IT'er zet vraagtekens bij security public cloud

06-02-2013 11:39 | Door Henk Boot | Lees meer over het bedrijf: Telindus | Er zijn 9 reacties op dit artikel | Permalink

Uit onderzoek van Telindus-ISIT onder 214 it-professionals blijkt dat de helft nog altijd geen vertrouwen heeft in de beveiliging van public clouds. Op de vraag naar beperkingen van de public cloud staat beveiliging op de eerste plaats, gevolgd door afhankelijkheid (20 procent) en performance (18 procent). Op plaats vier en vijf staan respectievelijk flexibiliteit (12 procent) en beschikbaarheid (10 procent).

De belangrijkste redenen om naar cloud computing te kijken, zijn volgens de it-professionals kostenbesparingen (36 procent) en flexibiliteit/schaalbaarheid (33 procent). Daarnaast geeft 52 procent aan in de hybride cloud te geloven en 36 procent in de private cloud; 12 procent gelooft niet in de cloud.

'Het is begrijpelijk dat er over de beveiliging van public clouds nog altijd veel onzekerheid bestaat en dat security, afhankelijkheid en performance samen de belangrijkste belemmeringen vormen', zegt Jerry Rozeman, cto bij Telindus-ISIT. 'De markt is nog altijd wantrouwend en aanbieders hebben hierin nog een lange weg te gaan. Voor organisaties die willen migreren naar de public cloud, is het belangrijk om zich te realiseren dat sla’s - service level agreements -  geen garantie bieden.'

Rozeman adviseert om een kijkje in de keuken te nemen bij service providers. 'Kijk bijvoorbeeld welke technologie er wordt gebruikt, wat voor mensen er werken en hoe hun securitybeleid eruit ziet, want dit is minstens zo belangrijk als sla’s. Public cloud is één van de mogelijke oplossingen, maar zoek vooral ook eerst uit waar de problematiek echt ligt binnen de organisatie. Pas dan kun je een weloverwogen beslissing nemen over welk cloud-model het beste bij de organisatie past.'

Reacties op dit artikel
De redactie vindt deze reactie: OKNumoQuest, 06-02-2013 17:02
Vanaf het prille begin van dit , laat ik zeggen, toch wel zwaar commercieel geïndoctrineerde initiatief, ben ik tegenstander geweest. En wel om een paar zeer eenvoudige redenen.
 
1. Wie is waar en wanneer verantwoordelijk voor mijn bits en pieces data?
Geen antwoord.
 
Plots krijg ik geluiden te horen die klinken als..... Private cloud(???)
Ohhh u bedoeld mijn data gewoon in een colo of datawarehoudse versleuteld opgeslagen via een beveiligde tunnel beschikbaar? Ah mooi. Dat was het al, alleen op die versleuteling na dan.
 
Ohhhh u noemt dit 'private' cloud. Mijn data overal ter wereld beveiligd ter beschikking? Ook in dat veld in tjoempoery waar we aan het mijnen zijn? Oh een telefoonlijntje kan soms een bottleneck zijn? Okay.
 
2. Maar hoe zit dit dan met de backup van mijn bits en pieces?
Ahhhh die is gegarandeerd? Mooi. Door wie dan? Want ik heb met u een contract toch afgesloten? Ohhh daar heeft u dan weer een contract mee afgesloten. En met wie zijn dat dan? Er worden een paar namen genoemd.
 
Weet u dat er onder de landen die u noemt ook een stuk of twee GEC landen zitten? Nog nooit van GEC gehoord? Nou gewoon, landen waarmee wij geen zaken kunnen doen in gevolge de Amerikaanse wetgeving? Wat dat ermee te maken heeft? Nou dat zal ik u vertellen. Als ik zaken doe met landen die..... Oh formeel doe ik zaken met u en niet met .... ik begrijp het.
 
En eheee..... Hoe zit het met mijn bits en pieces op dataservers in de VS? Wat daarmee is? Nou dat zal ik u vertellen. De Amerikaanse overheid eist bij wetgeving integraal toegang tot bestanden die op Amerikaanse servers worden gestald. Zelfs versleutelde data. De home security acts aldaar.
 
