Impact en risico’s van de cloud
Met enige regelmaat wordt gediscussieerd over de migratie naar de cloud. We zien allemaal dat het een niet te stoppen beweging is, maar er is ook veel terughoudendheid. Zijn we nog wel zelf de baas over onze data en systemen? Hoe zijn privacy en vertrouwelijkheid geregeld? Welke impact heeft de cloud nu echt op onze bedrijfsvoering?
De cloud lijkt veel belovend en biedt naar verwachting belangrijke business voordelen. On demand - self service maakt het eenvoudiger precies die diensten af te nemen die nodig zijn. Dat scheelt veel beheer en licenties, mits goed ingeregeld en kosten worden beheerst. Ook het gebruik van gedeelde systemen zou moeten leiden tot besparing in kosten. De technische infrastructuur is niet alleen qua techniek maar ook wat betreft beheer en beveiliging een verbetering op de eigen omgeving. De flexibiliteit en schaalbaarheid betekent dat we snel op, of af, kunnen schalen indien nodig. Daarmee kunt u de time to market van producten en diensten verkorten.
Toch hangen de risico’s van privacy en beveiliging vaak als een zwaard van Damocles boven ons hoofd. In ieder geval bij onvoldoende voorbereiding. Vaak blijkt dat we op zoek zijn naar een strategie hoe om te gaan met IT in plaats van IT onderdeel te maken van onze strategie.
In dit artikel wil ik een aantal zaken aanstippen waar u tegenaan loopt bij een overstap naar de cloud. En misschien nog belangrijker, hoe u daar grip op krijgt. Natuurlijk zijn er bepaalde risico’s. Bijvoorbeeld aangaande beschikbaarheid van data, verlies of diefstal van informatie, ongeoorloofde openbaarmaking, kosten, privacy en allerlei compliance eisen. Deze zijn niet nieuw voor de cloud maar inherent aan het gebruik van IT.
De cloud brengt veranderingen. Deze kunnen zowel risicoverhogend als risicoverlagend zijn. Door uitbesteding van beheertaken, specialisatie en concentratie van kennis over de besturingssystemen, applicaties en bedreigingen is vaak een betere beheersing van risico’s mogelijk dan in eigen beheer. De ontwikkelingen, maar ook de bedreigingen ontstaan tegenwoordig zodanig snel dat veel organisaties moeite hebben om de interne kennis en capaciteit daarop blijvend aan te laten sluiten.
Hoe maakt u een beheersbare en doordachte overstap naar cloud diensten, waarbij u de baten en beloftes benut en toch grip houdt op de risico’s en kosten? Drie stappen ter overweging:
- Voorbereiden interne omgeving
- Cloud ‘type’ kiezen
- Cloud serviceprovider kiezen
Voorbereiden interne omgeving
Als u niet vooraf nadenkt over de wijze waarop u met cloud wilt omgaan, wordt de cloud iets dat u overkomt. Gebruikers zoeken naar mogelijkheden om bijvoorbeeld informatie met elkaar te delen. Diensten als Dropbox verschijnen dan ook overal. Maak daarom IT en cloud onderdeel van uw (informatie)strategie door na te denken over zaken als beleid en frameworks, processen, organisatie structuren (rollen, taken en verantwoordelijkheden), cultuur en gedrag, skills en competenties.
De volgende stap: welk beveiligingsbeleid heeft u in uw organisatie en wat verwacht u van de beveiliging van informatie binnen uw cloud diensten? In veel gevallen verwachten we veel (ISO 27001/ISAE 3402), maar is slechts weinig in de eigen organisatie geregeld. Door een framework vast te leggen van eisen, risico’s en maatregelen, krijgt u inzicht in de mate van beheersing. Door dit framework te delen met alle betrokkenen, intern en extern, kunt u een continu verbeterproces op gang brengen.
Overweeg ook de impact van cloud diensten op uw bedrijfsprocessen. Deze processen maken vrijwel zonder uitzondering gebruik van geautomatiseerde systemen. Er vindt uitwisseling van gegevens plaats tussen systemen. Door uw IT doelstellingenbeleid, organisatie-eenheden, gebruikers, processen en informatiesystemen aan elkaar te relateren, krijgt u de mogelijkheid de risico’s in kaart te brengen, die u weer in het framework kunt toevoegen.
