Truc van marketing is om alleen de voordelen te noemen of omgekeerd, afhankelijk van wat je wilt verkopen natuurlijk. Nu door onthullingen van Snowden een discussie over onze privacy op gang komt wordt helaas nog vergeten dat sommige bedrijven de handel in persoonsgegevens tot hun business model gemaakt hebben. Goed, daar krijgen we tegenprestaties in de vorm van diensten voor terug maar geldt dit ook niet voor de inlichtingendiensten?
Tenslotte waarschuwde de AIVD in 2010 al met een kwetsbaarheidsanalyse voor de gevaren van ‘Consumerization of IT’ door het lage bewustzijn voor: Waarde van informatie; Verschillende belangen; en Noodzaak van beveiliging.
De technische en juridische abstracties zorgen er namelijk voor dat onduidelijk blijft wie er mee mogen en kunnen lezen. Nu iedereen verontwaardigd is over het stofzuigen van de NSA wordt de ‘Nilfisk’ van Google nog vergeten. En ergens heb ik het idee dat ‘naming and shaming’ van Google met hun transparantie rapport dus ook niet meer is dan marketing.
Dr. Jekyll versus mr. Hyde
Veel gratis oplossingen introduceren een ‘frenemies’ probleem, het is makkelijk maar heeft vaak een mistig verdienmodel. Vooral het tweezijdig model waarbij aan de achterkant data verkocht wordt aan derden is een listige opzet. Vooral bedoeld om de ‘inboorlingen’ hun privacy te laten ruilen voor spiegeltjes en kraaltjes. Hoewel we met aanvullende technische maatregelen zoals encryptie een aantal zaken kunnen mitigeren introduceert dit nieuwe problemen zoals verloren sleutels, toename van spam en hogere kosten voor services. Gebruik van ‘gratis’ diensten zorgt dus voor obesitas in (maat)regelen die daarom nog vaak achterwege gelaten worden.
Als gebruikers zich als kinderen blijven gedragen is informatiebeleid echter als water met een mand verplaatsen; het lekt aan alle kanten. Opmerkelijk eigenlijk omdat we nu toch geleerd zouden moeten hebben dat gratis niet bestaat. En de wijze waarop onze persoonsgegevens gebruikt worden veel weg heeft van valutering. Voor de duidelijkheid, huidige controleurs lijken toevertrouwde data vooral voor hun eigen belangen in te zetten. Want het CPB rapporteert in zijn jaarverslag dat ook onze eigen overheid laks omgaat met persoonsgegevens en deze wel eens misbruikt. Op die manier betalen we met het gebruik van ‘gratis’ diensten dus twee keer, één keer met het inleveren van onze privacy en vervolgens via de belastingen. Beide keren ook nog eens zonder een opt-out. Want nu we steeds afhankelijker worden van deze diensten komt bij mij de vraag op wie straks de controleur nog controleert of zoals Machiavelli het stelde: ‘De bescherming van iets moet worden toevertrouwd aan degene die de minste behoefte heeft om dat ten eigen nutte aan te wenden.’
Schaduw IT
Hoewel door alle afluisterpraktijken de term misschien tot een andere invulling leidt, gaat het hier om het gebruik van niet goedgekeurde ict-oplossingen. Het fenomeen is dus niet nieuw, maar wordt wel snel groter door de cloud. Gartner becijferde onlangs dat 35 procent (tegen 10 procent een paar jaar geleden) van de zakelijke it-bestedingen reeds buitenhet officiële budget plaats vinden. Gratis diensten vallen dus nog buiten deze radar, terwijl ander onderzoek laat zien dat deze niet enkel privé gebruikt worden. Ict-lichtvaardige gebruikers kopiëren met één muisklik informatie tussen de systemen waardoor de usb-sticks met gevoelige informatie niet meer op straat liggen maar in de cloud staan.
Marketing technisch klinkt dat goed, gebruikers krijgen meer flexibiliteit tegen lagere kosten en het al zwaar belastte it-budget wordt ontzien. Maar door het lage bewustzijn over de waarde van informatie en het belang ervan leidt dit tot Rogue IT, iets wat zich het beste laat vertalen naar ‘Bedrieglijke IT’. Voorbeelden hiervan kunnen we niet alleen teruglezen in de krant maar ook in de geschiedenis: het Turfschip van Breda. Daarom word ik ook een beetje treurig van mensen die voor elk probleem een ‘gratis’ antwoord in de cloud denken te zien, of zoals ISACA het stelt: ‘De hype rond de cloud kan de vaststelling van voor- en nadelen (waaronder risico’s) zonder een grondige zorgvuldige en objectieve afweging stimuleren. Dit kan leiden tot onjuiste beslissingen waarbij de cloud misschien niet de beste oplossing is.’
