Cloudwatervrees

De cloud lijkt alom vertegenwoordigd en geaccepteerd. Toch ziet Computable-expert Bart Carlier, managing director van Yourhosting, in de praktijk nog dikwijls organisaties die schoorvoetend toegeven dat ze nog geen stap hebben genomen om hun toepassingen en data vanuit de cloud te gebruiken. Waarom, vraagt hij zich af. ‘Als je doorvraagt komt het doorgaans neer op het gebrek aan kennis van de mogelijkheden.’

Veel bedrijven die Carlier spreekt denken dat het of-of is. ‘Dus alles of niets. En als dan de keuze zou vallen op alles in de cloud onderbrengen, dan voelt het als een sprong in het diepe, waar men nog lang niet klaar voor is. Niet alle applicaties van de organisatie lenen zich immers voor de cloud. Ook is er angst voor de stabiliteit in de performance van de applicaties en de onzekerheid dat de cloud niet tegemoet kan komen aan de gewenste gebruikservaring.’

Een andere veelgehoord argument om de cloud op afstand te houden is volgens Carlier de behoefte aan controle over de data. ‘Waar staat deze data als ik het in de cloud onderbreng en hoe is de beveiliging en authenticatie ingericht? Dit maakt mensen onzeker. Door data angstvallig op een server binnen de bedrijfsmuren te houden ontstaat er echter ook een vorm van schijnveiligheid. Medewerkers zoeken namelijk zelf naar manieren om flexibeler te kunnen werken en delen via de achterdeur bestanden met oplossingen die niet voor zakelijk gebruik zijn ontwikkeld. Daarbij komen zakelijke bestanden ook op persoonlijke devices terecht, die niet voldoen aan de beveiligingsnormen van het bedrijf. Hierdoor is er juist nog minder controle over de data.’

Toch is de conclusie vaak dat men liever nog even ‘veilig’ op het droge blijft en alles laat zoals het is. Dit terwijl anderen ondertussen al vele meters hebben gemaakt. Carlier: ‘Zonde, omdat hiermee de kans om te profiteren van een werkomgeving die flexibiliteit en productiviteit stimuleert, verloren gaat. Het is belangrijk duidelijk te maken dat men ook niet direct in het diepe hoeft te springen, maar eerst aan het water kan wennen in het ondiepe. Bedrijven bekendmaken met hybride oplossingen is wat mij betreft dan ook de meest logische stap voor een bredere adoptie van de cloud. De technische mogelijkheden zijn er om voor ieder niveau een passende oplossing te bedenken en van daaruit verder te groeien. En dat is maar goed ook. Want laten we eerlijk zijn, het is ook niet verstandig om zonder enige ervaring direct het grote bad op te zoeken.’

Computable-lezer Ron vindt het wel opvallend dat het voornamelijk de leveranciers van cloudoplossingen zijn die met positieve verhalen komen. ‘Het loopt daarentegen nog niet bepaald storm van juichreacties van de cloudslachtoffers die hun hele hebben en houden ‘over de schutting’ hebben gegooid. Liep het meteen als het beloofde zonnetje? Scheelde het echt zoveel qua kosten? Was de performance wel zo geweldig als beloofd? Was er eigenlijk wel zoveel noodzaak voor de beloofde flexibiliteit? Ging het downscalen bijvoorbeeld net zo makkelijk als het upscalen?’

Heel af en toe druppelt er een ervaring van een eindgebruiker door, maar meestal blijft het volgens deze Ron beperkt tot het verhaal van de it-manager die zojuist de keuze gemaakt heeft. ‘De mensen uit het veld hoor je veelal niet of héél anders dan de it-manager. En langzaam maar zeker keren de eersten alweer op hun schreden terug en beginnen de zaken weer on-premises te brengen… Ik weet het nog zo net niet met die cloudhype. Het is zonder meer in een aantal gevallen een prima oplossing, maar zeker niet de ultieme oplossing voor alle it-kwesties.’

Computable-expert Henri Koppen is een fervent cloudadept en hij vraagt zich af wie dan deze cloudwatervrees heeft. ‘De business owner, de it-afdeling? In ieder geval niet de gebruikers. Voor wat betreft cloud is het volgens mij niet ‘to cloud or not to cloud’. Je wilt niet per se bedrijven cloud laten omarmen, zeker niet als doel. Stel het resultaat centraal, of los je probleem op.’

Voor Computable-lezer Norman van Es is het grote zorgpunt de provider. ‘Vanuit de contacten die ik rechtstreeks met hen heb komt vrijwel steeds naar voren dat de securityaspecten niet goed begrepen worden. Neem bijvoorbeeld cloud bij derden. Dat is outsourcing. Zij zijn er niet van op de hoogte of zij communiceren dit niet expliciet. Ook wordt de klant er niet expliciet op attent gemaakt dat de klant juridisch verantwoordelijk is en blijft voor wat er met zijn gegevens gebeurt.’

Maar ook is er volgens Van Es de privacywetgeving. ‘Men is niet bekend met de wetgeving en onbekend met het fenomeen PIA (Privacy Impact Assessment). Dit is toch wel best een aardig hulpmiddel. Maar ook kan de provider (het beheer) de gegevens van de klant in de productieomgeving ongehinderd benaderen. Tot slot is er geen sprake van adequate functiescheiding bij de provider. Vaak omdat de organisatie daarvoor te klein is.’

‘Check dus goed wat de houding van de provider is en wat men wel of niet geregeld heeft’, is het advies van Van Es. ‘Maken zij bijvoorbeeld proactief bekend dat de klant verantwoordelijk blijft, of vind je dit alleen maar in overeenkomsten terug? Een mogelijk hulpmiddel; vraag naar het ISAE3402-certificaat. Zeker als uw organisatie zich in de zorgsector, financiële sector (banken, pensioenen, verzekering), overheid, waterschap begeeft of beursgenoteerd is. De veiligheid bij de provider is inderdaad feitelijk een schijnveiligheid.’

Dit artikel is eerder verschenen in Computable magazine jaargang 48, nummer 8, oktober 2015.