Het is haast een psychologisch fenomeen; hoe eenvoudiger je het maakt om een product of dienst af te nemen, des te minder klanten zullen nadenken over de gevolgen van hun keuze. Je ziet dat vooral terug bij app-providers, die het voor elkaar krijgen dat we de gebruikersvoorwaarden niet eens meer lezen voordat we op 'Akkoord' klikken.
Nu veel bedrijven overstappen naar cloud-diensten als Office 365 of Google Cloud, zie je een soortgelijk fenomeen. Maar al te vaak wordt ervan uitgegaan dat de standaardinstellingen van deze leveranciers voldoen aan de wensen en eisen van de meeste gebruikers.
Er is dus vaak nog vaak een kloof tussen wat eindgebruikers verwachten en wat cloud-leveranciers standaard aanbieden. Dit kan voor misverstanden zorgen. Mijn ervaring is dat er vier misverstanden zijn die bij nagenoeg elke cloud-inrichting terugkomen.
1. Je hoeft geen back-up te maken van cloud-data
Als bedrijfsgegevens worden verplaatst naar Office 365 of een soortgelijke cloud-dienst, wordt maar al te vaak aangenomen dat het niet meer nodig is om een back-up te maken van deze data. Echter: het feit dat je data nu online beschikbaar is, betekent niet automatisch dat deze gegevens automatisch worden bewaard op een manier die goed voor het bedrijf is. Het is voor bedrijven van belang om na te denken over hoelang bepaalde data bewaard moet worden en of de cloud-leverancier daarin voorziet.
Het is goed om te realiseren dat een cloud-leverancier een service levert die toegang geeft tot applicaties en data gedurende de looptijd van het contract; dat betekent niet dat dit tot in lengte van dagen zo is. Daarom kan het verstandig zijn om een ouderwetse, lokale back-up te maken. Ook kan er sprake zijn van een bewaartermijn die wettelijk is vastgelegd of een eis dat data verwijderd wordt op een bepaald moment.
2. Gevoelige data is standaard beschermd
Cloud-leveranciers bieden een standaard bescherming voor data. Daarin maken ze geen onderscheid tussen bijvoorbeeld de foto’s van de laatste kerstborrel en de plannen voor een nieuw bedrijfsonderdeel. Met name voor kritische bedrijfsinformatie of gevoelige bestanden is het belangrijk om expliciet aan te geven dat het hier gaat om gevoelige data. Zo biedt Microsoft de mogelijkheid om automatische gegevensclassificatie toe te passen om te achterhalen welke data extra moeten worden beschermd. Maar ook hier geldt: deze optie moet je wel gebruiken.
Door je data simpel en duidelijk te classificeren is het ook gemakkelijker om deze te beveiligen. Met nieuwe oplossingen kunnen we steeds beter controleren waar, op welk apparaat en door wie belangrijke data kan worden bewerkt.
3. Data achter een inlog is per definitie veilig
We zijn het allemaal al jaren gewend – we melden ons ’s ochtends aan op onze werkplek met een gebruikersnaam en wachtwoord, om vervolgens onze mail en documenten te openen. Wat we echter niet mogen vergeten, is dat de data nu op een gedeeld platform staat. Iemand hoeft maar een inlognaam en wachtwoord te achterhalen en hij kan bij bedrijfsdata.
Bijna alle cloud-providers bieden mogelijkheden om de toegang tot applicaties en data te beschermen met meerdere factoren (bijvoorbeeld een SMS of pincode), maar dit moeten ondernemingen wel zelf activeren.
4. Uptime-cijfers uit het verleden geven geen garantie voor de toekomst
Leveranciers schermen vaak met uptime-garanties en beschikbaarheidscijfers uit het verleden, maar dat wil natuurlijk nog niet zeggen dat ze deze in de toekomst ook gaan halen. Het is daarom belangrijk om na te denken over de gevolgen voor de organisatie als deze SLA’s niet worden gehaald. Misschien zijn extra maatregelen wel noodzakelijk; ook hier begint het met vooraf nadenken over wat je als bedrijf afneemt.
