Managed hosting door True
Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Standaardopties in de cloud is nooit een goed idee

 

Computable Expert

Jaap de Koning
Management Consultant, Detron. Expert van Computable voor het topic Cloud Computing.

Het is haast een psychologisch fenomeen; hoe eenvoudiger je het maakt om een product of dienst af te nemen, des te minder klanten zullen nadenken over de gevolgen van hun keuze. Je ziet dat vooral terug bij app-providers, die het voor elkaar krijgen dat we de gebruikersvoorwaarden niet eens meer lezen voordat we op 'Akkoord' klikken.

Nu veel bedrijven overstappen naar cloud-diensten als Office 365 of Google Cloud, zie je een soortgelijk fenomeen. Maar al te vaak wordt ervan uitgegaan dat de standaardinstellingen van deze leveranciers voldoen aan de wensen en eisen van de meeste gebruikers.

Er is dus vaak nog vaak een kloof tussen wat eindgebruikers verwachten en wat cloud-leveranciers standaard aanbieden. Dit kan voor misverstanden zorgen. Mijn ervaring is dat er vier misverstanden zijn die bij nagenoeg elke cloud-inrichting terugkomen.

1. Je hoeft geen back-up te maken van cloud-data

Als bedrijfsgegevens worden verplaatst naar Office 365 of een soortgelijke cloud-dienst, wordt maar al te vaak aangenomen dat het niet meer nodig is om een back-up te maken van deze data. Echter: het feit dat je data nu online beschikbaar is, betekent niet automatisch dat deze gegevens automatisch worden bewaard op een manier die goed voor het bedrijf is. Het is voor bedrijven van belang om na te denken over hoelang bepaalde data bewaard moet worden en of de cloud-leverancier daarin voorziet.

Het is goed om te realiseren dat een cloud-leverancier een service levert die toegang geeft tot applicaties en data gedurende de looptijd van het contract; dat betekent niet dat dit tot in lengte van dagen zo is. Daarom kan het verstandig zijn om een ouderwetse, lokale back-up te maken. Ook kan er sprake zijn van een bewaartermijn die wettelijk is vastgelegd of een eis dat data verwijderd wordt op een bepaald moment.

2. Gevoelige data is standaard beschermd

Cloud-leveranciers bieden een standaard bescherming voor data. Daarin maken ze geen onderscheid tussen bijvoorbeeld de foto’s van de laatste kerstborrel en de plannen voor een nieuw bedrijfsonderdeel. Met name voor kritische bedrijfsinformatie of gevoelige bestanden is het belangrijk om expliciet aan te geven dat het hier gaat om gevoelige data. Zo biedt Microsoft de mogelijkheid om automatische gegevensclassificatie toe te passen om te achterhalen welke data extra moeten worden beschermd. Maar ook hier geldt: deze optie moet je wel gebruiken.

Door je data simpel en duidelijk te classificeren is het ook gemakkelijker om deze te beveiligen. Met nieuwe oplossingen kunnen we steeds beter controleren waar, op welk apparaat en door wie belangrijke data kan worden bewerkt.

3. Data achter een inlog is per definitie veilig

We zijn het allemaal al jaren gewend – we melden ons ’s ochtends aan op onze werkplek met een gebruikersnaam en wachtwoord, om vervolgens onze mail en documenten te openen. Wat we echter niet mogen vergeten, is dat de data nu op een gedeeld platform staat. Iemand hoeft maar een inlognaam en wachtwoord te achterhalen en hij kan bij bedrijfsdata.

Bijna alle cloud-providers bieden mogelijkheden om de toegang tot applicaties en data te beschermen met meerdere factoren (bijvoorbeeld een SMS of pincode), maar dit moeten ondernemingen wel zelf activeren.

4. Uptime-cijfers uit het verleden geven geen garantie voor de toekomst

Leveranciers schermen vaak met uptime-garanties en beschikbaarheidscijfers uit het verleden, maar dat wil natuurlijk nog niet zeggen dat ze deze in de toekomst ook gaan halen. Het is daarom belangrijk om na te denken over de gevolgen voor de organisatie als deze SLA's niet worden gehaald. Misschien zijn extra maatregelen wel noodzakelijk; ook hier begint het met vooraf nadenken over wat je als bedrijf afneemt.

