Stel dat je werkt met vertrouwelijke informatie!
Dat is niet ongebruikelijk
als je overdag tegen betaling op een ‘Bill Gates ijzer’ allemaal cijfertjes en lettertjes zit te typen. Neem simpelweg
jouw eigen personeelsdossier, of die klantgegevens. Ook patiëntgegevens en
credit card gegevens zijn vertrouwelijk, voor als je nog twijfelde.
De IT-baas in jouw
organisatie is op pad gestuurd om tegen zo laag mogelijke kosten de business
maximaal te ondersteunen met applicaties, services en IT-infrastructuur. Op
zijn zoektocht naar goedkopere alternatieven zijn intussen geweldige oplossingen
in beeld gekomen. Jouw organisatie werkt tegenwoordig met Microsoft Office 365,
Google Docs en andere fantastische cloud services. Ook de meest kritieke
systemen staan straks in een (Amerikaans) datacenter op Europees grondgebied.
Een mooie bijkomende trend
is jouw wens om je eigen apparatuur mee te nemen naar kantoor. Lekker goedkoop
voor de IT-baas, die juicht het toe. Je mag alleen niet met je Blokker-tablet
de helpdesk lastigvallen, want dat jaagt de kosten weer omhoog!
In de wereld van BYOD en
Cloud blijf je echter zitten met de vraag: ‘Waar blijft al die vertrouwelijke
data?’. Je hebt nu eenmaal te maken met verwerking van vertrouwelijke data op
eigen apparatuur, verzending via openbare infrastructuren, opslag in en uitwisseling
via clouddiensten (Dropbox, WeTransfer, …).
De IT-baas is geen eigenaar
meer van de IT-middelen die medewerkers gebruiken. Medewerkers werken ook
overal en nergens. Kortom, de tastbare organisatie bestaat niet meer. Er is een
schaduworganisatie met dito schaduwinfrastructuur ontstaan die niet meer van
ons is en niet meer door ons beheerd wordt.
Ach, zal nog wel even duren
voordat iedere organisatie er zo uit ziet.
Blijft het toch knagen dat
ik bij Microsoft Office 365, Google Docs en andere clouddiensten niet weet waar
de informatie blijft. Gelukkig zijn er diverse initiatieven om daar
duidelijkheid over te krijgen. De Cloud Security Alliance heeft diverse werkgroepen
in het leven geroepen die speciaal naar cloud transparantie kijken.
De Open Datacenter Alliance heeft een mooie
beschrijving opgesteld over ‘Provider Assurance’.
Dit houdt echter nog niet in dat je bij iedere Cloud
Service Provider kunt aankloppen om transparantie contractueel en technisch te
regelen.
Blijf je toch zitten met de onzekerheid!
Intussen is het misschien een goede zaak om eens te
kijken wat je potentiële boete is als straks de wet Meldplicht Datalekken realiteit
wordt. Voer de privacychecker eens
uit. Bij
een klant van mij bleek dat die potentiële boete hun grootste operationele
bedrijfsrisico (het stilvallen van een productie-eenheid) tientallen malen zou overschaduwen. Een directeur met klantbestanden
op zijn iPad werd daarmee in een keer het grootste bedrijfsrisico.
Leuk dat de kinderen hun spelletjes thuis kunnen spelen
op papa’s iPad!
‘Nou Jan Jaap, dat is ook niet leuk dat je zoveel
onheil over ons uitspreekt. Kom eens met oplossingen!’
Ik dacht al dat je zo zou reageren. En die oplossing
heb ik voor je.
Ik stel me voor dat je even contact opneemt met de NSA
(National Security Agency) in Amerika. Die jongens hebben met de grootste
IT-organisaties in de States een sluitende overeenkomst om alles wat jij en ik het
Internet opslingeren netjes te analyseren. ‘PRISM’ heet de dienst van de NSA.
De IT-organisaties zeggen nu nog van niets te weten, maar hoe harder het
ontkend wordt ….
Trouwens, deze tekst zal nu wel door PRISM
geanalyseerd zijn.
Dus, zolang de mooie initiatieven van Cloud Security
Alliance en Open Datacenter Alliance nog niet volledig zijn uitgewerkt, kun je
prima een SLA afsluiten met Barack Obama. Hij weet precies waar de patiëntendossiers
zijn gebleven. Neem dan wel de juiste voorwaarden op in de SLA, zodat Barack je ook vertelt waar de vertrouwelijke informatie blijft.
Bij Microsoft Office 365, Google Docs en hun
soortgenoten heb je de voorwaarden maar te slikken. Bij de ‘provider op de hoek’
krijg je professionele beveiliging niet geregeld. Maar met de Barack-SLA in je
achterzak heb je prima voorwaarden om veilig de boel in de cloud te stallen.
Ben ik te kritisch? We hadden het toch jaren geleden
over Echelon? Daar hoor je nu toch niemand meer over? Zal met dat PRISM-verhaal
wel net zo gaan.
Ach, wat dan nog als Barack alles van mij weet? Geven
we de Chinezen toch de opdracht om hun militaire geheimen te jatten. Mooi zo’n
internationale ruzie over het heimelijk inkijken van elkaars dagboek.
De JSF staat sinds kort weer ter discussie in Den
Haag. Met die Fyra-misser kunnen we misschien
AnsaldoBreda vragen een goedkope straaljager in elkaar te schroeven. De ontwerpen
kunnen ze bij de lokale afhaalchinees krijgen.
Succes bij de
onderhandelingen met de Cloud Service Provider waar je het meest kritieke
systeem gaat stallen. Plaats vooral de privacygevoelige data in de cloud. De
Barack-SLA dekt je wel!
Geen opmerkingen:
Een reactie posten