Governance versus gouvernante
Mogelijkheden van de cloud lokken dus, maar knellen wel met de governance, de maatregelen die bedrijven nemen om datalekken te voorkomen. En als marketing ons telkens laat geloven dat de cloud een luilekkerland is waar de gebraden ganzen ons in de mond vliegen, dan blijft het dweilen met de kraan open. Want terug naar het begin gaat het om de vraag wat die ‘gratis’ cloud diensten ons nu werkelijk opleveren. Of zoals William Stanley Jevons het zich in 1866 al afvroeg met: ‘The coal question’ is er een paradox omdat goedkopere resources leiden tot meer applicaties en meer applicaties leiden tot meer consumptie.
Nu heb ik niets tegen gratis diensten en gebruik deze zelf ook maar laten we niet de data stewardship, het rentmeesterschap binnen de governance modellen vergeten. Dat het in casu systeembeheerders zijn die wijzen op tekortkomingen van sommige diensten komt vanuit de waarnemingen en ervaring die zij opgedaan hebben. Want wat is de besparing als ‘gratis’ de prijs van het beheer doet opdrijven?
History doesn’t repeat itself, but it rhymes – Mark Twain
Ruud,
Dank voor je uitnodiging 🙂
Ik heb al dit artikel gelezen en de reacties gevolgd. Je hebt het zeker door dat ik de afgelopen tijd op deze site afwezig ben, dat heeft zeker een reden (of merdere redenen). Een daarvan is de discussies die uiteindelijk weinig tot niks opleveren.
Ik heb zelf al de termen zoals “betoverd zijn door cloud-heks, tunnelvisie, eenzijdige kijk op” etc gebruikt om aan te geven hoe erg we soms langs elkaar communiceren.
Terug naar dit artikel:
1- Ik had eerst wat moeite om de boodschap van Ewout duidelijk te krijgen. De eerste reactie van Leen sprak me gelijk aan. Het is me bewezen dat ik nog steeds een artikel of reactie van Ewout 2-3 keer moet goed lezen om te kunnen begrijpen wat hij er mee bedoelde. Een handicap van me waar ik verder aan moet werken.
2- Na het lezen van zijn reacties en uitleg kan ik zeggen dat ik het niet helemaal maar grotendeels met Ewout eens ben.
Wat betreft gratis versie van cloud-diensten, ik heb er geen moeite mee als je dat voor je zelf gebruikt of in een bedrijf tot b.v. 10 medewerkers waar IT en infrastructuur geen betekenis hebben inzetten.
Ga je dit soort gratis tools in een groot bedrijf gebruiken waar ict als ondersteunende laag tussen business, processen en gebruikers ligt dan moet je goed uitkijken dat dit betreffende gratis middel vanwege zijn beperkingen geen legacy voor je ict en werkprocessen wordt en ook dat dit geen oerwoud vormt voor je applicaties, beheer en je architectuur.
Het inzetten van een gratis tool bij MKB+ kan iets zeggen over gebrek aan visie en korte termijn denken. Een gratis tool kan als “de oplossing” op dat moment, heel snel geadopteerd worden. Hierdoor kun je hem niet makkelijk vervangen door een andere tool, want de gebruiker is er aan gewend geraakt, er zijn een aantal werkprocessen eromheen gebouwd en kortom hij begint de legacy te worden voor je ict.
Dat er marketing en misbruiken van je gegevens etc achter dit soort gratis tools zitten! Nou, dat spreek ik niet snel tegen. Maar ja, we weten al “voor niks gaat de zon op” dus de keuze aan jou of je dit soort tools wilt gebruiken of niet.
P.s. eerder in je reacties heb je voorgesteld om in een sessie met Henri eea duidelijk te bespreken. Als ik de reacties hierboven en ook op andere cloud artikelen lees dan denk ik dat er nog meer mensen aan deze sessie moeten meedoen 🙂
Ik lever klanten niet aan Google uit, ik help klanten beslissingen te maken, of dit nu AWS, Azure, Google Apps, Office 365, Box.Net of Dropbox is (en zo verder).
