‘Cloud computing is niet veilig’. Ik hoor het nog regelmatig. Laat ik voorop stellen dat ik het een vrij logische gedachte vind, maar niet steekhoudend. Met certificering van cloud computing ligt een goede oplossing om vertrouwen te kweken binnen handbereik. Laten we deze belangrijke stap naar volwassenheid zetten.
Huiverigheid omtrent cloud computing is nog altijd aan de orde van de dag. De echte grote acceptatie laat op zich wachten zolang potentiële gebruikers nog niet precies weten wat er met hun data gebeurt. Wij krijgen van onze klanten dagelijks de vraag hoe zaken als veiligheid en continuïteit zijn geregeld. Voor datacenters is dit niet zo zeer een issue. Wij zijn erop ingericht om te werken conform de afgesproken sla's met onze klanten en aan te tonen hoe zaken in ons bedrijf geregeld of gecertificeerd zijn.
Grotendeels is het een onderbuik gevoel dat mensen hebben, waardoor ze nog ietwat wantrouwend zijn. Data uit handen geven aan een externe partij vraagt om loslaten. En dat vinden mensen moeilijk, dat zit in onze natuur. De mens stelt nu eenmaal hogere eisen aan een ander dan aan zichzelf. Eigenlijk is het een strijd tussen wat technisch mogelijk is en wat het menselijk brein accepteert. Opvallend daarbij is dat we op persoonlijk gebied veel minder moeite hebben met cloud computing.
Willen we de professionalisering en acceptatie van cloud computing naar een hoger niveau tillen, dan ontkomen we niet aan een toetsingsmethode, een leidraad voor de eindgebruiker. Certificering werkt als een benchmark voor de leverancier. Het maakt het keuzeproces een stuk eenvoudiger: het maken van een vergelijking tussen verschillende aanbieders is simpeler. We kweken er vertrouwen mee. Mensen willen nu eenmaal iets tastbaars in handen hebben. Iets wat tastbaar is, wordt sneller geaccepteerd. Certificering komt de integratie van cloud-oplossingen ten goede en het voorkomt wildgroei.
Voorkomen
Momenteel ontstaan er op verschillende niveaus certificeringen bij verschillende organisaties. Een goede zaak, denkt echter iedereen vanuit zijn eigen achterban. Dat moeten we juist voorkomen, anders zien gebruikers straks door de bomen het bos niet meer. En het moet vooral in de praktijk eenvoudig te toetsen zijn. Anders haakt een grote groep bedrijven af. Zinvoller is om te luisteren naar de verschillende initiatieven en daarin de grote gemene deler te vinden. Hieruit moet één certificering ontstaan die als basis dient voor iedere leverancier.
Ik ben me er van bewust dat het opzetten van een eenduidig certificeringsprogramma een dynamisch proces is en dat we niet alle cloud-oplossingen over één kam moeten scheren. Een cloud-oplossing bestaat immers uit verschillende deeloplossingen. Willen we een allesomvattende certificering die iedereen kan toepassen, dan hebben we met verschillende normen te maken. Het meest pragmatische is naar mijn idee te kijken naar deelgebieden. De leverancier moet ervoor zorgen dat alle deelgebieden gecertificeerd zijn en dit bij de eindgebruiker kunnen aantonen. Daar zal hij zelf tijd en middelen in moeten steken.
Wat nu concreet de volgende stap is? Het zou een goede zaak zijn als er een gerenommeerd en onafhankelijk instituut opstaat dat cloud certificering een formele status geeft. Zo heeft NEN werkgroepen opgestart, die kijken naar wat er moet gebeuren en welke bestaande normen te hergebruiken zijn. Het is een stap in de goede richting. Hoe sneller een certificering tot stand komt, hoe sneller acceptatie volgt. Als de grotere partijen het accepteren, volgen de kleinere vanzelf. Actie reactie.
