‘Cloud biedt het MKB betere beveiliging dan on premise’

Nederlandse bedrijven en organisaties durven inmiddels flinke stappen te zetten en draaien opmerkelijk vaak bedrijfskritieke IT-onderdelen in een cloudomgeving. Dat is een van de conclusies uit het jaarlijkse onderzoek van AG Connect en Proact onder meer dan 300 Nederlandse IT-professionals.

De resultaten uit het online onderzoek waren aanleiding voor een rondetafelgesprek met een aantal IT-professionals, uit zowel de publieke als de private sector. Onder hen waren ook een aantal professionals die al primaire bedrijfsprocessen in de cloud hebben draaien.
Het gebruik van de publieke cloud bij de overheid is echter nog beperkt, vertelde Fekke Bakker, innovatiemanager bij het ministerie van Defensie, die op persoonlijke titel sprak. Volgens hem is Defensie nog niet erg cloudgedreven. Dat beaamt Margot Pieterse, portfoliomanager en teamleider aansturing Dienst Automatisering bij de Tweede Kamer, die eveneens op persoonlijke titel aan de discussie deelnam. Het beleid is nu meer gericht op bescherming van gegevens, waardoor er weinig wordt gedaan aan cloudontwikkeling, zegt Pieterse. ″In de Tweede Kamer heb je te maken met transparante informatie en vertrouwelijke gegevens. Die laatste mogen absoluut niet naar de publieke cloud, maar de openbare informatie zou in theorie wel naar de cloud kunnen.″ Dat gebeurt nog niet, al sluit ze het op lange termijn niet uit.
Ook is er wetgeving die voorschrijft dat bepaalde informatie en staatsgeheimen bij Defensie niet naar de publieke cloud mogen, hoe streng beveiligd en goed versleuteld dan ook, vertelt Bakker. "Wetgeving bepaalt in hoge mate wat er met bepaalde data gebeurt. Data over veroordeelden zet je niet zomaar in de cloud want dat kan gegijzeld worden. Als je dat in eigen handen houdt, dan houd je de calamiteitenbestrijding ook in eigen handen. Dat heeft wel veel consequenties want dat betekent dat je alle security zelf moet doen.” Dat alleen zorgt al voor tientallen uitdagingen, erkent Bakker. "Ik denk dat de publieke cloud voor het MKB een van de goedkoopste manieren is om veilig te blijven."

De security-paradox
Security is daarom naast flexibiliteit en snelheid een van de belangrijkste redenen voor organisaties om iets met de cloud te doen, blijkt uit het cloudonderzoek 2016 van Proact en AG Connect. ″Voor het MKB is het vanuit security-perspectief aantrekkelijk om naar de cloud te gaan, en dan vooral naar de grote cloudleveranciers. Die kunnen het zich niet veroorloven om grote incidenten te laten ontstaan″, zegt Bakker. Mede om die reden heeft Richard Moeliker, IT-manager bij Stern Facilitair, al veel naar de cloud gemigreerd. ″We hebben veel bij Microsoft Azure staan, want die kan het zich niet veroorloven om gehackt te worden. Bovendien heeft Microsoft veel meer budget voor beveiliging dan wij.″ Ook Siebe Nijenhuis, projectmanager bij Hunter Douglas Europe, denkt dat systemen in de cloud over het algemeen veiliger draaien dan on premise omdat er bij de cloudleverancier veel meer expertise zit. "Maar hoe veilig is de weg ernaartoe? Hoe staat het met het netwerk en risico's als graafmachines die kabels lostrekken?", vraagt hij zich af.
De publieke cloud, hieronder verstaat men in deze discussie een partij die met hyperscalers voordelen kan bieden dankzij een hoge mate van automatisering en schaalgrootte, heeft daarom niet ieders voorkeur. De overheid kiest voor de Tweede Kamer aan de private cloud; een datacenter waar het zelf de volledige controle over heeft. Margot Pieterse. "Als de Tweede Kamer gehackt wordt en je kunt niet aantonen dat je alles gedaan hebt om een hack te voorkomen, dan heb je de poppen aan het dansen."

Drempelvrees
De drempel om naar de cloud over te stappen lijkt voor een deel veroorzaakt te worden door een generatieprobleem. En volgens Cor van Weelden, consultant bij VéWé Productions, heeft dat ook met de generatie te maken. De generatie medewerkers die is opgegroeid met een iPad, vindt het werken in de cloud vanzelfsprekend, denkt hij. "Als de huidige iPad-generatie op een gegeven moment op de directiestoel komt te zitten, is cloud of geen cloud helemaal geen vraagstuk meer." Al wordt het besluit om iets met de cloud te doen, niet altijd zo bewust genomen, zo bleek. "Als je op een dag besluit om iets met Salesforce te doen, zit je dus in de cloud. Als de leverancier zo werkt, ga je automatisch mee en zit je plotseling met een hybride omgeving", aldus Bertus Doppenberg, manager Service Delivery bij Proact.

