Wil je gebruik maken van cloudservices? Doe je dat misschien al? Weet je dan waar jouw data staan? Maakt het eigenlijk wel uit? Een hoop vragen, maar vaak zijn de antwoorden onduidelijk. Het is dan ook heel belangrijk dat je bij cloud computing goed het eigenaarsschap van jouw data afspreekt. Onze experts van het nieuwe topic Cloud Computing leggen uit hoe dat moet en wat de belangen zijn.
Sjaak Laan, principal it-architect, Logica
Cloudservices zijn er in allerlei soorten en maten. Van de ruwe vorm (infrastructure as a services, het huren van virtuele machines en storage) via platform as a service (het draaien van zelfbouwapplicaties op een platform) tot volledige software as a service (zoals Gmail of Linkedin). Welke vorm je ook kiest, overal worden data opgeslagen. Meestal bedrijfsgevoelige data. Van e-mails met gevoelige inhoud tot en met complete klantgegevensbestanden.
Al deze data worden opgeslagen ergens in de cloud. En in de SLA staat ongetwijfeld dat de data veilig worden bewaard (is dat zo? Kijk je jouw SLA er even op na?). Je weet echter meestal niet waar jouw gegevens staan. En ja, dat maakt uit. Hoe zou je je voelen als jouw klantgegevens zijn opgeslagen op een server in Oezbekistan? Of in China? Hoe veilig is jouw data in een land dat cybercrime niet in het wetboek van strafrecht heeft staan? Maar vergeet ook de politiek correcte landen niet! Als jouw data worden opgeslagen op servers in de Verenigde Staten, vallen ze onder het Amerikaans recht. Onder bijvoorbeeld de Patriot Act kan de Amerikaanse overheid op elk moment jouw data inzien, ook zonder dat je dat weet.
In ieder geval valt jouw opgeslagen informatie niet onder de Nederlandse privacywetgeving. Het kan zijn dat jouw bedrijfsmodel het niet toestaat dat informatie in andere landen wordt opgeslagen of dat informatie moet vallen onder het Nederlands recht. Deze aspecten moeten goed worden beoordeeld voordat informatie in de cloud wordt opgeslagen.
Frank van der Lecq, bid manager, NetApp
Belangrijk om hier aan toe te voegen is dat de Wet Bescherming Persoonsgegevens van toepassing is op het moment dat via replicatie of remote hosting persoonsgegevens naar andere landen worden verstuurd. In principe moet door de personen daarvoor toestemming worden gegeven. Voor organisaties die hun klanten- of personeelsadministratie op een hosted storage onder brengen, is het dan inderdaad van belang om goed na te vragen waar de data precies worden opgeslagen.
Maarten van Emmerik, directeur, Axxerion
De plaats van de data is in principe in de service-overeenkomst bepaald. Als er niets bepaald is, dan staat het de provider in principe vrij om de data overal op te slaan. Veel bedrijven en overheden eisen dat de data in een bepaalde regio is opgeslagen, bijvoorbeeld in de Europese Unie, Verenigde Staten of Rusland. De aanbieder zal voor die regio's aparte datacentra en service-overeenkomsten aanbieden. Als klanten eisen dat data in een bepaald land of datacenter worden opgeslagen, is het aan de leverancier om hier al of niet op in te gaan en of hier extra kosten voor in rekening te brengen. Ergens moet er wel een grens getrokken worden. Het is niet werkbaar voor een aanbieder om klanten te laten bepalen op welke etage en in welk rack en op welke server en disk de data staan.
Gregor Petri, sr. director enterprise it-management, CA EMEA
Het probleem met SaaS is dat bedrijven best honderd verschillende applicaties willen gebruiken, maar dat ze niet de databases en datacenters van die honderd leveranciers ieder jaar willen controleren. SaaS schaalt dus niet! Wel technisch, maar niet organisatorisch. Na een paar applicaties daalt het enthousiasme. Eigenlijk wil je SaaS (software) en IaaS (infrastructuur) ontkoppelen, zodat je in een soort Cloud AppStore SaaS-applicaties kunt kiezen en die draaien bij door jou gekozen en geaudite IaaS-leveranciers. Lijkt ver gegrepen, maar de eerste cloudaanbieders volgens dit nieuwe broker-model zijn al live en maken de cloud meer beheer(s)baar.
Roland Sars, director sales en marketing, BackupAgent
De fysieke locatie waar data opgeslagen wordt, blijkt vaak een hekel punt bij clouddiensten. Het probleem binnen Europa is dat we met zoveel verschillende landen zijn met ieder zijn eigen wetgeving en regulering en er daarnaast nog emotionele redenen spelen. Dit is één van de redenen waarom cloud in de VS sneller ontwikkellen, gezien het allemaal onder dezelfde wetgeving valt. Ik heb regelmatig meerdere deployments bij één klant gedaan die vestigingen in meerdere landen heeft, omdat klanten willen dat de data in eigen land opgeslagen staat. Dit zou wat mij betreft één van de aspecten zijn die bovenaan de agenda moet komen van een Europese cloudwetgeving.
