Over de cloud is al een heleboel geschreven. Toch zijn er nog altijd een aantal hardnekkige misverstanden die ik graag uit de lucht zou willen helpen. Die hebben mijns inziens allemaal te maken met de grote flexibiliteit van de cloud, die velen een gevoel van ongrijpbaarheid of zelfs onveiligheid geeft.
Dat kan leiden tot terughoudendheid bij de adoptie, zoals Bart van den Berg treffend beschreef in het artikel ‘Cloud moet vertrouwen nog winnen‘. Wanneer je echter op een doordachte manier met de cloud aan de slag gaat, is die terughoudendheid niet gegrond. Daarom bespreek ik hier graag een aantal pijnpunten van het grote publiek met enkele overwegingen en mogelijkheden om die op te lossen. Dit doe ik aan de hand van een drietal stellingen.
De Patriot Act en NSA geven de cloud een slechte naam
Waar. Ruim een jaar geleden heeft de Universiteit van Amsterdam de reikwijdte van de Patriot Act nader onderzocht. Het Instituut voor Informatierecht van de UvA concludeerde dat in ieder geval de Amerikaanse opsporingsdiensten toegang hebben tot data die ondergebracht is bij clouddiensten die onder Amerikaanse jurisdictie vallen. Daar bovenop kwamen afgelopen jaar de onthullingen van klokkenluider Edward Snowden die de schaal van online dataverzameling van inlichtingendiensten blootlegden. Dit heeft verstrekkende gevolgen voor de omzet van Amerikaanse cloudindustrie.
De andere kant van het verhaal is dat Europese clouddiensten (dat wil zeggen: van aanbieders die geen vestiging in de Verenigde Staten runnen) daarmee ineens een streepje voor hebben.
Het is risicovol om bedrijfskritische data in de cloud op te slaan
Waar/Niet waar. Er zijn veel organisaties die twijfelen of ze data wel in de cloud moeten opslaan, meestal omdat ze vrezen dat hun data zo in verkeerde handen valt of de clouddienst op essentiële momenten niet beschikbaar is. Toch kunnen organisaties snel inschatten of en in welke mate het gebruik van een clouddienst risicovol kan zijn. Er zijn twee vragen die je jezelf zou moeten stellen: ‘Welke categorieën informatie doorlopen onze bedrijfsprocessen?’ en ‘Welke risico’s brengt het per ongeluk of expres op straat komen te liggen van informatie uit de verschillende categorieën met zich mee?’. Als daar een duidelijk beeld van is, en informatiestromen niet té gevoelig zijn (daarbij denk ik vooralsnog aan concurrentiegevoelige informatie of gegevens van justitie) kan er volop geprofiteerd worden van de voordelen van de cloud.
Stel dat je eenmaal alle documentatie hebt toevertrouwd aan de cloud. Als je daar op enig ogenblik niet bij kunt, zou dat de doodsteek kunnen zijn voor een project. Of voor de bedrijfsvoering an sich. Dit doemscenario is voor veel organisaties een belemmering om de opslag van data uit te besteden aan derden. Maar is het in eigen beheer houden dan wel een verzekering? Maken bedrijven überhaupt back-ups op een andere server, op een andere locatie? En nog belangrijker, verifiëren ze dagelijks of die back-ups ook echt werken?
Een cloudleverancier is gespecialiseerd in het professioneel inrichten en uitvoeren van dataopslag en -beheer. Zij bieden doorgaans meer mogelijkheden voor back-up en redundantie dan wanneer je dat als organisatie in eigen beheer doet.
De kosten van de cloud zijn niet transparant
Niet waar. Door uitbesteding van techniek, beheer en onderhoud (waarmee je de focus van de it-afdeling legt op ondersteuning van het primaire proces) kan geld bespaard worden met de cloud. In mijn vorige bijdrage concludeerde ik al dat het gebruik van de cloud 36 euro per gebruiker per maand kan schelen.