Het proces is heel simpel:
1) Privacy Organisatie : Welke zaken zou je niet terug willen zien op de Telegraaf over je bedrijf? Welke dat zou schadelijk zijn als deze bij anderen (hackers / overheden) in handen komen.
2) Wet: Welke diensten kunnen we gebruiken zonder de wet te overtreden?
3) Compliance: Worden verhinderd door regelgeving, contracten met klanten e.d. om deze diensten te gebruiken?
4) Gezond verstand: Wat is de trackrecord van de dienst die we willen gebruiken en hoe is hun voorwaarden en certificiering.
5) Stel de spelregels op. Wat mag wel en wat mag niet met de dienst
6) Geef implementatie trainingen en sluit een aanvullende overeenkomst op met je medewerker. (ik verklaar van de huisregels op de hoogte te zijn en zal me hieraan houden).
Dat de overheden toegang verschaffen tot alles (Swift, vlieggegevens, telefoonverkeer, internet verkeer et cetera) is een discussue die politiek of door ONS als samenleving en rechtstaat gevoerd moet worden. Als rechtschapen individu of bedrijf ondervind ik geen schade mits je bepaalde geheimen (R&D) private houdt. Qua schenden van privacy in de vorm van doorverkopen van data in het algemeen zie ik niet per se waarom consumenten anders zijn dan werknemers. Een gebrek aan privacy kan gewoon schadelijk zijn door misbruik.
Ook zie ik geen direct onderscheid tussen gratis (freemium) of een betaalt model. Zolang de voorwaarden goed zijn hoeft dit geen onderscheid te betekenen. Persoonlijk geloof ik niet dat Google mijn privacy schaadt. Ik ben totaal niet afhankelijk van Google en ik geloof ook niet dat Microsoft mijn privacy schaadt. Beide bieden beperkt gratis diensten aan die ik van harte aan kan bevelen.
Dat er mensen en mederwerkers zijn die lichtzinnig met gevoelige data omgaan is geen probleem van de cloud, maar een probleem van de organisatie en de mens.
En nogmaals, schaduw IT is een organistorisch probleem. en geen schaduwkant van cloud.
Ewout, je bent niet tegen de cloud, maar als ik veel van je artikelen leest gaan die wel over de cloud en nergens komt (public) cloud er goed vanaf.
Zijn de cloud diensten wel goed genoeg als een bedrijf heel goed met zijn governance omgaat? Mag het dan wel van jou?
Kortom, ik val in herhaling, maar goed, we verschillen van mening en van inzicht. Ik heb daar geen problemen mee. Ik hou mij oog zoveel mogelijk op de bal. Wat me erg opvalt is dat ik veel weerstand krijg van IT-ers, als zij cloud aanvallen komen ze met allemaal redenen maar weinig overtuigende bewijzen en vooral gevoelens. Iets wat zij juist de cloud-jongens verwijten dat ze de voordelen van de cloud niet goed onderbouwen.
De migratie naar alles wat de cloud te bieden heeft is onvermijdelijk, tegen roepen is een achterhoede gevecht, beter help je mee de weg naar de cloud een veilige te maken. gezond verstand blijft altijd nodig, maar IT wordt nu eenmaal uitbesteed. Leuk dat je die zogenaamde gratis diensten zo bekritiseerd zonder man en paard te noemen. Maar hoe verklaar je dan dat enorme bedrijven als Ahold, Randstand en Universiteiten overstappen? Zien zij het niet goed? Doen zij niet aan governance?
Henri,
Om je vraag te beantwoorden: Gebruik maken van de cloud zonder strategie kan een bedreiging zijn maar met een weloverworgen strategie een enorme kans. Voor de liefhebbers van checklistjes, daarom een paar (niet-limitatieve) vragen die ieder zich moet stellen:
1. Waar worden mijn gegevens opgeslagen?
2. Hoe wordt mijn data beschermd in transit?
3. Wie hebben er toegang tot mijn gegevens?
4. Wie is er verantwoordelijk als er iets misgaat?
5. Hoe te voldoen aan de export en privacy wetgeving?
6. Hoe worden gegevens beschermd en beveiligd tegen diefstal en schade?
7. Hoe en door wie worden de encryptiesleutels beheerd?
8. Zullen mijn gegevens verdwijnen wanneer online opslaglocatie wordt afgesloten?
9. Hoe moeilijk is het om terug te migreren naar een in-house systeem?
10.Wat is de sweet-spot bij de afweging van Cloud vs inhouse?
Ik weet (bijna) zeker dat de gemiddelde gebruiker deze vragen echter niet stelt of niet (eerlijk) beantwoord bij de keus voor ‘gratis’ diensten. Het zal trouwens niet een geheim zijn dat ik een voorkeur heb voor de hybride cloud, ik betwijfel dan ook of de door jouw genoemde bedrijven volledig in de publieke (gratis) cloud zitten.
LET OP!
Het begrip Schaduw IT (niet houden aan de spelregels) is niet iets wat ik bedacht heb, ook niet het begrip Rogue IT wat hiermee vaak verband houdt. Cloud Computing zie ik dan ook niet als een technologische revolutie maar eerder als een proces en business evolutie. En hier gaat het nu nog weleens mis omdat bijvoorbeeld verwacht wordt dat iedereen een backup maakt maar de middelen vergeten worden. Het mes snijdt dus soms aan 2-kanten;-)
Bij deze laatste reactie kan ik me aansluiten.
Op deze site (met een sterke bijdrage van Lennard Zwart, CloudVPS) is een uitgebreidere lijst te downloaden van vragen
http://www.cloudcontrols.org/
Elke cloud adept zou hier in ieder geval bekend mee moeten zijn.
Ahold gebruikt Google Apps, dus meer dan alleen e-mail: http://tweakers.net/nieuws/69718/ahold-maakt-overstap-naar-google-apps.html
http://googleenterprise.blogspot.nl/2010/09/ahold-goes-google-international-food.html
Randstad:
https://www.computable.nl/artikel/nieuws/infrastructuur/4637080/2379248/randstad-vervangt-microsoft-en-lotus-door-google.html
Universiteiten (medewerkers en studenten):
http://www.ub.vu.nl/nl/nieuws-agenda/nieuwsarchief/2012/okt-dec/online-samenwerken-stap-verder.asp
http://www.rug.nl/science-and-society/alumni-and-fundraising/alumni-online/going-google/?lang=en
http://www.utwente.nl/icts/studenten/googleapps/
http://tweakers.net/nieuws/82545/zeven-nederlandse-universiteiten-stappen-over-op-google-apps.html
Henri,
Ik ken die lijst (en anderen) maar hoe toepasselijk zijn deze op de diensten waarover het verhaal gaat, hoe groot acht je de kans dat deze doorlopen wordt bij Do IT Yourself?
En mag ik je herinneren aan je eigen opmerking tijdens InfoSecurity panel: Quis custodiet ipsos custodes?
P.S.
Je gebruikelijke marketing voor Google zal ik maar negeren omdat je geen appels met peren moet gaan vergelijken;-)
Wat mij betreft had dit artikel: ‘de schaduwkanten van internet’ mogen heten. Natuurlijk zijn er diensten over internet die van cloud technieken gebruik maken maar ook niet meer dan dat. Mobieltjes aftappen heeft meer met internet dan met de cloud te maken.
Maar las deze net:
http://www.ad.nl/ad/nl/5597/Economie/article/detail/3511258/2013/09/17/School-Zweden-mag-Google-cloud-niet-gebruiken.dhtml
En al eerder:
http://tweakers.net/nieuws/89669/zweedse-toezichthouder-verbiedt-google-apps-bij-overheidsdiensten.html
en nog iets over dropbox (dat is toch de cloud?):
http://webwereld.nl/beveiliging/79273-dropbox-kijkt-in-ingepakte-bestanden
Ik snap toch niet dat grote bedrijven of zoals ik las universiteiten overgaan op diensten van google. Mooi hoor Google maar om daar je nou je bedrijfsgegevens en correspondentie bij op te slaan, bij een bedrijf waar het briefgeheim niet bestaat, dat regel je toch op een andere manier. De zweden maken er meer een zaak van.
Louis, over het eerste gedeelte ben ik het eens, het zijn de schaduwkanten van internet.
Over het tweede gedeelte niet.
Bij Google lezen er geen mensen jouw e-mail. Ook dat Dropbox is een hele simpele verklaring: Het is in feite een virusscanner die dus kijkt of je ZIP niet besmet is met een virus. Met 100+ miljoen klanten zit er echt geen poppetje bestanden te openen.
