De cloud verdient een goed gesprek

cloud_gespekU blijft de cloud maar gevaarlijk vinden. Nou ja, de IT’ers onder u vinden in ieder geval dat de beveiliging en privacy van clouddiensten te kort schiet blijkt uit onderzoek van een grote IT-dienstverlener. De vraag is natuurlijk wel waarom u het zo eng vindt? Vaak blijft het antwoord hangen in vage technologische kreten. En ook de plaats waar uw data opgeslagen wordt blijft de gemoederen maar bezig houden. Maar is dat nou de kern van het vraagstuk?

Natuurlijk, overheden (ook in Europa en zeker in Nederland) kunnen in uitzonderlijke gevallen inzicht in data van derden krijgen. Wet- en regelgeving op dit vlak verdient zeker aanscherping. Maar om nou te zeggen dat alle data in de cloud zomaar voor het oprapen ligt, dat is natuurlijk volstrekte nonsens. En ook qua technologie is er weinig te vrezen. Sterker nog, technologische hoogstandjes op het vlak van beveiliging waar de meeste IT-organisaties nog maar van kunnen dromen zijn in de cloud al grootschalig beschikbaar. Nee, de overigens terechte zorgen over beveiliging in de cloud gaan eigenlijk over iets anders. Ze gaan over controle, of eigenlijk het gebrek daaraan.

In veel gesprekken die wij met onze cliënten voeren over beveiliging, wordt nog vaak verwezen naar de Diginotar affaire. Onveiliger dan dat kan je het niet bedenken, toch? Dat is misschien wel waar, maar Diginotar heeft juist pijnlijk duidelijk gemaakt dat beveiliging niet zozeer een technologisch maar vooral een organisatorisch vraagstuk is. Waar het in deze casus met name aan ontbrak was de controle door de opdrachtgever op de te leveren IT diensten en de organisatie (lees: beheer) daarvan. En ook dat zien wij in onze praktijk nog steeds veel voorbij komen.

Te vaak richt het selectieproces voor een nieuwe leverancier, of het nou cloudcomputing of IT dienstverlening in het algemeen betreft, zich op de ‘wat’ situatie. Er worden vooral eisen gesteld aan het type beveiliging en mogelijk aan de wijze waarop dit voor u als klant wordt geïmplementeerd. Maar hoe de IT dienstverlener zijn processen heeft georganiseerd en geborgd, laat staan de controle daarop, wordt te vaak vergeten, of in het beste geval onderbelicht. En dat is nou precies de essentie van IT governance. Dat het wordt geborgd.

Uitbesteden van IT leidt in het algemeen tot een min of meer langdurige relatie met een externe dienstverlener. En zo’n relatie moet je gezond houden. Niet alleen vragen naar het ‘wat’ maar ook het ‘hoe’. En dit gedurende de relatie blijven controleren. Met elkaar in gesprek blijven dus. Net als in een echte relatie. Want met één keer per jaar een bloemetje op Valentijnsdag gaat u het echt niet redden.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *