Blog

Checklist Cloud Computing

Hoewel cloud computing nog altijd een ‘Wild West’-imago heeft, strookt dat beeld nog maar mondjesmaat met de werkelijkheid. De moderne cloud laat zich in hoge mate kneden naar de wensen van de gebruiker. Dankzij wetgeving, certificeringen en maatwerk. Anno 2016 zijn er daardoor veel klassieke cloudrisico’s af te vangen. Mits je de juiste keuzes maakt.

Maar hoe word je als ondernemer nog wijs uit het steeds complexer wordende cloudlandschap? Hoe profiteer je maximaal van de mogelijkheden die er liggen? En vooral: hoe doe je dat zo veilig mogelijk? We maakten een lijstje met punten die ongetwijfeld van pas zullen komen:

1. Zorg voor een snelle en betrouwbare internetverbinding

Een cloud zonder internettoegang is als een kantoorpand zonder aansluiting op het wegennet. Zorg daarom voor een absoluut betrouwbare internetverbinding, met voldoende bandbreedte en garanties over de uptime. Spreid eventueel de risico’s door gebruik te maken van meervoudige verbindingen, op basis van verschillende technologie en afgenomen bij verschillende aanbieders.

2. Inventariseer en beveilig alle apparatuur die wordt ingezet in de cloud

Niet alleen desktops, maar ook alle laptops, tablets en smartphones die gebruikt worden binnen het bedrijfsnetwerk, zullen straks ook contact leggen met de cloud. Ze vormen daarmee een potentieel veiligheidsrisico en je zult ze dus allemaal moeten inventariseren én beveiligen.

Denk hierbij ook aan het fenomeen Bring Your Own Device (BYOD), waarbij privéapparatuur van medewerkers wordt ingezet voor de bedrijfsvoering. Maak voor elk apparaat gebruik van wachtwoorden, versleuteling en specifieke persoonsgebonden permissies.

3. Maak een goede schifting van je data

Voordat je de cloud instapt, is het zaak al je data nauwkeurig onder de loep te nemen en te rangschikken. Stel jezelf hierbij steeds de vraag welke gegevens veilig de cloud in kunnen, welke absoluut niet en welke onder bepaalde condities. Maak onderscheid tussen bedrijfsgevoelige data, privacygevoelige data, transparante data, enzovoorts. Een dergelijke schifting bespaart je achteraf tijd en draagt uiteindelijk bij aan een zo veilig en optimaal mogelijke inrichting van je cloud.

4. Houd privacygevoelige data in Nederland

Voor de beveiliging van persoonsgegevens geldt sind 1995 een centrale EU-richtlijn, die echter door de afzonderlijke lidstaten verschillend wordt uitgelegd. Het resultaat is een bont palet aan wetten en regels die een werkelijk Europese cloud in de weg staan. In januari 2012 zijn er in Brussel weliswaar voorstellen gedaan voor nieuwe Europese wetgeving, maar de implementatie daarvan laat anno 2016 nog altijd op zich wachten. Tot de nieuwe wet van kracht wordt (naar verwachting ergens in 2018), kun je privacygevoelige data daarom het beste binnen Nederland houden.

5. Kies een cloudtype op maat

De cloud is niet homogeen, de cloud is divers. Dat is natuurlijk prettig, want het verschaft je de mogelijkheid een oplossing te kiezen die het beste aansluit bij de structuur van je bedrijf. Er laten zich grofweg vier hoofdvarianten onderscheiden:

  1. Een public cloud kenmerkt zich door een infrastructuur die volledig in handen is van de provider. Je gegevens worden ‘ergens ter wereld’ opgeslagen. Waar precies is onbekend en er zijn ook geen afspraken over gemaakt.
  2. Een private cloud biedt een infrastructuur die exclusief voor jou is bestemd. Hierbij kun je precies aanwijzen op welke locatie je gegevens zich bevinden.
  3. Een hybride cloud is deels public, deels private en geeft je de mogelijkheid gevoelige data gescheiden van de rest onder te brengen, in een afgeschermde private omgeving.
  4. Een community cloud deel je met een handvol vergelijkbare bedrijven of organisaties. Gemeenschappelijke belangen kunnen zorgen voor schaalvoordeel, maar dat voordeel zal over het algemeen minder uitgesproken zijn dan bij een public cloud.

Een publieke cloud is vanzelfsprekend niet geschikt voor fraude- en diefstalgevoelige data. Een private cloud daarentegen biedt bijna volledige controle, maar heeft ook zo zijn prijskaartje. Voor de meeste bedrijven zal daarom een hybride cloud het aantrekkelijkst zijn, of eventueel een community cloud.

