Ik heb het niet gemeten, maar de aandacht rondom Cloud lijkt op het web en in de media wat te verstommen. Behalve op de nog immer hoogtij vierende social media buzz stort het legioen van goeroes en consultants zich nu op het fenomeen van Big Data. Betekent de stilte rondom Cloud dan dat Cloud inmiddels als business-principe breed is geaccepteerd, of hebben de providers de hoop op snelle en algemene Cloud-acceptatie opgegeven?
Hoe het ook zij, ook rond de Cloud-hype doet de markt alsof je als IT-er wel heel dom en langzaam bent als je nog niet lang en breed je infrastructuur in de Cloud hebt gebracht. En als zo vaak is de praktijk van alledag veel weerbarstiger en gaat ook de acceptatie en invoering van deze technologie veel langzamer dan de buitenwereld doet vermoeden.
Uit eigen praktijk ken ik eigenlijk geen organisatie die alle IT-diensten in service afneemt en alles in the Cloud heeft georganiseerd. Vreemd eigenlijk, want over de voordelen van de Cloud hoeven we het toch niet meer te hebben? (okay, voor de newbees die voordelen dan nog even: schaalbaarheid, continuïteit en pay-per-use)
In discussies met IT- managers en beheerders, maar opvallend vaak ook met business management, merken we behoorlijke weerstand tegen Cloud. Vooral angst voor privacy en ongeoorloofd toegang van derden tot bedrijfsdata worden als hét argument tegen de Cloud gebruikt. Daarbij weet een beetje deskundige al snel de partiot-act, die de Amerikaanse autoriteiten toegang verleent tot data op in de Verenigde Staten gehoste systemen, als het killer argument tegen de Cloud aan te halen.
Iedereen doet zaken in de cloud
Uiteraard zijn zorgen over privacy en security terecht, zowel bij Cloud toepassingen als bij on-premise systemen. Maar is het niet zo dat als je de gedachten van IT-ers zou kunnen lezen, de echte weerstand in de bedreiging van hun eigen bestaansrecht zou zitten? Want wat moet een systeembeheerder nog beheren als alle systemen buiten de deur staan?
Feit is dat we zowel binnen organisaties als in het privédomein, allang zaken doen in de Cloud. Want wie bankiert er nog met het giroboekje of verstuurt zijn belastingaangifte op papier? En wie gebruikt er niet zo’n handig-op-vakantie hotmail- of gmail -account? Met andere woorden: we werken allang met systemen waarvan we niet weten waar die staan, wie er nog meer toegang toe heeft en hoe beveiliging, backup en continuïteit nou precies geregeld is. Dus wat zeuren we dan over de risico’s van Cloud? Je zit er allang in!
Een organisatie als babydump daargelaten die haar beveiliging slecht had geregeld, moeten we erkennen dat het eigenlijk verrassend goed gaat. Slechts zelden is de telebankieren- omgeving van mijn bank uit de lucht, en als er al misbruik wordt gemaakt dan is dat vaak te wijten aan slordigheid van klanten in plaats van een slecht georganiseerde IT-infrastructuur.
Op dit laatste punt voortgaand: eindgebruikers van IT systemen vormen nog altijd het grootste beveiligingsrisico, door voor de hand liggende wachtwoorden te kiezen, inlogcodes te laten rondslingeren en derden al te gemakkelijk bedrijfsspecifieke gegevens telefonisch te verstrekken. Recent las ik dat een onderzoeker een groot aantal gemeentes had benaderd om persoonsgegevens uit de administratie te mogen raadplegen. Alle gemeentes verleenden toegang, slechts één was zo alert om eerst met de universiteit te bellen om de credentials van de onderzoeker te checken.
Een beetje IT-er begint dus met het opvoeden van zijn gebruikers door hen bewust te maken van de echte beveiligingsrisico’s die hun werk met zich mee brengt. Het invoeren van een begrijpelijk en hanteerbaar model van data-classificatie, het opnemen van een securityparagraaf in de arbeidsovereenkomst en het periodiek uitvoeren van een security awareness programma zijn voor de hand liggende stappen. Zo beperk je meteen de kans op vergeten usb-sticks in de huurauto en rondslingerende rapporten in de trein van Roodeschool naar Groningen. En zo’n groep bewuste gebruikers zal het om het even zijn of hun data nu off-site of on-site wordt opgeslagen. Daarmee kan de laatste hobbel op weg naar de Cloud worden genomen. En behalve achterover leunen, omdat in de Cloud de infrastructuur echt goed geregeld is, kan dan de IT-organisatie gaan doen waar ze voor bedoeld is: IT middelen selecteren en invoeren die bedrijfsprocessen sneller, beter en simpeler laten verlopen!
PS.: voor wie de stap naar de Cloud bewust wil maken, zie : http://www.Cloud-ec.nl/opinie/
François van Heurn is als econoom gefascineerd door de toegevoegde waarde van informatietechnologie en de enorme moeite die de mensheid zich moet getroosten om die toegevoegde waarde in de praktijk te realiseren. Hij werkt als zelfstandig project- en interimmanager onder de vlag van www.baileybridge.nl, adviseert vanuit het Cloud Expertisecentrum (www.cloudec.nl) over de kansen, risico’s en organisatorische gevolgen van Cloud technologie en probeert als docent Bedrijfskunde en strategie aan een hogeschool de jongere generatie aan het leren, denken en ontdekken te zetten.
Behalve risico’s van open ramen en inbrekers is er toch ook het grotere verhaal. Patriot als boeman? Feit is dat wij blijkbaar de cloud-providers niet (willen, kunnen) vertrouwen zoals een Zwitserse bank. Waar de zaken fysiek staan, en hoe het juridisch zit, weten we dat en begrijpen we dat? Een IJslandse bank leek safe, een datacentrum gehuisvest in China N Korea Syrië Rusland voelt niet zo veilig als in Lelystad. Perceptie, misvatting?
Is de beveiliging dan de showstopper? Of zijn de duurste ict componenten van een gemiddelde organisatie te zeer verweven of specifiek om dit uit te besteden?
Wij merken in de business intelligence markt in ieder geval dat er nauwelijks aandacht of vraag voor is. De mogelijkheden zijn er, in verschillende soorten en maten.
Kennelijk heeft de hype nog niet het effect gehad, maar een voorzichtige start met commodoties als de mailboxen zou best het proberen waard kunnen zijn.