De cloud is voor veel organisaties dé manier om flexibiliteit te creëren, ict-kosten fors te verlagen en sneller te reageren op veranderingen. Dat geldt ook voor gemeenten, waterschappen en andere overheidsinstellingen. Maar moet ’t dan een publieke of private cloud worden? De publieke cloud is voordeliger en dat bespaart natuurlijk belastinggeld. Toch twijfelt ruwweg de helft van alle ict-experts aan de veiligheid ervan. Terecht? Ja, zo stelt Equinix, al jaren partner van diverse Nederlandse overheidsorganisaties en bedrijven.
Innovaties volgen elkaar bij de overheid snel op. Veel van deze innovaties zijn ict-gedreven. Ze creëren datastromen die in toenemende mate in een cloud-omgeving worden opgeslagen. En dat brengt forse beveiligingsuitdagingen met zich mee. De vaak privacygevoelige gegevens hebben een waterdichte security nodig – een feit waarop toezichthouders en juristen telkens weer hameren. Die security is in de public cloud vooralsnog niet volledig gegarandeerd. “Voor informatiebeveiliging gelden strenge normen, zoals ISO27001 en NEN7510”, zegt Frank van der Heijden, directeur van Equinix Managed Services. “Hoe voldoe je aan die normen als je data in de publieke cloud staan? Het is nog steeds verstandiger om bedrijfskritieke systemen in eigen huis te houden. Of uit te besteden aan een leverancier die de security-experts in huis heeft en waarvan de datacenters binnen de landsgrenzen staan. Wij merken dat steeds meer overheidsinstellingen kiezen voor onze datacenters en aanvullende diensten.”
Binnen de grenzen
Een van de redenen ligt in de Freedom Act, de wet die de Amerikaanse overheid juridische bevoegdheden geeft om de gegevens in datacenters op te vragen. Voor Nederlandse overheidsorganisaties is dit een terechte bron van zorg. In het voorbeeld van Equinix Managed Secure Cloud blijven data gegarandeerd binnen de Nederlandse landsgrenzen, in Equinix-datacenters in Amsterdam, Zwolle en Enschede. Een eventueel verzoek tot gegevensvordering uit de USA is juridisch geblokkeerd, aangezien de Nederlandse activiteiten van Equinix buiten deze invloedsfeer vallen.
In Nederland heeft de overheid de storage-versnippering fors teruggebracht. Overheidsgegevens zijn nu geconcentreerd in een handjevol datacenters binnen de landsgrenzen. Het is geen toeval dat twee van deze ODC’s (Overheidsdatacenters) in Equinix-locaties staan. Ook voert het bedrijf inmiddels een aanzienlijk deel van de beveiligde berichtenstromen van haar klanten uit, vervolgt Van der Heijden. “We hosten kritieke bedrijfsapplicaties, waardevolle klantgegevens en gevoelige berichtenstromen op de meest veilige manier. En de continuïteit blijft gewaarborgd met een gegarandeerde beschikbaarheid van 99,99+ procent. Klanten ontvangen supportcontracten met die garantie. Ook dát is een argument voor diverse bedrijven om hun primaire processen onder te brengen in onze ict-infrastructuur.”
Extra afgeschermd
Maar hoe wordt die veiligheid gegarandeerd? Datacenters van Equinix vormen perfect beveiligde omgevingen. In Nederland staan deze datacenters in Amsterdam, Zwolle en Enschede. Elk datacenter heeft uitgebreide fysieke beveiligingsmaatregelen, geavanceerde systemen voor klimaatbeheersing en brandbestrijding plus diverse noodstroomvoorzieningen. Al deze systemen zorgen ervoor dat de ict-apparatuur in het datacenter ook tijdens calamiteiten goed blijft functioneren. Bedrijfskritieke en gevoelige data zijn dus volledig veilig opgeslagen. Voor klanten die gevoelige informatie verwerken zijn extra afgeschermde en geblindeerde serverruimten aanwezig. Deze hebben onder meer een kooi-in-kooi-opzet, extra hekwerk, beveiliging met handpalmlezers en camera’s en extra toegangscontroles. Daarnaast bestaat er een groot aantal normen (zie hierna) waaraan een cloudprovider moet voldoen om beveiliging van het hoogste niveau te kunnen garanderen. De normen schrijven bijvoorbeeld processen, protocollen en certificeringen voor en stellen daarnaast hoge integriteitseisen aan medewerkers.
Meeliften
Gemeenten, waterschappen en ict-leveranciers die de overheid als klant hebben, kunnen meeliften op deze hoge veiligheidsstandaard. Van der Heijden: “Stel, een ict-leverancier kiest voor Equinix Managed Secure Cloud. Dan bepaalt hij zelf wat hij bij ons onderbrengt, wij doen de rest, zoals het connecteren met overige ict-systemen of cloudleveranciers. Daarbij gelden dan automatisch alle toegepaste beveiligingsnormen.” Een bijkomend voordeel is de directe integratie met diensten van alle grote ict-leveranciers. Alle grote cloudleveranciers hebben zich gecommitteerd om zich aan te sluiten op de Equinix Cloud Exchange in de Equinix datacenters. Dit zijn onder andere IBM SoftLayer, Microsoft Azure, Google en AWS. “Equinix Managed Services werkt met uw ict- of cloudleverancier collegiaal samen aan de meest veilige ict-infrastructuur”, aldus Van der Heijden.
Over Equinix Managed Services
Equinix Managed Services levert een groot aantal aanvullende ict-infrastructuurdiensten in de Equinix-datacenters, zoals secure managed cloud, storage en networks. Equinix Managed Services biedt vrijwel altijd maatwerkoplossingen. Het zijn oplossingen op basis van actuele industriestandaarden en bouwstenen uit de praktijk, met een hoge tot zeer hoge kwaliteit. De diensten omvatten zowel hardware voor co-locatie en hosting als diensten voor bijvoorbeeld beheer, security, configuratie, monitoring en onderhoud. Ook een verdeling over meer datacenters is mogelijk, bijvoorbeeld om een lagere latency van applicaties te bereiken, of om back-up- en uitwijkvoorzieningen (disaster recovery) te creëren. Dit waarborgt de beschikbaarheid van uw data, ook bij calamiteiten, zodat het hart van uw organisatie blijft functioneren.
Certificeringen
Security is meer dan techniek alleen. Het vergt robuuste processen in de organisatie en een volledige integriteitsgarantie van medewerkers, bijvoorbeeld via screening, een VOG en geheimhoudingsclausules. Op alle punten voldoet Equinix hierbij aan de overheidsnormen. Het heeft de volgende certificeringen:
• ISO 9001:2008 (beheer en borging van kwaliteit in de organisatie).
• OHSAS 18001:2007 (Britse norm voor de gezondheid en veiligheid van medewerkers op de werkvloer).
• ISO/IEC 27001:2013 (de internationale standaard voor informatiebeveiliging).
• ISO 50001:2011 (de internationale standaard voor de omgang met energie en voor het terugdringen van energieverbruik).
• ISO 14001 (milieubeheer en het in kaart brengen van het risico op schade aan het milieu).
• PCI-DSS (de norm voor databeveiliging in het betalingsverkeer via creditcards en pinpassen).
• SSAE16/ISAE3402 (de norm voor service-organisaties die aanvullende informatie rapporteren aan accountants over hun interne controle).
