Deze opinie is van een externe deskundige. De inhoud vertegenwoordigt dus niet noodzakelijk het gedachtegoed van de redactie.

Verander het menselijk denken

Expert

Alexandra Schless
Algemeen Directeur, TelecityGroup Nederland. Expert van voor het topic .

De discussie over de veiligheid van data in de cloud en de betrouwbaarheid van cloud-leveranciers duurt nog altijd voort. In mijn vorige blog gaf ik aan hoezeer ik het belang van certificering van cloud computing daarom onderstreep. We zijn inmiddels een paar maanden verder en hoewel we er op dat gebied nog niet zijn, zijn al wel de eerste stappen gezet om nog meer transparantie en vertrouwen te creëren.

Het zal in onze branche altijd draaien om vertrouwen, transparantie en heldere service level agreements (sla's). Ik ben me ervan bewust dat ook certificering daar niet direct grote verandering in brengt. Vertrouwen krijgen in cloud-diensten heeft namelijk  voor een groot deel te maken met een verandering in het menselijk denken. De strijd tussen wat technisch mogelijk is en wat het menselijk brein accepteert, zal altijd voortduren. Dat is logisch. Wellicht ligt hier daarom juist de grootste uitdaging voor ons; de scepsis van het menselijk denken wegnemen.

Gelukkig zijn er ontwikkelingen die het vertrouwen in cloud-diensten een flinke boost geven. Nog niet zo lang geleden werden bijvoorbeeld de cijfers van de Nationale EuroCloud Monitor gepresenteerd. Daaruit bleek dat de cloud inmiddels is doorgedrongen tot de mainstream van it. Tevens is er onlangs een belangrijke, juridische mijlpaal voor cloud-adoptie bereikt. Microsoft heeft immers een onderzoeksrecht voor DNB opgenomen in overeenkomsten met betrekking tot Office 365 cloud-diensten bij de Nederlandse financiële instellingen. Een interessante  doorbraak.

Deze grootschalige cloud-adoptie geeft ook aan de tot nu toe terughoudende publieke sector een positief signaal af. Ondanks deze positieve ontwikkelingen waarmee cloud computing nog verder professionaliseert en volwassener wordt, moeten we niet vergeten dat de manier waarop wij inzicht geven in de complexiteit die cloud met zich meebrengt het ook belangrijk is om de gebruiker te overtuigen.

Ik besef dat certificering niet dé oplossing is, maar ik ben er zeker van dat het wezenlijk bijdraagt aan het vergroten van vertrouwen. Een certificaat geldt als onafhankelijk bewijs van service, kwaliteit en beveiliging. Willen we echt het vertrouwen van het menselijk denken winnen, dan moeten we transparantie bieden. En dat hebben we weer grotendeels zelf in de hand. Aanbieders moeten uitleggen hoe ze te werk gaan, en aangeven welke (back-up) scenario’s toegepast worden indien het mogelijk misgaat.

Cloud computing is nog altijd een vrij abstract begrip, dus het is aan de sector om het tastbaar te maken voor gebruikers. Daar hebben zij recht op. Want we mogen nooit vergeten dat zij hun data uit handen geven aan een externe partij en ‘hun kindje’ aan ons toevertrouwen Oftewel: we moeten de vraagstukken rondom veiligheid en betrouwbaarheid van de cloud door de bril van onze eigen bedrijfsvoering bekijken. Dan zijn wij waarschijnlijk net zo kritisch. Met die gedachte in ons achterhoofd en met dezelfde zorg moeten we de discussie blijven voeren. Want hoe zou u zich erbij voelen uw ‘kindje’ aan een ander over te dragen?

x

Om te kunnen beoordelen moet u ingelogd zijn:

Dit artikel delen:

Reacties

Alexandra,

Certificering is vertrouwen/kennis op papier. En ja, dat draagt zeker bij aan het vergroten van het vertrouwen. Echter zal het niet de adoptie van de Cloud versnellen. In sommige gevallen vertraagt het juist. Want weet de klant wel waar een leverancier aan moet voldoen? En hoe maak je dit inzichtelijk.

