U wordt bij deze van harte uitgenodigd mee te doen aan een nieuw initiatief, dat het in de komende decade helemaal gaat maken. Hoe het heet, wat het is etc. daar kom ik aan het einde van dit stukje op. Eerst zal ik de bouwstenen onthullen die het fundament vormen onder het initiatief.
Tot voor kort was ik zeer sceptisch over 'cloud computing', oude wijn met nieuwe zakken, zoiets. Langzaamaan begint er echter bij het horen van cloud computing een warm(er) gevoel zich van mij meester te maken. Naar mijn mening – dit is een opinie stukje – begint cloud computing een zekere vorm van volwassenheid te bereiken. In meerdere white papers en rapportages begin ik te lezen dat organisaties wanneer zij gebruik willen maken van de cloud, dat moeten doen op basis van contracten, overeenkomsten, sla's. Da's nog niet zo bijzonder uiteraard, maar het wordt interessanter wanneer daar dan ook nog eens gesproken wordt over de bedreigingen die, juist vanuit de cloud, het op ons en onze it gemunt hebben.
Was het tot voor kort zo dat de aanbieders riepen dat zij – uiteraard – een veilige omgeving aanboden, sinds kort beginnen we meer zicht op te krijgen op wat dat inhoudt nu analyses en rapportages ons dat inzicht geven en het ook beginnen te hebben over oplossingen. Voeg dat bij het deze week bekend worden van het oprollen van een grote botnet operatie en u begint – hopelijk – het gevoel met mij te delen.
Vliegtuig of auto
Samengevat zou je het gebruik maken van cloud computing kunnen zien als het stappen in een vliegtuig in plaats van het gebruik van een auto. Volgens deskundigen vlieg je per kilometer in een vliegtuig een stuk veiliger dan in een auto. Of de parallel helemaal opgaat weet ik niet, tenslotte is er bij een vliegtuig weliswaar een lagere ongeval kans maar als er wat gebeurt is het meteen een forse ramp. Je kunt dus best beargumenteren dat de aanbieder van cloud diensten beter in staat is, ook kostentechnisch, om maatregelen 'in place' te hebben en te houden dan je als organisatie zelf kan doen. Per instructie en/of MB zul je dan goedkoper uit zijn.
De vraag is dan natuurlijk wel of het nog wel gaat om cloud computing. Immers een aanbieder gaat dit niet organiseren voor iedere gebruiker apart maar creëert feitelijk een schil met een hoog afschrikkend gehalte om zijn domein. De hoogte van dat gehalte zal ongeveer zijn wat de gemiddelde afnemer wil en misschien wel meer als dat 'uit kan' qua kosten. Volgens mij zitten we dan weer in de richting van allerlei hosting constructies met security baselines, maar laten we nu stellen dat dat niet erg is, aandacht is altijd goed.
Initiatief
Terug naar mijn initiatief. Vroeger begonnen security rapporten bijna steevast met de verwijzing naar de toegenomen afhankelijkheid die een organisatie heeft van zijn it. Dat is verleden tijd. Bedreigingen zijn meer tastbaar geworden, we hebben het hier boven gezien, en hebben het er over, zelfs aan de borreltafel en op verjaardagen en partijen. Dat moet, het kan niet anders, tot gevolg hebben dat er meer aandacht gaat komen voor security.
Afhankelijkheid is een abstract begrip maar wanneer ergens gemeld wordt dat een security incident gemiddeld x miljoen dollar kost, komt dat goed binnen in de board room. Net zo goed als cloud computing de volwassenheid nadert doet security dat nu misschien ook, juist door een grotere blootstelling aan de buitenwereld.
Daarom heb ik mijn initiatief genoemd Security Is Geen Hype (SIGH).
