Uit een enquête die mijn werkgever begin dit jaar uitvoerde onder negenhonderd bedrijven bleek dat 83 procent van alle organisaties back-ups van een deel van hun bedrijfsgegevens in de cloud opslaat. Slechts 17 procent doet hiervoor geen beroep op de cloud. Meer dan de helft (53 procent) van organisaties die wel gebruik van de cloud maken, slaat er meer dan de helft van hun bedrijfsgegevens in op.
Ondanks deze indrukwekkende percentages lijken bedrijven het gebruik van de cloud voor de opslag van back-ups nog niet volledig te willen omarmen. Meer dan een kwart van de respondenten meent dat de cloud niet veilig genoeg is om er al hun back-ups aan toe te vertrouwen. Voordat de cloud op brede schaal zal worden ingezet als opslagmedium voor back-ups, moeten leveranciers een antwoord bieden op de zorgen van bedrijven rond gegevensverlies en de beveiliging. Klanten die back-ups in de cloud opslaan, moeten erop kunnen vertrouwen dat hun gegevens veilig blijven.
Volgens het onderzoek heeft een op de vijf organisaties die een beroep doet op de cloud van opslag ernstige problemen met hun leverancier ondervonden, zoals gegevensverlies en beveiligingsincidenten. Meer dan een derde maakte melding van situaties waarin hun gegevens niet beschikbaar waren toen ze die nodig hadden. Nog eens 42 procent gaf aan dat hun gegevens niet veilig waren.
Zorgen nog niet van de baan
De beveiliging is voor veel bedrijven een belangrijk aandachtspunt. Maar liefst 89 procent zegt dat de keuze voor een cloud-leverancier in hoge tot zeer hoge mate verband houdt met diens beveiligingsreputatie en -status. Bedrijven lijken positiever te staan tegenover leveranciers van opslagdiensten die blijk geven van een krachtige focus op de beveiliging en een goede track record op dit gebied. Resellers die een cloud-model willen implementeren doen er dan ook goed aan om nauw samen te werken met leveranciers van beveiligingsoplossingen. De aanbieders van cloud-diensten die het meeste vertrouwen genieten, zijn namelijk leveranciers die in de ogen van klanten qua beveiliging over de beste papieren beschikken.
Compliance is een ander punt van zorg. De juridische en morele verantwoordelijkheid voor de veilige opslag van bedrijfsgegevens, werknemersinformatie en klantgegevens ligt bij de organisatie zelf. Desondanks zegt bijna een op de vijf bedrijven niet te weten of hun cloud-aanbieder voldoet aan de wettelijke en brancherichtlijnen op het gebied van gegevensbeheer. Onwetendheid is geen excuus. Het is de verantwoordelijkheid van elk bedrijf om erop toe te zien dat aan alle nationale en internationale normen, richtlijnen en wetten wordt voldaan.
Deze blinde vlek kan een ernstig risicogebied vormen voor bedrijven en vormt daarom een belangrijk aandachtspunt voor managementteams in alle delen van de wereld. Managed service providers en technologiepartners moeten nauwer met klanten samenwerken om hen inzicht te bieden in de normen en richtlijnen waaraan zij moeten voldoen, en hoe zij de naleving daarvan kunnen realiseren en toetsen.
Rol voor ict-branche
Hoewel het gebruik van de cloud als medium voor gegevensopslag nog in de kinderschoenen staat en bedrijven nog niet bereid zijn om dit fenomeen volledig te omarmen, zijn medewerkers langzaam maar zeker bezig om de cloud binnen te halen. De populariteit van private cloud-infrastructuren als een soort van gulden middenweg geeft aan dat bedrijven graag een beroep willen doen op de cloud voor de opslag van back-ups, maar wel zoveel mogelijk op hun eigen voorwaarden.
Maar ondanks het feit dat organisaties voor een hybride oplossing kiezen die een mix omvat van verwijderbare opslagvoorzieningen, replicatie en private en publieke cloud-infrastructuren, staat of valt hun succes met de kwaliteit van hun back-upstrategie. Bedrijven zullen hun strategie pas verder ontwikkelen wanneer zij het gevoel hebben dat zij werkelijk kunnen vertrouwen in de mogelijkheden die tot hun beschikking staan.
Hiertoe hebben zij de onvoorwaardelijke hulp nodig van de ict-branche. Bedrijven, leveranciers en dienstverleners moeten samenwerken aan oplossingen voor netelige kwesties zoals compliance, privacy en informatiebeveiliging. De uiterst innovatieve nieuwe technologie voor cloud-opslag zal het mainstream gebruik van cloud-opslag pas kunnen stimuleren als deze wordt ondersteund door kennis, advies, ondersteuning en optimale klantenservice. Alleen dan is succes mogelijk.
Als eerste is het de vraag wie je wat vraagt…..
Er zitten een aantal haken en ogen aan een back-up in de cloud. De eerste vraag is namelijk waarom je een back-up maakt. Teruglezen van terabytes aan data over een dun lijntje kost tenslotte dagen zo niet maanden en er zijn maar weinig providers die garanties over de RTO geven. Vandaar dus ook de hybride oplossingen met bijvoorbeeld D2D2C welke feitelijk dus alleen maar het medium vervangen.