Je kan wel op de certificering van je leverancier af gaan. Maar kan je ze ook ( in het )echt vertrouwen? Volgen ze alle regeltjes en procedures wel netjes op. Referenties en het delen van ervaring speelt hier ook zeker een grote rol in. Dit zal de komende tijd nog veel discussie opleveren. Iets waar op ik mij nu al verheug.

Prachtig verhaal, maar het woord privacy komt er niet eenmaal in voor.
Vertrouwen is onmogelijk in de publieke sector als privacy niet kan worden gewaarborgd. Gaat certificering dit oplossen?
Ik denk het niet. Daar hebben we overheden voor nodig, die onderling een juridische structuur afspreken, waar de burger van op aan kan.
Gesprekken tussen Europa en de VS zijn nog steeds niet op dat punt aanbeland.

Alexandra,

Een spreekwoord luidt: "Vertrouwen komt te voet en vertrekt te paard" en hiervan zijn dus vele voorbeelden te vinden, niet enkel in de ICT sector.

Ik zie dus liever dat 'Verander het denken' veranderd zou worden in 'Verander het zicht' zodat gebruikers weten met wie ze zaken doen. En afnemers een brilletje opzetten dat geblindeerd is met certificaten geeft dus ongeveer net zoveel zicht als een lasmasker.

Laatste zin is wel leuk maar er zijn ook veel narren aan het hof om te goed van vertrouwen te zijn. Vertrouwen is goed maar controle is dus nog altijd beter.

Certificering is slechts een momentopname. Met een beetje goede wil kun je de de certificering zelfs zo sturen dat het instituut dat de certificering verzorgt alleen ziet wat jij wil dat ze zien.

Daarnaast krijg je veel certificeringen voor langere tijd, dus de huidige manier van werken hoeft helemaal niet in lijn te zijn met de stand van zaken op het moment van certificering.

Wat dat betreft ben ik persoonlijk meer gecharmeerd van de aanpak van de Amerikaanse FDA (binnen haar eigen landsgrenzen). Die mogen te pas en te onpas aanbellen bij bedrijven in de medische sector en een inspectie uitvoeren.

Neem daarbij de publieke schandpaal (ook leesbaar voor de concurrenten) in geval van geconstateerde problemen, en de mogelijkheid om een bedrijf plat te leggen (indien de problemen echt serieus zijn), dan wil je als bedrijf wel zorgen dat je spullen op orde zijn. Die stok achter de deur is veel en veel sterker dan menig certificaat.


(Binnen Europa voert de FDA ook inspecties uit, bij bedrijven in de medische sector die aan Amerika leveren. Echter, dit doen ze met een vooraankondiging enkele weken voordat ze echt komen. Ook kunnen ze in Europa in principe geen bedrijven plat leggen, maar wel een exportverbod/verkoopverbod naar/voor Amerika)

Het gebrek aan transparantie is één van de grootste vertragende factoren van cloud computing. Ik heb werkelijk geen idee hoe groot de kans is dat bijvoorbeeld een overheid zich toegang verschaft tot mijn bij externe partij opgeslagen data. En dat is dodelijk.

In theorie kan Amerikaanse overheid bij alle data die je bij Microsoft diensten opslaat, ook als dat datacenter in Nederland staat. Hoe vaak dit gebeurt en hoe vaak dit gericht is op bedrijven c.q. personen is niet duidelijk.

Ik ben ook SaaS leverancier en sla dus data op van bedrijven en personen. Ik zou dus net zo goed benaderd kunnen worden met een verzoek data te overleggen. Dit is nog nooit gebeurt.

Wat ik heel graag zou willen vragen aan grote internet providers en cloud leveranciers hoe vaak ze zo'n verzoek krijgen, of dat een rechtelijk bevel is of een vraag. Wat de toon van zo'n verzoek is en wat het protocol is van het bedrijf om met dit soort verzoeken om te gaan.

Dat zou ik heel graag willen weten.

In principe zie ik overigens geen verschil tussen een cloud leverancier en een (VS bedrijf) dat een "private cloud" aanbiedt. In mijn ogen zijn ze net zo vatbaar voor opvragingen van data.

Zo.

Dat is eruit.

