Uit een enquête die mijn werkgever begin dit jaar uitvoerde onder negenhonderd bedrijven bleek dat 83 procent van alle organisaties back-ups van een deel van hun bedrijfsgegevens in de cloud opslaat. Slechts 17 procent doet hiervoor geen beroep op de cloud. Meer dan de helft (53 procent) van organisaties die wel gebruik van de cloud maken, slaat er meer dan de helft van hun bedrijfsgegevens in op.
Ondanks deze indrukwekkende percentages lijken bedrijven het gebruik van de cloud voor de opslag van back-ups nog niet volledig te willen omarmen. Meer dan een kwart van de respondenten meent dat de cloud niet veilig genoeg is om er al hun back-ups aan toe te vertrouwen. Voordat de cloud op brede schaal zal worden ingezet als opslagmedium voor back-ups, moeten leveranciers een antwoord bieden op de zorgen van bedrijven rond gegevensverlies en de beveiliging. Klanten die back-ups in de cloud opslaan, moeten erop kunnen vertrouwen dat hun gegevens veilig blijven.
Volgens het onderzoek heeft een op de vijf organisaties die een beroep doet op de cloud van opslag ernstige problemen met hun leverancier ondervonden, zoals gegevensverlies en beveiligingsincidenten. Meer dan een derde maakte melding van situaties waarin hun gegevens niet beschikbaar waren toen ze die nodig hadden. Nog eens 42 procent gaf aan dat hun gegevens niet veilig waren.
Zorgen nog niet van de baan
De beveiliging is voor veel bedrijven een belangrijk aandachtspunt. Maar liefst 89 procent zegt dat de keuze voor een cloud-leverancier in hoge tot zeer hoge mate verband houdt met diens beveiligingsreputatie en -status. Bedrijven lijken positiever te staan tegenover leveranciers van opslagdiensten die blijk geven van een krachtige focus op de beveiliging en een goede track record op dit gebied. Resellers die een cloud-model willen implementeren doen er dan ook goed aan om nauw samen te werken met leveranciers van beveiligingsoplossingen. De aanbieders van cloud-diensten die het meeste vertrouwen genieten, zijn namelijk leveranciers die in de ogen van klanten qua beveiliging over de beste papieren beschikken.
Compliance is een ander punt van zorg. De juridische en morele verantwoordelijkheid voor de veilige opslag van bedrijfsgegevens, werknemersinformatie en klantgegevens ligt bij de organisatie zelf. Desondanks zegt bijna een op de vijf bedrijven niet te weten of hun cloud-aanbieder voldoet aan de wettelijke en brancherichtlijnen op het gebied van gegevensbeheer. Onwetendheid is geen excuus. Het is de verantwoordelijkheid van elk bedrijf om erop toe te zien dat aan alle nationale en internationale normen, richtlijnen en wetten wordt voldaan.
Deze blinde vlek kan een ernstig risicogebied vormen voor bedrijven en vormt daarom een belangrijk aandachtspunt voor managementteams in alle delen van de wereld. Managed service providers en technologiepartners moeten nauwer met klanten samenwerken om hen inzicht te bieden in de normen en richtlijnen waaraan zij moeten voldoen, en hoe zij de naleving daarvan kunnen realiseren en toetsen.
Rol voor ict-branche
Hoewel het gebruik van de cloud als medium voor gegevensopslag nog in de kinderschoenen staat en bedrijven nog niet bereid zijn om dit fenomeen volledig te omarmen, zijn medewerkers langzaam maar zeker bezig om de cloud binnen te halen. De populariteit van private cloud-infrastructuren als een soort van gulden middenweg geeft aan dat bedrijven graag een beroep willen doen op de cloud voor de opslag van back-ups, maar wel zoveel mogelijk op hun eigen voorwaarden.
Maar ondanks het feit dat organisaties voor een hybride oplossing kiezen die een mix omvat van verwijderbare opslagvoorzieningen, replicatie en private en publieke cloud-infrastructuren, staat of valt hun succes met de kwaliteit van hun back-upstrategie. Bedrijven zullen hun strategie pas verder ontwikkelen wanneer zij het gevoel hebben dat zij werkelijk kunnen vertrouwen in de mogelijkheden die tot hun beschikking staan.
Hiertoe hebben zij de onvoorwaardelijke hulp nodig van de ict-branche. Bedrijven, leveranciers en dienstverleners moeten samenwerken aan oplossingen voor netelige kwesties zoals compliance, privacy en informatiebeveiliging. De uiterst innovatieve nieuwe technologie voor cloud-opslag zal het mainstream gebruik van cloud-opslag pas kunnen stimuleren als deze wordt ondersteund door kennis, advies, ondersteuning en optimale klantenservice. Alleen dan is succes mogelijk.
Ewout, ik zal het oppervlakkig houden. Wat ik heb gehoord is dat security een shared responsibility is. De dienstverlener heeft een taak hierin en de afnemende organisatie (en de ontwikkelaars, et cetera). In de basis is dat ook wel zoals ik er zelf altijd in gezeten heb. Een secure infrastructuur met end-points op het internet die vervolgens SQL Injection toelaten levert een onveilige cloud op.
Perfecte security bestaat niet en het blijft een levend iets van actie en reactie.
