Clouds en compliance – zo gaat het samen [NL]

Originally appeared on IT Executive.nl on January 13, 2016 (in Dutch).

Bedrijven profiteren graag van de mogelijkheden van cloud-technologie. Lagere kosten en meer flexibiliteit, wie wil dat nu niet? Maar risico’s als dataveiligheid en compliance blijven bestaan, vooral bij de publieke clouds.

Het is altijd zinvol om op continue basis de mogelijkheden voor kostenbesparingen te verkennen. Dat maakt cloud computing op het lijstje van menig CIO onvermijdelijk. Het aantal leveranciers en cloudoplossingen zijn de afgelopen jaren exponentieel gegroeid, het is gemakkelijker dan ooit om je eigen datacenter en IT-afdeling te ontlasten. Dat levert kostenbesparingen op en het biedt extra flexibiliteit. Maar zijn die voordelen wel zo gemakkelijk te verkrijgen?

Ja en nee. De zorgen omtrent de veiligheid van data en het voldoen aan compliance zijn allesbehalve weggenomen. Nu binnen vrijwel alle sectoren extra aandacht besteed wordt aan GRC (governance, risk en compliance) om in te spelen op het volatiele economische klimaat, zijn het met name de gevestigde partijen die van compliance een belangrijke factor maken tijdens de afweging om naar de cloud over te stappen.

Traditionele benaderingen en legacy-systemen spelen bedrijven in sterk gereguleerde branches parten. Dergelijke organisaties hebben moeite met de openheid en het verdwijnen van geografische grenzen die karakteristiek zijn voor publieke cloudoplossingen, wat hun vrees voor non-compliance versterkt. Gevolg is dat afgezien wordt van cloudoplossingen, waardoor ze de kansen van nieuwe technologie niet volledig uitbuiten en inboeten aan innovatiekracht.

Geografische verschillen
Deze vrees is niet helemaal onterecht. Financiële dienstverleners, overheden en de gezondheidszorg kennen strenge complianceregels. De financiële wereld schrijft bijvoorbeeld voor dat IT-leveranciers een ISO/IEC 27001-certificering hebben en de PCI-standaard voor betalingsverkeer hanteren. Niet elke leverancier heeft dat in huis. Wie over de grens zakendoet, loopt bovendien tegen de grote verschillen in regelgeving aan. De EU hanteert strengere richtlijnen ten aanzien van data dan de Verenigde Staten.

Volgens de EU-regelgeving blijft de eigenaar, en dus niet de leverancier, eindverantwoordelijk voor de plek en de wijze waar data opgeslagen en verwerkt wordt. Daarom willen Europese bedrijven van hun (potentiële) cloudleverancier een garantie dat data binnen de EU blijven, dat managed services vanuit de EU worden geleverd en dat niemand buiten de EU potentiële toegang tot de data heeft. Lokale overheden eisen steeds vaker dat gegevens uitsluitend in een specifieke regio of het eigen land opgeslagen worden.

Maar ook tussen EU-landen onderling bestaan verschillen. Zo stelt Italië bijzondere voorwaarden aan clouddiensten op het gebied van logfiles, op het gebied van kwalificaties van systeembeheerders en waar het gaat om het uitwisselen van Italiaanse gegevens.

Veel bedrijven kijken momenteel niet verder dan een verzekering tegen de financiële gevolgen van compliance-incidenten, dus wanneer het kwaad al geschied is. Daarnaast wordt nieuwe regelgeving vaak ad-hoc geïmplementeerd door nieuwe, afzonderlijke projecten op te starten. Meestal zijn daarbij alleen de afdelingen betrokken die op dat moment met de veranderende regelgeving te maken hebben.

Deze reactieve omgang met compliance kan beter. Het is zinvoller het risico vooraf te beperken via een gedegen GRC-strategie, met intelligente software en een aanpak die de hele organisatie omvat. Dit maakt één oplossing voor risicomanagement mogelijk, met een grotendeels geautomatiseerd complianceproces dat bij elke regelwijziging opnieuw wordt doorlopen. De organisatie kan dan ervaringen, opgedaan in eerdere proceswijzigingen, hergebruiken en heeft tegelijkertijd de tools voor rapportage, audits en forecasting paraat zodra de volgende regelwijziging opduikt.

Het spanningsveld afbouwen
Wie de zorgen vanaf een afstandje bekijkt ziet daarin het spanningsveld tussen controle versus flexibiliteit. Enerzijds willen organisaties controle houden over de veilige opslag van data, anderzijds worden applicaties omwille van de flexibiliteit verdeeld over een veelvoud aan clouddiensten die buiten het bedrijfsdomein draaien.

Compliance wordt dan meestal afgedwongen door alle datastromen extra te versleutelen en via de eigen organisatie te laten lopen. Om met nieuwe technologische ontwikkelingen in de pas te kunnen lopen moeten dergelijke organisaties dus telkens het wiel opnieuw uitvinden, wat veel tijd en mankracht kost.

Steeds meer organisaties neigen daarom naar een samenwerking met cloudleveranciers en business partners om tot een toekomstbestendige cloudoplossing te komen. Bijvoorbeeld door private en publieke cloudmodellen te combineren tot een hybride variant. Dit kan complianceproblemen in de kiem smoren, onder meer door compliancegevoelige data alleen op te slaan in datacenters die voldoen aan de lokale wet- en regelgeving.

Grote partijen die hun datacenters globaal gespreid hebben, bieden hun klanten bijvoorbeeld de keus om hun gegevens alleen binnen Europa op te slaan. De leverancier kent de wetgeving in elk land waar zijn datacenters staan en zorgt ervoor dat aan die regels is immers voldaan. En daarmee heb je niet alleen je data uitbesteed, maar ook je zorgen.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s