By Lydia Leong distinguished VP analyst at Gartner
Recent geopolitical events have made the global IT infrastructure landscape more volatile, uncertain, complex and ambiguous than ever before. In this climate of instability, organisations have become increasingly concerned about cross-border technology dependencies, driving them to reevaluate their reliance on cloud providers.
For years, organisations have faced more familiar concerns, such as vendor lock in, loss of vendor negotiation power and the possibility of a major outage, like what happened with Crowdstrike last year. These are challenges but largely viewed as manageable trade-offs for the innovation, agility and efficiencies of scale cloud offers. As a result, Gartner research shows that cloud sovereignty has previously been a low priority for customers. However, this is no longer the case today.
While much of the modern IT ecosystem relies on cloud providers, the risks posed by geopolitical turbulence now extend far beyond loss of service from sanctions or trade disputes, to the potential for data theft through government seizure or extralegal actions. There are also concerns about unpredictable cloud prices driven by tariffs, inflation and currency fluctuations. All of this is forcing cloud strategy back into the boardroom as a critical business resilience issue.
To build true resilience in this environment, organisations must take a wider view. This means assessing not only their reliance on hyperscale cloud providers, but the full spectrum of cloud dependency risks embedded in the IT environment.
Assess dependencies on cloud providers
If organisations haven’t recently assessed cloud vendor dependencies or related critical third-party risks, now is the time to act. They can start by mapping out not just direct cloud dependencies, but also the broader web of services and technologies that rely on cloud infrastructure – both inside and outside the network perimeter.
This means looking beyond the obvious cloud solutions. Many seemingly on-premises systems rely on cloud-tethered capabilities, including security solutions that depend on cloud-based threat intelligence, or hardware like network or Internet of Things (IoT) devices that are configured and managed via the cloud.
Indeed, many traditional hardware and software offerings are now licensed via the cloud. This creates hidden points of reliance that could become critical in the event of a disruption.
As dependencies are mapped out, the geopolitical footprint of each service and vendor must be considered. This means understanding several relevant jurisdictions, such as where the vendor is headquartered, where services are contracted and where they are delivered from. Having this visibility allows organisations to quickly identify which parts of the IT environment may be exposed to geopolitical risk.
Maintaining ongoing awareness of dependencies is a key success factor. In fact, Gartner research indicates that ongoing monitoring of third-party relationships is more effective than point-in-time efforts.
Potential alternatives for critical dependencies
While many organisations overbuy capabilities in the cloud, the reality is that many alternative solutions – especially for critical workloads – may not fully meet an organisation’s most critical business requirements. Sometimes no alternative solutions exist.
Switching cloud solutions or ecosystems often comes with trade-offs, higher costs, longer implementation timelines, increased complexity and a greater demand for in-house skills. These aren’t just technical but business decisions. It’s important to involve risk stakeholders from across the organisation to determine what sacrifices, if any, are acceptable in pursuit of resilience.
Potential alternatives to consider may include sovereign cloud solutions delivered through a joint venture or partner; geopatriation to relocate workloads and applications from multinational service providers to regional or national providers; or eliminating certain cloud dependencies altogether.
Conducting an analysis allows organisations to determine which actions are feasible – and the cost, effort, implementation risk and amount of residual risk post-implementation. Beware of increasing the overall risk by switching solutions.
Implement scenario-based planning
Not all geopolitical risks are created equal – nor will they affect organisations the same way. The impact of a given event depends on the jurisdictions involved and the nature and extent of cloud dependencies.
Scenario planning helps ensure cloud contingency strategies are aligned to the specific circumstances most likely to be encountered. Different scenarios will affect timelines, contractual protections, data access, provider cooperation, resources, budget and realistic alternatives.
Geopolitical scenarios that could disrupt cloud services include price spikes driven by economic conditions, politically motivated targeting, trade cessation or closed borders.
Gartner research indicates most organisations need at least two years to switch between cloud solutions under normal circumstances. Therefore, significant advance preparation is required to switch more quickly. It might be the case that it’s best not to add geopolitically risky cloud-dependent solutions in the future.