Een ander aspect wat steeds terug kwam is dat “de business” security vaak nog steeds niet als top prioriteit ziet. Dus dat veilig zijn het af moet leggen tegen gemak, kosten, opbrengst, snelheid, en zo verder.
Juist omdat security voor een grote cloud provider paramount is, heb ik wel het idee dat zij een goede keus zijn in ieder geval voor de zaken die niet onder de hoogste confidentiality vallen.
Daarnaast zien we steeds meer mogelijkheden om versleuteling in de hele keten toe te passen. Helaas, worden de sleutels echter vaak nog beheerd door de providers wat inzage van overheden dus niet voorkomt.
@Henri
Term ‘shared responsibility’ klinkt uit jouw mond heel erg als de participatiemaatschappij als we kijken naar de praktijk waarin IT verantwoordelijk is voor het veiligstellen van alle data, de digitale continuïteit van de business. Wat sales director niet weet, diep weggstopt is in rapporten maar gangbare praktijk is dat bij meeste uitwijktesten IT een dikke USB-disk mee neemt met daarop data die niet veilig gesteld wordt in proces. Duizend-en-één datacontainers blijken niet alleen gemist te worden in back-up maar ook in configuratie management.
Nog zo’n proces wat graag aan IT overgelaten wordt terwijl het de basis van elk governance framewerk vormt. Betreffende opmerking dat beveiliging ‘paramount’ is voor grote providers denk ik dat je abuis bent, imago is leidend want geen één van de grote Amerikaanse providers neemt volgens mij ‘shared responsibility’ voor de data van Europese bedrijven zoals dat bijvoorbeeld gedefinieerd is in HIPAA. En dat is geen technisch maar een juridisch probleem wat we op kunnen lossen met encrytie maar dus wel een nieuwe uitdaging (en kosten) introduceert.
Ik heb trouwens alleen maar verhalen gezien en gehoord die uitgingen van ‘private’ oplossingen, veelal met aanvullende maatregelen. Ik zal er wel één suikerklontje voor krijgen maar ik denk dat Jan wat gemist heeft, al 20 jaar dus als je niet snapt dat uitbesteden geen ‘shared responsibility’ is als de controle niet op orde is. Betreffende onderwerp SaaS heb ik trouwens al eens wat geschreven in WA-verzekering in de cloud waar het ook om de data gaat en niet de service. Maar ik kan duizend-en-één keer zeggen dat de cloud bedrijven misschien Enterprise mogelijkheden geeft maar dat daar ook Enterprise verantwoordelijkheden bij komen.
Als je geen controle framewerk hebt ben je non-compliant, is ‘shared responsibility’ een farce en heb je dus uiteindelijk geen souvereniteit over je data.
Dat is zoiets als je tanks verkopen terwijl je geen vervangend wapensysteem hebt waardoor je aan de ‘goodwill’ van anderen overgelaten bent. Oftewel je bent net zo afhankelijk voor zowel je positie als de richting en snelheid doordat je geen eigen alternatieven hebt. Behalve misschien een oud kompas dat geen rekening houdt met de magnetische declinatie, de verschuiving van het ware noorden.
In computable verschijnen steeds vaker artikelen over afnemen van IAM services en zelfs uitbesteden van regie. Verder enthousiaste verhalen over gestapelde Cloud, waarbij de Cloud provider ook weer gebruik maakt van andere providers. Lekker core-businessen zonder moeilijk nerd-geneuzel. Als je al uitgaat van gedeelde verantwoording, want dit artikel spreekt alleen over verantwoording van de eindklant. Die kiest zijn provider kennelijk aan de hand van beveiligingsreputatie en geeft tegelijkertijd vaak aan dat men geen idee heeft waar de data staat en of dat de provider aan wettelijke en branche richtlijnen voldoet. Security by obscurity, maar dan dat ook de verantwoordelijken en uitvoerenden geen idee hebben. Soort woekersecurity 🙂
Reputatie : wachtwoordbeleid bij Apple, ICT onderzoek Ton Elias, SSL bij Diginotar, Ideal bij ING.
Voor de geïnteresseerden wellicht interessante links van video’s van twee individuen die ervoor gezorgd heeft dat de hele wereld is wat meer bewust is geworden van de veiligheid van internet. Privacy is zwaar onder druk komen te staan en er wordt zelf geadviseerd om Dropbox te droppen, met Facebook te stoppen en Google(+) te vermijden. In hoeverre zijn deze wijze woorden ook van toepassing op dit onderwerp?
http://www.newyorker.com/new-yorker-festival/live-stream-edward-snowden
http://www.ted.com/talks/glenn_greenwald_why_privacy_matters
Kijk Ewout hier ben ik het met je eens:
“dat de cloud bedrijven misschien Enterprise mogelijkheden geeft maar dat daar ook Enterprise verantwoordelijkheden bij komen”
Echter geldt die verantwoordelijkheid ook als je geen cloud gebruikt. Wanneer je een groep mensen mobiel wilt laten samenwerken is een eigen server (waarvoor geen beheerder is) niet de beste oplossing.
Helaas zie ik hier weer dat het labeltje “cloud” op van alles geplakt wordt, dat leidt tot diskussies over appels en peren.