10 Tips voor een veilige cloud

Cloud computing heeft aantrekkelijke kanten, maar veel mensen vinden het ook eng. Wellicht dat het komt door het eeuwige voorzetsel ‘de’, in ‘de cloud’. Het gaat natuurlijk niet over één alomvattende cloud (‘het internet’, denken velen meteen), maar om het gebruik van de gedeelde capaciteiten van een serverpark, van jezelf (privé of intern), van derden (publiek of extern) of deels intern en deels extern (hybride).

Een deel van de huiver rond de cloud als verschijnsel is begrijpelijk: het staat nog in de kinderschoenen, en voor sommige zaken wil een bedrijf gewoon zekerheid – of in elk geval een zekerheid die vergelijkbaar is met de huidige situatie. Om die reden ligt het in de lijn der verwachting dat de meeste organisaties voorlopig een hybride strategie zullen volgen.

Wie graag niet al te lang wil blijven wachten om gebruik te maken van de voordelen die cloud computing te bieden heeft, moet er wel rekening mee houden dat, zeker in de aanloopfase, van de afnemende partij extra oplettendheid wordt verwacht. Er zijn nog geen vaste standaarden of afspraken waaraan alle cloud-aanbieders zich committeren, en dus is het wijs de overeenkomst die je aangaat goed door te nemen.

Hieronder geven we tien zaken om op te letten als je met cloud computing aan de slag gaat.

Bij het selecteren van een cloud leverancier

In feite kan iedereen met een datacentrum en voldoende bandbreedte zich 'cloud leverancier' noemen: het is geen beschermde titel. Des te belangrijker is het alle details van de overeenkomst zorgvuldig door te nemen.

1. Jij bepaalt de SLA. Zoek een leverancier die bereid is een SLA samen te stellen die is toegesneden op jouw wensen. Controleer of de gegarandeerde uptime voldoende is voor jouw organisatie, en dat je niet betaalt voor capaciteit die je niet gebruikt (dat is nou juist een van de voordelen van cloud computing). Zorg dat je exact weet hoe straks zal worden afgerekend.

2. Denk om veiligheid en privacy. Er is geen heilige graal op dit gebied. Controleer of je leverancier in staat is de beveiliging aan te passen op jouw specifieke risico’s, bedrijfsgrootte en de wet- en regelgeving voor de branche waarin je je bevindt.

3. Vraag om controle. Ga er nooit vanuit dat alles vanzelf goed blijft gaan als je je handtekening eenmaal hebt gezet. Kies een leverancier die zich geregeld laat controleren door een onafhankelijke derde partij.

4. Eis volledige openheid. Een betrouwbare leverancier is volledig open over alle mogelijke veiligheidsproblemen zoals inbraken en hacks, en komt direct met een gedetailleerd plan om op de dreiging te reageren.

5. Financiële stabiliteit. Je leverancier moet financieel sterk en stabiel genoeg zijn om je systemen ook op langere termijn in de lucht te kunnen houden. Laat zijn kredietwaardigheid controleren, en zijn aandeelhouders, en zijn vooruitzichten.

Over effectieve beveiliging in de cloud

Hoe je het ook wendt of keert, feit blijft dat gegevens in de cloud zich deels buiten je eigen invloedssfeer begeven. Natuurlijk zullen leveranciers van cloud-producten alle moeite doen om een goede reputatie op te bouwen, maar toch is het verstandig de vinger aan de pols te houden.

6. Zorg dat je op de hoogte bent van alle veiligheidsmaatregelen dien je leverancier heeft genomen. Gaat het om Infrastructure-as-a-Service, vraag dan welke tools worden ingezet om de virtuele omgeving te beschermen.

7. Laat je data versleutelen, altijd en overal. Als dat niet mogelijk is, is het niet verstandig gevoelige gegevens in die cloud op te slaan.

8. Spreid het risico. Verdeel de verantwoordelijkheden over je eigen beheerders en die van je cloud provider, zodat niemand in de hele keten volledig vrije toegang heeft door alle beveiligingslagen heen.

9. Controleer op welke manier de leverancier zich houdt aan welke wet- en regelgeving. Zorg dat je weet waar deze cloud zich bevindt, en welke wet- en regelgeving daar gelden. De Europese Commissie stelt eisen aan organisaties die met gevoelige gegevens omgaan, maar ook het NEN voorziet in standaarden, zoals ISO 27001 waar dit soort organisaties zich aan hebben te houden. Denk ook aan de Wet bescherming Persoonsgegevens en internationaal erkende standaarden als SAS 70.

10. Niet beknibbelen. Het is verleidelijk om voor goedkoop te gaan, vooral als je de cloud in wilt om uiteindelijk geld te kunnen besparen. Maar je krijgt waar je voor betaalt, constateerde Gartner-analist Jay Eisner onlangs nog. Kies een erkende dienstverlener met een bewezen staat van dienst en een goed reputatie op veiligheidsgebied.