Putting these steps in place will enable organisations to plan for high-impact events that could negatively affect cloud dependencies.
โดย Lydia Leong รองประธานนักวิเคราะห์อาวุโส การ์ทเนอร์
สถานการณ์ทางภูมิรัฐศาสตร์ในปัจจุบันทำให้ภูมิทัศน์ของโครงสร้างพื้นฐานไอทีทั่วโลกเกิดการเปลี่ยนแปลง มีความไม่แน่นอน ซับซ้อนและคลุมเครืออย่างที่ไม่เคยปรากฏมาก่อน ในช่วงสภาวะอ่อนไหวเช่นนี้ หลายองค์กรแสดงความกังวลมากขึ้นต่อการพึ่งพาเทคโนโลยีจากต่างประเทศ ซึ่งทำให้ต้องหันกลับมาประเมินการพึ่งพาผู้ให้บริการคลาวด์อีกครั้ง
เป็นเวลาหลายปีที่องค์กรเผชิญกับปัญหาเดิม ๆ อาทิ การผูกขาดการเป็นผู้จำหน่าย (Vendor Lock-In) การสูญเสียอำนาจการต่อรองกับผู้จำหน่าย (Loss of Vendor Negotiation Power) และความเป็นไปได้ของการหยุดชะงักครั้งใหญ่ของบริการ (Major Outage) เช่นที่เกิดขึ้นกับ Crowdstrike เมื่อปีก่อน สิ่งเหล่านี้ล้วนเป็นความท้าทายแต่ยังเป็นเรื่องที่รับมือจัดการได้และมองว่าเป็นการยอมแลกที่รับได้เพื่อให้ได้มาซึ่งนวัตกรรม ความคล่องตัว และประสิทธิภาพของคลาวด์ที่ปรับขนาดได้ ผลวิจัยการ์ทเนอร์เผยให้เห็นว่าอธิปไตยคลาวด์ (Cloud Sovereignty) เคยเป็นเรื่องที่ลูกค้าให้ความสำคัญต่ำ แต่ปัจจุบันสถานการณ์ได้เปลี่ยนไปแล้ว
แม้ระบบนิเวศไอทีสมัยใหม่ส่วนใหญ่จะพึ่งพาผู้ให้บริการคลาวด์ แต่ความเสี่ยงที่เกิดจากความปั่นป่วนทางภูมิรัฐศาสตร์ ณ ปัจจุบันขยายไปไกลกว่าการสูญเสียบริการจากการคว่ำบาตรหรือข้อพิพาททางการค้าระหว่างประเทศ ไปจนถึงศักยภาพในการโจรกรรมข้อมูลผ่านการเข้ายึดอำนาจโดยรัฐบาลหรือการกระทำนอกเหนือกฎหมาย นอกจากนี้ยังมีความกังวลเกี่ยวกับราคาคลาวด์ที่คาดเดาไม่ได้ ซึ่งเกิดจากภาษีนำเข้า เงินเฟ้อ และความผันผวนของสกุลเงิน ทั้งหมดนี้กำลังผลักดันให้กลยุทธ์คลาวด์ถูกยกกลับมาหารืออีกครั้งในห้องประชุมในฐานะที่เป็นปัญหาสำคัญด้านความยืดหยุ่นทางธุรกิจ
เพื่อสร้างความยืดหยุ่นให้เกิดขึ้นอย่างแท้จริงในสภาพแวดล้อมนี้ องค์กรต้องมองภาพให้กว้างขึ้น หมายถึงกลับมาประเมินใหม่ ที่ไม่เพียงแต่ด้านการพึ่งพาผู้ให้บริการคลาวด์ระดับไฮเปอร์สเกลเท่านั้น แต่ยังรวมถึงความเสี่ยงจากการใช้ระบบคลาวด์ทั้งหมดในสภาพแวดล้อมไอที
ประเมินการพึ่งพาผู้ให้บริการระบบคลาวด์