Nu is het een publiek geheim dat veel gebruikers de cloud als back-up medium gebruiken, verhaal over de problemen met confidentialiteit is dus herkenbaar. Sterker nog ik heb hier al meerder opinies aan gewijd maar die waren voor alle cloud klutsers dus te obscuur.
Gek, want gisteren op Cloud Architect Alliance kwam dit onderwerp ook ter sprake en kreeg ik de indruk dat de zaal toch een iet wat andere mening toegedaan was. Weinig marketing dus en een goede uitwisseling van informatie in een aangename zetting, chapeau voor sponsors Reasonnet, Xebia, Arrows group en Cloud9.
En ik wil de exclusiviteit niet schenden door zonder toestemming uit de school te klappen maar strekking van de avond lag vooral op bewustzijn, noodzaak tot beveiliging van data begint namelijk bij de business annex gebruiker.
Vingertje van Henri met:”Euh…service?” werd door het interessante panel dan ook nogal bruusk beantwoord met: “Tot aan de voordeur!” Want een nog belangrijkere architecturele les werd gegeven door te stellen dat je eerst je governance framewerk op orde moet hebben voordat je aan oplossingen gaat denken.
Kortom, een welbesteedde avond waar Henri beterschap heeft beloofd voor zijn presentatie op Cloud Event van Ngi-NGN op 6 november;-)
Even een stukje structuur (echt een stukje maar). Back-up heb je voor data uit het DC en data van de werkplek. De data is voor een deel identiek, maar de aanpak zal moeten verschillen.
De meeste organisaties hebben voor de DC data wel een DR strategie. Is het met tapes in een koffer naar Lelystad of online, geclassificeerd en gededupliceerd naar de cloud.
Voor de data van de werkplek, zeker de mobiele werkplek en helemaal de mobiele werkplek geldt dit een stuk minder. Hier variëren de oplossingen (?!) van helemaal niet, via het zelf branden van een DVD-tje of maken van een kopie naar een server tot backup-oplossingen die door de organisatie aangeboden worden en de mogelijkheden die aanbieders als Microsoft en Apple integreren met hun devices.
Structuur brengen in en controle krijgen over deze laatste categorie aan gebruikersdata is een uitdaging voor veel IT-organisaties.
Backups (laten) maken interesseert me al meer dan 15 jaar geen fluit. Ik wil alleen praten over kopen of verkopen van restores. Hoe je dat verder inricht is bijzaak, daar zijn meer dan genoeg oplossingen voor.
En ja: de beperkingen van het terugzetten van hele grote hoeveelheden binnen een beperkte tijd gelden al voor een lokale tape drive, dus nog sterker voor een glasvezelverbinding…
All,
Het veiligstellen van data naar de Cloud blijft een transitie waar in je rekening met een aantal zaken moeten houden:
1. Welke data en hoeveel wil ik er weg schrijven?
2. Hoeveel tijd mag dit kosten?
3. Hoeveel tijd heb ik nodig om het weer terug te zetten?
4. Wat is mijn dagelijkse/wekelijkse/maandelijkse periodieke groei in data?
Afhankelijk van hoe je die vragen beantwoord. De welbekende RPO/RTO discussie kan je de juiste technologie kiezen.
Alles in de Cloud veiligstellen levert uitdagingen op, op het gebied van:
1. Doorlooptijd. Hoe meer je er in gooit des te langer het duurt. En idem dito als je een complete DR uitvoert.
2. Onlosmakelijk verbonden met doorlooptijd is bandbreedte. Hoe dikker de pijp, hoe sneller het er door heen en ook weer terug kan.
3. Compliancy. Niet ieder bedrijf wil, kan en mag zijn company data in de Cloud veiligstellen. De NSA en patriot act verhalen dragen hier negatief aan bij.
Hoe vang je dit dan af. Punt 1 en 2 kan je oplossen door slimme trucjes uit te halen zoals:
1. Deduplicatie. Het ondubbelen van data voor dat je het veiligstelt levert veel voordeel op
2. WAN acceleratie. Caching en allerlei andere netwerk trucs kunnen ook enig voordeel hebben. Dat zal ook wel het achterliggende doel van Mr. Baracuda zijn
3. Data classificatie. Niet alles hoeft veilig gesteld te worden. En niet alles hoeft even frequent veiligsteld te worden. En er zijn natuurlijk ook genoeg NL en andere Europese aanbieders die niet onder de NSA en patriot act vallen.
Het veiligstellen van data blijft een vak apart. Per omgeving/klant kan dit verschillen. De definitie van de RPO/RTO/SLA is altijd leading voor de keuze die er op het gebied van technologie gemaakt moet worden. Classificeer eerst op prestatie en herstelbaarbeid je data. En kijk dan pas waar dit het beste kan landen en past. Doe je het anders om dan is de kans op een teleurstelling, hoge kosten en uiteindelijk dus dataverlies zeer groot.