Maar de voorspelbaarheid van de kosten wordt ook enorm vergroot, in tegenstelling tot wat sommigen wellicht denken. De meeste aanbieders werken met een tarief dat is gebaseerd op het aantal MB’s of GB’s, maar ook het betalen per gebruiker is inmiddels gangbaar. Aangezien je te maken hebt met standaarddiensten die je ook nog eens inkoopt met schaalvoordelen, weet je daardoor vooraf precies wat je kwijt bent.
De clou(d)
Dierbare informatie uit handen geven zodat deze bewaard kan worden op een abstracte plek, klinkt velen niet direct als muziek in de oren. Cloudproviders zijn echter gespecialiseerd in dataopslag en kunnen bedrijfsgegevens in de meeste gevallen zorgvuldiger en efficiënter beheren dan de eigen organisatie dat kan. Door verschillende cloudproviders onder de loep te nemen en een bewuste keuze te maken (bijvoorbeeld door een Europese partij te gebruiken) kun je de mate van privacy vergroten. Met een escrow-overeenkomst ben je er bovendien van verzekerd dat je te allen tijde bij de data kan en dat je juridisch in een goede positie verkeert. Iets dat vrijwel onmogelijk is als je zelf de data beheert en er door technische problemen, brand, diefstal of een eigen faillissement niet bij kan. Kortom: specialisten zijn er niet voor niets.
@NumoQuest, je blijft hardnekkig Ewoud schrijven. Als we in wetmatigheden blijven zou een computer niet kunnen zien dat je reageert op Ewout.
Als we in een project zitten wat niet kan falen -we zitten immers op het vlak van wetmatigheden = volkomen voorspelbaar (pun intended)- dan zou het dus falen op mensen. IT kan niet opgezet worden zonder mensen, dus IT ook als wetmatigheid is faalbaar.
Water en zwaartekracht (op aarde) houden zich ook aan wetmatigheden van bijvoorbeeld zwaartekracht. In theorie zou je dus kunnen voorspellen waar elke druppel water gaat vallen als je naar een wolk kijkt….
Wat ik bedoel te zeggen is: wetmatigheden hebben ***niets*** met voorspelbaarheid te maken als je niet inzicht hebt op alle externe factoren. Wetmatigheden laten zich alleen maar bewijzen in theorie en proefopstellingen.
Proefopstellingen zijn niet gelijk aan Productie omgevingen. Dus de theoretische wetmatigheden van IT zijn niet 1 op 1 toepasbaar op de praktijk.
Maar goed, ik sla weer los 🙂
Zoals ik eerder aangegeven heb is dat privacy nauwelijks meer mogelijk is in de huidige maatschappij. Maar wat betekent privacy nu? Het helemaal jezelf kunnen zijn in je eigen omgeving. Maar wat betekent het echt? Het betekent dat je je mogelijk schaamt voor je sexuele voorkeuren of toilet geluiden, of dat je niet op een “onbewust” level totaal gemanipuleerd wilt worden door reclame omdat systemen op basis van statistiek “weten” hoe ze je extra kunnen verleiden tot een aankoop die je eigenlijk niet wilt doen.
Privacy betekent ook dat je pincode en dat soort gegevens geheim kan houden zodat je bankrekening niet leeggeplunderd wordt. Of dat je aansprakelijk gesteld kan worden voor het delen van een e-book. Of hoeveel je nu echt verdiend.
Wat betekent het dat mogelijk andere mensen dan je werknemers je bedrijfsdata in kunnen zien?
– Dat je vervolgd kan worden voor illegale handelingen
– Dat er geld van je rekening gehaald kan worden
– Dat geheimen uit kunnen lekken naar andere bedrijven en dus met jouw geheimen geld kunnen verdienen
– Dat andere voorkennis hebben op je aandelen bewegingen
– Dat je in een negatief daglicht gesteld kan worden als je onzorgvuldig met data bent omgegaan.