หากในช่วงเวลาที่ผ่านมาองค์กรยังไม่ได้ประเมินเรื่องการพึ่งพาผู้จำหน่ายคลาวด์หรือความเสี่ยงสำคัญ ๆ ที่อาจเกิดจากบุคคลที่สามตอนนี้ถึงเวลาที่ต้องลงมือแล้ว โดยสามารถเริ่มจากการทำ Mapping ที่ไม่เพียงแต่เรื่องของการพึ่งพาคลาวด์อย่างเดียวโดยตรง แต่รวมถึงโครงข่ายที่กว้างขึ้นของบริการและเทคโนโลยีที่พึ่งพาโครงสร้างพื้นฐานคลาวด์ ทั้งจากภายในและภายนอกเครือข่าย
หมายความว่าองค์กรต้องมองไกลกว่าโซลูชันบนคลาวด์ที่มีอยู่ทั่วไป เพราะระบบภายในจำนวนมากดูเหมือนจะพึ่งพาความสามารถที่เชื่อมโยงกับคลาวด์แบบ On-Premises รวมถึงโซลูชันด้านความปลอดภัยที่ต้องอาศัยข้อมูลภัยคุกคามบนคลาวด์ หรือฮาร์ดแวร์ อาทิ พวกอุปกรณ์เครือข่ายหรืออินเทอร์เน็ตออฟธิงส์ (IoT) ที่กำหนดค่าและจัดการผ่านคลาวด์
ฮาร์ดแวร์และซอฟต์แวร์แบบดั้งเดิมจำนวนมากได้รับอนุญาตให้ใช้งานผ่านระบบคลาวด์ ซึ่งทำให้มีจุดเชื่อมกันที่ซ่อนอยู่ อาจมีความสำคัญในเหตุที่เกิดการหยุดชะงัก
เมื่อเขียนภาพแสดงการพึ่งพาคลาวด์ออกมาได้แล้ว จำเป็นต้องพิจารณาพื้นที่ทางภูมิรัฐศาสตร์ของบริการและผู้ขายแต่ละราย นั่นหมายถึงการทำความเข้าใจเขตอำนาจศาลที่เกี่ยวข้องหลายแห่ง เช่น ตำแหน่งที่ตั้งของสำนักงานใหญ่ของผู้ขาย พื้นที่ที่ระบุในสัญญาบริการ และส่งมอบจากที่ใด เป็นต้น การเข้าใจเรื่องเหล่านี้ทำให้องค์กรสามารถระบุว่าส่วนใดของสภาพแวดล้อมไอทีที่อาจเผชิญกับความเสี่ยงทางภูมิรัฐศาสตร์ได้อย่างรวดเร็ว
ความต่อเนื่องของการตระหนักรู้เกี่ยวกับการพึ่งพากันถือเป็นปัจจัยสำคัญของความสำเร็จ ผลวิจัยการ์ทเนอร์ระบุว่าการติดตามความสัมพันธ์ของบุคคลที่สามอย่างต่อเนื่องมีประสิทธิภาพมากกว่าการติดตามแค่ช่วงเวลาใดเวลาหนึ่ง
ตัวเลือกที่เป็นไปได้สำหรับการพึ่งพาที่สำคัญ
แม้องค์กรหลายแห่งจะซื้อความสามารถระบบคลาวด์มากเกินไป แต่ความจริงก็คือใช้เป็นโซลูชันทางเลือกหลากหลาย โดยเฉพาะใช้สำหรับเวิร์กโหลดงานสำคัญ ที่บางครั้งอาจไม่ตอบโจทย์ความต้องการทางธุรกิจที่มีความสำคัญที่สุดได้เต็มที่ เหตุเพราะไม่มีโซลูชันอื่นให้เลือก