Van beheer naar regie
De overgang naar de cloud heeft ook consequenties voor de rol die de IT-afdeling krijgt. Deze gaat van beheer naar regie. Fekke Bakker ziet bij Defensie dat er steeds meer diensten tussen organisaties onderling worden afgenomen. "Het gaat steeds meer om de functies die worden ingezet, en wie welk stukje van die dienst levert en hoe die in elkaar zit, dat wordt onderdeel van de regie."
Dit heeft volgens Jeroen van Yperen, businessdevelopmentmanager bij Proact, als gevolg dat je in de toekomst als organisatie helemaal geen techneuten meer nodig hebt. "Het enige dat je nodig hebt, is een organisatiespecialist die het grotere geheel kan schetsen. Ook de IT-architect zit aan de andere kant." Het is wel zaak iemand in dienst te houden die verstand van zaken heeft, want anders loop je het risico dat je geen gesprekspartner meer bent en niet meer weet waar de cloudleverancier het over heeft.
In de praktijk heeft een deel van IT'ers moeite om de overstap naar de nieuwe regiefunctie te maken. Veranderingen vanuit de IT worden vaak als bedreigend ervaren, weet ook Van Yperen. “Als je niet iedereen daarin kan meekrijgen, start dan met een kerngroep", adviseert hij. We moeten in die verandertrajecten niet zo lief zijn voor de oudere IT-mensen, brengt Cor van Weelden daar tegenin. “Die mensen zitten zo in hun oude manier van werken dat ze nooit aan een nieuwe manier zouden kunnen wennen. Je moet ze als het ware dwingen om over te stappen op een nieuwe manier van werken door ze te laten inzien dat de nieuwe manier beter is."

Andersom denken
Dat een deel van de IT’ers moeite heeft met die overgang, heeft Richard Moeliker met Stern Facilitair zelf ervaren. Hij heeft van een deel van de IT’ers afscheid genomen. "Het is vooral belangrijk om je te verplaatsen in de gebruiker. Hoe ga je die gebruiker die niets met IT heeft, straks goed helpen? We zijn op de plek van de gebruiker gaan zitten – en hoewel dat heel lastig is voor de IT – en hebben gevraagd wat de gebruiker nodig heeft om zijn werk het beste te doen.” Vervolgens is Moeliker met zijn team gaan kijken welke IT-oplossingen daarachter passen. "Dat is heel anders dan de normale denkwijze van IT, die denkt altijd andersom. Zij bedenken iets en vervolgens moet jij er zo mee gaan werken."
Het klinkt heel logisch om vanuit de eindgebruiker te denken, erkent Wim Engels, interimmanager bij Aurelia!. "Als je dat namelijk doet, hoeft de eindgebruiker niet te wennen. De adoptie van de cloud is alleen lastig als je niet aan de eindgebruiker hebt gedacht."

Exit
De deelnemers aan de discussie leken het ook unaniem eens te zijn over de vendor lock-in. Ze herkennen het beeld waarbij een organisatie besluit om iets met een grote cloudleverancier te doen. Vervolgens worden daar andere processen omheen gebouwd en zo wordt de klant langzaam maar zeker afhankelijk van de cloudleverancier. Of zoals Bertus Doppenberg het verwoordt: "Het is de strategie van de crackdealer; je wordt eerst verslaafd gemaakt en vervolgens gebruik je zoveel dat je niet meer weg kunt."
Toch adviseert Moeliker om bij een cloudovergang altijd de exitstrategie ter sprake te brengen. “We laten in elk contract vastleggen hoe de leverancier bij vertrek de data gaat aanleveren om te voorkomen dan je er niks mee kan. En wat het kost om al je data naar een andere partij te migreren.” Daar ziet Tom Dalderup, CTO bij RTV Rijnmond, niet zo’n probleem ontstaan. Hij denkt dat er juist nieuwe kansen ontstaan voor cloudpartijen. “Ik denk dat hun businessmodellen gaan verschuiven. Om nieuwe klanten te werven, zullen cloudleveranciers hulp gaan aanbieden bij migratie.”

KORTE CITATEN:
Margot Pieterse, portfoliomanager en teamleider aansturing Dienst Automatisering bij de Tweede Kamer (spreekt op persoonlijke titel):
“Als je IT buiten de deur staat, kan je bij een calamiteit alleen met je contracten zwaaien.”

Siebe Nijenhuis, projectmanager bij Hunter Douglas Europe:
“Microsoft heeft zoveel diensten aan elkaar gekoppeld, dat zorgt al voor een lock-in.”

Bertus Doppenberg, manager Service Delivery bij Proact:
“Eerst wordt je verslaafd gemaakt en vervolgens gebruik je zoveel dat je niet meer weg kunt.”

Wim Engels, interimmanager bij Aurelia!:
“De adoptie van de cloud is alleen lastig als je niet aan de eindgebruiker hebt gedacht.”

Tom Dalderup, CTO bij RTV Rijnmond:
“Vraag jezelf af wat je minimale behoefte is als je primaire systeem uitvalt. Daarvoor moet een back-up zijn.”

Fekke Bakker, innovatiemanager Ministerie van Defensie (spreekt op persoonlijke titel):
“Het leger is een vechtmachine. En vechten doe je niet alleen met IT maar ook in IT.”

Richard Moeliker, IT-manager bij Stern Facilitair:
“Wat we nu met de cloud doen, is slechts een fractie van wat we ermee kunnen.”

Jeroen van Yperen, businessdevelopmentmanager bij Proact:
“Je moet niet meer in producten maar in diensten denken.”

Cor van Weelden consultant bij VéWé Productions:
“Als de huidige iPad-generatie op de directiestoel komt te zitten, is cloud of geen cloud helemaal geen vraagstuk meer.”

Tag

Mkb

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag