Veel van huidige ICT-oplossingen worden aangeboden in de cloud (het zogenaamde Software-as-a-Service). Dit biedt veel voordelen op het gebied van investering in hardware, beheer en flexibiliteit van uw ICT. Er schuilt echter tegelijk een groot gevaar in een Cloud-toepassing: hoeveel zekerheid biedt de Cloud?
Wat is het probleem?
Als u gebruiker bent van software die in uw eigen organisatie op uw eigen systemen draait, en de leverancier van uw software gaat failliet, dan kan het even duren voordat u dit merkt. De software draait tenslotte gewoon door en uw eigen gegevens staan op uw eigen servers. Pas als aanpassingen aan de software nodig zijn of als er fouten opgelost moeten worden komt u er achter dat u uw leverancier nodig heeft. In de Cloud is dat echter fundamenteel anders: Gaat uw Cloud-leverancier failliet dan is de vraag: kan ik nog bij mijn programmatuur en kan ik nog bij mijn data? Als een curator besluit uitgaande betaalstromen te stoppen en de stekker uit de hosting te trekken gaat het scherm op zwart. Uitzoeken welke spullen van wie zijn kan dagen zo niet weken duren. Veel bedrijven kunnen en willen zich deze stilstand in de bedrijfsvoering niet permitteren en hechten aan de ongestoorde continuïteit van de systemen die ze gebruiken. De continuïteit van de Cloud-dienst moet ongestoord gewaarborgd blijven.
In het kader van risicomanagement is het van groot belang dat u zichzelf de vraag stelt: hoe is de continuteit van mijn cloud-dienst gewaarborgd en hoe weet ik dat ik altijd bij mijn data kan? Ongeacht de situatie waarin ik of mijn hostingleverancier terechtkom?
Traditionele antwoord: broncode bij Notaris. Zinnig, of toch niet?
Vroeger (en nog steeds) werden veel stukken van waarde bij de notaris gedeponeerd. Zo ook broncode van programmatuur. Zolang als het gaat om akten, testamenten etc is de notaris (gezien zijn opleiding tot jurist/notaris) de aangewezen persoon, en is de notaris ook inhoudelijk competent.
Als we praten over broncode van programmatuur, dan zou je er ook voor kunnen kiezen dit bij een notaris neer te leggen. Echter er zijn een aantal punten die dit minder zinvol maken:
• alleen deponeren is zinloos als er geen escrow overeenkomst achter ligt die de belangen van alle partijen alsmede de onbelemmerde vrijgave van de broncode regelt. Inhoudelijk gezien is de notaris in de regel niet degene met de expertise om escrow overeenkomsten op te stellen of in te vullen. Het IT-domein is niet zijn domein.
• fysieke opslag van source code op datadragers stelt andere eisen aan de omgeving dan de opslag van aktes etc.
• hedendaagse bewaring geschiedt ook online doordat de frequentie en volumes van depots in het moderne (cloud) tijdperk dit vragen. Het notariaat beschikt over het algemeen niet over deze online (secure) storage faciliteiten;
• als begunstigden van een escrowregeling om een verificatie vragen waarbij uit het depot vanuit een source een runtime omgeving wordt gebouwd kan een notaris hier op geen enkele wijze zelf invulling aan geven.
• als belangrijkste geldt dat een depot bij een notaris uitsluitend aandacht biedt aan de broncode van de software en op geen enkele wijze invulling geeft aan de beschikbaarheid van uw data. Cloudoplossingen vragen daarom om een heel andere en gespecialiseerde benadering.
Samenvattend: in den beginne gingen we naar de barbier om ons haar te laten knippen én om een kies te laten trekken. Inmiddels zijn de eisen aan de tandzorg zodanig veranderd dat we daarvoor naar een daartoe gespecialiseerd iemand gaan: De tandarts.
Hoe kan de specialist u helpen rondom het vraagstuk van continuïteit van systemen en data in de cloud?
Het antwoord, deel 1: escrow
Met een escrow-overeenkomst wordt de continuïteit van de automatisering binnen een bedrijf of organisatie gewaarborgd. Escrow houdt in dat de broncodes van software en alle bijbehorende technische documentatie op een veilige opslagplaats worden opgeslagen. Ook wordt er gecontroleerd of deze informatie volledig en bruikbaar is. Hiermee is echter nog geen antwoord gegeven op de vraag hoe veilig uw data is.
Het antwoord, deel 2: CloudSecure
CloudSecure regelt in aanvulling op de beschikbaarheid van de broncode nog iets veel belangrijkers: de continuïteit van de cloud-dienst. Ongeacht de situatie waarin uw Cloud-dienstverlener zich bevindt, is de toegang tot uw systeem en data ongestoord gewaarborgd.
Tevens biedt CloudSecure antwoord op de veilige opslag van zowel broncode als uw data:
De sources en de data worden namelijk in een SecureStorage omgeving opgeslagen. Deze zijn zo veilig opgeslagen dat zelfs de 'trusted third party' geen toegang heeft tot de inhoud van deze depots: Alle depots worden voor verzending naar een SecureStorage aan uw zijde versleuteld (ge-encrypt). Uw trusted third party beschikt niet over deze sleutel. Alle begunstigden krijgen wel deze sleutel, maar hebben geen toegang tot de opslag.
Toegang tot de opslag kan alleen via een VPN (een beveiligde tunnel) en SFTP . Zowel de identificatie van verzender/ontvanger als het daadwerkelijk overzenden van de gegevens beveiligd is.
Samenvattend: encryptie, verzending en opslag zijn zodanig beveiligd dat zelfs uw trusted third party geen kennis kan nemen van de inhoud van de depots. Mochten er ooit hackers zijn die door de beveiligingslagen heen inbreken, dan is er nog steeds sprake van een versleuteld bestand wat voor onbevoegden (zonder sleutel) niet leesbaar is.
Zo biedt CloudSecure gebruikmakend van SecureStorage de zorgeloosheid en veiligheid die u in de Cloud verdient. Hierdoor kunt u dat onderdeel van uw risico-beheersmaatregelen vast afstrepen.
Bron: MainFlow
Klik hier om de bedrijfsprofielpagina van MainFlow in de CorporatieGids 2014 te bekijken.
Zoals ieder jaar was het een voorrecht om CorporatiePlein te mogen organiseren. En de 2024-editie, de veertiende van het…
www.corporatieplein.nlCorporatieGids Magazine September 2024 - Digitale Transformatie Inhoud Madeleine Hamburg (Pré Wonen): De digitale transformatie is bij uitstek…
Zoek en vind leveranciers en adviesbureaus die IT-diensten en oplossingen aanbieden aan woningcorporaties.