Deze punten (een redelijke complete lijst, maar aanvullingen zijn welkom) hebben echter altijd betrekking op je privacy. Ook als je een server met data in je eigen pand hebt staan. Niet alleen kun je door virussen / hackers / phishers / onbetrouwbare werknemers pootje worden gelicht. Maar je hebt met dezelfde risico’s te maken.
Uitbesteden aan andere bedrijven, dat doen veel kleine bedrijven zonder IT afdeling, of naar een cloud provider, hebben dezelfde aspecten waar je over na moeten denken.
On topic:
…”(bijvoorbeeld door een Europese partij te gebruiken) kun je de mate van privacy vergroten.”
Dit is een misvatting. Juist als je kijkt naar hoe de NSA doet wat hij doet, is kiezen voor een Europese partij zeker geen garantie. Daarnaast gaat het uit van het idee dat NSA de enige partij is die je privacy aantast. Dit lijkt mij bewezen niet waar.
Daarnaast, als de VS toegang tot mijn data heeft is dat in veel gevallen minder kwalijk dan dat NL overheid toegang tot mijn data heeft.
Ik vind de kwaliteit van dit artikel bedenkelijk.
“De kosten van de cloud zijn niet transparant. Niet waar” is weer zo algemeen dat de bewering niet waar kan zijn. Net als dat cloud providers (is Ziggo dat ook?) per definitie data specialisten zijn.
Al met al lijkt het erop dat clou vooral gekozen is voor de woordspeling, niet op basis van de inhoud.
@ allemaal
Bepaalde veelschrijvers krijgen te veel aandacht voor te weinig inhoud, laten we bij een ander topic weer over inhoudelijk interessante thema’s discussieren. Dat gaat zelfs met “cloud-computing”!
Ik vind het lastig om de angsten te doorgronden die een gemiddeld bedrijf heeft voor de spionage van partijen zoals de NSA (zoals al eerder opgemerkt: er zijn er vast meer die hetzelfde doen).
Dus je zet als bedrijf zijnde je data in de cloud en daarmee zou die data mogelijkerwijs wel eens ingekeken kunnen worden door een partij als de NSA. Dan is altijd nog de vraag wat ze met die data kunnen en willen? Een gemiddeld bedrijf heeft terabytes aan data waarvan ze zelf niet eens weten wat er allemaal in staat en hoe het gestructureerd is, denken we nu echt dat de NSA enorme legers data analisten in dienst heeft met het doel onze data uit te pluizen en de hiaten eruit te vissen? Ok, ze hebben vast goede datamining die de zaken eruit haalt die voor hen belangrijk is. Maar waarom zou jouw bedrijf daar bij komen bovendrijven? Je zou ze er bijna gaan betalen voor die info…
De gemiddelde omgeving in de meterkast is door het uitblijven van security updates, firewalls en algemeen fatsoenlijk beheer veel kwetsbaarder voor aanvallen van buitenaf dan een cloud omgeving. En aan wie ben je dan het liefst je gegevens kwijt? Aan de Russische hacker, of aan een data analist van de NSA? Waarbij dan ook nog de vraag is: wat moeten die lui vervolgens met jouw data? Stel; je hebt er financiële gegevens opstaan die inzicht geven in je balans. Ik vermoed dat 99% van het bankenleven een filiaal heeft in de States en dat de gegevens van die bank daarmee onder precies dezelfde wetgeving vallen.
Voor echt gevoelige data, research werk en alles wat echt vatbaar is voor (bedrijfs)spionage kan ik me er wat bij voorstellen. Laat dat dan op een interne server staan en doe over de rest niet zo paniekerig?
Ik weet wel dat de werkelijkheid iets anders in elkaar zit dan hoe ik het nu schets; maar het gaat om de kern van het verhaal. Besturen doe je niet uit angst, maar uit visie en mogelijkheden. En zoals al opgemerkt: een weloverwogen risico hoort daar nu eenmaal bij. Volgens mij is er nog altijd niemand verplicht om naar de cloud te gaan. Dus waarom dan altijd al die angstige reacties op dit soort artikelen?
