Als je niet kletsnat wil worden door een faliekant afgelopen avontuur in de cloud, kan je maar beter investeren in een degelijke paraplu.

Cloud computing heeft overduidelijk de eerste horde van ‘hype’ genomen en sijpelt steeds verder door in grote én kleine bedrijven. Op het recente Data News business forum over virtualisatie en cloud computing werd evenwel duidelijk dat zowel cloudgebruikers als -leveranciers (nog veel) meer aandacht moeten besteden aan de voorbereiding en het gebruik van clouddiensten.

Risico’s van cloud en SaaS

En niet zonder reden, want Gartner-expert Tom Scholtz somde een hele waslijst van pijnpunten voor de gebruikers op. Bovenaan prijkt de vrees voor onvoldoende beveiliging (security of service), maar vervolgens zijn er ook zorgen omtrent privacy, kosten, betrouwbaarheid, een verlies aan controle, een gebrek aan standaarden en nog meer. Kortom, ongeacht de duidelijke voordelen, blijven gebruikers zich ongemakkelijk voelen in de cloud. Scholtz benadrukt dan ook dat “je de infrastructuur waar je naar uitbesteedt, moet begrijpen!” Immers, cloudleveranciers rekenen op virtualisatie, een grote schaalbaarheid en het draaien van meerdere klanten op een zelfde hardware om hun diensten op een commercieel leefbare wijze aan te bieden. En in wezen geldt dat ook voor wie het houdt op een eigen, interne ‘private cloud’, want ook daar draaien de verschillende departementen en divisies op gedeelde infrastructuur. Gebruikers moeten zich grondig informeren over de implicaties van dat alles, want “je kan nooit de aansprakelijkheid voor de bescherming van je data aan derden overlaten.”

Besef tevens dat de risico’s potentieel stijgen naarmate meer diensten en data aan de cloud worden toevertrouwd, en die cloud meer ‘public’ van aard is. Als je enkel gebruik maakt van infrastructuur (servers, netwerkapparatuur) of een platform (infrastructuur, plus technologieëlementen als databasesoftware, middleware etc) maar de toepassingen en data in eigen beheer houdt, loop je allicht minder risico dan als je volledig ‘Software as a Service’ (Saas) gaat. Besef dat ook webmaildiensten als Gmail, of toepassingen als Google Docs vormen van ‘cloud’ computing zijn, met verplichtingen inzake aansprakelijkheid.

Meer informatie

Cruciaal voor gebruikers is dat leveranciers heel wat (meer) informatie moeten bieden over hun maatregelen voor een beveiligde en verzekerde werking, evenals de procedure als een klant wil vertrekken. “Te vaak doen leveranciers nog aan ‘security through obscurity’,” alias ‘vertrouw ons maar… ‘. Integendeel, “vertrouwen moet continu worden verdiend.” Belangrijk is dat de gebruiker zich wapent met een goede vragenlijst voor de leverancier (en de expertise – in huis of van derden – om de antwoorden grondig te analyseren).

Bijzonder warm aanbevolen is de ‘consensus assessments initiative questionnaire’ die je kan downloaden op de site van de Cloud Security Alliance (cloudsecurityalliance.org). Wellicht wat overkill, maar met die lijst in de hand is de kans onbestaande dat je vergeet een belangrijk punt aan bod te laten komen. Voor Europeanen is het onder meer belangrijk te weten welke data ze zelf niet (en welke wel) kunnen toevertrouwen aan derden, in het bijzonder aan cloudleveranciers die gebruik maken van infrastructuur op Amerikaanse bodem. Maar een vragenlijst alleen – helaas het geval voor 70 % van de SaaS-gebruikers, aldus een enquête van Gartner – is niet echt voldoende. Beter is het ook eigen controles – eventueel uitgevoerd door derden – uit te voeren, indien mogelijk gekoppeld aan een oefening.

Op termijn kan eventueel een systeem van certificering van cloudleveranciers een hulp zijn, maar bij gebrek aan standaarden blijven de huidige ‘certificaten’ (en de toekenningsprocedures) wat vrijblijvend.

Een beleid

Voorkom overigens ook wildgroei. Bedrijven moeten een cloudbeleid uitwerken en toezien op de naleving ervan, zowel door de leveranciers als de eigen werknemers. Wat de leveranciers betreft, kunnen gebruikers steeds meer beschikken over tools die inzicht bieden in het reilen en zeilen bij de leveranciers. Voorbeelden hiervan zijn de producten van Cloudability (rapporten over cloudgebruik), Cloudfloor (cloud performance) en Cloudcruiser (cloud cost optimization) – prille bedrijfjes uit de VS.

Wellicht de grootste uitdaging wordt het in de hand houden van de eigen werknemers. Naar aanleiding van een enquête in opdracht van Avanade – de Accenture/Microsoft joint venture – stellen één op vier respondenten uit België al clouddiensten buiten medeweten van het ict-departement te hebben besteld en gebruikt. De redenen? ‘Het is makkelijker om het zelf te doen’, ‘langs de ict duurt het te lang’ en ‘mijn bedrijf verbiedt de clouddiensten waar ik gebruik wil van maken’. Waarvan akte. Jean-Paul Delmeire, country manager en vp van Avanade in België, citeerde onlangs het Arabische spreekwoord “een wolk is een belofte, regen de realisatie ervan,” maar naast de voordelen moeten ook de nadelen van cloud grondig worden bestudeerd. Zoniet kan een cloudimplementatie wel eens uitdraaien op de koude douche van een regenbui.#

Guy Kindermans