Cloud Service Transparantie - SLA met Barack Obama

Stel dat je werkt met vertrouwelijke informatie!

Dat is niet ongebruikelijk als je overdag tegen betaling op een ‘Bill Gates ijzer’ allemaal cijfertjes en lettertjes zit te typen. Neem simpelweg jouw eigen personeelsdossier, of die klantgegevens. Ook patiëntgegevens en credit card gegevens zijn vertrouwelijk, voor als je nog twijfelde. 

 

De IT-baas in jouw organisatie is op pad gestuurd om tegen zo laag mogelijke kosten de business maximaal te ondersteunen met applicaties, services en IT-infrastructuur. Op zijn zoektocht naar goedkopere alternatieven zijn intussen geweldige oplossingen in beeld gekomen. Jouw organisatie werkt tegenwoordig met Microsoft Office 365, Google Docs en andere fantastische cloud services. Ook de meest kritieke systemen staan straks in een (Amerikaans) datacenter op Europees grondgebied.

Een mooie bijkomende trend is jouw wens om je eigen apparatuur mee te nemen naar kantoor. Lekker goedkoop voor de IT-baas, die juicht het toe. Je mag alleen niet met je Blokker-tablet de helpdesk lastigvallen, want dat jaagt de kosten weer omhoog!

In de wereld van BYOD en Cloud blijf je echter zitten met de vraag: ‘Waar blijft al die vertrouwelijke data?’. Je hebt nu eenmaal te maken met verwerking van vertrouwelijke data op eigen apparatuur, verzending via openbare infrastructuren, opslag in en uitwisseling via clouddiensten (Dropbox, WeTransfer, …).

De IT-baas is geen eigenaar meer van de IT-middelen die medewerkers gebruiken. Medewerkers werken ook overal en nergens. Kortom, de tastbare organisatie bestaat niet meer. Er is een schaduworganisatie met dito schaduwinfrastructuur ontstaan die niet meer van ons is en niet meer door ons beheerd wordt.

Ach, zal nog wel even duren voordat iedere organisatie er zo uit ziet.

Blijft het toch knagen dat ik bij Microsoft Office 365, Google Docs en andere clouddiensten niet weet waar de informatie blijft. Gelukkig zijn er diverse initiatieven om daar duidelijkheid over te krijgen. De Cloud Security Alliance heeft diverse werkgroepen in het leven geroepen die speciaal naar cloud transparantie kijken.  De Open Datacenter Alliance heeft een mooie beschrijving opgesteld over ‘Provider Assurance’.

Dit houdt echter nog niet in dat je bij iedere Cloud Service Provider kunt aankloppen om transparantie contractueel en technisch te regelen.

Blijf je toch zitten met de onzekerheid!

Intussen is het misschien een goede zaak om eens te kijken wat je potentiële boete is als straks de wet Meldplicht Datalekken realiteit wordt. Voer de privacychecker eens uit. Bij een klant van mij bleek dat die potentiële boete hun grootste operationele bedrijfsrisico (het stilvallen van een productie-eenheid) tientallen malen zou overschaduwen. Een directeur met klantbestanden op zijn iPad werd daarmee in een keer het grootste bedrijfsrisico.

Leuk dat de kinderen hun spelletjes thuis kunnen spelen op papa’s iPad!

‘Nou Jan Jaap, dat is ook niet leuk dat je zoveel onheil over ons uitspreekt. Kom eens met oplossingen!’

Ik dacht al dat je zo zou reageren. En die oplossing heb ik voor je.

Ik stel me voor dat je even contact opneemt met de NSA (National Security Agency) in Amerika. Die jongens hebben met de grootste IT-organisaties in de States een sluitende overeenkomst om alles wat jij en ik het Internet opslingeren netjes te analyseren. ‘PRISM’ heet de dienst van de NSA. De IT-organisaties zeggen nu nog van niets te weten, maar hoe harder het ontkend wordt ….

Trouwens, deze tekst zal nu wel door PRISM geanalyseerd zijn.

Dus, zolang de mooie initiatieven van Cloud Security Alliance en Open Datacenter Alliance nog niet volledig zijn uitgewerkt, kun je prima een SLA afsluiten met Barack Obama. Hij weet precies waar de patiëntendossiers zijn gebleven. Neem dan wel de juiste voorwaarden op in de SLA, zodat Barack je ook vertelt waar de vertrouwelijke informatie blijft.

Bij Microsoft Office 365, Google Docs en hun soortgenoten heb je de voorwaarden maar te slikken. Bij de ‘provider op de hoek’ krijg je professionele beveiliging niet geregeld. Maar met de Barack-SLA in je achterzak heb je prima voorwaarden om veilig de boel in de cloud te stallen.

Ben ik te kritisch? We hadden het toch jaren geleden over Echelon? Daar hoor je nu toch niemand meer over? Zal met dat PRISM-verhaal wel net zo gaan.

Ach, wat dan nog als Barack alles van mij weet? Geven we de Chinezen toch de opdracht om hun militaire geheimen te jatten. Mooi zo’n internationale ruzie over het heimelijk inkijken van elkaars dagboek.

De JSF staat sinds kort weer ter discussie in Den Haag. Met die Fyra-misser kunnen we misschien AnsaldoBreda vragen een goedkope straaljager in elkaar te schroeven. De ontwerpen kunnen ze bij de lokale afhaalchinees krijgen.

Succes bij de onderhandelingen met de Cloud Service Provider waar je het meest kritieke systeem gaat stallen. Plaats vooral de privacygevoelige data in de cloud. De Barack-SLA dekt je wel!