Maar weet u wat.... we doen gewoon een pilot.
We spreken 05.02.2013, 17:00, give or take a minute. Met de helpdesk? Prachtig, ik heb mijn email via uw server in de cloud lopen. Maar ik zie niks. Jahaa ik kan outl;ook wel opstarten. Alleen geen inbox, ik mis ook verschillende folders ..... Wat zegtu? Even een backupje terug zetten. Prima. Van wanneer? De laatste was van drie dagen geleden zegtu?
Maar worden er dan niet elke dag back ups gedraaid? Dat wel.... u moet dit nog even uitzoeken....
 
Prima, wanneer kan ik weer emailen? Kunt u voor mij mijn email gewoon even stop zetten voor al mijn mail in 'De Cloud' verdwijnt? U mag dat niet? Persoonlijke data .... Ik kan dat wel zelf doen bij de instellingen in outlook. .... Maar mevrouw, ik zie helemaal niets meer in mijn outlook... vandaar mijn telefoontje.....
 
U denkt, grappig, what's de punchline? Dat zal ik vertellen, ik heb mij als IT-er over laten halen cloud is een tijdje te gebruiken. Het zou in die tussentijd hardstikke goed werken. Ik ga geen namen noemen, geen vingers wijzen. Alleen naar mezelf.
 
Ik ben de oetlul namelijk die ondanks al mijn bedenkingen over het gebruik van cloud, hiermee ben geconfronteerd. Of ik de enige ben? Weden van niet?
 
Dit als antwoord op dit artikel. Als IT-er heb ik ook vragen gesteld in projecten. Ook va grotere clubs. En de ervaringen die ik met mede PM's daarbij had, je krijgt zelden het werkelijke antwoord op de kritische vragen die je durft te stellen.
 
Gelukkig had ik alle email REDUNDANT behandeld, dat wil zeggen in kopie door laten sturen naar een backup adres. Ik blijf bovenal wel een nuchtere automatiseerder natuurlijk.
 
Wat de pro's in het artikel naar voren gebracht betreft.....
Goedkoper? Ik waag het te betwijfelen. Schaalbaar, met de steeds goedkoper wordende IT peripherals kan dat net zo eenvoudig lokaal, als interlokaal, zoals voor vele organisaties eerder ook het geval was.
Kort en goed. Mijn data is MIJN data. Ik wil daarver de beschikking hebben wanneer het MIJ uitkomt. Dan leg ik namelijk de verantwoordelijkheid en de veiligheid bij MIJ neer. Ik WEET namelijk wat de gevolgen zijn als data plots niet zo bereikbaar blijkt te zijn.
 
RC
De redactie vindt deze reactie: OKHenri Koppen, 06-02-2013 20:50
Met @Numoquest aan de ene kant van de schaal, mijn standpunt aan de andere kant van de schaal.
 
Heb je ook wel eens bij banken stil gestaan? Niet alleen hebben zijn heel veel gegevens over ons, maar we stallen ook ons geld bij de bank zonder dat we ooit nadenken over bank-security. Als een bank omvalt kunnen we niet bij iets wat belangrijker is dan data, geld. Feilloos brengen wij ons geld daarheen, vragen niet af van wie het geld is. Ooit wel eens echt naar de voorwaarden van de bank gekeken? Ook doen we al dat bankieren online uit de cloud. Ben je ervan bewust dat banken in geval van stomiteiten steeds minder vaak geld uitkeren als je belazerd wordt?
 
Ik doe zeer veel met cloud providers en heb zeer veel controle over mijn data. In veel gevallen weet ik ook waar mijn data staat, als je bijvoorbeeld gebruik maakt van Amazon of Windows Azure dan kun je er gewoon voor kiezen waar die data staat.
 
Goede Cloud providers bieden heel veel mogelijkheden voor resilience aan, het ervoor zorgen dat je altijd bij je data kan en dat deze online is.
 