@Henri,
Wat denk je een leverancier in Nederland gaat meemaken als hij je vraag beantwoord met: We hebben afgelopen 6 maanden 3 keer van Amerikaanse overheid een verzoek gekregen om data van 8 klanten aan hen door te geven!
Ja dat klopt, ze kunnen failliet gaan! Als een leverancier met dit antwoord komt dan zijn ze veel Nederlandse klanten kwijt! Dus…… ze geven nooit een eerlijk antwoord op je vraag.

@Alexandra
Door transparantie die ik van verschillende cloudleveranciers krijg (over hun back-up, beveiliging, software keuze etc etc) zie ik door de bomen het bos niet meer! Elke leverancier heeft zijn eigen transparantie-aanpak/methodiek/verhaal/vertaling. Hoe kan ik deze met elkaar vergelijken om tot een juiste keuze te kunnen komen?

Naar mijn mening kun je dit probleem oplossen wanneer standaardisatie van een aantal onderwerpen binnen cloudoerwoud gerealiseerd is. In dit geval weet ik dat iedere leverancier zich aan dezelfde regels en normen heeft gehouden. Hierdoor kan ik met een kort overzicht met informatie over een aantal zaken snel mijn toekomstige leverancier uit de vergelijkingslijst kiezen.
Nadeel van dit voorstel is dat veel ondernemers die zich nu bezig houden met het begeleiden van cloud-klanten, werkloos gaan worden!

Reza (en Henri),

Argumentatie van Patriot Act heb ik ondertussen vaak genoeg gehoord maar is niet meer het grootste probleem. Gezien de situatie met Ruby on Rails is het volgens mij ook niet ondenkbaar dat er vroeg of laat een keer een lek in een 'cloud framewerk' ontdekt wordt. Het is in dat geval te hopen dat het niet dagen duurt om zo'n gat te dichten en de dienst op zwart gaat. En we weten ondertussen dan een mooie certificering niet echt tegen dit risico helpt.

Toch is dat nog geen reden om geen gebruik van de cloud te maken maar wel een waarschuwing om er niet afhankelijk van te worden, in elk geval niet van één partij. Maar misschien goed als de auteur zich in deze discussie mengt want we dwalen weer eens af;-)

Goede titel, minder goed artikel. Want het artikel zelf is geschreven vanuit het denken dat je (ik in elk geval) juist zou willen veranderen. In een wereld waarin mensen (geleerd wordt te) denken dat zij meer waard (moeten) zijn dan anderen en waar dus grote (maatschappelijke, religieuze of sociale) verschillen in stand worden gehouden, mensen elkaar onderdrukken en geld en macht onlosmakelijk met elkaar verbonden zijn, kun je certificeren wat je wilt, maar in wezen verandert er niets. Je creëert schijnzekerheid. Vanuit dat onveranderde denken zullen overheden, bedrijven, criminele organisaties, extremisten en individuen op zoek blijven naar mogelijkheden om al dan niet door machtsmisbruik, misleiding of chantage, kennis los te peuteren om voordeel te halen of hun positie ten opzichte van de rest van de wereld te versterken. Als DAT denken niet verandert is je data nooit veilig. Niet in de Cloud, niet op je eigen server en ook niet op je privé PC.

Deze hele discussie is an sich redelijk abstract. Als het om vertrouwen gaat is het juist belangrijk dat je ervaring met bestaande clouds en implementaties kan overleggen en kan uitleggen hoe deze dagelijks gebruikt en beheerd worden.

Dat er in een cloud framework ook gaten zitten is bijna een wetmatige zekerheid. Maar hoe deze aangepakt worden in de praktijk is juist het moment waar het vertrouwen bevestigd wordt of niet. En welke cloud gebruiker of leverancier durft hier open en eerlijk over te vertellen?

Een Certificaat wordt uiteindelijk een compliancy norm. Compliancy is echter iets anders dan security. Het enige dat leveranciers ertoe beweegt om te beveiligen is marktwerking en data breach wetten met de bijbehorende penalties. In dat opzicht komt er binnenkort wat nieuws uit de EU.

Certificering (en audit) is belangrijk, hoe je het ook wend of keert.
Een grote klant wil alleen zaken met mij doen als ik een SAS Type II verklaring kan overleggen. Hiermee kunnen zij de keuze verdedigen.

