Cloud computing: bij twijfel niet inhalen

Volledig in overeenstemming met hun leveringsvoorwaarden, die een inspanningsplicht en geen leveringsplicht garanderen. In dat kader weet iedereen die de diensten van Amazon gebruikt dat er een minimale kans bestaat dat er iets fout gaat. Hetzelfde geldt als je in een vliegtuig stapt. Als het die enkele keer echt mis gaat, dan heb je samen met je reisgenoten ook een echt serieus probleem. Maar dat kan je in je eigen datacenter ook overkomen...

Beschikbaarheid

Beschikbaarheid en data compliance en - governance in de cloud is een heikel verhaal. Natuurlijk kun je aan een cloud provider vragen of hij ook back-ups en business continuity kan garanderen, maar dat zal de kostprijs flink verhogen. Verzekeren kost geld, ook in de cloud. Je kunt er ook voor kiezen je operationele data bij de ene provider te stallen en elke dag een kopie daarvan bij een andere provider in een back-up te plaatsen. Daarmee verminder je je afhankelijkheid van een enkele cloud leverancier en ontwerp je je eigen business continuity en beschikbaarheidsgaranties. Tegen bijbehorende kosten natuurlijk.

Juridische zaken

Het wordt lastiger als je over de juridische implicaties van dataopslag in de cloud spreekt. Denk alleen al aan de Patriot-act, die in de VS de regering het recht op inzage geeft in alle data die op het grondgebied van de Verenigde Staten worden bewaard. Dat betekent dat cloud-data van gebruikers buiten de VS, opgeslagen op Amerikaans grondgebied, ook onder die restrictie vallen. En zo komt opeens het internationale karakter van cloud computing in een ander daglicht te staan. Als je niet (meer) weet waar je data staat, of je provider die informatie niet kan of wil geven, weet je ook niet (meer) aan welke governance en wetgeving het moet voldoen of voldoet.

Natuurlijk is dit aspect niet nieuw. Als een bedrijf zijn datacenter-activiteiten outsourced en de serviceprovider zijn activiteiten heeft geconsolideerd in Europa, kunnen data en applicaties ook ergens in het buitenland zijn opgeslagen. Hoewel we in Europa geen patriot-act kennen, is Europa zeker (nog) niet homogeen wat betreft zijn digitale wetgeving. Daar ligt nog een enorme klus voor onze Europese Commissaris Kroes en organisaties als Eurocloud.

Het is dus op zijn minst interessant om die beperkte verschillen nader te beschouwen in dat soort situaties. Privacy, security, juridische status en opsporingsbevoegdheden verschillen per land. Bij serieuze twijfel is opslag in eigen land wel zo veilig. Gelukkig zien we dat veel providers die mogelijkheid in toenemende mate bieden. Ook de garantie dat, mits goed gedefinieerd en afgesproken, bepaalde data het land niet uit zal gaan en dus onder het Nederlandse recht blijft vallen. Bij twijfel dus niet inhalen.

Wie is de eigenaar?

Cloud computing is een complexere vorm van computing. We gaan IT-diensten van derden afnemen en er ontstaat een potentieel complex van verschillende providers om het eigen bedrijf heen. Hoe zit het dan met de eigendomsrechten? Het lijkt logisch dat de klant eigenaar is en blijft van de data die hij bij een cloud leverancier heeft opgeslagen. Nu is het vervelende van data dat ze enerzijds - ongemerkt - eenvoudig gekopieerd kan worden, en anderzijds eenvoudig ‘corrupt’ kan worden door slechts minimale beschadigingen. Als je je opgeslagen data terugkrijgt, is er dan nog iets achtergebleven bij de provider? En wie is verantwoordelijk voor dit soort minimale beschadigingen die kunnen resulteren in volledige onbruikbaarheid? En wat is opgeslagen data waard? Valt die waarde wel te verzekeren? En wat gebeurt er bij een faillissement?

Nu zijn dit natuurlijk allemaal vragen die niet nieuw zijn en voor een groot deel allang door service- en cloud-providers zijn beantwoord en ingevuld. Maar ik herken bij veel potentiële cloud-klanten toch een ‘onderbuikgevoel’ van twijfel. Het hele idee dat je niet meer ‘de baas over je eigen data bent’, is voor velen een onverwacht hoge drempel die we niet moeten bagatelliseren.

Scepsis is reëel en gezond

De weg naar de cloud bevat zeker verschillende technische uitdagingen, maar die zijn allemaal te overzien en in te vullen. De gevoelsmatige zaken zijn veel lastiger. Als die gevoelens spelen, is het slimmer eerst intern met een cloud-aanpak te starten, zodat daarna geleidelijk ervaring met cloud providers in eigen land kan worden opgebouwd, zeker als het productie-omgevingen betreft. Voor een bestaand bedrijf ‘alles’ maar direct in een globale cloud zetten, is in mijn ogen ook niet de beste oplossing. Hoe interessant de aanbiedingen ook lijken - geleidelijkheid is nodig en zinvol, ter lering, voor de ervaringsopbouw en voor het vertrouwen dat men in de provider moet hebben. Dus ja, scepsis is reëel en ook gezond.

Maar ontkenning is verkeerd. Er is wezenlijk iets aan het veranderen in hoe we ICT als dienstverlening gebruiken en geleverd krijgen. Dit hoeft gelukkig morgen niet klaar te zijn. Als EMC spreken we ook over ‘de reis naar de cloud’. Elke reis moet je grondig plannen en gecontroleerd starten en niet overhaast uitvoeren. Gun je organisatie en de verantwoordelijken de tijd om ervaring op te bouwen.

Over tien jaar zal een groot deel van de bedrijfsdata in vele clouds staan. Toen we ruim tien jaar geleden begonnen met internet en internetdiensten, waren ook veel partijen terughoudend om hun bedrijfsproces afhankelijk te maken van deze diensten. Op dit moment zijn sommige bedrijven voor 100% afhankelijk van internet, ondanks alle potentiële gevaren en risico’s (denk aan de actuele storingen in het betalingsverkeer, laatst weer bij de Rabobank). Toch was en is dat uiteindelijk geen belemmering het internet te omarmen en te gebruiken om te ondernemen en diensten te leveren. Veiligheid en garanties kosten geld. Cloudservices zijn in hun eenvoud bijna ongelofelijk goedkoop, maar bedrijven moeten beseffen dat dat de basisdiensten zijn. Zodra er logische veiligheid en garanties omheen worden gebouwd, zal de prijs stijgen, net zoals in de eigen fysieke ICT-infrastructuur.

Hans Timmerman is Country Technology Officer bij EMC Nederland en blogt regelmatig bij Datacentered.nl.