Beheer

Security
security

Cloud biedt MKB betere beveiliging dan on premise

IT-professionals discussiëren tijdens ProAct/AG Connect round table.

© Shutterstock
22 december 2016

IT-professionals discussiëren tijdens ProAct/AG Connect round table.

Nederlandse bedrijven en organisaties durven inmiddels flinke stappen te zetten en draaien opmerkelijk vaak bedrijfskritieke IT-onderdelen in een cloudomgeving. Dat is een van de conclusies uit het jaarlijkse onderzoek van AG Connect en Proact onder meer dan 300 Nederlandse IT-professionals.

De resultaten uit het online onderzoek waren aanleiding voor een rondetafelgesprek met een aantal IT-professionals, uit zowel de publieke als de private sector. Onder hen waren ook een aantal professionals die al primaire bedrijfsprocessen in de cloud hebben draaien.

Het gebruik van de publieke cloud bij de overheid is echter nog beperkt, vertelde Fekke Bakker, innovatiemanager bij het ministerie van Defensie, die op persoonlijke titel sprak. Volgens hem is Defensie nog niet erg cloudgedreven. Dat beaamt Margot Pieterse, portfoliomanager en teamleider aansturing Dienst Automatisering bij de Tweede Kamer, die eveneens op persoonlijke titel aan de discussie deelnam. Het beleid is nu meer gericht op bescherming van gegevens, waardoor er weinig wordt gedaan aan cloudontwikkeling, zegt Pieterse. ″In de Tweede Kamer heb je te maken met transparante informatie en vertrouwelijke gegevens. Die laatste mogen absoluut niet naar de publieke cloud, maar de openbare informatie zou in theorie wel naar de cloud kunnen.″ Dat gebeurt nog niet, al sluit ze het op lange termijn niet uit.

Ook is er wetgeving die voorschrijft dat bepaalde informatie en staatsgeheimen bij Defensie niet naar de publieke cloud mogen, hoe streng beveiligd en goed versleuteld dan ook, vertelt Bakker. "Wetgeving bepaalt in hoge mate wat er met bepaalde data gebeurt. Data over veroordeelden zet je niet zomaar in de cloud want dat kan gegijzeld worden. Als je dat in eigen handen houdt, dan houd je de calamiteitenbestrijding ook in eigen handen. Dat heeft wel veel consequenties want dat betekent dat je alle security zelf moet doen.” Dat alleen zorgt al voor tientallen uitdagingen, erkent Bakker. "Ik denk dat de publieke cloud voor het MKB een van de goedkoopste manieren is om veilig te blijven."

De security-paradox

Security is daarom naast flexibiliteit en snelheid een van de belangrijkste redenen voor organisaties om iets met de cloud te doen, blijkt uit het cloudonderzoek 2016 van Proact en AG Connect. ″Voor het MKB is het vanuit security-perspectief aantrekkelijk om naar de cloud te gaan, en dan vooral naar de grote cloudleveranciers.

Die kunnen het zich niet veroorloven om grote incidenten te laten ontstaan″, zegt Bakker. Mede om die reden heeft Richard Moeliker, IT-manager bij Stern Facilitair, al veel naar de cloud gemigreerd. ″We hebben veel bij Microsoft Azure staan, want die kan het zich niet veroorloven om gehackt te worden. Bovendien heeft Microsoft veel meer budget voor beveiliging dan wij.″ Ook Siebe Nijenhuis, projectmanager bij Hunter Douglas Europe, denkt dat systemen in de cloud over het algemeen veiliger draaien dan on premise omdat er bij de cloudleverancier veel meer expertise zit. "Maar hoe veilig is de weg ernaartoe? Hoe staat het met het netwerk en risico's als graafmachines die kabels lostrekken?", vraagt hij zich af.

De publieke cloud, hieronder verstaat men in deze discussie een partij die met hyperscalers voordelen kan bieden dankzij een hoge mate van automatisering en schaalgrootte, heeft daarom niet ieders voorkeur. De overheid kiest voor de Tweede Kamer aan de private cloud; een datacenter waar het zelf de volledige controle over heeft. Margot Pieterse. "Als de Tweede Kamer gehackt wordt en je kunt niet aantonen dat je alles gedaan hebt om een hack te voorkomen, dan heb je de poppen aan het dansen."

Drempelvrees

De drempel om naar de cloud over te stappen lijkt voor een deel veroorzaakt te worden door een generatieprobleem. En volgens Cor van Weelden, consultant bij VéWé Productions, heeft dat ook met de generatie te maken. De generatie medewerkers die is opgegroeid met een iPad, vindt het werken in de cloud vanzelfsprekend, denkt hij. "Als de huidige iPad-generatie op een gegeven moment op de directiestoel komt te zitten, is cloud of geen cloud helemaal geen vraagstuk meer." Al wordt het besluit om iets met de cloud te doen, niet altijd zo bewust genomen, zo bleek. "Als je op een dag besluit om iets met Salesforce te doen, zit je dus in de cloud. Als de leverancier zo werkt, ga je automatisch mee en zit je plotseling met een hybride omgeving", aldus Bertus Doppenberg, manager Service Delivery bij Proact.

Van beheer naar regie

De overgang naar de cloud heeft ook consequenties voor de rol die de IT-afdeling krijgt. Deze gaat van beheer naar regie. Fekke Bakker ziet bij Defensie dat er steeds meer diensten tussen organisaties onderling worden afgenomen. "Het gaat steeds meer om de functies die worden ingezet, en wie welk stukje van die dienst levert en hoe die in elkaar zit, dat wordt onderdeel van de regie."

