De discussie over de veiligheid van data in de cloud en de betrouwbaarheid van cloud-leveranciers duurt nog altijd voort. In mijn vorige blog gaf ik aan hoezeer ik het belang van certificering van cloud computing daarom onderstreep. We zijn inmiddels een paar maanden verder en hoewel we er op dat gebied nog niet zijn, zijn al wel de eerste stappen gezet om nog meer transparantie en vertrouwen te creëren.
Het zal in onze branche altijd draaien om vertrouwen, transparantie en heldere service level agreements (sla’s). Ik ben me ervan bewust dat ook certificering daar niet direct grote verandering in brengt. Vertrouwen krijgen in cloud-diensten heeft namelijk voor een groot deel te maken met een verandering in het menselijk denken. De strijd tussen wat technisch mogelijk is en wat het menselijk brein accepteert, zal altijd voortduren. Dat is logisch. Wellicht ligt hier daarom juist de grootste uitdaging voor ons; de scepsis van het menselijk denken wegnemen.
Gelukkig zijn er ontwikkelingen die het vertrouwen in cloud-diensten een flinke boost geven. Nog niet zo lang geleden werden bijvoorbeeld de cijfers van de Nationale EuroCloud Monitor gepresenteerd. Daaruit bleek dat de cloud inmiddels is doorgedrongen tot de mainstream van it. Tevens is er onlangs een belangrijke, juridische mijlpaal voor cloud-adoptie bereikt. Microsoft heeft immers een onderzoeksrecht voor DNB opgenomen in overeenkomsten met betrekking tot Office 365 cloud-diensten bij de Nederlandse financiële instellingen. Een interessante doorbraak.
Deze grootschalige cloud-adoptie geeft ook aan de tot nu toe terughoudende publieke sector een positief signaal af. Ondanks deze positieve ontwikkelingen waarmee cloud computing nog verder professionaliseert en volwassener wordt, moeten we niet vergeten dat de manier waarop wij inzicht geven in de complexiteit die cloud met zich meebrengt het ook belangrijk is om de gebruiker te overtuigen.
Ik besef dat certificering niet dé oplossing is, maar ik ben er zeker van dat het wezenlijk bijdraagt aan het vergroten van vertrouwen. Een certificaat geldt als onafhankelijk bewijs van service, kwaliteit en beveiliging. Willen we echt het vertrouwen van het menselijk denken winnen, dan moeten we transparantie bieden. En dat hebben we weer grotendeels zelf in de hand. Aanbieders moeten uitleggen hoe ze te werk gaan, en aangeven welke (back-up) scenario’s toegepast worden indien het mogelijk misgaat.
Cloud computing is nog altijd een vrij abstract begrip, dus het is aan de sector om het tastbaar te maken voor gebruikers. Daar hebben zij recht op. Want we mogen nooit vergeten dat zij hun data uit handen geven aan een externe partij en ‘hun kindje’ aan ons toevertrouwen Oftewel: we moeten de vraagstukken rondom veiligheid en betrouwbaarheid van de cloud door de bril van onze eigen bedrijfsvoering bekijken. Dan zijn wij waarschijnlijk net zo kritisch. Met die gedachte in ons achterhoofd en met dezelfde zorg moeten we de discussie blijven voeren. Want hoe zou u zich erbij voelen uw ‘kindje’ aan een ander over te dragen?
Certificering (en audit) is belangrijk, hoe je het ook wend of keert.
Een grote klant wil alleen zaken met mij doen als ik een SAS Type II verklaring kan overleggen. Hiermee kunnen zij de keuze verdedigen.
Er komt vanzelf een ongeschreven standaard in welke certificeringen nodig of bruikbaar zijn als cloud provider.
Ewout, je bent de eerste die het woord Patriot Act gebruikt!
En afhankelijkheden zijn er altijd, ik zie geen onderscheid tussen een cloud provider en zelf doen. Als je database omvalt moet je het op kunnen lossen, dat maakt niet dat je niet afhankelijk bent van die database. Als je je spullenboel in een eigen datacenter hebt ben je ook afhankelijk van de verbinding naar dat datacenter. Het gaat erom dat je redelijkerwijs het risico wat je loopt kunt mitigeren naar het gewenste niveau.
En *ik* ervaar bij mijn klanten dat de grootste drempel enerzijds privacy is, anderzijds het hoge risico om (in deze tijd) afscheid te nemen van legacy. Daarom merk ik dat adoptie van cloud computing vooral plaatsvind aan de rand van de automatisering waar het risico relatief laag is, dus social media, samenwerken en bijvoorbeeld e-mail.
Henri,
Je kunt soms het woord niet noemen maar het wel omschrijven.
Betreffende je opmerking over certificering, die worden vaak gevraagd omdat er dan niet verder gekeken hoeft te worden. Zo had IceSave een bankvergunning maar geen kapitaal voor depositostelsel om een voorbeeld te geven.
Betreffende afhankelijkheid heb ik gister weer een stuk klaar gezet dat hier op in gaat. En mijn database was niet omgevallen maar het schema was wel veranderd. Want er is meer interessant voor hackers dan persoonsgegevens, gratis bandbreedte en processorkracht is tegenwoordig ook heel aantrekkelijk.
@redactie:
Als een expert een artikel indient, voldoende reacties krijgt en nergens antwoord op geeft dan heb ik het gevoel OF de tekst NIET door die person zelf is geschreven, daarom kan hij/zij niet op de reacties ingaan OF de mening/vragen/reactie van andere mensen interesseren hem/haar niet. In beide gevallen, wat mij betreft mag die persoon uit de lijst van experts gehaald worden.
Reza, waarom stel je deze vraag niet gewoon rechtstreeks aan de redactie?
Ik vind jouw reacties en die van anderen vaak interessanter dan het artikel zelf. Sterker nog, meestal klik ik alleen op artikelen waar iemand al gereageerd heeft!
Vaak klik ik op de schrijven van het artikel en dan zie je snel zat of iemand gaat reageren of niet. Maak zelf een keuze, maar Computable redactie is echt wel bewust dat niet alle schrijvers actief reageren en hebben daar blijkbaar een keuze over gemaakt.
En natuurlijk is het zwak als iemand wel een artikel plaatst, maar er vervolgens niets mee doet. In dat opzicht heb ik nog een derde mogelijkheid waarom iemand niet reageert: Bang zijn om in een discussie terecht te komen en daar niet voor open staan (of geen tijd voor hebben).
We hebben allemaal onze redenen om artikelen te schrijven of om op te reageren. Ik maak me er niet meer druk om als schrijvers geen interactie aan gaan.
Reza,
Ik sluit me aan bij Henri. Ik heb mij hier ook een tijdje te druk om gemaakt. Maar blijkbaar is het geen verplichting om op je eigen artikels te reageren. Erg jammer, maar wat Henri al zegt de discussies die we vaak onderling hebben zijn voor mij vaak meer leerzaam als het artikel zelf.
Terug naar het artikel…
Cloud prachtig mooi!
Echter eerst glasvezel voor iedereen, dan pas gaan wij (ons bedrijf) actief Serieus iets met het cloud gebeuren doen.
Verder zal Drs. Alexandra Schless het wel te druk hebben om te reageren op wat voor opmerking dan ook – sterker nog: misschien zit ze met haar hoofd in the cloud (lees: wintersport, nu even niet). De eerst reactie van Ruud slaat volgens mij de ‘spijker’ op zijn kop.