Vijf vragen die u moet stellen om bestanden veilig op te slaan in de cloud
15 augustus 2012 -
Het online delen en opslaan van bestanden is populair, zowel bij consumenten als binnen het bedrijfsleven. Overal en altijd toegang tot bestanden is de norm geworden en door het groeiende aantal mobiele devices op de werkvloer is de vraag naar datastorage in de cloud in een stroomversnelling terecht gekomen.
Op de werkvloer worden steeds meer consumenten apps gebruikt voor het delen van bestanden. Medewerkers omzeilen hiermee de corporate guidelines zonder zich te realiseren dat zij de organisatie op deze wijze mogelijk beschadigen. Bedrijven weten niet waar hun bedrijfsgegevens zich bevinden en zijn er ook niet zeker van dat deze gegevens veilig zijn opgeslagen. De afgelopen jaren hebben zij veel geïnvesteerd in het beveiligen van het bedrijfsnetwerk, maar door het toenemende gebruik van gratis file sharing-diensten ontstaan er gaten in de beveiliging. Proact beschrijft vijf vragen die organisaties moeten stellen ten aanzien van het veilig opslaan van data in de cloud:
1. Welke online tools worden er binnen de organisatie gebruikt om documenten op te slaan en te delen?
Vaak heeft de IT-afdeling wel het vermoeden dat er op het bedrijfsnetwerk verschillende cloud-applicaties of FTP-gebaseerde oplossingen worden gebruikt om documenten te delen en gegevens op te slaan, maar is er geen duidelijk inzicht in welke applicaties worden gebruikt. Wanneer er inzicht is in de gebruikte applicaties, kan ook worden beoordeeld of deze applicatie voldoen aan de voorwaarden die de onderneming stelt aan informatie-uitwisseling of niet.
2. Waar worden kritische bedrijfsgegevens opgeslagen? Het opslaan van bestanden in de cloud kan heel veilig zijn, maar organisaties realiseren zich onvoldoende dat bedrijfsgegevens mogelijk niet privé blijven wanneer de dienst waarmee de bestanden worden uitgewisseld zijn data opslaat in de VS. Veel populaire file sharing-diensten maken gebruik van Amazon S3 als opslagdienst voor klanten. Amazon S3 ondersteunt de Safe Harbor-principes en blijft over het algemeen met data van Europese klanten in Europa, waar strengere privacy-regels gelden. De meeste gratis file sharing-diensten zelf voldoen echter niet aan de Safe Harbor-principes. Dit betekent dat wanneer je niet oplet, bestanden alsnog opgeslagen kunnen worden op een server in de VS, waar momenteel nog minder strikte privacy regels gelden. Op deze manier kunnen gevoelige gegevens terechtkomen bij de Amerikaanse overheid en wellicht nog wel bij meer personen die niets met jouw bestanden te maken hebben. Dit zal in de toekomst naar verwachting wel veranderen, aangezien de regering de wetgeving hieromtrent wil aanscherpen.
3. Welke garanties worden gegeven ten aanzien van backup en security?
Het is niet voor niets dat ondernemingen veel tijd en energie steken in het ontwikkelen en uitvoeren van het backup- en security-beleid. De bedrijfsgegevens zijn een kostbaar bezit en wanneer deze in verkeerde handen terecht komen of verloren gaan is de schade niet te overzien. In sommige gevallen kan het zelfs leiden tot het einde van de onderneming. Daarom is het belangrijk om ook vanuit dit perspectief te kijken naar de applicaties die worden gebruikt door medewerkers. Wanneer er door een leverancier onvoldoende garanties worden gegeven ten aanzien van dataopslag, hoort deze niet thuis op de werkvloer.
