'Voorkom meekijken Amerikaanse overheid in public cloud'

Afgelopen vrijdag kon niemand om het nieuws heen dat de Amerikaanse overheid de servers van een aantal grote Amerikaanse internetbedrijven gebruikt om consumentengegevens te bekijken. Zo kwam aan het licht dat de FBI en de staatsveiligheidsdienst chatgesprekken, e-mails, foto's en video’s bekijken met behulp van het programma PRISM. Volgens The Washington Post wordt gebruik gemaakt van de servers van bedrijven als Apple, Microsoft, Yahoo!, Google, Facebook, Skype en YouTube. Dropbox zou binnenkort worden toegevoegd.

De laatstgenoemde wordt veelvuldig gebruikt door medewerkers van bedrijven om grotere bestanden uit te wisselen. Afhankelijk van de geldende wet- en regelgeving in het land waar de documenten worden opgesteld en de industrie waarin de onderneming actief is, kan het opslaan en delen van documenten zelfs strafbaar zijn, of resulteren in een boete of reputatieschade. Proact biedt organisaties vijf tips over hoe ze bestanden veilig kunnen opslaan in de cloud.

1. Bekijk welke online tools er binnen de organisatie worden gebruikt om documenten op te slaan en te delen.

Vaak bestaat er bij de IT-afdeling wel het vermoeden dat er op het bedrijfsnetwerk verschillende cloud-applicaties of FTP-gebaseerde oplossingen worden gebruikt om documenten te delen en gegevens op te slaan, maar is er geen duidelijk inzicht in welke dat precies zijn. Zorg voor inzicht hierin en beoordeel of deze applicaties al of niet voldoen aan de voorwaarden die de onderneming stelt aan informatie-uitwisseling.

2. Achterhaal waar kritische bedrijfsgegevens staan opgeslagen.

Cloud-opslag kan heel veilig zijn. Maar organisaties realiseren zich onvoldoende dat bedrijfsgegevens mogelijk niet privé blijven wanneer de bestandsuitwisseldienst zijn data opslaat in de Verenigde Staten. Veel populaire file-sharing-diensten maken gebruik van Amazon S3 als opslagdienst voor klanten. Amazon S3 ondersteunt de Safe Harbor-principes en blijft over het algemeen met data van Europese klanten in Europa, waar strengere privacyregels gelden. De meeste gratis file-sharing-diensten zelf voldoen echter niet aan de Safe Harbor-principes. Dit betekent dat wanneer je niet oplet, bestanden alsnog opgeslagen kunnen worden op een server in de VS, waar momenteel nog minder strikte privacyregels gelden. Publieke cloud-diensten als Dropbox, Microsoft SkyDrive en Google Drive hebben hun servers in Amerika staan. Het gevolg: uw bestanden vallen onder het Amerikaanse rechtssysteem en dus ook onder de zogenaamde Patriot Act (Uniting and Strengthening America by Providing Appropriate Tools Required to Intercept and Obstruct Terrorism Act of 2001). Op deze manier kunnen gevoelige gegevens terechtkomen bij de Amerikaanse overheid en wellicht nog wel bij meer personen die niets met uw bestanden te maken hebben. Dit verandert in de toekomst naar verwachting wel, aangezien de Amerikaanse regering de wetgeving hieromtrent wil aanscherpen.

3. Bekijk de garanties ten aanzien van back-up en security.

Het is niet voor niets dat ondernemingen veel tijd en energie steken in het ontwikkelen en uitvoeren van het back-up- en security-beleid. Als bedrijfsgegevens in verkeerde handen komen of verloren gaan, is de schade niet te overzien. Daarom is het belangrijk om ook vanuit dit perspectief te kijken naar de applicaties die medewerkers gebruiken. Wanneer een leverancier onvoldoende garanties geeft ten aanzien van dataopslag, hoort deze niet thuis op de werkvloer.

4. Inventariseer de medewerkerswensen.

Het gebruik van publieke cloud-diensten door medewerkers geeft een goed inzicht in wat medewerkers belangrijk vinden als het om samenwerken gaat. Wanneer zij slechts de beschikking hebben over gebruiksonvriendelijke applicaties, is het niet verwonderlijk dat zij zelf op zoek gaan naar alternatieven. Om weer grip te krijgen op IT, moeten ondernemingen weten waar medewerkers behoefte aan hebben en hen een veilig alternatief bieden. Wanneer de geboden oplossing het leven van de medewerker eenvoudiger maakt, zal die ook gebruikt worden.

5. Private, enterprise of publieke cloud.

Niet alle informatie is vertrouwelijk en dus is het in sommige gevallen geen enkel probleem wanneer gegevens in de publieke cloud uitgewisseld worden. Maak hierbij wel onderscheid tussen data die door consumenten wordt gebruikt, en bedrijfsinformatie. Deze laatste categorie is per definitie als kritisch te bestempelen en zou daarom altijd in een enterprise of publieke cloud opgeslagen moeten staan. Door gradaties aan te brengen in data, valt te bepalen welke gegevens in welke cloud-omgeving zijn op te slaan. Gevoelige informatie die langdurig bewaard moet blijven en die die niet buiten de muren van een locatie mag komen,, is het beste op te slaan in een private cloud. Is dat laatste geen vereiste, dan kan de data ondergebracht worden in een enterprise cloud waar gevoelige informatie eveneens langdurig en veilig bewaard kan worden. Informatie die niet cruciaal is, maar wel snel beschikbaar moet zijn, is ook in een publieke cloud op te slaan of te delen. Maar dit is, zoals gezegd, alleen geschikt voor data van consumenten.