Hoe eenvoudig de overgang naar de cloud ook mag lijken, het blijft belangrijk om zelf goed na te denken over de vereisten die je als organisatie stelt aan de beveiliging en beschikbaarheid van gegevens en applicaties. Dat begint met het formuleren van een datastrategie, waarin onderscheid wordt gemaakt tussen data die extra bescherming nodig hebben en overige data. Vervolgens moet in een securitystrategie uiteen worden gezet wie op welk moment en op welke manier toegang heeft tot deze gegevens. Een exitstrategie, tenslotte, zorgt ervoor dat je alvast nadenkt over hoe je eventueel kunt wisselen van providers. Een cloud-provider biedt immers uiteindelijk alleen de hosting aan van hardware en diensten; deze aanbieder kan ook failliet gaan of zijn prijzen of voorwaardes veranderen.
Het is nooit een goed idee om zomaar de standaard instellingen over te nemen. Zeker niet als het gaat om de beschikbaarheid van of toegang tot gevoelige bedrijfsgegevens.
Goed advies. Gemak van een dienst mag niet leiden tot gemakzucht en je SLA met MS, Amazon, Google, Apple is werkelijk weinig waard ze dekken hooguit je kosten voor die dienst, maar niet de schade die je leidt.
Met GDPR in aantocht en de steeds vaker voorkomende wens voor bijvoorbeeld een ISO27001 certificering wordt je wel gedwongen hierover na te denken en “wat als” scenario’s te maken.
Toegang tot data wordt trouwens steeds moeilijker te begrijpen en te controleren.
Want toegang met 2 staps verificatie (extra token, bijv. SMS) lijkt leuk, maar heel veel handige extensies van diensten vragen gewoon keihard toegang tot je data *ook* als je niet achter je PC zit en gebeurd en gaat dus voorbij aan 2 staps verificatie.
Dus ja, clouddiensten zoals genoemd zijn een verrijking, maar dat betekent niet dat het ook simpel is om het goed te doen.
Dus al dat gehype van enkele jaren geleden dat als je naar de cloud zou overstappen dat spontaan regenbogen verschenen en iedereen gelukkig zou worden klopt toch niet helemaal?
Elk IT systeem is onderhevig aan de wet van behoud van ellende.
ff samenvatten :
1) bescherm zelf je data tegen loss, maak backup
2) bescherm zelf je data tegen ongewenste toegang
3) vertrouw geen logins
4) zorg zelf voor uptime garantie
Wat waren ook alweer de voordelen van de Cloud, Henri ?
@Henri – precies wat ik bedoel. In de praktijk wordt er soms iets te eenvoudig (of te weinig) over nagedacht.
@Johan: hoewel je het nogal sterk formuleert, denk ik dat je in de kern gelijk hebt. Maar ik zie het meer als een ‘reality check’ dan als ‘behoud van ellende’.
@Dino: Dat is voer voor een andere blog. Maar om alvast een voorzetje te doen; schaalbaarheid, flexibiliteit, kosten, en zo zijn er nog wel een paar.
Schaalbaarheid, flexibiliteit en kosten van je eigen backups, je eigen security concerns, je eigen availability/continuity oplossingen ?
@Jaap, Dino loopt je maar te trollen, what’s in a name?
Jaap, nadenken is inderdaad niet te automatiseren. Standaard kiezen voor standaardopties van een systeem is nooit een goed idee. Ook uitgaan van de aanwezigheid van standaardfaciliteiten zonder dit te verifiëren, kan gevaarlijk zijn. Maar omgekeerd geldt ook dat je kunt kijken hoe en waarom voor een standaardinstelling of standaardflow is gekozen. In veel systemen zitten niet optimale of foute instellingen als gevolg van een ongezonde machtsstrijd binnen het bedrijf of verouderde gewoontes.
Henri,
Fijn dat je nu eindelijk gehoord hebt van GDPR waarin iets gezegd wordt over de data governance welke de standaardoptie in de cloud van DATAPORTABILITEIT verplicht maakt maar wat lastig is in te vullen als je verstrikt bent geraakt in gepatenteerde software voor informatietoegankelijkheid. Ik heb al eens wat geschreven over de uitgebreide exoneratieclausules, niemand neemt de moeit om de gebruiksaanwijzing van de cloud te lezen. Om even een ‘Rezaatje’ te doen:
https://www.computable.nl/artikel/opinie/cloud-computing/5020126/1509029/wa-verzekering-in-de-cloud.html
Als je graag uit de hoek wilt komen waarin jezelf geverfd hebt neem dan even contact met me op.