Certificering als toverwoord. Dat is allemaal mooi en aardig, maar daarmee wordt de werkelijke reden van alle wantrouwen niet weggenomen. Die heeft namelijk vooral te maken met menselijk gedrag. Geen enkel certificaat beschermt je tegen eisen van de Amerikaanse overheid om gegevens aan te leveren (o.a. van toepassing op MS, HP, Google). Geen enkel certificaat beschermt jouw gegevens wanneer die via outsourcing van de partij waar jij een SLA mee hebt ergens in Azië in een data center terechtkomen. We worden nu al gebombardeerd met vage berichtjes uit China en vergelijkbare landen over allerlei registraties die we moeten doen omdat anders jouw rechten naar bedrijven in die landen gaan. Nee, zolang er nog zoveel plaatsen in de wereld zijn waar de veiligheid van gegevens niet gegarandeerd is, zal het wantrouwen niet afnemen.
Ik ben het eens met Nico, certificering leid tot doelredenatie, het halen van het certificaat wordt het doel van de cloud organisatie en er zijn al heel veel normen waaraan kan worden voldaan; een certificaat levert niet echt een meerwaarde.
Lokale omstandigheden over de gehele wereld, onrust bij regeringen en lokale wetten die kunnen worden aangepast leveren geen enkele garantie over de veiligheid van gegevens. Een certificaat heeft daar geen invloed op.
Ik denk dat je het volgende niet snel zult horen: Onze data hebben we veilig gesteld in ons datacenter in Damascus, dat toegankelijk is via de gecertificeerde cloud.
@Willem: als je weet dat je data in Damascus staat zit je niet in de Cloud.
Waar het denk ik om gaat is dat je verschillende keuzes kunt maken die allemaal tot eenzelfde (eind)certificering moeten kunnen leiden als die keuzes voldoen aan een vastgestelde standaard.
Stel, om het eenvoudig te houden, dat de standaard straks eist dat er op drie deelgebieden aan bepaalde normen moet worden voldaan: data, verbinding en opslag.
Als je kiest voor 100% Cloud, dan kun je zelf maximaal 1 certificaat behalen (voor beveiliging van de data) en moet je de andere twee aantonen via jouw provider(s) en diens leverancier(s) van opslag. Een drietrapsraket die jou pas het definitieve certificaat geeft als voor de drie trappen alle vereiste certificaten geregistreerd zijn.
Je kunt zelf de conclusie wel trekken dat een standaard voor certificering er in feite voor pleit de Cloud niet al te ondoorzichtig te maken.
Maar dan nog, wat is de waarde van zo’n certificaat ?
Het wordt doorgaans verkregen op basis van een momentopname, en als de week na het verkrijgen ervan de hele manier van werken van betreffende leverancier op de schop gaat, zegt het certificaat eigenlijk niet zo veel meer.
Het regelmatig opnieuw certificeren kan helpen, maar zelf ben ik meer voorstander van de manier van werken zoals bijv. de FDA hanteert in Amerika: zij kunnen te pas en te onpas een bedrijf bezoeken en deze aan een inspectie onderwerpen.
Voor de bedrijven is dit een goede stok achter de deur hun spullen altijd op orde te hebben, en niet alleen als er een certificaat behaald moet worden
Terechte opmerking in dit artikel!
Ik heb altijd in mijn reacties op een Cloud-artikel het woord “ standaardisatie” gebruikt. Ik denk dat de standaardisatie de basis is voor de certificering. Om de wildgroei te voorkomen moeten we eerst standaardisatie opzetten en vervolgens certificering met de benodigde voorwaarden en spelregels in het betreffende certificeringsprogramma opnemen.
De meeste mensen denken bij het woord Cloud gelijk aan hun data! Data in Cloud kan een aandachtspunt zijn maar er zijn nog meer zaken waar de klant aandacht aan moet besteden als hij/zij naar Cloud wil gaan. Met standaardisatie en certificering(programma) kunnen deze zorgen aanzienlijk minder of weggenomen worden, vind ik.