Hoe eenvoudig de overgang naar de cloud ook mag lijken, het blijft belangrijk om zelf goed na te denken over de vereisten die je als organisatie stelt aan de beveiliging en beschikbaarheid van gegevens en applicaties. Dat begint met het formuleren van een datastrategie, waarin onderscheid wordt gemaakt tussen data die extra bescherming nodig hebben en overige data. Vervolgens moet in een securitystrategie uiteen worden gezet wie op welk moment en op welke manier toegang heeft tot deze gegevens. Een exitstrategie, tenslotte, zorgt ervoor dat je alvast nadenkt over hoe je eventueel kunt wisselen van providers. Een cloud-provider biedt immers uiteindelijk alleen de hosting aan van hardware en diensten; deze aanbieder kan ook failliet gaan of zijn prijzen of voorwaardes veranderen.

Het is nooit een goed idee om zomaar de standaard instellingen over te nemen. Zeker niet als het gaat om de beschikbaarheid van of toegang tot gevoelige bedrijfsgegevens. 

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/5953738). © Jaarbeurs IT Media.

?


Lees meer over


Partnerinformatie
 

Reacties

Goed advies. Gemak van een dienst mag niet leiden tot gemakzucht en je SLA met MS, Amazon, Google, Apple is werkelijk weinig waard ze dekken hooguit je kosten voor die dienst, maar niet de schade die je leidt.

Met GDPR in aantocht en de steeds vaker voorkomende wens voor bijvoorbeeld een ISO27001 certificering wordt je wel gedwongen hierover na te denken en "wat als" scenario's te maken.

Toegang tot data wordt trouwens steeds moeilijker te begrijpen en te controleren.

Want toegang met 2 staps verificatie (extra token, bijv. SMS) lijkt leuk, maar heel veel handige extensies van diensten vragen gewoon keihard toegang tot je data *ook* als je niet achter je PC zit en gebeurd en gaat dus voorbij aan 2 staps verificatie.

Dus ja, clouddiensten zoals genoemd zijn een verrijking, maar dat betekent niet dat het ook simpel is om het goed te doen.

Dus al dat gehype van enkele jaren geleden dat als je naar de cloud zou overstappen dat spontaan regenbogen verschenen en iedereen gelukkig zou worden klopt toch niet helemaal?

Elk IT systeem is onderhevig aan de wet van behoud van ellende.

ff samenvatten :
1) bescherm zelf je data tegen loss, maak backup
2) bescherm zelf je data tegen ongewenste toegang
3) vertrouw geen logins
4) zorg zelf voor uptime garantie

Wat waren ook alweer de voordelen van de Cloud, Henri ?

@Henri - precies wat ik bedoel. In de praktijk wordt er soms iets te eenvoudig (of te weinig) over nagedacht.
@Johan: hoewel je het nogal sterk formuleert, denk ik dat je in de kern gelijk hebt. Maar ik zie het meer als een ‘reality check’ dan als ‘behoud van ellende’.
@Dino: Dat is voer voor een andere blog. Maar om alvast een voorzetje te doen; schaalbaarheid, flexibiliteit, kosten, en zo zijn er nog wel een paar.

Schaalbaarheid, flexibiliteit en kosten van je eigen backups, je eigen security concerns, je eigen availability/continuity oplossingen ?

@Jaap, Dino loopt je maar te trollen, what's in a name?

Jaap, nadenken is inderdaad niet te automatiseren. Standaard kiezen voor standaardopties van een systeem is nooit een goed idee. Ook uitgaan van de aanwezigheid van standaardfaciliteiten zonder dit te verifiëren, kan gevaarlijk zijn. Maar omgekeerd geldt ook dat je kunt kijken hoe en waarom voor een standaardinstelling of standaardflow is gekozen. In veel systemen zitten niet optimale of foute instellingen als gevolg van een ongezonde machtsstrijd binnen het bedrijf of verouderde gewoontes.

Henri,
Fijn dat je nu eindelijk gehoord hebt van GDPR waarin iets gezegd wordt over de data governance welke de standaardoptie in de cloud van DATAPORTABILITEIT verplicht maakt maar wat lastig is in te vullen als je verstrikt bent geraakt in gepatenteerde software voor informatietoegankelijkheid. Ik heb al eens wat geschreven over de uitgebreide exoneratieclausules, niemand neemt de moeit om de gebruiksaanwijzing van de cloud te lezen. Om even een 'Rezaatje' te doen:

https://www.computable.nl/artikel/opinie/cloud-computing/5020126/1509029/wa-verzekering-in-de-cloud.html

Als je graag uit de hoek wilt komen waarin jezelf geverfd hebt neem dan even contact met me op.