4. Wat zijn de wensen van medewerkers?
Ondanks dat het vanuit het oogpunt van de organisatie niet altijd wenselijk is dat medewerkers gebruik maken van publieke cloud-diensten, geeft dit wel een goed inzicht in wat medewerkers belangrijk vinden als het om samenwerken gaat. Het is niet realistisch om te verwachten dat medewerkers alleen offline bestanden met elkaar delen. En wanneer zij slechts de beschikking hebben over gebruiksonvriendelijke applicaties, is het niet verwonderlijk dat zij zelf op zoek gaan naar alternatieven. Om weer grip te krijgen op IT, moeten ondernemingen weten waar medewerkers behoefte aan hebben en hen een veilig alternatief bieden. Wanneer de geboden oplossing het leven van de medewerker eenvoudiger maakt, is de kans groot dat hij de tool daadwerkelijk gaat gebruiken.
5. Private cloud of publieke cloud
Niet alle informatie is vertrouwelijk en dus is het in sommige gevallen geen enkel probleem wanneer gegevens in de publieke cloud uitgewisseld worden. Door kritisch te kijken naar de gevoeligheid van informatie en te kijken naar welke eisen er moeten worden gesteld ten aanzien van beschikbaarheid, de kosten en de beveiligingseisen wordt helder of gegevens via de publieke cloud gedeeld mogen worden of niet. Door gradaties aan te brengen in data kan worden bepaald welke gegevens in welke cloud-omgeving kunnen worden opgeslagen. Gevoelige informatie of informatie die langdurig bewaard moet blijven, kan het beste worden opgeslagen in een private cloud. Informatie die niet cruciaal is, maar wel snel beschikbaar moet zijn kan ook in een publieke cloud worden opgeslagen of gedeeld.
Controleverlies
"Veel organisaties weten niet goed wat ze aan moeten met deze ontwikkeling en verliezen de controle over de IT," stelt Rob Christ, VP Managed Cloud Services bij Proact. "Zij gedogen een situatie die op termijn de organisatie in gevaar kan brengen, terwijl het ook mogelijk is om hetzelfde gebruikersgemak te bieden in een private cloud. Organisaties die verstandig omgaan met deze mogelijkheden kunnen veilig werken combineren met productief werken en dat is in het belang van werkgever en werknemer."
Ik blijf vermelden dat het goed is om aandacht te besteden aan de vragen rondom cloud computing. Over 10 jaren lachen we er misschien om, maar we moeten het 'even' oplossen. Daarom mijn reactie.
Bovenstaande artikel is wat kort door de bocht, in diepgang en breedte.
In diepgang zoals t.a.v. garanties;
een bedrijf kan wel een uptime van 99% (of zelfs meer) garanderen, maar als in de (algemene) voorwaarden de schadevergoeding is gemaximaliseerd tot bijvoorbeeld een één maandbedrag ben je weinig gewaarborgd... En anders zullen meerdere partijen naar elkaar wijzen voor de schuldige (hardwareleverancier, kabelaar, provider, hoster, softwareleverancier voor de instellingen et cetera).
Ook in de breedte is het artikel aan te vullen.
Er wordt bijvoorbeeld wel ingegaan op de opslag van gegevens, maar wie is eigenaar van de apparatuur die de medewerkers zelf meenemen (ofwel BYOD, bring your own device) en de toegangsbeveiliging hiervan? Wie regelt deze FireWalls en kritische updates tegen lekken van hun smart phones en tablets? Verder wordt niet ingegaan op de controle van de autorisatie in combinatie van de functie en bevoegdheden (competentietabellen) van medewerkers. Als je die niet kunt controleren, hoe weet je dan dat je gegevens valide zijn?
Ook de kwaliteit van de gebruikte cloudtoepassing is wezenlijk en wordt niet aangestipt in het artikel. In de cloud zie ik wel eens 'piraten' aan het programmeren, die geen geprogrammeerde controles waaronder batch- en hashcontroletotalen worden ingebouwd. Overigens gebied eerlijkheid me te zeggen dat ik dat ook nog wel eens zie bij gewone 'offline' applicaties.
Ik weet heel goed dat het onmogelijk is om volledig te zijn in zo'n kort artikel, dus hierbij mijn begrip en tegelijk mijn kanttekening.
Ik ben het overigens met de heer 'safety vests' eens dat deskundigheid vereist is.
Barry Mooibroek AA RAB
--- Binnen ACMO Accountants + Adviseurs van mijn ICT hobby ook deels mijn werk gemaakt.---