Nu veel bedrijven overstappen naar cloud-diensten als Office 365 of Google Cloud, zie je een soortgelijk fenomeen. Maar al te vaak wordt ervan uitgegaan dat de standaardinstellingen van deze leveranciers voldoen aan de wensen en eisen van de meeste gebruikers.

Er is dus vaak nog vaak een kloof tussen wat eindgebruikers verwachten en wat cloud-leveranciers standaard aanbieden. Dit kan voor misverstanden zorgen. Mijn ervaring is dat er vier misverstanden zijn die bij nagenoeg elke cloud-inrichting terugkomen.

1. Je hoeft geen back-up te maken van cloud-data

Als bedrijfsgegevens worden verplaatst naar Office 365 of een soortgelijke cloud-dienst, wordt maar al te vaak aangenomen dat het niet meer nodig is om een back-up te maken van deze data. Echter: het feit dat je data nu online beschikbaar is, betekent niet automatisch dat deze gegevens automatisch worden bewaard op een manier die goed voor je is. Bedenk daarom goed hoe lang je welke data wilt bewaren en of je cloud-leverancier daarin voorziet.
Het is goed om je te realiseren dat een cloud-leverancier een service levert die toegang geeft tot je applicaties en data gedurende de looptijd van het contract; dat betekent niet dat dit tot in de lengte van dagen zo is. Daarom kan het verstandig zijn om een ouderwetse, lokale back-up te maken. Ook kan er sprake zijn van een bewaartermijn die wettelijk is vastgelegd of een eis dat data verwijderd wordt op een bepaald moment.

2. Gevoelige data is standaard beschermd

Cloud-leveranciers bieden een standaard bescherming voor data. Daarin maken ze geen onderscheid tussen bijvoorbeeld de foto’s van de laatste kerstborrel en de plannen voor een nieuw bedrijfsonderdeel. Met name voor kritische bedrijfsinformatie of gevoelige bestanden is het belangrijk om expliciet aan te geven dat het hier gaat om gevoelige data. Zo biedt Microsoft de mogelijkheid om automatische gegevensclassificatie toe te passen om te achterhalen welke data extra moeten worden beschermd. Maar ook hier geldt: deze optie moet je wel gebruiken.
Door je data simpel en duidelijk te classificeren is het ook gemakkelijker om deze te beveiligen. Met nieuwe oplossingen kunnen we steeds beter controleren waar, op welk apparaat en door wie belangrijke data kan worden bewerkt.

3. Data achter een inlog is per definitie veilig

We zijn het allemaal al jaren gewend – we melden ons ’s ochtends aan op onze werkplek met een gebruikersnaam en wachtwoord, om vervolgens onze mail en documenten te openen. Wat we echter niet mogen vergeten, is dat de data nu op een gedeeld platform staat. Iemand hoeft maar een inlognaam en wachtwoord te achterhalen en hij kan bij jouw bedrijfsdata.
Bijna alle cloud-providers bieden mogelijkheden om de toegang tot applicaties en data te beschermen met meerdere factoren (bijvoorbeeld een SMS of pincode), maar dit moet je wel zelf activeren.

4. Uptime-cijfers uit het verleden geven een garantie voor de toekomst

Leveranciers schermen vaak met uptime-garanties en beschikbaarheidscijfers uit het verleden, maar dat wil natuurlijk nog niet zeggen dat ze deze in de toekomst ook gaan halen. Het is daarom belangrijk om na te denken over de gevolgen voor je organisatie als deze SLA’s niet worden gehaald. Misschien zijn extra maatregelen wel noodzakelijk; ook hier begint het met vooraf nadenken over wat je afneemt.

Hoe eenvoudig de overgang naar de cloud ook mag lijken, het blijft belangrijk om zelf goed na te denken over de vereisten die je als organisatie stelt aan de beveiliging en beschikbaarheid van gegevens en applicaties. Dat begint met het formuleren van een datastrategie, waarin onderscheid wordt gemaakt tussen data die extra bescherming nodig hebben en overige data. Vervolgens moet in een securitystrategie uiteen worden gezet wie op welk moment en op welke manier toegang heeft tot deze gegevens. Een exitstrategie, tenslotte, zorgt ervoor dat je alvast nadenkt over hoe je eventueel kunt wisselen van providers. Een cloud-provider biedt immers uiteindelijk alleen de hosting aan van hardware en diensten; deze aanbieder kan ook failliet gaan of zijn prijzen of voorwaardes veranderen.

Het is nooit een goed idee om zomaar de standaard instellingen over te nemen. Zeker niet als het gaat om de beschikbaarheid van of toegang tot gevoelige bedrijfsgegevens.

Deze blog is op 16 februari 2017 ook verschenen op computable.nl.