Ik heb zeer veel vertrouwen in de security van cloud providers zoals Terremark, Rackspace, Microsoft, Amazon omdat ze hier 24/7 mee bezig zijn en veel meer kennis hiervan hebben dan 99,9% van het MKB.
 
Het probleem van "Nay sayers" is dat ze helemaal geen ervsring hebben met cloud computing en dus vooral hun mening baseren op wat ze denken en wat ervaring van hoe ze een gratis dienst gebruiken.
 
Omdat ze die ervaring niet hebben zullen ze jou als klant dus nooit *goed* kunnen adviseren om het over innovatie maar niet te hebben.
 
Cloud computing is slechts een fenomeen in een grotere trend, die van digitalisering. Digitalisering staat nog maar aan de begin maar zal extreem dominant worden. Als het digitaal kan vergeet dan het alternatief, er zit geen toekomst in. Voor jaren was dat niet waar en de komende twee to vijf jaar is het misschien niet helemaal waar, maar het digitaliseren is onvermijdelijk. In 2000 geloofde we ook niet dat we van alles op het internet zouden kopen, maar als je ziet hoe zwaar het grote deel van de retail het heeft en de offline media dan zie je de contouren steeds duidelijker worden.
 
Zeker als grotere organisatie wordt het erop of eronder om te digitaliseren en efficienter te worden, als er namelijk een alternatief is wat door (innovatieve) kleine bedrijven geleverd kan worden, dan ben je het haasje. Dit wordt overigens door de crisis versterkt en het ziet er niet uit dat de crisis in ieder geval in Europa binnen vijf jaar weg is.
 
Met kalkoen over kerst praten is niet leuk, veel IT-ers zullen kalkoenen blijken, dus wet op het juiste paard.
De redactie vindt deze reactie: OKJan van Leeuwen, 06-02-2013 21:22
Hier zie je hoe de term cloud verschillend geinterpreteerd wordt.
De laatste van Henri over de kalkoen slaat de plank volkomen mis, In het MKB zal steeds behoefte blijven aan IT ondersteuning ter plekke, in welke vorm ook.
De redactie vindt deze reactie: OKHenri Koppen, 07-02-2013 9:12
@Jan, ik geloof zelfs dat er meer IT-ers bijkomen, het zijn alleen *andere* IT-ers dan nu. Ik zeg niet dat je als IT-er een kalkoen voor kerst bent, maar wel als je dingen doet die gaan verdwijnen zoals het inrichten en beheren van servers (of werkplekken). On Premise zullen servers in mijn ogen sowieso verdwijnen. Het regelen van stroom, koeling, snelle verbindingen, integratie met dingen buiten de deur is veel te kostbaar en ingewikkeld. Als je meerdere vestigingen hebt is het al snel logisch om naar een datacenter te verplaatsen. Deze kan dan eigendom zijn of van iemand anders en voordat je het weet ben je al met cloud computing bezig, of dit nu public of private is.
De redactie vindt deze reactie: OKNumoQuest, 08-02-2013 9:36
Beste Henri,
 
Vanuit commercieel oogpunt wil ik je heel graag volgen. Jammer dat je het voorbeeld van banken aan haalt. Met de ervaring die ik persoonlijk met banken heb heeft mij ertoe gebracht dat risico niet alleen te spreiden maar ook nog eens goed af te dekken. Dus tot zover even dat aspect.
 
Sensitive data is een totaal ander verhaal. Dan mag een ieder natuurlijk voor zichzelf bepalen wat die of gene 'sensitive' benoemd. Ik ken genoeg dataowners die niet alleen grote reserve hebben bij cloud, maar er niet over peinzen om hun data in de cloud te plaatsen. Dat heeft helemaal niets te maken met ouderwets denken maar plat 'common sense'. Je bent namelijk altijd van derden afhankelijk en je hebt verder geen enkele invloed op.
 
Als conservatief IT-er blijf ik dan ook volkomen in mijn stelling dat hoe minder componenten tussen jou en je data, des te zekerder dat je toegang hebt tot die data. En net wat je zegt, je hebt net zoveel mogelijkheden tot beveiligen van de verbinding dat dat dus geen issue meer hoeft te zijn. Het aspect dat cloud goedkoper zou zijn, met de nog steeds dalende prijzen en het verder in te regelen gemak van opzet en onderhoud, durf iki dat wel te challengen.
 
