Alles van waarde is weerloos en dat geldt dus ook voor data! Laten we de provider voor het gemak de databewaarder of schatkistbewaarder noemen. Dat betekent dus dat de databewaarder alles, ja alles in het werk moet stellen om goed voor jouw data te zorgen.
We staan met zijn allen aan het begin van cloud-security bewustzijn. Accountants, SaaS-aanbieders en klanten hebben daar allemaal hun eigen rol en eigen taak in. Eerder schreef ik al over transparantere en uniformere informatie ten aanzien van de databeveiliging. De reacties naar aanleiding van dit artikel waren overweldigend. Echter uit de hoek van de SaaS-leveranciers is het veel te stil gebleven, daar is kennelijk meer voor nodig.
In dit artikel wil ik een ander onderdeel van de sla (service level agreement) aansnijden dat eveneens met cloud-security te maken heeft. Het gaat dit keer over de opslag van de data. De data waar je voor verantwoordelijk bent en blijft. Uit de vele reacties blijkt, dat velen dit nog niet wisten en indien zij dit geweten zouden hebben, wellicht beter onderzoek hadden gedaan naar de best bij hun passende provider.
Data is weerloos
Alles van waarde is weerloos en dat geldt dus ook voor data! Dat betekent dat de databewaarder (de provider dus) alles in het werk moet stellen om ervoor te zorgen dat jouw data zo goed mogelijk beveiligd is en zelfs als hij de pijp aan Maarten geeft, je in staat moet stellen deze data weer in bezit te krijgen. Nu zijn er een aantal oorzaken waarom Maarten de pijp kan krijgen: faillissement, stop zetten dienst verlening, de pijp uitgaan van de accountant waar de data op de server stond, etc etera.
Cloud-escrow is (nog) geen officiële term, maar ik beschrijf hier wat de inhoud van cloud-escrow zou kunnen zijn en hoe het zou kunnen werken en verwacht daar natuurlijk jullie reacties op over uitvoering en haalbaarheid. Iedere kleine databewaarder (provider, waarvan de grootte nader te definiëren is) zou een contract met een data center moeten sluiten, waarbij de onderdelen van de overeenkomst als volgt kunnen zijn: – Data-eigenaar krijgt toegang tot zijn data door middel van dezelfde interfaces indien de kleine databewaarder in gebreke is gebleven. – Om dit te bereiken worden data dagelijks en automatisch door de kleine databewaarder namens zijn klant geüpload. – De prijs van de backup moet zijn inbegrepen in het online abonnement tussen klant en databewaarder (back to back contract). – Er kan een risicoverzekering afgesloten worden om de gevolgen van de ingebrekestelling op te vangen. – De datacenters moeten dan wel bereid zijn deze dienst aan te bieden. Maar hoe ga je dan om met dubbele opslag kosten? Conclusie: risk management en exit strategie.
In een sla mag je verwachten dat er benoemd staat wat er gebeurt met de data in het geval dat de databewaarder in gebreke is gebleven. Met een cloud-escrow zou je veel leed kunnen voorkomen. Check daarom vooraf even de volgende zaken voordat je een contract met een databewaarder afsluit: – Staat jouw data op meerder fysieke servers op verschillende locaties? – Beoordeel of je de data weer tot je beschikking krijgt in het geval van discontinuïteit, via ander datacenter of via overdracht naar eigen of nieuwe omgeving. – Beoordeel of je in dat geval je data op eenzelfde platform bij een andere provider of on premise kunt plaatsen binnen de termijn die je in de sla wordt gegund. – Check of je de financiële gevolgen van discontinuïteit van de diensten van de databewaarder kunt afdekken bij een verzekeraar. – Hoe is de communicatie door databewaarder op zijn website over dit onderwerp?
(422)
Deze post is ook beschikbaar in/Also available in: Dutch