Dit heeft volgens Jeroen van Yperen, businessdevelopmentmanager bij Proact, als gevolg dat je in de toekomst als organisatie helemaal geen techneuten meer nodig hebt. "Het enige dat je nodig hebt, is een organisatiespecialist die het grotere geheel kan schetsen. Ook de IT-architect zit aan de andere kant." Het is wel zaak iemand in dienst te houden die verstand van zaken heeft, want anders loop je het risico dat je geen gesprekspartner meer bent en niet meer weet waar de cloudleverancier het over heeft.

Als de huidige iPad-generatie op de directiestoel komt te zitten, is cloud of geen cloud helemaal geen vraagstuk meer

In de praktijk heeft een deel van IT'ers moeite om de overstap naar de nieuwe regiefunctie te maken. Veranderingen vanuit de IT worden vaak als bedreigend ervaren, weet ook Van Yperen. “Als je niet iedereen daarin kan meekrijgen, start dan met een kerngroep", adviseert hij. We moeten in die verandertrajecten niet zo lief zijn voor de oudere IT-mensen, brengt Cor van Weelden daar tegenin. “Die mensen zitten zo in hun oude manier van werken dat ze nooit aan een nieuwe manier zouden kunnen wennen. Je moet ze als het ware dwingen om over te stappen op een nieuwe manier van werken door ze te laten inzien dat de nieuwe manier beter is."

Andersom denken

Dat een deel van de IT’ers moeite heeft met die overgang, heeft Richard Moeliker met Stern Facilitair zelf ervaren. Hij heeft van een deel van de IT’ers afscheid genomen. "Het is vooral belangrijk om je te verplaatsen in de gebruiker. Hoe ga je die gebruiker die niets met IT heeft, straks goed helpen? We zijn op de plek van de gebruiker gaan zitten – en hoewel dat heel lastig is voor de IT – en hebben gevraagd wat de gebruiker nodig heeft om zijn werk het beste te doen.” Vervolgens is Moeliker met zijn team gaan kijken welke IT-oplossingen daarachter passen. "Dat is heel anders dan de normale denkwijze van IT, die denkt altijd andersom. Zij bedenken iets en vervolgens moet jij er zo mee gaan werken."

Het klinkt heel logisch om vanuit de eindgebruiker te denken, erkent Wim Engels, interimmanager bij Aurelia!. "Als je dat namelijk doet, hoeft de eindgebruiker niet te wennen. De adoptie van de cloud is alleen lastig als je niet aan de eindgebruiker hebt gedacht."

Exit

De deelnemers aan de discussie leken het ook unaniem eens te zijn over de vendor lock-in. Ze herkennen het beeld waarbij een organisatie besluit om iets met een grote cloudleverancier te doen. Vervolgens worden daar andere processen omheen gebouwd en zo wordt de klant langzaam maar zeker afhankelijk van de cloudleverancier. Of zoals Bertus Doppenberg het verwoordt: "Het is de strategie van de crackdealer; je wordt eerst verslaafd gemaakt en vervolgens gebruik je zoveel dat je niet meer weg kunt."
Toch adviseert Moeliker om bij een cloudovergang altijd de exitstrategie ter sprake te brengen. “We laten in elk contract vastleggen hoe de leverancier bij vertrek de data gaat aanleveren om te voorkomen dan je er niks mee kan. En wat het kost om al je data naar een andere partij te migreren.” Daar ziet Tom Dalderup, CTO bij RTV Rijnmond, niet zo’n probleem ontstaan. Hij denkt dat er juist nieuwe kansen ontstaan voor cloudpartijen. “Ik denk dat hun businessmodellen gaan verschuiven. Om nieuwe klanten te werven, zullen cloudleveranciers hulp gaan aanbieden bij migratie.”

De deelnemers aan de ronde tafel

Margot PieterseAls je IT buiten de deur staat, kan je bij een calamiteit alleen met je contracten zwaaien.

Margot Pieterse, portfoliomanager en teamleider aansturing Dienst Automatisering bij de Tweede Kamer (spreekt op persoonlijke titel)

 

Siebe NijenhuisMicrosoft heeft zoveel diensten aan elkaar gekoppeld, dat zorgt al voor een lock-in.

Siebe Nijenhuis, projectmanager bij Hunter Douglas Europe:

 

Bertus DoppenbergEerst wordt je verslaafd gemaakt en vervolgens gebruik je zoveel dat je niet meer weg kunt.

Bertus Doppenberg, manager Service Delivery bij Proact

 

Wim EngelsDe adoptie van de cloud is alleen lastig als je niet aan de eindgebruiker hebt gedacht.

Wim Engels, interimmanager bij Aurelia!

 

Tom DalderupVraag jezelf af wat je minimale behoefte is als je primaire systeem uitvalt. Daarvoor moet een back-up zijn.

Tom Dalderup, CTO bij RTV Rijnmond

 

Fekke BakkerHet leger is een vechtmachine. En vechten doe je niet alleen met IT maar ook in IT.

Fekke Bakker, innovatiemanager Ministerie van Defensie (spreekt op persoonlijke titel)

 

Richard MoelikerWat we nu met de cloud doen, is slechts een fractie van wat we ermee kunnen.

Richard Moeliker, IT-manager bij Stern Facilitair

 

Jeroen van YperenJe moet niet meer in producten maar in diensten denken.


Jeroen van Yperen, businessdevelopmentmanager bij Proact

 

Cor van WeeldenAls de huidige iPad-generatie op de directiestoel komt te zitten, is cloud of geen cloud helemaal geen vraagstuk meer.

Cor van Weelden, consultant bij VéWé Productions:

Lees meer over
Zie ook Beheer op AG Connect Intelligence
Reactie toevoegen