Ruud Pieterse, information systems architect, HP Nederland
In een outsourcingsituatie staan data vaak al in het buitenland, wat vaak is afgesproken met de klant en voldoet het datacenter aan hoge eisen. Netwerktechnisch is het ook niet makkelijk om erbij te komen. Het legal-aspect blijft belangrijk.In een outsourcingsituatie is daar al veel over onderhandeld en duidelijk. Dit is en hoeft bij cloud niet anders te zijn. Je moet afspraken maken met de leverancier. Verder zal je altijd je data moeten classificeren eer je beslist waar je het gaat laten hosten. Dat bepaalt immers hoe gevoelig die data is. Je ziet een trend dat business kritische data en applicaties niet per se buiten de deur worden gezet omdat ze gevoelig zijn. Men moet er wel goed over nadenken eer men denkt aan cloudservices.
Mylene Reiners, productmanager OSCE, architect, Atos Origin SI Emerging Technologies
Bedrijven moeten goed nadenken over hun data. Begin gemakkelijk, maak basisclassificaties als ‘maakt niet echt uit wie ze ziet', ‘vertrouwelijk, maar niet bedrijfskritisch' en ‘bedrijfskritisch'. Zo kan je data uit de eerste groep zonder enig probleem in de cloud hosten. Data uit de tweede groep vormen een discussiepunt. Het kan met goede SLA's, encryptie en dergelijke. Data die in de laatste groep vallen, moeten misschien nog maar niet in de cloud worden opgeslagen. Hoe paranoïde moeten we worden over datahosting in de cloud, zolang (bedrijfskritische) data gekopieerd kunnen worden naar een usb-stick, die vervolgens verloren wordt?
Peter de Haas, online strategy manager, Microsoft Nederland
Bij gesprekken over cloud computing met klanten en partners blijkt steeds weer dat de locatie van data een zeer belangrijk onderwerp is. Naast veel vragen zijn er ook veel meningen over dit onderwerp die vaak niet gebaseerd zijn op feiten, of heel algemeen zijn. ‘Onze data moeten in Nederland blijven' is een veel gehoorde opmerking. De regels welke informatie wel en niet buiten Nederland of buiten de EU mag worden opgeslagen, verschillen per branche en zijn afhankelijk van het soort informatie. In de praktijk zijn er weinig branches die expliciet voorschrijven dat data in Nederland moeten blijven.
Als aanbieder van cloudservices moet je duidelijkheid geven aan je afnemers waar hun data zich bevinden; binnen Nederland, binnen de EU of daarbuiten. Voor veel bedrijven is het van belang dat hun data binnen de EU moeten blijven en niet gerepliceerd worden naar de VS of andere delen van de wereld. Op dit punt mag er dus geen onduidelijkheid bestaan. Certificeringen en kwalificaties van datacenters en het personeel dat daar werkt zijn een randvoorwaarde voor het leveren van diensten aan bedrijven en overheden. Beveiliging, privacy en het kunnen voldoen aan wet- en regelgeving zijn in deze context allemaal belangrijk. Op dit punt zie ik ook een belangrijk onderscheidend vermogen tussen de verschillende aanbieders van cloudservices. Er zijn veel vragen over deze onderwerpen en gelukkig ook veel heldere antwoorden. Dit zie je bijvoorbeeld terug in het aantal grote bedrijven in Nederland dat nu al cloudservices afneemt.
Experts gezocht
Computable heeft op al zijn 26 topics een expertpanel. Wij zoeken echter altijd meer experts, op al onze topics, maar voor de komende tijd zoeken wij specifiek naar experts voor de topics Infrastructuur/Maatschappij, Beheer, SOA, Besturingssystemen en Beleid.
Ben jij expert op een van deze vakgebieden of een ander Computable-topic en wil je als vraagbaak van de redactie dienen, stuur dan een e-mail met je gegevens (naam, functie, bedrijf, werkzaamheden) naar experts@computable.nl.
Dat de externe dataopslag een heikel onderwerp is bij een gang naar de cloud klopt, maar ik wil dit punt wel in het juiste perspectief zetten.
– 95% van de data wordt niet geproduceerd door de IT-afdeling, maar door de rest van de organisatie (ook wel aangeduid als ‘business’). Met andere woorden: IT’ers maken zich overdreven zorgen om data waarvan zij geen eigenaar zijn, (terecht) geen benul hebben van de waarde, laat staan dat zij enige juridische aansprakelijkheid voor dragen. Laat de eigenaars/producenten van die data eerst zelf bepalen wat zij waardevol vinden en welke risico’s zij hiervoor willen dragen. En het is dan aan de IT om dit te faciliteren.
