Redactie - 12 april 2014

Out of the cloud before you get in?


Is de cloud dé oplossing voor alle IT-problemen? JerryRozeman, Chief Technology Officer bij PQR, durft dit in twijfel te trekken. “De afgelopen jaren is meerdere malen gebleken, dat er grote risico’s aan overmatig cloudgebruik verbonden zijn. Op het gebied van privacy, maar ook als het gaat om beschikbaarheid. Dat laatste heeft veel meer impact dan we ons realiseren! Het wordt tijd dat we ons afvragen of het nog verantwoord is om zomaar allerlei applicaties in de public cloud te plaatsen.”  

FaillissementNirvanix
Voorbeelden zijn er al, de eerste cloudproviders zijn failliet en de ophef over PRISM en NSA ligt bij iedereen nog vers in het geheugen. “In september 2013 werd het faillissement van Nirvanix, een grote Amerikaanse cloud serviceprovider, bekendgemaakt. Paniek brak uit; iedereen die van de Nirvanixcloud gebruikmaakte werd gesommeerd om binnen twee weken zijn data weg te halen. Over het hoe, waarom en waarheen had niemand nog nagedacht. De hele industrie reageerde meteen en uiteindelijk heeft niemand gerapporteerd data te hebben verloren. Het werd wel heel duidelijk dat informatie in de cloud kwetsbaar is.”

Wereldwijd leidde dit tot een enorm debat rondom cloud. Want niemand hield rekening met de gevolgen van een failliete cloud provider of een cloud provider die zijn dienstverlening stopte.

EPD in de cloud
“Dichterbij huis is er het voorbeeld van Infotechnology, de Application-as-a-Service provider voor de zorgsector, die failliet ging in maart 2011. Infotechnology verzorgde het dataverkeer voor de elektronische patiëntendossiers voor een groot aantal huisartsen, apothekers, fysiotherapeuten en GGD-instellingen. Het bedrijf raakte in grote financiële problemen en er werd een faillissement aangevraagd. Infotechnology heeft de data en applicaties van de huisartsenpraktijken gemigreerd naar derde partijen – twee KPN en een Vancis Advanced ICT Services datacenter– zodat de dienstverlening kan blijven doorgaan. Huisartsen hebben meerjarencontracten afgesloten, maar hebben eigenlijk geen idee met wie en waarvoor. De afhankelijkheid is enorm omdat alle applicaties en patiëntinformatie via Infotechnology zijn opgeslagen.”

“Naast faillissementen kunnen cloud providers ook gewoon ophouden met het leveren van een bepaalde dienstverlening. Zo is Symantec gestopt met het aanbieden van hun BackupExec.cloud service en beëindigde EMC de Atmos online cloud storage dienstverlening. Wijze les die we uit deze voorbeelden kunnen trekken: cloud en opslag in de cloud zijn geen oneindig beschikbare middelen; gebruikers moeten zelf voor het veiligstellen van hun data zorgen. De aanbieders voelen zich daar niet voor verantwoordelijk!”

Eén op de vier cloud providers verdwenen in 2015
Gartner voorspelt dat één op de vier cloud providers in 2015 verdwenen of overgenomen zal zijn. Bovengenoemde problemen zullen dus steeds vaker voorkomen. De gevolgen zijn nog niet te overzien. Duidelijk is wel dat bedrijven in deze situaties onvrijwillig te maken krijgen met een dienstverlening die ineens niet meer beschikbaar is. “Zij moeten zelf bedenken hoe zij hun diensten kunnen continueren. Zij zijn zelf verantwoordelijk voor de migratie van hun data; eencloud provider geeft hopelijk wat tijd voor datamigratie. Bij een faillissement rijst zelfs de vraag of dat nog mogelijk is!Ieder bedrijf dat met een cloud provider zaken doet, moet zich dus realiseren dat het zelf verantwoordelijk is. Natuurlijk spelen cloud providers hierop in door Service Level Agreements (SLA) aan te bieden. Maar zoals blijkt uit bovenstaande biedt ook dit alleen een schijngarantie.”

Waaruit bestaat de data?
Bij een faillissement is de curator bepalend voor het toegang geven tot de failliete cloud. Wetgeving op dit vlak is er echter niet. “Je kan jezelf de vraag stellen van wie de data in de cloud is. En het gaat niet alleen om data, ook om hardware in de cloud (IaaS) en applicaties (SaaS) in de cloud. IaaS-gebruikers moeten zich afvragen hoe zij de informatie die op de infrastructuur staat terug kunnen krijgen. Voor SaaS-gebruikers is het nog iets gecompliceerder: hun informatie is aan applicaties uit de cloud gekoppeld. Hierdoor is niet alleende vraag ‘kan ik mijn data terugkrijgen?’, maar ook de vraag’kan ik er dan nog wat mee?’, ineens van belang. Hoewel er Escrow regelingen bestaan, bieden zij geen garanties voor een willekeurig cloudsoftwarepakket. De rol van de overheid in deze situaties is onduidelijk. Wetgeving ontbreekt.”