Er komt vanzelf een ongeschreven standaard in welke certificeringen nodig of bruikbaar zijn als cloud provider.

Ewout, je bent de eerste die het woord Patriot Act gebruikt!

En afhankelijkheden zijn er altijd, ik zie geen onderscheid tussen een cloud provider en zelf doen. Als je database omvalt moet je het op kunnen lossen, dat maakt niet dat je niet afhankelijk bent van die database. Als je je spullenboel in een eigen datacenter hebt ben je ook afhankelijk van de verbinding naar dat datacenter. Het gaat erom dat je redelijkerwijs het risico wat je loopt kunt mitigeren naar het gewenste niveau.

En *ik* ervaar bij mijn klanten dat de grootste drempel enerzijds privacy is, anderzijds het hoge risico om (in deze tijd) afscheid te nemen van legacy. Daarom merk ik dat adoptie van cloud computing vooral plaatsvind aan de rand van de automatisering waar het risico relatief laag is, dus social media, samenwerken en bijvoorbeeld e-mail.

Henri,

Je kunt soms het woord niet noemen maar het wel omschrijven.

Betreffende je opmerking over certificering, die worden vaak gevraagd omdat er dan niet verder gekeken hoeft te worden. Zo had IceSave een bankvergunning maar geen kapitaal voor depositostelsel om een voorbeeld te geven.

Betreffende afhankelijkheid heb ik gister weer een stuk klaar gezet dat hier op in gaat. En mijn database was niet omgevallen maar het schema was wel veranderd. Want er is meer interessant voor hackers dan persoonsgegevens, gratis bandbreedte en processorkracht is tegenwoordig ook heel aantrekkelijk.

@redactie:
Als een expert een artikel indient, voldoende reacties krijgt en nergens antwoord op geeft dan heb ik het gevoel OF de tekst NIET door die person zelf is geschreven, daarom kan hij/zij niet op de reacties ingaan OF de mening/vragen/reactie van andere mensen interesseren hem/haar niet. In beide gevallen, wat mij betreft mag die persoon uit de lijst van experts gehaald worden.

Reza, waarom stel je deze vraag niet gewoon rechtstreeks aan de redactie?
Ik vind jouw reacties en die van anderen vaak interessanter dan het artikel zelf. Sterker nog, meestal klik ik alleen op artikelen waar iemand al gereageerd heeft!

Vaak klik ik op de schrijven van het artikel en dan zie je snel zat of iemand gaat reageren of niet. Maak zelf een keuze, maar Computable redactie is echt wel bewust dat niet alle schrijvers actief reageren en hebben daar blijkbaar een keuze over gemaakt.

En natuurlijk is het zwak als iemand wel een artikel plaatst, maar er vervolgens niets mee doet. In dat opzicht heb ik nog een derde mogelijkheid waarom iemand niet reageert: Bang zijn om in een discussie terecht te komen en daar niet voor open staan (of geen tijd voor hebben).

We hebben allemaal onze redenen om artikelen te schrijven of om op te reageren. Ik maak me er niet meer druk om als schrijvers geen interactie aan gaan.

Reza,

Ik sluit me aan bij Henri. Ik heb mij hier ook een tijdje te druk om gemaakt. Maar blijkbaar is het geen verplichting om op je eigen artikels te reageren. Erg jammer, maar wat Henri al zegt de discussies die we vaak onderling hebben zijn voor mij vaak meer leerzaam als het artikel zelf.

Terug naar het artikel...
Cloud prachtig mooi!
Echter eerst glasvezel voor iedereen, dan pas gaan wij (ons bedrijf) actief Serieus iets met het cloud gebeuren doen.
Verder zal Drs. Alexandra Schless het wel te druk hebben om te reageren op wat voor opmerking dan ook - sterker nog: misschien zit ze met haar hoofd in the cloud (lees: wintersport, nu even niet). De eerst reactie van Ruud slaat volgens mij de 'spijker' op zijn kop.

Stuur dit artikel door

Uw naam ontbreekt
Uw e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
article 2013-01-16T14:35:00.000Z Alexandra Schless
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.