Het is haast een psychologisch fenomeen; hoe eenvoudiger je het maakt om een product of dienst af te nemen, des te minder klanten zullen nadenken over de gevolgen van hun keuze. Je ziet dat vooral terug bij app-providers, die het voor elkaar krijgen dat we de gebruikersvoorwaarden niet eens meer lezen voordat we op 'Akkoord' klikken.
Nu veel bedrijven overstappen naar cloud-diensten als Office 365 of Google Cloud, zie je een soortgelijk fenomeen. Maar al te vaak wordt ervan uitgegaan dat de standaardinstellingen van deze leveranciers voldoen aan de wensen en eisen van de meeste gebruikers.
Er is dus vaak nog vaak een kloof tussen wat eindgebruikers verwachten en wat cloud-leveranciers standaard aanbieden. Dit kan voor misverstanden zorgen. Mijn ervaring is dat er vier misverstanden zijn die bij nagenoeg elke cloud-inrichting terugkomen.
1. Je hoeft geen back-up te maken van cloud-data
Als bedrijfsgegevens worden verplaatst naar Office 365 of een soortgelijke cloud-dienst, wordt maar al te vaak aangenomen dat het niet meer nodig is om een back-up te maken van deze data. Echter: het feit dat je data nu online beschikbaar is, betekent niet automatisch dat deze gegevens automatisch worden bewaard op een manier die goed voor het bedrijf is. Het is voor bedrijven van belang om na te denken over hoelang bepaalde data bewaard moet worden en of de cloud-leverancier daarin voorziet.
Het is goed om te realiseren dat een cloud-leverancier een service levert die toegang geeft tot applicaties en data gedurende de looptijd van het contract; dat betekent niet dat dit tot in lengte van dagen zo is. Daarom kan het verstandig zijn om een ouderwetse, lokale back-up te maken. Ook kan er sprake zijn van een bewaartermijn die wettelijk is vastgelegd of een eis dat data verwijderd wordt op een bepaald moment.
2. Gevoelige data is standaard beschermd
Cloud-leveranciers bieden een standaard bescherming voor data. Daarin maken ze geen onderscheid tussen bijvoorbeeld de foto’s van de laatste kerstborrel en de plannen voor een nieuw bedrijfsonderdeel. Met name voor kritische bedrijfsinformatie of gevoelige bestanden is het belangrijk om expliciet aan te geven dat het hier gaat om gevoelige data. Zo biedt Microsoft de mogelijkheid om automatische gegevensclassificatie toe te passen om te achterhalen welke data extra moeten worden beschermd. Maar ook hier geldt: deze optie moet je wel gebruiken.
Door je data simpel en duidelijk te classificeren is het ook gemakkelijker om deze te beveiligen. Met nieuwe oplossingen kunnen we steeds beter controleren waar, op welk apparaat en door wie belangrijke data kan worden bewerkt.
3. Data achter een inlog is per definitie veilig
We zijn het allemaal al jaren gewend – we melden ons ’s ochtends aan op onze werkplek met een gebruikersnaam en wachtwoord, om vervolgens onze mail en documenten te openen. Wat we echter niet mogen vergeten, is dat de data nu op een gedeeld platform staat. Iemand hoeft maar een inlognaam en wachtwoord te achterhalen en hij kan bij bedrijfsdata.
Bijna alle cloud-providers bieden mogelijkheden om de toegang tot applicaties en data te beschermen met meerdere factoren (bijvoorbeeld een SMS of pincode), maar dit moeten ondernemingen wel zelf activeren.
4. Uptime-cijfers uit het verleden geven geen garantie voor de toekomst
Leveranciers schermen vaak met uptime-garanties en beschikbaarheidscijfers uit het verleden, maar dat wil natuurlijk nog niet zeggen dat ze deze in de toekomst ook gaan halen. Het is daarom belangrijk om na te denken over de gevolgen voor de organisatie als deze SLA’s niet worden gehaald. Misschien zijn extra maatregelen wel noodzakelijk; ook hier begint het met vooraf nadenken over wat je als bedrijf afneemt.
Hoe eenvoudig de overgang naar de cloud ook mag lijken, het blijft belangrijk om zelf goed na te denken over de vereisten die je als organisatie stelt aan de beveiliging en beschikbaarheid van gegevens en applicaties. Dat begint met het formuleren van een datastrategie, waarin onderscheid wordt gemaakt tussen data die extra bescherming nodig hebben en overige data. Vervolgens moet in een securitystrategie uiteen worden gezet wie op welk moment en op welke manier toegang heeft tot deze gegevens. Een exitstrategie, tenslotte, zorgt ervoor dat je alvast nadenkt over hoe je eventueel kunt wisselen van providers. Een cloud-provider biedt immers uiteindelijk alleen de hosting aan van hardware en diensten; deze aanbieder kan ook failliet gaan of zijn prijzen of voorwaardes veranderen.