Ewout, waarom een reactie met toch altijd weer die sneer? GDPR was en is vooralsnog de IPv6 van de privacy en in schril contrast met andere krachten die spelen die precies doen wat de GDPR zou moeten voorkomen! Zou wel een dag zijn! Dat de NSA een verwerkingsovereenkomst met de AIVD zou tekenen met het recht om vergeten te worden. Vat je hem?
Maar goed, ik heb me inderdaad verdiept in de materie omdat ik nu eenmaal een bedrijf ben wat digitaal leren aanbiedt en GDPR nog wel wat e-learning kan gebruiken! Artikel heb ik voor 80% af en zal dat hier ook plaatsen. Het is niet saai, dus genoeg doelen om op te schieten voor je.
Overigens jouw “WA verzekering” die je voorstelt is een *extra* laag in complexiteit vanuit een GDPR oogpunt. Sed quis custodiet ipsos custodes?
Henri,
De sneer lijkt me terecht, je lijkt namelijk nog steeds niet bewust te zijn van fenomeen data. Veelal is dit het digitale residu van een proces waarbij je de data op kunt delen naar huidige (hete), referentie (lauwe) en historische (koude) data die gezamenlijk dus de enorme ‘databerg’ van vele exabytes vormt. En misschien heb ik dus jaren voorsprong op je aangaande het onderwerp want ik schreef in 2014 hier al over op grond van geconstateerde ontwikkelingen:
http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/briefingnote_/briefingnote_en.pdf
‘If a country loses data sovereignty (in exchange for #Microsoft patches), they also lose political sovereignty and security’ – Caspar Bowden
Die opmerking is interessant want als je informatietoegankelijkheid betreffende je data afhankelijk is van gepatenteerde software algoritmen dan heb je jezelf in de hoek laten verven aangaande je data portabiliteit. Prinicipe van ESCROW met software in mijn opinie ‘WA-verzekering in de cloud’ gaat net als bij de gepatenteerde software afhankelijkheid om de maatregelen die voor continuïteit zorgen bij een onderkent risico.
Data in een blik stoppen waarvan je de blikopener alleen maar kunt huren is niet handig zoals ik al schreef in opinie ‘Dot.com economie is nu Bedot.com economie’ in 2012 aangaande kennis over IT. Volgens mij staat er in de GDRP dan ook iets over de wijze van archiveren, wettelijke bewaartermijnen gaan veel bedrijven pijn doen als we kijken naar het recht om vergeten te worden. Van College Bescherming Persoonsgevevens naar Autoriteit Persoonsgegeven is meer dan een semantische verandering aangaande je ‘Quis custodiet ipsos custodes’ opmerking.
Nu is de GDPR uiteindelijk vooral een harmonisatie van eerdere wet persoonsbescherming binnen de EU omdat na 9/11 veel landen deze bescherming onder druk van Amerika afgezwakt hebben. Je opmerking over AIVD en NSA is dus misplaatst, ik kan nog wel ergens de brief van de Landsadvocaat vandaan toveren over het Amerikaanse oligopolie waar Bowden voor waarschuwde maar die blijkbaar onderin een bureaula verdwenen is. Leuk dat je een artikel gaat schrijven maar de vraag is welke bronnen je gebruikt want als ik kijk naar jouw technische, juridische en organisatorische kennis over data dan mis je dus elke realiteit rond het fenomeen van ‘data rentmeesterschap’ en daarom nodigde ik je uit voor een gesprek omdat het blik van de opslag (confidentiality) ook gaat om etiket van metadata (integrity) en de blikopener (accessibility) van het aloude CIA principe in de data governance. Je was niet aanwezig bij mijn presentatie op storage expo over probleem van digitale duurzaamheid aangaande het lifecycle probleem in ILM tussen de bewaartermijn van de informatie en de levensduur van de technologie waar de data uiteindelijk op bewaard wordt:
https://www.slideshare.net/edekkinga/digitaal-onvoltooid-verleden-tijdv2