Moeten/kunnen we het wantrouwen over cloud computing wegnemen? Ja, want cloud computing kun je veilig implementeren. Maar certificering lijkt me nog ver weg omdat er IaaS, PaaS en SaaS (en nog wat varianten) oplossingen zijn, waarin je ook weer onderscheidt maakt tussen private, public en shared/trusted/community clouds. Cloud computing is zo breed dat niet iedereen er hetzelfde over denkt. Daar de vele mogelijke oplossingen moet er eerst duidelijkheid komen en een certificaat geen vage belofte zijn dat je je zaakjes voor elkaar hebt.
Waarom zit je niet in de cloud als weet dat je data in Damascus staat? Wil je echt weten of je cloud ‘veilig’ is, dan moet je weten waar je data staat!
Maar een vraagje, volstaan certificeringen als ISO27001 en ISAE3402 niet gewoon? Als je leverancier een van die certificeringen heeft en kan garanderen waar je data opgeslagen wordt, heb je dan niet de garanties die ju nu maximaal kunt krijgen?
Alexandra,
Certificering als wat? Een verzekeringspolis die bij schade toch niet dekt?
In de markt is er een wildgroei aan certificeringen welke uiteindelijk toch vaak achter de feiten aanlopen. De door de OPTA gekwalificeerde en PWC gecontroleerde uitgever van digitale certificaten bleek uiteindelijk zo lek als een mandje. En het idee van één gerenommeerd en onafhankelijk instituut geeft me ook weinig vertrouwen. Daar hebben we meer van dan kerken en mijn geloof hierin neemt met rasse schreden af als ik alle schandalen in (financiele) wereld lees.
Omdat vertrouwen te voet komt en meestal te paard gaat is er ook geen ‘shortcut’ naar de Cloud en dus is geduld misschien nog wel de beste oplossing. Enige terughoudendheid zorgt ervoor dat de kinderziekten straks opgelost zijn, er meer standarisatie is en beter inzicht in de toegevoegde waarde. Dat wil niet zeggen dat bedrijven nu stil moeten zitten en dus zeker naar de mogelijkheden van Cloud moeten kijken, een ‘Cloud awareness’ moeten ontwikkelen.
Dat betekent dus voorbereidingen treffen door bijvoorbeeld eens te kijken of applicaties, data en systemen wel geschikt zijn om in de Cloud te plaatsen en hoe daar uiteindelijk de controle en het overzicht op te blijven houden. Vertrouwen in certificering is goed, controle op naleving regels is beter maar voorkomen van verrassingen is nog het best. En door het grensoverschrijdende karakter van de Cloud zijn er, net als in de financiele markt met ‘flitsdata’ ook nog vele verrassingen te verwachten.
Want uiteindelijk kan ook een gecertificeerd (geautoriseerd) bedrijf failliet gaan, kunnen natuurverschijnselen storingen veroorzaken en nationale overheden de spelregels aanpassen. De Cloud biedt natuurlijk een mogelijkheid voor risicospreiding maar daar zit meestal wel een prijs aan, de bijkomende (levens)verzekering of storting in een garantiestelsel. Een objectieve kosten-baten analyse kan dus voorkomen dat de reis naar de Cloud niet een duur en tegenvallend vakantietripje wordt.
Want normeringen zijn natuurlijk een nobel streven zolang ze innovatie maar niet in de weg staan. En juist de Cloud, het vergaande gebruik van ‘always online’ is behoorlijk innovatief zoals we kunnen zien met de vele diensten die er steeds komen. Maar wordt daarmee niet de deur op een kier gezet voor handige jongens die certificeringen van verschillende partijen bundelen en als een ‘optiepakket’ verkopen? Of wordt juist de deur dichtgesmeten voor kleine bedrijven omdat administratieve druk en daarmee de kosten verhoogd worden door deze certificeringen?