Het is nooit een goed idee om zomaar de standaard instellingen over te nemen. Zeker niet als het gaat om de beschikbaarheid van of toegang tot gevoelige bedrijfsgegevens.
Een kaart is niet het landschap, het is een simplificatie om te helpen in het landschap bijvoorbeeld de weg te vinden. In slide 3 van je onderste link gebruik je overigens het recht om vergeten te worden niet zoals het bedoeld is. Eén van de problemen die je aankaart is de moeite die het kost om te voldoen aan “Recht op inzage” ( https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/recht-op-inzage ).
Want zeker in een scenario van het opslaan van scans met persoonsgegevens welke verdwijnen in een archief of back-up zijn erg moeilijk op te halen na zo’n verzoek.
Ik snap dat.
Diensten op het internet zijn veelal niet transparant over hoe er met data wordt omgegaan, overigens geldt dit vaak ook voor de interne organisatie.
De trend nu is dat veel bedrijven steeds meer mogelijkheden bieden om data af te schermen van wie dan ook. Samen met goede gewoontes leiden deze tot vertrouwelijkheid en compliance.
Je suggesties aangaande mijn kennisniveau vind ik jammer en zeggen meer over jou dan over mij.
Laten we het professioneel houden?
GPDR is juist een mooie stok achter de deur om bedrijven te dwingen om zich te houden aan minimale standaarden. Want het is nodig gezien de aantallen wekelijkse lekken die optreden.
Henri,
Er zit een wezenlijk verschil tussen het delivery model van services en het plaatsingsmodel van data, een kaart is misschien niet het landschap maar helpt wel om te navigeren. In slide 3 zet ik dan ook een vraagteken bij ‘het recht om vergeten te worden’ en een potje Tipp-ex omdat ik in slide 5 aangeef dat er een verschil zit tussen data (blik) en metadata (etiket) als het om de governance ervan gaat omdat het uiteindelijk niet de business is die de bewaartermijnen bepaalt.
De wijze waarop de papierstroom is gedigitaliseerd levert inderdaad steeds vaker problemen op met persoonsgegevens die niet alleen in het document (data) zitten maar ook de metadata. De Systems of Engagement in de cloud zijn nimmer ontworpen vanuit compliance en semantische ‘content crawlers’ conflicteren steeds vaker met de principes van vertrouwelijkheid en integriteit. Want slide 4 gaat uiteindelijk om het kunnen terug vinden van het bonnetje, zelfs als de organisatie gewijzigd is.
Dat ik enig kennis gebrek bij je constateer komt doordat je in veel reacties een eenzijdige focus hebt op services. Je mist vaak het ‘enterprise lifecycle’ probleem dat dus in de afstemming van de keten zit. Vergeet niet dat veel vertrouwelijkheid gebaseerd is op de clausules (klokkenluider?) in arbeidscontracten en AIVD waarschuwt voor het verlies van dit kernbelang door uitbesteding.
Altijd jammer, als de zelfbenoemde experts de narcist gaan uithangen met hautain gedrag, daarbij pochend met eigen prestaties en artikelen uit een ver verleden alsof deze enige juridische basis bezitten.
Michel de Rooij,
Zo jammmer dat sommigen nog niet begrijpen dat door het All People Seems To Need Data Processing
principe ‘status quo’ van de juridische basis aangaande data wankelt. Batavus Droogstoppel van de cloud noemt zich expert digitale transformatie maar draait al jaren om dit onderwerp heen. Ook gij, Brutus komt niet verder dan een argumentum ad hominem door niet inhoudelijk in te gaan op reacties. Precies dus als Henri die altijd zegt dat de beheerders serverknuffelaars zijn terwijl het juridische eigendom van de data onduidelijk is omdat er geen sprake is van stoffelijke goederen.
Ja, ja het klinkt hautain maar er zit een verschil tussen beheersbaarheid en beheerbaarheid. Het gemak waarmee je data kunt verplaatsen zegt nog niets over de mogelijkheden om deze te kunnen overzien.
Ik reageerde sec omdat gebruikte bewoordingen en stijl van je reacties me opvielen – in negatieve zin. Waarvan akte.
@Ewout
je zegt heel zinnige dingen maar je verpakt het beroerd, ondanks dat, blij dat je weer aktief bent.
Dit:
“er zit een verschil tussen beheersbaarheid en beheerbaarheid”
treft de kern van veel problemen.