@ Henri….
(Tranen in mijn ogen van…… snifff)
Eindelijk stel je het eens juist, tenminste wat mijn intentie blijft…. noem het @Quest…?!?! ( ;O) Mauwerd)
Of je me daar in wil volgen of niet, zonder hautain te klinken, het zal die materie of de wijze waarop IT het beste werkt worst zijn. Die blijft werken zoals die werkt. Het enige wat ik kan en dus ook doe is mensen hierop wijzen zodat het voor het uniformer en eenvoudiger word.
Dat op zich is niet moeilijk, meer even af stappen van je plateautje (discipline) gewoon even een frisse blik, zodat je niet gaat beredeneren.
Ik blijf echt bij het standpunt dat cloud nog steeds niet volkomen en volwassen is maar tegelijkertijd sluit ik dat echt niet uit. Maar zoals ik eerder heb gesteld, er zijn nog te veel mitsen en maren. Juist door de lijn van materie en werking IT te volgen, worden die telkens weer groter.
Eens met de stelling dat het ligt aan de mensen die in IT werken en hen die met IT werken, gek genoeg niet eens de IT professionals.
@ Jasper Siegmund
In je ziens en stelwijze ben ik het helemaal eens. Maar…
Het geval NSA geeft alleen maar aan dat je over bepaalde zaken eerst eens zeer goed moet nadenken.
Ik moet je een tikje tegenspreken voor het bancaire gedeelte want EU wetgeving laat dit niet toe, alhoewel wij een volkomen impotent NL apparaat in Den Haag hebben zitten die het allemaal klaarblijkelijk niet uit maakt.
Big Data en NSA
Het blijkt dat de mogelijkheden van de NSA veel groter zijn dan men eerder vermoedde. Gegeven hetgeen Snowden dan mondjesmaat vrij geeft. Ook hij is niet helemaal achterlijk om alles vrij te geven wat hij weet.
Ik wil jou graag even aanreiken eens even te kijken naar GEC compliance en hoe Amerikanen denken over intellectueel eigendom en hoe men daar in de VS mee om gaat. Dat vraagt nog wel even iets maar als je dan even tussen de regels door leest dan begrijp je dat cloud gewoon even wat meer omvat als data via een cloud ontsluiten.
Ik heb het dan even niet over het commercieel concept achter cloud. Het is zeker een aandachtsgebied die door flink wat cloudleveranciers helemaal niet zo word aangedragen.
@Jan, bedankt voor je reactie. Soms is het goed om de belangrijkste punten eerst even samen te vatten voordat je een volgende stap zet. Ik snap dat door de wol geverfde IT’ers vaker gelijksoortige stukken over de cloud hebben gelezen, maar ik vond het toch belangrijk om de misverstanden die mij vaak ter oren komen te bespreken.
@Willem, kosten en baten verschillen natuurlijk altijd per organisatie. Dergelijke afwegingen zijn uiteindelijk maatwerk, maar als iemand daarbij kan voortbouwen op de basis die ik in het vorige artikel heb neergezet scheelt dat al redelijk wat werk.
@Reza, goed punt. Hetzelfde geldt natuurlijk ook voor diensten.
Het bedrag per gebruiker per maand is een aanname. Bij iedere organisatie of cloudaanbieder moet die business case opnieuw worden gemaakt.
@NumoQuest, goede toevoeging. Iedereen heeft een eigen visie op dit onderwerp. We zullen moeten afwachten wat ‘de clou van de cloud’ uiteindelijk zal zijn. Bovenstaande is echt een samenvatting op basis van mijn recente ervaringen.
@ Marc Leidner
Soms geeft het aantal reacties op een artikel aardig weer hoe er over word gedacht. Uiteraard is het ‘visie’ vanuit persoonlijke ervaring. Het mooie van Computable, vind ik.
Goed stuk in elk geval.