Ewout, waarom een reactie met toch altijd weer die sneer? GDPR was en is vooralsnog de IPv6 van de privacy en in schril contrast met andere krachten die spelen die precies doen wat de GDPR zou moeten voorkomen! Zou wel een dag zijn! Dat de NSA een verwerkingsovereenkomst met de AIVD zou tekenen met het recht om vergeten te worden. Vat je hem?

Maar goed, ik heb me inderdaad verdiept in de materie omdat ik nu eenmaal een bedrijf ben wat digitaal leren aanbiedt en GDPR nog wel wat e-learning kan gebruiken! Artikel heb ik voor 80% af en zal dat hier ook plaatsen. Het is niet saai, dus genoeg doelen om op te schieten voor je.

Overigens jouw "WA verzekering" die je voorstelt is een *extra* laag in complexiteit vanuit een GDPR oogpunt. Sed quis custodiet ipsos custodes?

Henri,
De sneer lijkt me terecht, je lijkt namelijk nog steeds niet bewust te zijn van fenomeen data. Veelal is dit het digitale residu van een proces waarbij je de data op kunt delen naar huidige (hete), referentie (lauwe) en historische (koude) data die gezamenlijk dus de enorme 'databerg' van vele exabytes vormt. En misschien heb ik dus jaren voorsprong op je aangaande het onderwerp want ik schreef in 2014 hier al over op grond van geconstateerde ontwikkelingen:

http://www.europarl.europa.eu/meetdocs/2009_2014/documents/libe/dv/briefingnote_/briefingnote_en.pdf

'If a country loses data sovereignty (in exchange for #Microsoft patches), they also lose political sovereignty and security' - Caspar Bowden

Die opmerking is interessant want als je informatietoegankelijkheid betreffende je data afhankelijk is van gepatenteerde software algoritmen dan heb je jezelf in de hoek laten verven aangaande je data portabiliteit. Prinicipe van ESCROW met software in mijn opinie 'WA-verzekering in de cloud' gaat net als bij de gepatenteerde software afhankelijkheid om de maatregelen die voor continuïteit zorgen bij een onderkent risico.

Data in een blik stoppen waarvan je de blikopener alleen maar kunt huren is niet handig zoals ik al schreef in opinie 'Dot.com economie is nu Bedot.com economie' in 2012 aangaande kennis over IT. Volgens mij staat er in de GDRP dan ook iets over de wijze van archiveren, wettelijke bewaartermijnen gaan veel bedrijven pijn doen als we kijken naar het recht om vergeten te worden. Van College Bescherming Persoonsgevevens naar Autoriteit Persoonsgegeven is meer dan een semantische verandering aangaande je 'Quis custodiet ipsos custodes' opmerking.

Nu is de GDPR uiteindelijk vooral een harmonisatie van eerdere wet persoonsbescherming binnen de EU omdat na 9/11 veel landen deze bescherming onder druk van Amerika afgezwakt hebben. Je opmerking over AIVD en NSA is dus misplaatst, ik kan nog wel ergens de brief van de Landsadvocaat vandaan toveren over het Amerikaanse oligopolie waar Bowden voor waarschuwde maar die blijkbaar onderin een bureaula verdwenen is. Leuk dat je een artikel gaat schrijven maar de vraag is welke bronnen je gebruikt want als ik kijk naar jouw technische, juridische en organisatorische kennis over data dan mis je dus elke realiteit rond het fenomeen van 'data rentmeesterschap' en daarom nodigde ik je uit voor een gesprek omdat het blik van de opslag (confidentiality) ook gaat om etiket van metadata (integrity) en de blikopener (accessibility) van het aloude CIA principe in de data governance. Je was niet aanwezig bij mijn presentatie op storage expo over probleem van digitale duurzaamheid aangaande het lifecycle probleem in ILM tussen de bewaartermijn van de informatie en de levensduur van de technologie waar de data uiteindelijk op bewaard wordt:

https://www.slideshare.net/edekkinga/digitaal-onvoltooid-verleden-tijdv2

Een kaart is niet het landschap, het is een simplificatie om te helpen in het landschap bijvoorbeeld de weg te vinden. In slide 3 van je onderste link gebruik je overigens het recht om vergeten te worden niet zoals het bedoeld is. Eén van de problemen die je aankaart is de moeite die het kost om te voldoen aan "Recht op inzage" ( https://autoriteitpersoonsgegevens.nl/nl/zelf-doen/privacyrechten/recht-op-inzage ).