Ik kan me voorstellen dat er een stroom van data is die je rustig aan de cloud kan toevertrouwen. Dan heb ik het puur over data die, als het even niet, of helemaal niet meer, bereikbaar is dat dat dan ook verder hoogstens wat frustratie zou kunnen oproepen, maar niet meer dan dat.
 
Ik ken genoeg 'nay sayers' die wel degelijk naar cloud hebben gekeken, net als ik overigens, want als je ergens een mening over wil hebben moet je uit eigen ervaring spreken en niet als een kalkoen een andere kalkoen na 'klokken'. 'Nay Sayers' is geen, hebben geen probleem. Die hebben gewoon het voordeel van een keus die ze kunnen maken. Het is een eenvoudige afweging.
 
Dit alles even afzettend op een totaal ander onderwerp, crisis. Als we dit in het licht van de IT plaatsen is dat een goed ding. Klaarblijkelijk blijft alles draaien zoals het draait, ook zonder al die IT-ers die nu thuis zitten, en die IT-ers die er straks nog uitvliegen.
 
Automatiseren betekend namelijk jezelf als IT-er zoveel mogelijk overbodig maken. Vanuit mijn beleving en ervaring zijn er heel veen IT-ers die niets begrijpen van die wetmatigheden en anderen, die de materie IT karakteriseren. Je hebt dus niet zo zeer meer IT-ers nodig maar wegen en middelen om die juist overbodig te maken. Er is nog steeds erg veel ruimte voor initiatieven en ontwikkelingen, alleen zijn er de budgetten niet voor waardoor ontwikkelingen, behoudens uitschieters natuurlijk, stagneren.
 
Ik verwacht ook niet dat de crisis weg gaat de komende jaren. Dit vooral omdat wij klaarblijkelijk geen visionairs in Den Haag hebben zitten die met visie beleid willen uitrollen die goed is voor de NV NL maar vooral voor en met zichzelf bezig is. Dus daar hoeven wij niets van te verwachten. Het komt dus op al die mensen met initiatief aan en helaas moeten we constateren dat er niet al teveel mensen met visie zijn binnen de IT, maar wel heel veel met een commercieel oog.
 
Ik denk dat er uitdagingen genoeg zullen zijn zaken door te ontwikkelen, zelfs in tijden als een crisis. Cloud heeft zeker toegevoegde waarde maar niet voor elk type data.
De redactie vindt deze reactie: OKEwout Dekkinga, 10-02-2013 23:53
Dus meneer Rozeman adviseert om een kijkje te nemen in de keuken van de cloud provider?
 
Grappig aangezien dit punt ook besproken was in de expertsessie van Computable op de Storage Expo en de praktische haalbaarheid hiervan toch enige haken en ogen leek te hebben. En zelfs als het wel zou lukken dan vraag ik me af welke beeld je krijgt en wat de waarde ervan is omdat Nina van Worldonline blijkbaar een heel magazijn vol zette met lege dozen en uitzendkrachten inhuurde om zodoende bedrijvigheid te simuleren. De cowboymentaliteit van de jaren 90 lijkt me namelijk met Cloud Computing weer een beetje terug te zijn. In diezelfde sessie sloot ik de discussie trouwens af met een on(e)liner: "De cloud biedt mogelijkheden maar geen wonderen"
 
De public cloud - als in met meerdere mensen of bedrijven gedeelde resources - is namelijk niet per definitie ongeschikt maar heeft wel een aantal duistere zijden. Over de 'dark side of the moon' heb ik trouwens meermaals al eens wat geschreven en ik wil niet in herhaling vallen maar de kern zit in de data en het netwerk. En nu de dozenschuivers van de jaren 90 vervangen zijn door services pushers denk ik: "Geen netwerk, geen service en geen data, geen business" waarmee ik de waarde van een SLA toch enigszins wil bagatelliseren maar ik denk dat NumoQuest daar in zijn reacties al genoeg voorbeelden van geeft.
 