Dat overheden aftappen lijkt nu wel duidelijk. Dat is fout en moet worden aangepakt. Maar je moet wel praktisch blijven. Diensten zoals die van Google zijn in mijn ogen betrouwbaar en vertrouw ik meer dan veel lokale diensten die onder de radar vliegen.
Als je paranoide bent over dit soort zaken stel ik je voor geen e-mail meer te gebruiken en al zeker geen smartphone.
Laten we BOE roepen tegen ontransparante overheden die tappen. Niet tegen de tools die ons leven en business makkelijk maken…
Het stoppen van tappen zie ik overigens niet gebeuren, of er moet echt een revolutie begonnen worden. Waar het om gaat is dat je net als bij de rechtstaat en het scheiden der machten dit ook toepast op spionage en aftapperij. Laat de uitvoerende tappers, gecontroleerd worden door een onafhankelijke partij die beloond wordt bij het ontdekken van misstanden, en het toetsen hiervan bij (snel)rechters. Onder die voorwaarden kan ik me vinden in het tappen. En is het ook aantoonbaar goed.
Nu zijn er duistere mensen aan het roer zoals Keith Alexander en in het verleden Michael Hayden. Die hebben een volstrekt andere kijk op de werkelijkheid en minachten het volk wat opkomt voor transparantie.
Louis,
De uitspraak van Zweedse versie van CBP had ik naar ik meen al eens genoemd bij opinie van Henri. Er zijn ook geruchten over het gebruik van Google Analytics omdat naar het schijnt onze eigen CBP dit in strijd met de wet vindt. Want inderdaad zit er een schaduwkant aan het gebruik van Internet, een publiek netwerk waar dus niet alleen overheden mee kunnen lezen, luisteren en kijken.
Bedrijven harken vanuit commercieel oogpunt ook allerlei gegevens binnen, slaan deze op en verrijken ze met informatie uit andere bronnen.
Dit alles doen ze automatisch waarbij bepaalde woorden acties triggeren om zo gericht reclame te geven want zoals Henri al zei ben je niet de klant maar het product.
Nu is Henri in deze discussie helaas meer van NSA is fout, Google is goed.
Wel heeft hij gelijk betreffende lokale ondernemers die onder de radar vliegen hoewel ik wel de indruk heb dat deze eerder gestraft worden als ze tegen de lamp lopen dan de grote jongens.
@Henri @Ewout Als je paranoide bent dan zou je nu de netwerkkabel eruit trekken. Iedereen moet iets van iedereen op internet (mijn grote ergernis) met de grote bedrijven als Google, Facebook, Twitter, Apple,Microsoft etc etc voorop. Jouw data is hun geluk. Maar het lijkt erop dat er geen ontkomen meer aan is en ‘normaal’ internet gebruik bijna niet mogelijk is zonder. Google weet in ieder geval wie jij bent, dat is toch een mal idee? En heb net een Windows Phone 8 aangeschaft: geslotener kan het niet. Mooi apparaat overigens.
Als je het zo bekijkt dan zou je inderdaad kunnen zeggen, acht wat doet het ertoe laten we als bedrijf overgaan op de google apps en als google wat garanties geeft dan is het wel goed. Want dat is me wel opgevallen bij de voorbeelden, er moet onderhandeld worden met google over privacy en betaald worden aan google. Waar het mij wat omgaat is dat er twee zaken door elkaar lopen. Google als datahamsteraar en google als softwareproducent. Natuurlijk gaat er geen mannetje persoonlijk door de mail heen, maar data wordt wel gescand met wat voor doel dan ook. Al zal dat natuurlijk niet zo zijn als je als bedrijf de apps afneemt. Maar als je als bedrijf over die privacy moet steggelen dan zou ik meteen denken, zorg als bedrijf zelf voor het beheer van de mail, je kalender en wat er nog meer is. Als dat zelfs te duur is voor een bedrijf….. Dan vermijd je iedere twijfel of vragen over gebruik van data, waar de data verblijft en wie er meer meekijken met de bedrijfszaken.
De scandinaviers zijn er minder makkelijk mee lijkt het, las deze aardig blog over de overheid in Noorwegen.
Maakt mij iets duidelijker waar nu de bezwaren zitten.
Als het gaat om de meeluisteren overheden, dan maak ik me helemaal geen illusies, die komen vast bij waar ze bij willen komen. Of krijgen ze van die grote bedrijven de data die ze nodig hebben. Alle reden om als bedrijf data nog steeds te zien als iets om zorgvuldig mee om te springen.