การเปลี่ยนโซลูชันหรือระบบนิเวศบนคลาวด์มักต้องแลกสิ่งหนึ่งเพื่อให้ได้อีกสิ่งหนึ่งเสมอ อาทิ ต้นทุนที่สูงขึ้น ระยะเวลาการใช้งานที่ยาวนานขึ้น ความซับซ้อนที่เพิ่มมากขึ้น และความต้องการด้านทักษะขององค์กรที่มากขึ้น ซึ่งสิ่งเหล่านี้ไม่ใช่แค่การตัดสินใจทางเทคนิคเท่านั้น แต่ยังเป็นการตัดสินใจทางธุรกิจอีกด้วย สิ่งสำคัญคือต้องให้ผู้มีส่วนได้ส่วนเสียด้านความเสี่ยงจากทั่วทั้งองค์กรมีส่วนร่วม เพื่อพิจารณาว่าการเสียสละใด ๆ ที่ยอมรับได้เพื่อแสวงหาความยืดหยุ่น
ทางเลือกที่เป็นไปได้ที่ควรพิจารณาอาจรวมถึงโซลูชันอธิปไตยคลาวด์ (Sovereign Cloud Solutions) ที่ส่งมอบผ่านกิจการร่วมทุน หรือ เป็นพันธมิตรกันเพื่อทำ Geopatriation หรือการกำหนดภูมิรัฐศาสตร์สำหรับย้ายงานและแอปพลิเคชันจากผู้ให้บริการต่างประเทศไปยังผู้ให้บริการในระดับภูมิภาคหรือในประเทศ หรือการกำจัดการพึ่งพาคลาวด์บางส่วนออกไป
การวิเคราะห์ช่วยให้องค์กรสามารถกำหนดได้ว่าสามารถทำอะไรได้ รวมถึงต้นทุน ความพยายาม ความเสี่ยงในการดำเนินการ และปริมาณความเสี่ยงที่เหลืออยู่หลังดำเนินการ ควรระวังไม่ให้ความเสี่ยงโดยรวมเพิ่มขึ้นจากการสลับเปลี่ยนโซลูชัน
วางแผนปรับใช้ตามสถานการณ์
ความเสี่ยงทางภูมิรัฐศาสตร์ไม่ได้ถูกสร้างขึ้นมาคล้ายกันหมด และไม่ได้ส่งผลกระทบต่อองค์กรในแบบเดียวกัน ผลกระทบของเหตุการณ์ขึ้นอยู่กับเขตอำนาจศาลที่เกี่ยวข้อง รวมถึงลักษณะเหตุการณ์และขอบเขตการพึ่งพาระบบคลาวด์
การวางแผนตามสถานการณ์ช่วยให้มั่นใจว่ากลยุทธ์การจัดการเหตุการณ์ฉุกเฉินบนคลาวด์นั้นสอดรับกับสถานการณ์เฉพาะที่มักเกิดขึ้น รวมถึงสถานการณ์ที่แตกต่างกันจะส่งผลต่อ Timelines การคุ้มครองตามสัญญา การเข้าถึงข้อมูล ความร่วมมือของผู้ให้บริการ ทรัพยากร งบประมาณ และทางเลือกที่เป็นไปได้
สถานการณ์ทางภูมิรัฐศาสตร์ที่อาจส่งผลกระทบต่อบริการคลาวด์ ได้แก่ การพุ่งขึ้นของราคาที่เกิดจากสภาวะเศรษฐกิจ การกำหนดเป้าหมายที่มีแรงจูงใจทางการเมือง การหยุดชะงักทางการค้า หรือการปิดพรมแดน
การ์ทเนอร์ระบุว่าองค์กรส่วนใหญ่มักต้องใช้เวลาอย่างน้อย 2 ปี ในการสลับใช้ระหว่างโซลูชันบนคลาวด์ภายใต้สถานการณ์ปกติ ดังนั้นการเตรียมการล่วงหน้าจึงมีความจำเป็นอย่างมากเพื่อให้สลับไปมาได้อย่างรวดเร็ว อาจมีกรณีที่จะดีกว่าถ้าไม่เพิ่มโซลูชันที่ใช้ระบบคลาวด์ที่มีความเสี่ยงทางภูมิรัฐศาสตร์ในอนาคต
การนำขั้นตอนเหล่านี้มาใช้จะทำให้องค์กรวางแผนรับมือเหตุการณ์ที่สร้างผลกระทบสูง ซึ่งอาจส่งผลเชิงลบต่อการพึ่งพาระบบคลาวด์ได้
