Generic
Struisvogelpolitiek? Of de koe bij de horens vatten?
27/01/2015 | Written by: Think Blog redactie (0cB)
Categorized: Generic
Share this post:
Public cloud, security en compliancy: voor velen een gevoelig gespreksonderwerp. Ik zie dan ook vaak dat het onderwerp “security en compliancy” naar achter geschoven wordt in een cloud-gerelateerde discussie over architectuur, sourcingmodellen en platformkeuzes. Niet slim, denk ik, omdat het een fundamenteel onderwerp is wat vele andere theoretische keuzemogelijkheden wel of niet doorkruist. En dus zeg ik: als eerste oppakken en keuzes maken.
De basics: waarom maken veel klanten zich zorgen om de veiligheid van de publieke cloud? Het meest gehoorde argument is dat de klant dan niet weet waar zijn data staat. Een begrijpelijk zorgpunt, maar er zijn public cloud dienstverleners zoals IBM´s SoftLayer waar jij zelf bepaalt in welk datacenter en in welk land je data staat, en die op geen enkele wijze die data, voor wat voor (backup) reden dan ook, elders neerzetten. Je kunt binnen Softlayer zelfs voor bare metal services en voor single-tenant virtual machines kiezen en tot op datacenter, rack en serverniveau zien waar de data staat of draait.
“Kan ik dat dan ook controleren?” is een vraag die dan vaak opkomt. De online portal vertelt je exact waar de data staat en via de API is diezelfde informatie beschikbaar. Maar je kan niet even het datacenter binnenlopen en fysiek kijken of … tja, wat ga je dan eigenlijk fysiek controleren? Of de lichtjes van de server knipperen? Maar natuurlijk zijn er ISO27k rapporten en certificeringen, en natuurlijk zijn er SOC1, SOC2 en SOC3 rapporten, die je verzekeren dat de data daar staat waar hij ook zou moeten staan. Wil je daar niet op vertrouwen, en wil je het echt fysiek zelf kunnen aanwijzen, dan is publieke cloud geen optie. Dan moet je kiezen voor een private cloud platform, met bijbehorende dienstverlening. Veel klanten kiezen uiteindelijk voor een hybride variant waar een deel van de IT omgeving draait in een publieke cloud en een deel in een private cloud. Afhankelijk van type applicatie en data maak je die risico-inschatting. Security en compliance spelen dus op dit belangrijke kruispunt een cruciale rol.
Kortom, security en compliancy zijn de heipalen waar je het huis op bouwt. Als dat fundament niet klopt, kun je beter stoppen en een ander huis gaan bouwen. Voer deze discussie dus aan het begin, want ik heb meerdere malen meegemaakt dat dit onderwerp pas als laatste laatste punt op de agenda stond, waarna het hele team tot de conclusie kwam dat maanden werk voor niks was geweest en men weer van voor af aan kon gaan beginnen.
Mijn credo: steek niet je kop in het zand als een struisvogel wanneer het gaat over security en compliance in relatie tot cloud, maar pak de koe bij de horens. En belangrijke koeien als eerste!
Is regulation enabling or hindering innovation in the financial services industry?
Anne Leslie, Cloud Risk & Controls Leader Europe, IBM Cloud for Financial Services Europe’s financial services sector is in the throes of wide scale digital transformation – a transition being accelerated by the growing adoption of digital solutions and services to help keep up with the demands of digitally savvy consumers. While there can be […]
The Digital Operational Resilience Act for Financial Services: Harmonised rules, broader scope of application
The Digital Operational Resilience Act – what and why As part of the European Commission’s Digital Finance Package, the new Digital Operational Resilience Act, or in short DORA, will come into force in the coming period. The aim of DORA is to establish uniform requirements across the EU that improve the cybersecurity and operational resilience […]
Banking on empathy
Suppose you’re owning a small boutique wine shop and have gone through two difficult years because of the Covid-19 pandemic. As the pandemic seems to be on its way back, it is time to revitalize the shop. And this causes direct a huge challenge: the wine stock needs to be replenished but you have used […]