Het is fascinerend te zien hoe vooroordelen de perceptie van innovaties beïnvloeden. Zo is het begrip cloud voor veel mensen naadloos verbonden met het gebrek aan security. In sommige gevallen is dat oordeel terecht, maar vaak ligt de situatie genuanceerder.
Kijk bijvoorbeeld naar de manier waarop medewerkers gewend zijn documenten te delen of te verplaatsen van het ene naar het andere systeem. Lang gebeurde dit door middel van floppy’s of memory sticks. Deze datadragers werden zelden of nooit beveiligd, raakten makkelijk verloren en mensen ‘leenden’ ze zonder veel aarzelingen aan elkaar uit, zonder eerst te controleren welke bestanden er nog op stonden.
Niet voor niets is bij veel thin clients de usb-poort uitgeschakeld door de it-afdeling. Zo verdwijnen documenten niet naar vreemde hardware (en blijven ook virussen die via een usb-poort binnenkomen, buiten het netwerk).
In vergelijking met deze risicovolle manier van het omgaan met bestanden is een dienst als Dropbox een stuk veiliger, of het versturen van documenten door medewerkers naar een eigen Gmail-account ‘om er thuis nog aan te werken’. De perceptie dat een cloud-product onveiliger is dan de praktijk die het vervangt, gaat dus niet per definitie op. Toch concentreren we ons vooral op de onveiligheid van Google Drive of Dropbox – en terecht, want cybercriminelen voeren actief aanvallen uit op onlinediensten, niet op usb-sticks.
Briefgeheim in de cloud
Juist de cloud biedt ondernemingen de kans om het delen van documenten echt controleerbaar en veilig te maken; daarom kwamen er oplossingen als Onedrive op de markt, een omgeving binnen de bestaande Microsoft-omgeving die het delen van documenten faciliteert. Beheerders kunnen medewerkers een account geven – maar dit ook weer opheffen bij beëindiging van het dienstverband. Synchronisatie kan ook offline doorgevoerd worden en encryptie is mogelijk.
Je zou, kortom, kunnen zeggen dat door een oplossing als Onedrive in te zetten, het delen van documenten net zo veilig is als het sturen van een brief onder het briefgeheim.
Veel belangrijker dan de technische aspecten van een beveiligde manier voor het delen van documenten is de impact die het heeft op organisaties. Door een dienst als Onedrive in te zetten, laat het management zien dat het begrijpt dat medewerkers apparaten willen syncen en documenten willen delen. Het geeft aan dat het management onderkent dat dit sharen ook betekent dat medewerkers zo beter kunnen samenwerken. Het definieert meteen ook gewenst gedrag: het delen van documenten gebeurt binnen het bedrijf op een voorgeschreven manier – dus niet via memory sticks of Dropbox.
Het delen van informatie is daarmee een beheersbaar item geworden. De organisatie kan er grip en regie op uitoefenen. Ze biedt zo de medewerkers een vorm van gecontroleerde vrijheid aan.
Dit is – zoals Henri vaak poogt te zeggen over mijn pennevruchten – een gevalletje klok wel horen luiden maar geen idee hebben waar de klepel hangt. Zo is me geheel onduidelijk welke versie van Onedrive hier nu precies bedoeld wordt, de voormalige Skydrive voor consumenten of de business versie?
Maar laten we uitgaan van laatste en kijken naar wat Microsoft op de battlecard zelf eigenlijk zegt van het product: “Include OneDrive for Business in every Office 365 conversation, educate your customers and proactively explore if they are using competing solutions.” En aangezien een flink aantal stukken tekst van battlecard letterlijk hier weer terug komt lijkt deze opinie een vertaalde marketingfolder.
Zoals Bruce Schneier het altijd zegt “Security is a process, not a product” en daarom denk ik dat je met Onedrive ook helemaal niets oplost in het document beheer. Je voorkomt alleen met een goed rechtenbeheer dat medewerkers de interne administatie naar een USB-stick kopieëren en meenemen naar een concurrent of de media. Dat Onedrive in tegenstelling tot veel andere oplossingen AD aware is wil nog niets zeggen over de beveiliging zelf als de basis niet op orde is.
“Door een dienst als Onedrive in te zetten, laat het management zien dat het begrijpt dat medewerkers apparaten willen syncen en documenten willen delen.”
