Cloud: hoe houd je controle over je data?

De overstap naar de cloud is voor veel bedrijven groot. Uit recent onderzoek van TNS Nipo blijkt dat de zorg over veiligheid de belangrijkste reden is om niet voor een cloud-oplossing te kiezen. De bekende voordelen, zoals kostenbesparing, flexibiliteit en toegankelijkheid, lijken dan ook niet op te wegen tegen de veiligheidsrisico’s.

Toch zouden de zorgen over veiligheid bedrijven niet moeten weerhouden. Door de eisen zorgvuldig op een rij te zetten en de keuze voor een cloud-oplossing hierop aan te passen, kunnen bedrijven alsnog profiteren van de voordelen van dataopslag in de cloud.

Veiligheid voorop

Voor veel bedrijven lijkt het bewaren van data op een server binnen de eigen bedrijfsmuren nog steeds veiliger dan het uitbesteden van dataopslag aan een cloud-leverancier. Zij vragen zich af waar hun bedrijfsgegevens worden opgeslagen en wie er toegang heeft tot deze data. Een terechte zorg, die met name belangrijk is voor bedrijfskritische data zoals klantgegevens of concurrentiegevoelige informatie. Naast de vertrouwelijkheid van data, staat veiligheid hoog op de agenda vanwege compliancy-eisen. Richtlijnen van de overheid verplichten bedrijven er simpelweg toe aantoonbaar alles te doen om data van bijvoorbeeld klanten of toeleveranciers zo goed mogelijk te beschermen. Een overtreding van compliancy-voorschriften kan resulteren in een forse boete, of erger nog, in reputatieschade. Voor sommige bedrijven genoeg reden om maar helemaal niet aan een cloud-oplossing te beginnen.

De risico's vs. de voordelen

De terughoudendheid van bedrijven is begrijpelijk, maar de cloud biedt veel voordelen waar bedrijven niet omheen kunnen. Cloud- leveranciers profiteren van schaalvoordeel, omdat zij security- investeringen kunnen spreiden over al hun afnemers. Een niet tegen opboksen en nooit hetzelfde beveiligingsniveau realiseren. Een cloud-oplossing inzetten betekent niet dat de controle over veiligheid uit handen wordt gegeven. Bedrijven moeten zich er juist van verzekeren dat ze de juiste eisen stellen en dat ze een oplossing kiezen die hier aan voldoet en blijft voldoen. Met de volgende tips blijven de risico’s van de inzet van de cloud beperkt.

1. Bepaal welk veiligheidsniveau noodzakelijk is

Niet alle data zijn even belangrijk. Klantgegevens hebben bijvoorbeeld een betere beveiliging nodig dan gegevens uit een vergaderboekingssysteem. Bekijk daarom per bedrijfsactiviteit en -onderdeel op welk niveau de data beveiligd moet worden en pas de keuze hierop aan. Bijna alle cloud-leveranciers bieden extra veiligheidsopties om het niveau aan te passen aan de betreffende informatie. Deze aanpak resulteert in een efficiënte inzet van cloud-oplossingen.

2. Weet waar je data staat én blijft

Om de veiligheid te garanderen, beroepen veel cloud-leveranciers zich op het feit dat de data in een Nederlands datacenter staat, maar dit is niet voldoende om de veiligheid te garanderen. Een cloud-leverancier kan bijvoorbeeld voor ondersteuning gebruik maken van outsourcing naar India en op deze manier gaat de data dus toch de grens over. Ga daarom na of de data binnen de landsgrenzen blijft en of de cloud-leverancier onder een Nederlandse juridische entiteit valt. Een cloud-leverancier met Amerikaanse moedermaatschappij valt namelijk niet onder de Nederlandse wetgeving.

3. Weet wie er bij je data kunnen

De geografische locatie van een datacenter zegt niets over de fysieke beveiliging van het pand en de toegang tot bijvoorbeeld serverruimtes voor medewerkers van het datacenter. Worden de medewerkers bijvoorbeeld gecontroleerd op hun achtergrond? Ook is het belangrijk dat de gegevens worden versleuteld, ofwel onbruikbaar worden gemaakt voor derden.

4 Verzeker je van frequente en transparante monitoring

Het is essentieel dat je als klant van een cloud-leverancier kunt monitoren wat er met de data gebeurt en welke maatregelen de cloud-leverancier neemt om de veiligheid te garanderen. Dit gebeurt nog te vaak op basis van steekproeven, terwijl dat niet voldoende is. Alleen met een frequente monitoring door een onafhankelijke partij, zoals Deloitte dat voor KPN’s CloudNL Office doet, kan de cloud-leverancier een waterdichte garantie geven. De veiligheidsrisico’s zijn dus tot een minimum te beperken door vooraf een goed kader van eisen en voorwaarden te ontwikkelen en vervolgens een cloud- oplossing te kiezen die past binnen dat kader. Met deze gestructureerde voorbereiding is dataopslag in de cloud absoluut een veilige en verstandige keuze.

Gastexpert
[block] [par] [bold]Menno Frantzen[/bold] is Incubator Product Manager bij [url link="http://www.kpn.com"]KPN[/url]. [/par] [/block]