Aanhakend op die reacties valt het me steeds vaker op dat er vooral naar techniek en niet naar de service zelf gekeken wordt, de klanttevredenheid die steeds vaker wegbezuinigd lijkt te worden. Zo zie ik nog weleens dat met als doel een snelle kostenreductie besluiten worden genomen waarvan men later terug komt als dit negatief uitpakt op de (continuïteit) van de business. Henri heeft dus wel een beetje gelijk dat er andere IT-ers komen maar ik had geloof ik al wat gezegd over cowboys, de jongens die een kudde koeien van weide naar weide verplaatsen en uiteindelijk het slachthuis.
 
Betreffende on-premises ben ik het namelijk zeker niet met hem eens omdat ik een andere ontwikkeling zie met hybride oplossingen nu de snelheid van het licht nog steeds niet genoeg is voor sommige verwerkingen. Maar dat zal wel iets te maken hebben met mijn ervaringen in logistiek management en de krijgskunde, want hoe langer je 'aanvoerlijnen' worden hoe kwetsbaarder je wordt voor verrassingen;-)
De redactie vindt deze reactie: OKReza Sarshar, 11-02-2013 0:57
36% denkt dat cloud kostenbesparingen met zich meebrengt! Deze zijn zeker mensen die oppervlakkig naar de "v.a." prijs van cloud hebben gekeken! Ben benieuwd waar hun berekening op gebaseerd is. Wil je in een cloud-concept de tekortkomingen op het gebied van beveiliging, beschikbaarheid, juridische zaken, escrow etc wegnemen dan zal je zien dat je op een ander bedrag uitkomt dan wat je eerst zag.

Beste Jerry,
Je advies om kijkje in de keuken te nemen bij een provider, vind ik handig maar ook merkwaardig! Cloud moet me als klant ontzorgen, waarom moet de business, techniek, betrouwbaarheid, financiele zaken etc van de provider nazoeken? Ja dat klopt, omdat er nog geen standaardisatie binnen cloud geregeld is! Door gebrek aan standaardisatie roept iedere leverancier dat hij een cloud provider is. Om dit voor op te lossen zoek je steun, kennis en expertise bij een "cloud-begeleider" Maar wat je niet echt weet is dat veel van deze adviseurs, de verlengsnoer van een leverancier/product/tecnologie zijn en zeker geen onafhankelijke adviseur!
 
Je had het ook over "sla"! Waar hebben we het over als je maar weet dat je als klant niks te zeggen hebt als je een dienst bij een grote provider af wil nemen! Je hebt a.b.s.o.l.u.u.t geen onderhandelingspositie. Die krijg je wel misschien bij een kleine speler maar daar tegenover moet je van veel andere zaken afzien.
 
De redactie vindt deze reactie: OKHenri Koppen, 11-02-2013 9:17
Leuk, de discussie was door gebrek aan "controle" door deze site provider uit mijn aandacht verdwenen door de waan van de dag. Hoe moeilijk kan het zijn om een e-mail te krijgen van een topic waarop je geabonneerd bent.
 
Allereerst de SLA: Uiteindelijk zorgt een SLA niet voor up-time, dat doet een goede redundant uitgevoerde architectuur.
Dan de kostenbesparing met cloud zijn wat subtieler dan een vergelijking van wat getallen. Cloud computing -mits juist toegepast- snijdt zeer veel verborgen kosten weg doordat er veel robuuster gebouwd wordt er meer zelfbediening is en automatisering veel mensenlijk handelen (en falen) wegneemt. Het is geen no-brainer. Het werkt alleen met visie en daarbij moet ik opmerken dat die visie een on-premise manier van weren ook positief zou beinvloeden.
 