Volgens mij zit het management nu met de billen samengeknepen te wachten op de volgende klokkenluider, Ordino en Crap Gemini liggen nu op het rad van Cozijnsen doordat het delen van informatie inderdaad zo makkelijk is gemaakt. Het is bijna een omgekeerde encryptie in de vorm van ransomware nu blijkt dat allerlei gevoelige informatie open en bloot in de front-office staat. En welke organisatie heeft de AD trouwens op orde en daarmee een goed functionerend RBAC mechanisme?
Dropbox, onedrive, googledrive etc. zijn allemaal “poor man’s solutions”
Het is niks meer dan een veredelde netwerkdrive waarop je documenten deelt, alleen is deze netwerkdrive nu vanuit alle uithoeken van de wereld beschikbaar.
Wil je echt cloudbased samenwerken aan documenten, kijk dan eens naar omgevingen als collab.net, IBM smartcloud, atlassian ondemand et cetera. Het versiebeheer dat deze omgevingen bieden is vele malen geavanceerder dan wat de drop-drives bieden, waardoor je echt kunt “samenwerken” en zien wie wat wanneer gewijzigd heeft.
Zoals Pa Va Ke al stelt, dit zijn oplossingen die niets met professioneel werk te maken hebben.
Een direktie die dat als voorbeeld promoot verdient het faillisement.
Er zijn bergen collaboration oplossingen, betaald en licentievrij waar je een veel betere service krijgt. Versiebeheer is er 1 van.
Een licentievrij voorbeeld is owncloud, dat is momenteel in de mode en biedt veel, vooral de mogelijkheid het op de eigen server te draaien.
Dan is zelfs Ewout tevreden.
“Ze biedt zo de medewerkers een vorm van gecontroleerde vrijheid aan.” is wat mij betreft een prima slotzin als het woordje “zo” wordt weggehaald. Zoals het er nu staat is het, zoals al aangegeven, veel te kort door de bocht met alle risico’s dat je er alsnog flink uitvliegt.
@Jan
Toch opmerkelijk dat telkens weer ingevuld wordt wat ik niet gezegd heb, geschreven of gedacht want ik stel volgens mij vrij duidelijk dat het om rechtenbeheer gaat. En in zekere mate ook het versiebeheer als je met allerlei kopieën – al dan niet in de cloud – gaat werken. PaVaKe brengt aangaande wie wat en wanneer iets gewijzigd heeft de audit naar voren welke volgens mij begint met de wie.
Mijn eerdere vraag staat nog steeds open want hoe goed is de Active Directory of welke andere gebruikers repository dan ook bijgehouden?
Zie wat dat betreft een ander opinie over de rijkspassen, slecht beheer ervan als argument gebruiken voor vervanging is precies de truc die Microsoft uithaalt met hun verkooppraatje aangaande Onedrive. Let even op wat ik schrijf over de context van deze opinie, de koppelverkoop die alle bellen zou moeten laten afgaan bij ACM. Op die manier is een initiatief als OwnCloud namelijk dus al bij voorbaat kansloos.
@ewout,
Je klinkt als vreedzame Caine uit die Kung fu serie van jaren 70 : “why do they always want to fight me ?” 🙂
Aangezien dit binnen mijn opinie veld valt zal ik ook mijn plasje doen.
Ewout, jij weet prima waar de klepels hangen, alleen ben ik soms de klok kwijt. En als we het hebben over namen van producten dan is Microsoft extreem slecht daarin. SkyDrive Pro was de sharepoint variant van SkyDrive. SkyDrive werd OneDrive en nu is de Pro versie dus “For business” gaan heten. Onder de motorkap zijn het twee totaal verschillende producten, maar MS kan het nog gekker maken. Zo heet Windows Azure tegenwoordig Microsoft Azure, maar heeft de SQL database binnen Azure al 6 verschillende namen gehad! Nu weet ik niet eens meer hoe het heet, ik denk dat het nu Microsoft Azure SQL Database heet. Dus niet alleen kun je bestanden kwijt raken in het bos, maar hele producten!
PaVaKe, ik vind de OneDrive’s, Dropboxen, Google Drive, Box, et cetera geen poor man solutions. Het is *veel* meer dan een veredelde netwerk drive, wat een groot voordeel is, maar ook een nadeel. Zo kun je bestanden makkelijk integreren, delen, er *tegelijkertijd* aan werken, labellen, versie geschiedenis en nog heel veel andere dingen zoals audit en ga zo maar verder. Ik zie het echt als een misverstand als je de potentie van de oplossing zo bestempeld.