Ik heb hier in het verleden al vrij veel overgeschreven. Voor de mensen die dat gemist hebben, hierbij nogmaals links:
https://www.computable.nl/artikel/opinie/storage/5162344/1277017/backup-one-size-doesnt-fit-all.html
https://www.computable.nl/artikel/opinie/storage/4635530/1277017/wijze-van-opslaan-bepalend-bij-veiligstellen-data.html
https://www.computable.nl/artikel/opinie/storage/4635530/1277017/wijze-van-opslaan-bepalend-bij-veiligstellen-data.html
https://www.computable.nl/artikel/opinie/storage/4531116/1277017/zonder-data-geen-bedrijfsvoering.html
https://www.computable.nl/artikel/opinie/cloud_computing/4463114/2333364/bandbreedte-nog-te-vaak-ondergeschoven-kindje.html
Snik …
Citaat:
“en bedrijven nog niet bereid zijn om dit fenomeen volledig te omarmen, zijn medewerkers langzaam maar zeker bezig om de cloud binnen te halen”
Op het moment dat medewerkers zelf bedrijfsgegevens in de cloud zetten (om wat voor reden dan ook) terwijl het bedrijf zelf de cloud nog niet ingezet heeft als “officieel opslagmedium” moet je je serieus af gaan vragen waar deze werknemers mee bezig zijn.
Dit klinkt bijna als een 2e vorm van BYOS: Bring Your Own Storage 🙁
Na de gevonden USB sticks en PC’s met data van afgelopen jaren, krijgen we binnenkort de gehackte dropboxen et cetera met gevoelige data vrees ik.
De meeting van gisteren waar Ewout aan refereert (Cloud Architect Alliance) was inderdaad een top-avond, met veel interactie. De grootste nachtmerrie lag inderdaad in de social engineering en de mens als zwakste schakel, maar er passeerde ook andere interessante informatie de revu over het mitigeren van risico’s.
En deze toelichting maakte het stuk van Ewout minder obscuur 🙂
Daarbij merk ik wel op dat het niet alleen maar consensus is wat gisteren bereikt werd. Niettemin geweldig om zoveel knappe koppen bij elkaar te zien met zoveel passie voor het vak.
Ook zag je dat de roots van velen lag bij infrastructuur en de software kant (ik zeg: Services) een beetje onderbelicht bleven, maar daarvoor zal ik een lans breken de 6e 🙂
@Henri
Dat je mijn schrijven als obscuur bestempelde is hetzelfde als ambtenaren die roepen zich niet te herkennen in de conclusies van een onderzoeksraad. Ik plaatste als reactie op het SOA denken hier eerder een passage uit WRR rapport waarin ronduit gezegd werd dat alle data als een ‘dame van lichte zeden’ is die door iedereen gebruikt wordt maar waar niemand zich verantwoordelijk voor voelt.
“If I had asked people what they wanted, they would have said faster horses” – Henry Ford
Veel cloud oplossingen zijn Palomino’s, commerciële hobbelpaarden die één beweging maken waar je niet zonder kleerscheuren vanaf kunt komen doordat deze stilletjes steeds sneller zijn gaan galoperen. Duizend-en-één datacontainers waarvan niemand weet waar de data wegkomt, waar deze landt of wie ervoor verantwoordelijk is zal in 90 van de 100 gevallen namelijk non-compliant zijn.
Hopelijk heb je nu geleerd dat IT architecturen meer als de kikkers zijn welke governance framewerken in de kruiwagen moeten houden. Zeg maar de non-functionele requirements die telkens weer vergeten worden in de roep om service in plaats van resultaat.
Backup op tapes, Lelystad, een restore en recovery die meer dan 12 uur duurt ?
Compleet onnodig en behoorlijk outdated denk ik. Je zou toch mogen aannemen dat iedere cloudleverancier gebruik maakt van block-level incremental backups, toch ?
Wat grappig, één suikerklontje voor het paard van Sinterklaas.
Dan maar even een aardige anekdote.
Een groep van 15 bedrijfsadviseurs die voor hun vennootschap een eigen server kochten en een fortinet router om de boel naar internet dicht te timmeren, en dat zit/zat goed dicht (natuurlijk niets gedokumenteerd en een konflikt met de leverancier).
Alleen was dat toch wel lastig dus werden dropbox, googledrive etc. gebruikt om gegevens uit te wisselen . . . en voor het gemak stond teamviewer 24/7 open!
Voorts wensten de heren dat verschillende poorten geopend werden omdat skype toch wel handig is en ftp ook enz. enz.
Ach ja, “beveiliging is voor veel bedrijven een belangrijk aandachtspunt” zolang het niet lastig wordt.
Dat cloud-opslag toeneemt is logisch omdat het praktisch is, maar de klant begeleiden in de keuze voor een betrouwbare leverancier is minder eenvoudig.
Alhoewel Ewout dat niet graag hoort, is “cloud” (of SAAS) soms een betere oplossing. Bij een groep met een semi-ict-er, die van IT-management geen kaas gegeten heeft maar wel bepalen wil wat er op IT gebied draait is extern beheer heel veel beter.