Horrorverhalen voeren nog steeds de boventoon als het gaat om cloud security. Vooral het aspect gegevensbeveiliging is voer voor de media: Aanvallen door de NSA, creditcardgegevens op straat na een hack bij Sony, en meer van dit soort verhalen, stellen het vertrouwen in cloud security op de proef. Ook de monitoring van servers en systemen door leveranciers van clouddiensten doet bij veel bedrijven de vraag rijzen in hoeverre hun privacy is gewaarborgd.

Uit onderzoek van Ponemon Institute onder bijna 1100 IT'ers blijkt dat velen niet geloven dat een cloud managed security service op tijd een lek kan signaleren. Als de service al een lek ontdekt, dan zijn veel respondenten er niet van overtuigd dat zij daar snel en efficiënt van op de hoogte worden gesteld en inzicht krijgen in welke data is verdwenen of hoeveel klantgegevens zijn buitgemaakt.

Transparantie

Het is even slikken voor leveranciers van clouddiensten, want zij moeten dat wantrouwen nu natuurlijk omzetten in vertrouwen. Ironisch genoeg is de sleutel daartoe volledige openheid, denkt Jeroen Hentschke, channel sales engineer bij Norman/AVG Business. "Transparantie naar de klant toe is belangrijk. Waar zijn bedrijfsgegevens opgeslagen, wat doet een leverancier van cloudbeveiliging met deze gegevens en wat gebeurt er op het netwerk? Als een partij kan laten zien dat deze zorgvuldig omgaat met de bedrijfsgegevens en er geen geheimen zijn over wat ermee gebeurt, dan kan dat veel zorgen wegnemen", zegt Hentschke.

Grijs gebied

De grootste nadelen van de cloud, blijken tegelijkertijd de grootste voordelen. Door een externe partij het beheer van gevoelige informatie te laten regelen, geef je deze wel een bepaald mandaat, waar wederom vertrouwen voor nodig is. Neemt zo'n partij wel de verantwoordelijkheid als er bedrijfsinformatie uitlekt of hackers klantgegevens buitmaken? Uiteindelijk zal het bedrijf dat het beheer van gegevens heeft uitbesteed aan een externe partij zelf met de gebakken peren zitten.

Hentschke erkent dat dit een grijs gebied is. "Stel er zijn problemen, dan moet je per zaak bekijken waar het mis ging en wie daar op dat moment verantwoordelijk voor was." De leverancier van de clouddienst kan volgens hem wel degelijk verantwoordelijk worden gehouden. "De klant tekent een servicecontract waarin de leverancier bepaalde verantwoordelijkheden neemt. Tot op zekere hoogte natuurlijk, want als een klant geïnfecteerde bestanden naar de cloud stuurt, dan is de klant daar verantwoordelijk voor."

De klant zal overigens wel altijd eindverantwoordelijk blijven over zijn eigen bedrijfsinformatie. "Een leverancier van cloudoplossingen kan hoogstens de verantwoordelijkheid op zich nemen door de klant het servicecontract vroegtijdig te laten beëindigen of door een vergoeding te bieden als de servers een bepaalde tijd platliggen."

Voor sommige bedrijven zal een traditionele omgeving voorlopig nog steeds uitkomst bieden. Dat geldt met name voor ondernemingen met een strikt privacybeleid, waarbinnen het niet denkbaar is om gevoelige informatie te delen met de buitenwereld. Zij zullen erbij gebaat zijn om lokaal alles te monitoren en te onderhouden. Dat heeft misschien de nodige consequenties, maar je hebt geen tussenkomst van een externe partij.

Continuïteit

Maar waar bedrijven in een traditionele omgeving alle beveiliging en data 'inhouse' houden, kan er voor netwerkbeheer en -monitoring in de cloud een externe partij worden ingeschakeld. Dat is ook wel zo makkelijk. Zo'n partij kan vanuit een centraal punt alle klanten bedienen, hoeft bij problemen niet het land af te reizen voor de oplossing, en dat bespaart tijd en geld. De systemen worden door zo'n partij continu in de gaten gehouden en onderhoud vindt automatisch plaats. Stel er gaat iets fout, dan wordt dat centraal en sneller opgelost. Cloud security kan daarnaast een aanvullende functie hebben op on-premises toepassingen. Hentschke noemt printers als voorbeeld. "Een inktcartridge kun je niet vervangen in de cloud, maar je kunt wel zien dat die over duizend pagina's vervangen moet worden."

De relatie tussen klant en leverancier leunt door cloud security daarnaast niet langer op break-fix, maar op continuïteit, stelt Hentschke. "Bij een break-fix-situatie moet je on-premises kijken wat er kapot is gegaan, wat de schade is en wat je eraan kunt doen. Je kunt in een maand geen kosten hebben, maar in een andere maand kan je database uit de lucht vliegen. Ik kan mij voorstellen dat je als klant je kosten graag voorspelbaar wilt houden. Een cloudservice, waarbij bepaalde zaken preventief geregeld worden, kan dan aantrekkelijk zijn", zegt hij. Geen onverwachte kosten dus, maar een maandelijks tarief. "De klant betaalt voor continuïteit."

Trial: geef uw IT Service Provider-business een boost!