However, het is niet allemaal wel en wee in cloud land. Zo begrijp ik nog niet volledig het rechten systeem binnen sommige eco-systemen. Add-ons vragen om rechten zonder dat het duidelijk is hoe ver die strekken, of onder welke user context deze worden uitgevoerd. Ook kun je extensies installeren op je browser, apps koppelen van andere leveranciers en is dit potentieel een beheer nachtmerrie. Nu heb je weer allemaal governance tools waarmee je devices kunt beheren en bijvoorbeeld kunt verbieden dat er buiten de organisatie of bijvoorbeeld AD gedeeld kan worden, of kun je third party apps blokkeren, alleen kom je daarmee weer in het spanningsveld wat je ook bij SaaS ziet. De business wil het en als je niet goed op let, regelen ze het buiten de IT afdeling om. Je zult dus een middenweg moeten vinden.
Dan heb je nog dat die “leverage” tools gebruikt wordt door gebruikers die niet security aware zijn en daarmee heb je ook het grootste risico te pakken.
Het blokkeren van tools levert shadow it op. Ik pas een tijd geleden bij een ministerie waar ze moesten lachen om de cloud want “dat kwam er bij hun niet in”. Vervolgens bleken meer dan 70% van de mensen toch wel eens Dropbox, Gmail, WeTransfer zakelijk te gebruiken, dus in hoeverre kun je dan zeggen dat de overheid geen publieke cloud gebruikt?
Dan heb je nog de dimensie… overheid. Zowel Amerikaanse als Nederlandse. Want dat Microsoft, Google, Dropbox, Amazon, et cetera hun security goed op orde hebben lijkt mij duidelijk. Maar als vervolgens de overheid toegang heeft, wat betekent dit dan voor veiligheid? En nu zie je dat EU zijn privacy wetgeving wil verscherpen. Als de soep echt zo heet gegeten word, dan hebben veel bedrijven een probleem. Niet alleen qua compliance, maar dat ze ook nog terug gegooid worden in de tijd en de concurrentiepositie direct bedreigd wordt.
Want je kunt je verzetten tegen al deze nieuwerwetserij, maar wat ik in de praktijk zie is dat er nu hard bedrijven omvallen omdat hun concurrentiepositie verslechterd door een totaal veranderende markt. Ik zeg niet dat dit alleen door cloud computing komt, meer door Internet in het algemeen, maar ik zie op heel veel vlakken grote verschuivingen. Dingen die tien jaar geleden werkte, werken nu niet meer. Dat merk je niet alleen maar in het verhandelen van producten, maar ook om toegevoegde waarde te kunnen leveren. Ik verwacht de komende jaren nog wel een grote verdieping in wat in 2008 als financiële crisis begon.
To wrap it up: Het delen van documenten is een uitdaging in een interconnected wereld. Je moet aan de ene kant mee om wel duizend verschillende redenen, maar het is niet gemakkelijk. De techniek is in een hoog tempo wel op orde gekomen, maar om dit duurzaam te laten landen in een organisatie is gewoon een pittige uitdaging.
En wat betreft het uitlekken: Ook daar is techniek niet de driver van, maar nog steeds de mens in een maatschappij die enerzijds transparanter word, maar aan de andere kant ook griezeliger en minder transparant.
Het gaat hier niet om gelijk, of ongelijk, want dat hangt van vele parameters af. Een goed advies voor de ene organisatie is een ramp voor de andere.
Het is niet in mijn aard om bij de conservatieve kant aan te sluiten.
All,
Het nadeel van dit soort tooling is dat het vaak minder secure is dan vooraf gedacht wordt. Publieke clouds vereisen nu eenmaal wat meer aandacht als het gaat om security.
In mijn ogen zijn de requirements van groot belang en leading. Te vaak wordt er vanuit de tooling gekeken wat je er mee kan. En dat is nu juist de grootste fout die je hier kunt maken. Wat wil je er mee en wat past er qua technologie het beste bij is de belangrijkste vraag. De ene keer kan dit iets van MS zijn en de andere keer is dat weer een andere technologie.
Vragen zoals hoe wil je het ontsluiten? Welke devices moeten er bij kunnen ( object/file based toegang ) . Hoe dient de beveiliging ingeregeld te worden? Waar dient de data beschikbaar te zijn? Vooral de laatste is van groot belang bij de multi-nationals van deze wereld. Ik heb ooit eens een private data cloud ontworpen voor een organisatie met een vestiging in Duitsland. En daar mag bepaalde data niet de grens over. Daar moet je natuurlijk wel rekening mee houden.
De focus in dit stuk ligt te veel op MS. Er is natuurlijk veel meer beschikbaar. Er zijn private data cloud oplossingen zoals EMC Atmos. Maar private betekent wel een investering in ijzer. En er zijn leuke public cloud offerings zoals Mozy, Oxygen, Ctera beschikbaar. Vooral de support voor file en objectbased toegang is van groot belang.
@Henri
Zoals ik ook naar Jan reageerde, het begint bij de basis.
Dat Microsoft marketingtechnisch de namen van allerlei verschillende producten veranderd zorgt niet voor een betere beveiliging. Lees wat dat betreft nog even ‘Trustworthy Computing gaat om de data’ terug en dan met name de citaten van Caspar Bowden, voormalig privacy strategist bij Microsoft. Of je data op een fileshare, USB-stick of ergens in de cloud opslaat is een discussie over het medium en ik meen me te herinneren dat ik het hier in de eerste plaats dus over de toegang had.
Vergelijk het met je huis en een hotel, bij eerste heb je niet alle kamers op slot en volstaat een sleutel voor de voordeur terwijl bij laatste elke kamer afzonderlijk is afgesloten. Kan er ontzettend naast zitten maar het lijkt me gewoon niet handig om op basis van het ‘voordeursleutel’ principe de cloud in te gaan. Dat is dus geen verzet tegen nieuwerweterserij maar gewoon een reactie op de zwetserij van security is een product.
Ik zal mijn vraag een stukje moeilijker maken, RBAC is tenslotte een model dat uitgaat van Discretionary Access Control (DAC) waarbij de ACL meestal door de eigenaar veranderd kan worden. Zeg maar zoiets als een sleutel van je voordeur bij laten maken waarna je het aan bezoeker overlaat of deze de deur van eigen kamer wel of niet op slot doet. Uitdaging bij op DAC gebasseerde oplossingen, met name als het webservices betreft is dat je de beveiliging kunt omzeilen. Zie hier het probleem van alle digitale kopieën die soms een geheel eigen leven gaan leiden doordat de beveiliging meestal niet onlosmakelijk aan het object zelf is verbonden.
Onedrive, Dropbox, Box en vele anderen zijn wel degelijk poor man’s oplossingen als je niet een vorm van in- en uitchecken hebt zoals PaVaKe aangeeft in zijn reactie en ik ook stel in mijn eerste reactie. Want een Mandatory Access Control (MAC) legt – via document management oplossingen – niet alleen security policies op voor het gehele systeem maar kan deze ook nog eens in één keer van boven aan passen. Zeg maar zoiets als dat de sleutel van je hotelkamer in één keer niet meer werkt als je als gast uitgecheckt bent. Nu is het alleen nog maar de vraag voor welk hotel je kiest, low budget één ster waar je last hebt van de andere gasten of toch liever een vijf sterren accomodatie.
Kleine uitdaging in Information Flow Control vraagstuk is dat je controle hebt over de ingaande stroom maar steeds minder over de uitgaande want zoals ik als stelde wordt souvereniteit over je data steeds moeilijker omdat: “Cloud services brings jurisdiction and regulation considerations, which can directly influence the way in which data is managed and governed, in addition to raising issues concerning liability, enforcement, and compensation” En dat Luke Skywalker is niet een keus tussen de duistere conservatieve kant en de ‘future is bright’ van de techniek maar een gezonde afweging van de risico’s en maatregelen zoals ik in 2010 al beschreef in een opinie over alle ‘covert’ communicatiekanalen die we tegenwoordig hebben.
@Ewout
Owncloud is eigenlijk een gewone webapplikatie die je op je eigen server onder je eigen beheer en eventueel ook alleen lokaal kunt draaien.
Er bestaan zo enorm veel oplossingen op dit gebied dat en blik op de volgende website een beetje kan helpen de verwarring te vergroten.
http://en.wikipedia.org/wiki/List_of_collaborative_software
De dropbox, google en ms oplossingen bevallen me niet vanwege de matige beveiliging en de beperkte mogelijkheden.
Wanneer je een oplossing in deze richting wilt realiseren moet je eerst een lijstje met eisen en wensen maken en dan afstrepen, dat doen helaas erg weinig mensen.