ICT-gebruikers van nu willen informatie gebruiken op het device dat zij op dat moment voorhanden hebben. Waar die informatie staat doet voor hen nauwelijks meer ter zake. Hiervoor gebruiken ze waarschijnlijk meerdere cloud diensten zowel private, hybrid als public. Een belangrijke vraag is dan: ‘Hoe hou je dit als ict-afdeling veilig en hoe waarborg je die veiligheid?’
De ict-gebruikers binnen organisaties beschouwen apps en software als een stuk gereedschap dat hen moet helpen om prettig en effectief hun werk te kunnen doen. Hoe de informatie uit die app of software bij hun komt en wat er allemaal nodig is om dat te faciliteren, is onbelangrijk. Zolang de informatie maar betrouwbaar en beschikbaar is. Omdat er steeds meer toepassingen komen voor de ict-gebruikers gaan organisaties die toepassingen via steeds meer wegen afnemen. Een ERP- of CRM-oplossing komt mogelijk nog via het eigen datacenter, terwijl e-mail en agenda uit een publieke cloud-dienst afgenomen wordt. In de toekomst komen daar nog meer cloud-omgevingen bij. Voor de ict-afdeling van organisaties is het ondoenlijk om al die omgevingen zelf te gaan beheren. Dat betekent dat aanbieders van cloud-diensten in de toekomst alleen nog kans van slagen hebben wanneer zij een volledig beheerde dienst aanbieden.
Beveiliging aan voor- en achterkant
Bij het aanbieden van meerdere applicaties vanuit verschillende cloud-omgevingen komen de gegevens van gebruikers – en daarmee ook de bedrijfsinformatie – op diverse plekken te staan. Aan de ict-afdeling dan de schone taak om er enerzijds voor te zorgen dat al die data veilig is en blijft en anderzijds de gebruikers te garanderen dat hun zakelijke en privé-data veilig is. Privé en werk lopen in de toekomst nog meer door elkaar heen en niemand wil dat de privacy in het geding komt. Natuurlijk geven de aanbieders van de cloud-diensten veiligheidsgaranties, als het goed is. Toch is ook dan de vraag gerechtvaardigd: ‘Hoe veilig is veilig?’ Een aanbieder van publieke cloud-diensten garandeert u dat hij zich houdt aan de ‘Privacy wetgeving’ van zijn of haar land. Alleen, welke wetgeving is dat dan? En geldt nu de wetgeving van de aanbieder van de cloud-dienst of geldt de wetgeving van de afnemer? Los van het privacy-vraagstuk wilt u als organisator van de ict-dienstverlening ook garanties over privacy en over veiligheid, betrouwbaarheid en integriteit van uw informatie. Het laatste wat u wilt is dat uw concurrent via een lek in een beheerde cloud-omgeving gegevens in bijvoorbeeld uw ERP-pakket kan veranderen.
Garantie op veiligheid bestaat niet
Heel eerlijk: 100 procent garantie op veiligheid bestaat niet. Hoewel een ISO 27000 certificering aangeeft dat een cloud-aanbieder alle veiligheidsprocedures op orde heeft, betekent dat niet dat uw data per definitie veilig is. Die gebruikers van al die apps en applicaties zullen – niet gehinderd door enige kennis van zaken – via de app-store aanschaffen wat hun bevalt. U hebt daar geen zicht op en verliest daarmee grip op de beveiliging. Angstaanjagend? Absoluut. Stof tot nadenken? Zeker. Een beleid maken voor de toekomst? Dat raad ik u zeker aan.
Jan Swaters is Technisch directeur en Business Consultant bij ICT Spirit