Ewout, de snelheid van het licht niet genoeg is voor bewerkingen... De crux is dat je de data en de verwerking in de cloud doet, dus op 1 schaalbare plek. Vanuit je werkplek kijken doe je dus door een venster, het hoeft niet meer naar jouw premise verplaatst te worden! (mind-shift)
 
Dan NumoQuest, dank voor je mooie terugkoppeling! Dit is nu de waarde van de Computable. Niet zozeer de artikelen maar de toegevoegde wijsheid in de reacties, dat geldt dus ook voor Reza, Ewout en Jan.
 
Je schrijft: "Jammer dat je het voorbeeld van banken aan haalt. Met de ervaring die ik persoonlijk met banken heb heeft mij ertoe gebracht dat risico niet alleen te spreiden maar ook nog eens goed af te dekken. Dus tot zover even dat aspect."
 
Kijkerdekijk! Je gebruikt dus technieken die je ook met cloud computing kunt doen! Risico spreiden en af dekken, dat kan prima met cloud computing, wat, nog beter dan zonder cloud computing. En zoals je gezien hebt met Ice-save, dan wordt die controle over je geld ineens afgenomen. Dodelijk als je het geld direct nodig zou hebben. Het is net data. Daarnaast heb je het over *jouw* ervaring. Je kijkt dus eigenlijk niet meer verder omdat je ervanuit gaat dat het toch wel goed geregeld is. Ook hier zie je een parallel met cloud computing. Grote providers (in dit geval van geld) hebben zoveel ervaring en beveiliging dat geld stelen lastiger is dan als je het zelf zou bewaken. En nog wordt er veel geld gestolen met skimming, ID diefstal, phishing et cetera. In steeds minder gevallen keren de banken uit omdat mensen ook een eigen verantwoordelijkheid hebben. Maar denk ook eens aan de beleggers in de bank en met name die van SNS. Die zijn gewoon ordinair de Sjaak.
 
Mijn punt is dat je altijd risico's moet afdekken, maar dat we bij de bank juist minder oplettend zijn dan bij een cloud provider. Het klopt in die zin wel dat cloud providers nog wat te bewijzen hebben en banken hiervoor al een langere geschiedenis hebben. Maar mijn analogie met banken vind ik dus wel zinvol gekozen.
 
Daarnaast wordt er veel over privacy gepraat, maar denk je dat banken niet regelmatig bevraagd worden door overheden om data af te staan? Ook daar wordt een cloud provider ineens gediscrimineerd. Een bank is gewoon uitbesteding van geld beheer net als een cloud provider dat is voor databeheer. Maar mensen kijken veel kritischer naar cloud providers.
 
Zo zie je dat beide kanten te verdedigen zijn :-)
 

 

 

 

De redactie vindt deze reactie: OKEwout Dekkinga, 11-02-2013 10:48
Henri,
 
Ik was eens bij een klant die klachten had over de prestatie van de service. Bleek dat informatiesystemen over 2 verschillende providers waren verdeeld en er maar 1 fysieke lijn was. Dus gebruikers 'zuigden' grote hoeveelheden data van A naar B en 'bliezen' het na een kleine verwerking via hun PC weer naar C.

Proactief en voorspellend beheer

Leveranciers van beheertools en organisaties die IT-beheer uitvoeren prijzen veelvuldig hun proactief karakter. Maar is......

20 vacatures
Netwerk- Systeembeheer

Wazda-IT Solutions , Goor

Managed Services Engineer m/v / systeembeheerder

PK Automatisering , Assen

Senior Systeembeheerder

ORTEC bv , Zoetermeer

Senior systeembeheerder

Openbare Bibliotheek Amsterdam , Amsterdam

Junior Projectleider ICT

Grant Thornton , Alphen aan den Rijn

Top 10 Reagerende members
  Aantal reacties
met 3+ sterren
Gemiddelde
waardering
Klik voor meer info1 1556 6.2
Klik voor meer info2 1288 6.0
Klik voor meer info3 1262 6.2
Klik voor meer info4 1065 6.2
Klik voor meer info5 973 6.1
Klik voor meer info6 901 6.1
Klik voor meer info7 755 6.2
Klik voor meer info8 516 6.1
Klik voor meer info9 394 6.0
Klik voor meer info10 391 6.2