Rol voor de overheid
Als een land grootschalig diensten van cloud providers afneemt vormt de cloud provider een onderdeel van het ecosysteem van het land. Zou de overheid zich dan niet in deze markt moeten mengen? “De dienstverlening is zeker van economisch belang en wetgeving schiet tekort. We hebben het nu puur over beschikbaarheid. Het is daarom belangrijk dat organisaties zich afvragen welke afhankelijkheid er ontstaat wanneer zij zaken afnemen bij een cloud provider.Als we kijken naar KPN-Getronics en de bijna-overname door het Mexicaanse telecombedrijf AméricaMóvil, zien we hoever deze afhankelijkheid reikt. Een belangrijk deel van de communicatie-infrastructuur van Nederlandhad in handen kunnen komen van een buitenlandse commerciële partij. Of denk eens na over de gevolgen van het niet functioneren van de netwerken van KPN of Vodafone. Complete communicatiestromen worden afgekapt. Een ander voorbeeld is de thuisgebruiker met een alles-in-één-pakket. Hij is volledig afhankelijk van één leverancier voor alle communicatie. Als er iets mis gaat, doet niks het meer.“

Cloud dilemma
“De cloud zorgt voor een dilemma. De propositie van (werken in de) cloud was dat alles eenvoudiger en  goedkoper werd, maar met het bovenstaande in gedachten verandert dit plaatje compleet. In het kader van beveiliging en beschikbaarheid moeten juist meer maatregelen getroffen worden. De kosten nemen toe. We moeten onszelf de juiste vragen stellen. Is het verantwoord om bedrijfsdata naar de externe cloud te brengen? Hoe kan je als bedrijf verantwoord met clouddiensten omgaan? Hoe kan je als bedrijf verantwoord naar de cloud gaan?En wat is de juiste plek van de cloud in de markt?”

De realiteit
Er is een cloudhype ontstaan. Ieder zichzelf respecterend bedrijf gaat ervan uit dat alles naar de (public) cloud gaat. Maar is dat echt zo? “Wat we zien is dat er steeds meer gebruik wordt gemaakt van extra – aanvullende –clouddiensten, maar dat er weinig migraties zijn. Het is dus niet zo dat bedrijven alle bedrijfsdata naar de cloud brengen in tegenstelling tot wat men ons wil doen geloven. Daarnaast is niet alles wat cloud genoemd wordt, daadwerkelijk cloud. De discussie over de definitie zal waarschijnlijk nooit beslecht worden, maar in mijn optiek staat cloud voor het aanbod van standaarddiensten, on demand en op basis van pay-per-use. Bedrijven kunnen hier zelf mee bouwen of dit afnemen bij een externe partij.Organisaties met een beheerprobleem kunnen vaak niet met een clouddienst uit de voeten. Zo’n dienst zorgt juist voor een extra probleem. Zij hebben outsourcing nodig. Er is veel vraag naar maatwerkoplossingen, op basis van pay-per-use uit de cloud. Maar dat  is per definitie niet correct;clouddiensten zijn immers standaarddiensten, geen maatwerkoplossingen. Cloud wordt vaak vergeleken met utility, met nutsbedrijven als water en stroom. Ook dat is niet correct: cloud heeft namelijk een restproduct, stroom en water niet, dat neem je af en maak je op. In de cloud is dat anders: doet een leverancier het niet meer, dan is er een restproduct in de cloud: de data die bij de cloudleverancier staat.Wat moet daarmee gebeuren?”

Verantwoord in de cloud
“Vanuit cloudperspectief moet een bedrijf zich de vraag stellen of het ondersteunende services of primaire bedrijfsprocessen afneemt. De actuele trend in de markt is dat bedrijven vooral ondersteunende services, zoals Disaster Recovery-as-a-Service en Test-& Developmentomgevingen uit de cloud afnemen. Als er iets misgaat, is er geen directe verstoring van de primaire bedrijfsprocessen. Voordat een bedrijf de cloud ingaat, is het zaak dat er nagedacht wordt over vragen als ‘Wat kan ik met de cloud, wat wil ik wel en wat wil ik niet naar de cloud brengen en waarom?’. Om deze vraag te kunnen beantwoorden, is een analyse van de bedrijfsprocessen nodig (welke zijn kritisch, welke zijn minder kritisch).”

Due diligence
“Wil je verantwoord naar de cloud gaan dan zou je eigenlijk een due diligence, een boekenonderzoek, moeten doen. Een due diligence-onderzoek richt zich op het vaststellen van de juistheid van de aan de koper gepresenteerde informatie en het in beeld brengen van risico’s en kansen. Dit traject is vergelijkbaar met wat er gebeurt bij grote outsourcingstrajecten. De rol van bedrijfsjurist wordt in zo’n traject belangrijk, dit is niet de taak van de IT manager. Een door de IT-manager afgesloten SLA geeft geen garanties, bestuurders zijn zelf verantwoordelijk en moeten deze verantwoordelijkheid nemen en hun zaken goed regelen.”

Strategie
Er komt dus heel wat kijken bij het naar de publiccloud brengen van (delen van) bedrijfsdata. “Een beleidsplan en een plan voor het beheren van informatie is belangrijk. Zakendoen met cloud providers beïnvloed de manier van zakendoen van bedrijven immers direct. Voordat bedrijven besluiten de cloud in te gaan, zouden ze eerst een groot aantal vragen moeten beantwoorden. Over de consequenties van het plaatsen van bedrijfskritische systemen bij een cloud provider en de noodzaak van synchronisatie ofbackup van data naar externe bronnen. Over wat wel en wat niet. Onderdeel van de strategie moet een ‘wat als-plan’ zijn waarin alle worst en best case scenario’s aan orde komen. Denk goed na over het waarom, het wat en de kans van slagen hiervan. Decloud is niet zaligmakend, het is niet de heilige graal. Cloud heeft zeker een plek in de wereld verworven, maar niet alles moet de cloud in. Bedenk dat hoe belangrijker de informatie is die je in de cloud wil stoppen, hoe strategischer je ermee om moet gaan. En dat kan zelfs betekenen dat je die informatie helemaal niet in de cloud zet!”

Trend Micro BW BN week 10-11-13-14-2024 Copaco | BW 25 maart tm 31 maart 2024
Trend Micro BW BN week 10-11-13-14-2024