Want zeker in een scenario van het opslaan van scans met persoonsgegevens welke verdwijnen in een archief of back-up zijn erg moeilijk op te halen na zo'n verzoek.

Ik snap dat.

Diensten op het internet zijn veelal niet transparant over hoe er met data wordt omgegaan, overigens geldt dit vaak ook voor de interne organisatie.

De trend nu is dat veel bedrijven steeds meer mogelijkheden bieden om data af te schermen van wie dan ook. Samen met goede gewoontes leiden deze tot vertrouwelijkheid en compliance.

Je suggesties aangaande mijn kennisniveau vind ik jammer en zeggen meer over jou dan over mij.

Laten we het professioneel houden?

GPDR is juist een mooie stok achter de deur om bedrijven te dwingen om zich te houden aan minimale standaarden. Want het is nodig gezien de aantallen wekelijkse lekken die optreden.

Henri,
Er zit een wezenlijk verschil tussen het delivery model van services en het plaatsingsmodel van data, een kaart is misschien niet het landschap maar helpt wel om te navigeren. In slide 3 zet ik dan ook een vraagteken bij 'het recht om vergeten te worden' en een potje Tipp-ex omdat ik in slide 5 aangeef dat er een verschil zit tussen data (blik) en metadata (etiket) als het om de governance ervan gaat omdat het uiteindelijk niet de business is die de bewaartermijnen bepaalt.

De wijze waarop de papierstroom is gedigitaliseerd levert inderdaad steeds vaker problemen op met persoonsgegevens die niet alleen in het document (data) zitten maar ook de metadata. De Systems of Engagement in de cloud zijn nimmer ontworpen vanuit compliance en semantische 'content crawlers' conflicteren steeds vaker met de principes van vertrouwelijkheid en integriteit. Want slide 4 gaat uiteindelijk om het kunnen terug vinden van het bonnetje, zelfs als de organisatie gewijzigd is.

Dat ik enig kennis gebrek bij je constateer komt doordat je in veel reacties een eenzijdige focus hebt op services. Je mist vaak het 'enterprise lifecycle' probleem dat dus in de afstemming van de keten zit. Vergeet niet dat veel vertrouwelijkheid gebaseerd is op de clausules (klokkenluider?) in arbeidscontracten en AIVD waarschuwt voor het verlies van dit kernbelang door uitbesteding.

Altijd jammer, als de zelfbenoemde experts de narcist gaan uithangen met hautain gedrag, daarbij pochend met eigen prestaties en artikelen uit een ver verleden alsof deze enige juridische basis bezitten.

Michel de Rooij,
Zo jammmer dat sommigen nog niet begrijpen dat door het All People Seems To Need Data Processing
principe 'status quo' van de juridische basis aangaande data wankelt. Batavus Droogstoppel van de cloud noemt zich expert digitale transformatie maar draait al jaren om dit onderwerp heen. Ook gij, Brutus komt niet verder dan een argumentum ad hominem door niet inhoudelijk in te gaan op reacties. Precies dus als Henri die altijd zegt dat de beheerders serverknuffelaars zijn terwijl het juridische eigendom van de data onduidelijk is omdat er geen sprake is van stoffelijke goederen.

Ja, ja het klinkt hautain maar er zit een verschil tussen beheersbaarheid en beheerbaarheid. Het gemak waarmee je data kunt verplaatsen zegt nog niets over de mogelijkheden om deze te kunnen overzien.

Ik reageerde sec omdat gebruikte bewoordingen en stijl van je reacties me opvielen - in negatieve zin. Waarvan akte.

@Ewout
je zegt heel zinnige dingen maar je verpakt het beroerd, ondanks dat, blij dat je weer aktief bent.
Dit:
"er zit een verschil tussen beheersbaarheid en beheerbaarheid"
treft de kern van veel problemen.

Jouw reactie


Je bent niet ingelogd. Je kunt als gast reageren, maar dan wordt je reactie pas zichtbaar na goedkeuring door de redactie. Om je reactie direct geplaatst te krijgen, moet je eerst rechtsboven inloggen of je registreren

Je naam ontbreekt
Je e-mailadres ontbreekt
Je reactie ontbreekt
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×