Risico’s kunnen worden afgedekt met passende maatregelen, alleen als het risico voldoende zwaar weegt. Anders komt u in een situatie waar de kuur soms erger is dan de kwaal. Ervaring leert dat veel risico’s emotioneel worden gewogen. Dat wil zeggen dat we het gevoel hebben dat we een groot risico lopen, zonder dat hier een rationele inschatting van is gemaakt. Bijvoorbeeld het risico van ongeoorloofde openbaarmaking. Als we dit risico echt zo groot vinden, waarom neemt u dan geen maatregelen om gegevens versleuteld op te slaan op de systemen van de cloud provider?
Type cloud kiezen
Dé cloud bestaat niet. Cloud is een diversiteit aan diensten en producten. We kunnen bijvoorbeeld spreken over een public, private of hybride cloud. Dit zegt iets over het ‘eigendom’ en gebruik. Cloud is ook in te delen naar ‘Infrastructure as-a-Service’, ‘Platform as-a-Service’ of ‘Software as-a-Service’.
En deze vormen gaan verder, want momenteel zijn ook al ‘Security as-a-Service’ of ‘Governance as-a-Service’ en ‘Compliance as-a-Service’ verkrijgbaar.
Welk type het meest geschikt is, is afhankelijk van een aantal factoren. Wilt u meer standaardiseren, dan is Software as-a-Service geschikt. Ook afhankelijkheden tussen verschillende processen en de gegevensuitwisseling kunnen een rol spelen bij de bepaling. Als het gaat om de keuze tussen public, private of hybride is de vertrouwelijkheid van data mogelijk van invloed, de benodigde ‘voorspelbaarheid’ van performance, of gegevensverkeer, eigendom van gegevens en systemen en natuurlijk de SLA mogelijkheden die providers bieden. Een belangrijke aspect bij SaaS is het upgrade tempo. Het kan een voordeel zijn altijd gebruik te maken van de meest actuele versie, maar er zijn ook situaties denkbaar waar we juist niet met alle nieuwe upgrades mee willen, maar wel gedwongen worden door een SaaS-aanbieder.
Van belang is om vooraf een checklist op te stellen van de voor u belangrijke aspecten en kenmerken, zodat u tijdens de selectiefase de juiste en relevante zaken met elkaar vergelijkt. Daarnaast helpt dit u bij de SLA-onderhandelingen uw belang voldoende te herkennen en niet alleen op kosten en prijs te onderhandelen, maar naar ‘value for money’ te kijken.
Cloud serviceprovider kiezen
De derde stap is de selectie van een betrouwbare partner. Hier speelt vertrouwen een cruciale rol. Vertrouwen moet worden gewonnen. Bijvoorbeeld door relevante certificeringen als ISAE 3402, maar ook door zichtbaarheid en transparantie. Als u niet weet wie aan uw systemen komt, wordt vertrouwen moeilijker.
En natuurlijk is wetgeving van invloed bij de keuze van een partner. Wetgeving is veelal lokaal geldig, waar uw cloud partner wellicht in meerdere landen actief is of dat uw data in een ander land is opgeslagen.
Plan
Er zijn veel aandachtspunten bij een overstap naar de cloud. Toch maakt het hebben van een gedegen plan en voorbereiding de keuze een stuk inzichtelijker en eenvoudiger. Veel risico’s worden gevoelsmatig benaderd, maar ervaring leert dat dit niet altijd het beste is en in de meeste gevallen zijn eenvoudige maatregelen mogelijk om in control te blijven. Door op een juiste manier met uw informatie om te gaan, de juiste mate van bescherming, kwalitatief onderhoud en ondersteuning te bieden, maakt u IT onderdeel van uw strategie in plaats van een strategie voor uw IT.
Cloud DNA Check
Overweegt u de overstap naar de cloud? Lees ons Cloud 2020 magazine of doe de Cloud DNA Check. Een methode die ITON heeft ontwikkeld om organisaties aan de hand te kunnen nemen bij het maken van de juiste cloud keuzes.
Door Erwin van Kouteren, business consultant ITON (foto)