– Externe dataopslag of data buiten de perimeters van de organisatie is natuurlijk al lang gaande. Outsourcing naar verre landen is gemeengoed geworden en wij e-mailen al zó veel. En 99,9% van al het e-mailverkeer inclusief de berichten met zeer confidentiële data wordt nog steeds onversleuteld verstuurd. Uiteraard vergroot cloud computing de mate van externe dataopslag, maar een noviteit is het niet.
– En hoe onveilig is de cloud nu eigenlijk als je de externe opslag afzet tegen het feit dat 10% van alle laptops, waarvan een groot deel geen enkele vorm van versleuteling kent, per jaar wordt gestolen.* En dan is er nog het ongebreidelde gebruik van USB-sticks en opslag op mobile devices.
*80% van diefstal van laptops komt op het conto van interne medewerkers, je collega’s dus…
Mike Chung
KPMG
Het eigenlijke probleem aan de ‘achterkant’ van de data storage is dus de ontbrekende koppeling van dienst en locatie, die tegelijkertijd aan de voorkant, voor de gebruiker, de kracht en flexiblitieit van SAAS mogelijk maakt.
Wat is er dan zo ingewikkeld aan om in de SAAS applicatie ergens bij het gebruikersprofiel of misschien zelfs op recordniveau, een radiobutton in te bouwen met de plaatsen (regio’s) waar de gebruiker zelf kiest, waar de data wordt opgeslagen? Een vinkje dat hij andere locaties niet toestaat en een zegeltje dat een auditor heeft gecontroleerd dat het echt zo gaat?
Er zou een wet moeten zijn die dit afdwingt.
Wie een eigen datacenter(tje) heeft vindt het toch ook raar, zelfs ongewenst, als dat constant op de wielen de wereld over gaat? Over de locatie van een DC wordt heel goed nagedacht. We zouden net zo goed moeten nadenken over de locatie van SaaS data.
”
“Wat is er dan zo ingewikkeld aan om in de SAAS applicatie ergens bij het gebruikersprofiel of misschien zelfs op recordniveau, een radiobutton in te bouwen met de plaatsen (regio’s) waar de gebruiker zelf kiest, waar de data wordt opgeslagen? Een vinkje dat hij andere locaties niet toestaat en een zegeltje dat een auditor heeft gecontroleerd dat het echt zo gaat?”
Ik zou zeggen, kom eens kijken in de werkelijkheid..
Het ORT is een vreemde club, de website waarover ze email versturen wordt door web-of-trust als bedenkelijk gemarkeerd. Er is nergens een naam te vinden, oppassen.
Clouds; Niets nieuws onder de zon …
Cloud Weerstand
In het algemeen is er veel weerstand tegen dienstverleners als Google en dienstverlening vanuit de cloud in het algemeen. In dit kader is er een analogie te bedenken welke de gedachtevorming rondom SaaS wellicht eenvoudiger maakt. Er is namelijk niets nieuws onder de zon …
Vele IT-oplossingen worden gezien als nieuw. De uitvoering of het medium is veelal nieuw; het verschijnsel niet. Zo is dit document een verschijningsvorm van een ‘bericht’. Dit bericht had ook per post, telegraafpaal, Morse-code, telex of fax verstuurd kunnen worden.
Analogie met ‘Bankwezen’
De analogie is die van het Bankwezen. Zowel ‘geld’ als ‘gegevens’ worden opgeslagen en vertegenwoordigen beiden een bepaalde waarde. Inmiddels is de samenleving zo ver dat van vertrouwen in lokale opslag in kluizen via centrale opslag bij banken en na de introductie van giraal geld er inmiddels vertrouwen is in Internet-bankieren.
Internet-bankieren is een kwestie van vertrouwen, vertrouwen op basis van beveiliging, procedures, maatregelen ter voorkoming van afbreuk aan deze beveiliging, gestelde garanties en controle zowel intern als extern. Vermogen is virtueel geworden en gebleken is dat als het stelsel van garanties en controles faalt, vermogens verdampen als sneeuw voor de zon.
De analogie met Icesave en systeembanken als ABN-AMRO, ING en Rabobank dient zich aan. Een geleerde les is dat naast een interessante rente kritisch gekeken moet worden naar welke partij binnen welk stelsel van garanties en controles het meeste vertrouwen krijgt. Systeembanken hebben per definitie vele malen meer exposure en hen is alles er aan gelegen het vertrouwen niet te schaden.
Google als Systeembank
Google is in feite een systeembank in bovenstaande analogie, echter voor informatie in plaats van geld. Google heeft vele malen meer exposure dan bijvoorbeeld een lokale ICT-afdeling en Google is er per definitie alles aan gelegen een goed stelsel van garanties en controles in stand te houden.
In feite is er dus niet veel nieuws onder de zon; alleen de verschijningsvorm is anders …