6. Kies een cloudservice op maat

Maar er valt nog meer te kiezen. Want naast public, private, hybride en community clouds bestaan er ook nog zaken als SaaS, IaaS en PaaS. Drie services die heel verschillend van insteek zijn en daarmee ook van veiligheidsniveau. Maak ook hierin een weloverwogen keuze:

  1. SaaS (Software as a Service) is een applicatieclouddienst waarbij specifieke software wordt aangeboden zonder dat je die op je eigen systemen hoeft te installeren. Internettoegang en een browser of applicatie zijn in principe voldoende om er gebruik van te kunnen maken. De software is er niet speciaal voor jou, maar wordt gedeeld met andere bedrijven. Voorbeeld: Office 365.
  2. IaaS (Infrastructure as a Service) is een infrastructuurclouddienst. Hiervan is sprake als je binnen de cloud een eigen flexibele, schaalbare ICT-infrastructuur laat creëren. In tegenstelling tot SaaS voer je bij IaaS zelf de regie over applicaties, die exclusief door jou worden gebruikt en onderhouden. Ook ben je zelf de baas over je data.
  3. PaaS (Platform as a Service) is een platformclouddienst. Het is geen kant-en-klaar pakket als SaaS, maar tegelijkertijd ook geen onbeschreven blad als IaaS. Binnen het cloudplatform zijn namelijk al allerlei tools voorhanden om eigen producten mee samen te stellen. Bijvoorbeeld op het gebied van software of websites. Ook PaaS biedt je – net als IaaS – de mogelijkheid om zelf zowel je applicaties als data te beheren.

7. Mijd ongecertificeerde cloudaanbieders

Hoewel certificaten geen keiharde garanties bieden, vormen ze een welkome leidraad bij het vinden van een betrouwbare cloudprovider. Het wel of niet voeren van een certificaat zegt immers op z’n minst iets over de instelling van het betreffende bedrijf. Mijd daarom ongecertificeerde aanbieders en let vooral op de aanwezigheid van:

  • ISO 27001, een belangrijke ISO-standaard voor informatiebeveiliging
  • PCI DSS (Payment Card Industry Data Security Standards), een pakket met maar liefst 297 voorschriften, opgesteld door de gezamenlijke, internationale creditcard-organisaties
  • ISO 9001, een norm die eisen stelt aan het kwaliteitsbeleid van organisaties
  • ISAE 3402, een betrekkelijk nieuwe standaard voor ‘third party reporting’

De zogenaamde ‘scope’ (reikwijdte, afbakening) van deze certificaten is echter van groot belang. Let hier goed op, want wanneer je data en bedrijfsvoering niet binnen de omschreven scope vallen, heeft het certificaat voor jou geen enkele waarde.

8. Maak duidelijke afspraken en leg deze vast in een SLA

Welke cloudoplossing je ook kiest, ga nooit in zee met een provider zonder duidelijke afspraken te maken. Leg deze vervolgens altijd schriftelijk vast. Gebruik hiervoor een Service Level Agreement (SLA) en betitel deze bij voorkeur als formeel contract. Dat is een SLA namelijk niet per definitie, de betrokken partijen kunnen er elke status aan geven die ze willen.

Zet vooraf op een rijtje wat je precies in de SLA beantwoord en omschreven wilt zien, zoals:

  1. Wie is er verantwoordelijk bij calamiteiten, jijzelf of de provider?
  2. Hoe vaak worden er backups gemaakt? Waar worden die opgeslagen? Hoe lang worden ze bewaard?
  3. Wat gebeurt er als de cloudaanbieder onverhoopt omvalt, kun je dan nog bij je data en wie is in dat geval de eigenaar?
  4. In welk format komt data beschikbaar bij een eventuele overstap naar een andere aanbieder? Liefst natuurlijk in een open standaard, waardoor je bij migratie niet wekenlang op non-actief wordt gesteld.
  5. Leg vast dat alleen jij exclusief juridisch eigenaar bent van alle data en er als enige gebruiksrecht over hebt.
  6. Bouw als stok achter de deur een boeteclausule in, zodat je ervan verzekerd bent dat calamiteiten serieus worden aangepakt.
  7. Stel minimaal als eis dat er audit logs worden bijgehouden, maar spreek liever ook af dat er zogenaamde penetratietests worden uitgevoerd. Hierbij worden ICT-infrastructuur en webapplicaties daadwerkelijk doorgelicht op lekken en kwetsbaarheden. Niet elke cloudvariant biedt hier overigens evenveel mogelijkheden toe. Je eisen op dit vlak kunnen dus ook mede bepalend zijn voor de uiteindelijke keuze.

9. Besef dat je altijd zelf eindverantwoordelijk blijft

Tot slot is het goed je te realiseren dat je altijd zelf verantwoordelijk blijft voor je data. Gecertificeerde partners of niet. Aan de andere kant mag je echter ook best wat verwachten van je cloudprovider. Vertrouwen, betrouwbaarheid en stabiliteit zijn immers ook voor zijn business van groot belang. Hij zal daarom zijn uiterste best doen geen steken te laten vallen. Profiteer van die wetenschap, maar bedenk tegelijkertijd dat alles zijn prijs heeft. Ook in de cloud.

  • Oorspronkelijk geschreven voor MKB Servicedesk (2012), maar op onderdelen geactualiseerd t.b.v. deze herpublicatie in 2016
  • Auteur: Henk Jansen