen som används i samtliga delar av 19086. Termer och beskrivningar i 19086 bygger på och utgår från existerande ISO/IEC-standarder 17788 (”Cloud computing - overview and terminology”) samt 17789 (”Cloud computing – reference architecture”). 
2. Mätetalsmodell för ÖTM: Denna del beskriver den modell som kan användas för att skapa de mätetal som är utgångspunkt för att definiera och mäta tjänstenivåer.
3. Krav för ÖTM: Kraven som beskrivs i ett ÖTM används för att verifiera ÖTM-uppfyllelse. 
4. Säkerhet och integritet: Beskriver de krav uttryckt som ”policies” som gäller informationssäkerhet och integritet vilka tillhör avtalet mellan molntjänstekunden och molntjänstleverantören.

Det är viktigt att betona att ovan inte återspeglar den upprättade avtalsstrukturen mellan en leverantör och en kund. Det finns andra element i ett avtal som också behöver beskrivas. 
Illustrationen nedan beskriver de delar som ISO/IEC 19086 rekommenderar ska återfinnas i ett avtal mellan kund och leverantör:
 

De områden som bör beskrivas i en ÖTM, och där i förekommande fall definierade mätetal för att mäta överenskomna tjänstenivåer ska finnas, är:

1. Tillgänglighet
2. Prestanda
3. Åtkomst
4. Skydd av personuppgifter
5. Informationssäkerhet 
6. Avslut av tjänst
7. Styrning
8. Tjänstens tillförlitlighet
9. Intyg och certifieringar
10. Hantering av data

Läs också: Fem steg mot smartare verksamhetsstyrning

Tjänstenivåmål (på engelska Service level objectives, SLO) definieras och mäts med hjälp av mätetal. De faktiska värdena, till exempel intervall, absolutvärden med mera bestäms vid avtalstecknande i en överenskommelse mellan leverantör och aktuell kund. Värdena, till exempel tillgänglighet uttryckt i procent (exempelvis ”99,94%”), bestäms utifrån tjänstens huvudsakliga syften och innehåll samt den information som hanteras i tjänsten. Värdena kan alltså variera beroende på vad aktuell tjänst används till, och i vilket sammanhang.
Exempel på tjänstenivåmål:

1. Tillgänglighet
2. Iakttagen maximal svarstid för molntjänst 
3. Genomsnittlig svarstid för molntjänst
4. Svarstidsvarians för molntjänst
5. Antal maximala samtidiga uppkopplingar för molntjänst
6. Antal maximalt tillgängliga molntjänstresurser
7. Dataflöde för molntjänst
8. Bandbredd för molntjänst

Vad händer nu?
För att ISO/IEC 19086 ska få genomslag behöver standarden först få en bra spridning, det vill säga börja tillämpas av molntjänstleverantörer och molntjänstkunder. Detta är förstås avgörande för nå målen “bättre kontroll” och “möjlighet att jämföra molntjänster”. För att standarden ska få praktisk betydelse krävs också att de tjänstenivåer och tillhörande mätetal löpande mäts och följs upp.

ISO/IEC 19086 har potential att starkt bidra till att molntjänster kan komma att användas ännu mer än idag. Med standardiserad avtalsstruktur och –innehåll, samt en kontinuerlig övervakning och uppföljning av upprättade avtal, förbättras kontrollen och med det molnets tillförlitlighet.