Veel bedrijven aarzelen nog om clouddiensten te gebruiken. De belangrijkste reden is bezorgdheid over de IT-beveiliging. De paradox is dat door te migreren naar de cloud een hoger niveau van IT-beveiliging kan worden bereikt dan in het eigen datacenter van het bedrijf.
“Never Change a Running System!” Deze zin zal de meeste IT-professionals en gebruikers bekend voorkomen. Natuurlijk zit er een kern van waarheid in. Immers, als u zonder noodzaak een functionerende IT-omgeving opnieuw opbouwt, loopt u het risico dat bedrijfsprocessen en IT-diensten niet meer zoals gebruikelijk functioneren, althans voor een tijdje. Dit betekent echter niet dat nieuwe benaderingen van de levering van IT-middelen en -toepassingen, met name cloud computing, buiten beschouwing moeten worden gelaten. Dit is echter precies wat nog steeds het geval is in een aanzienlijk deel van de Duitse ondernemingen. Dit blijkt uit een studie die is uitgevoerd door het marktonderzoeks- en adviesbureau Techconsult met de steun van Mimecast.
Uit het onderzoek blijkt dat in 2021 vooral grotere bedrijven met meer dan 5.000 werknemers nog niet volledig overtuigd zijn van de cloud. Tien procent van hen heeft helemaal geen cloudstrategie. Nog eens 43 procent gebruikt voornamelijk IT-middelen die door het eigen datacenter worden geleverd, maar maakt ten minste gedeeltelijk gebruik van cloudaanbiedingen. Dit betekent dat meer dan de helft van de grote Duitse bedrijven een herkenbare terughoudendheid ten aanzien van cloud computing aan de dag legt. De situatie is anders voor middelgrote ondernemingen met 250 tot 1.000 werknemers. Bijna 70 procent vertrouwt volledig of hoofdzakelijk op de cloud. Slechts ongeveer een derde geeft, net als veel grotere bedrijven, de voorkeur aan een “on-premises”-aanpak.
De belangrijkste reden voor “scepticisme ten aanzien van de cloud” is bezorgdheid over de veiligheid (44 %). Bedrijven noemen de angst voor gegevensdiefstal (56%) en het falen van een clouddienstverlener (42%) als belangrijkste redenen. Daarnaast is er de angst om afhankelijk te worden van een dienstverlener (30%) en de angst dat de migratie naar de cloud te hoge kosten met zich meebrengt (30%).
Maar dergelijke zorgen zijn grotendeels onterecht. Afhankelijkheid van één provider kan worden vermeden, bijvoorbeeld als een bedrijf gebruik maakt van meerdere cloud providers, het sleutelwoord multi-cloud. In dat geval moet de gebruiker echter zorgvuldig nagaan welke diensten hij van welke aanbieder wil afnemen en of hij zo nodig gegevens en diensten naar een andere aanbieder kan overdragen.
Een andere optie is een hybride cloud. In dit geval blijven de belangrijkste gegevens in het interne datacentrum. Toepassingen zoals e-mail, samenwerking en (video)conferencing tools worden uit een cloud gehaald, net als CRM-oplossingen. Om een multi- of hybride cloud te beheren, is het raadzaam cloudbeheerplatforms te gebruiken. Dergelijke oplossingen zijn meestal ook beschikbaar als cloudservice, soms ook als software voor de eigen datacenters van een bedrijf.
Om de kosten van een cloudmigratie onder controle te houden, moeten bedrijven van tevoren duidelijk maken hoeveel en welke IT-resources ze naar een publieke cloud willen verplaatsen. Toepassingen die beschikbaar zijn via een SaaS-model (Software as a Service) zijn hiervoor bijzonder geschikt. Met deze aanpak boekt een bedrijf slechts zoveel licenties van een toepassing als het op een bepaald moment nodig heeft. Het bedrijf kan zijn softwarevoorraad dus flexibel aanpassen aan veranderende marktontwikkelingen. Bovendien betaalt de gebruiker slechts zoveel voor software als werkelijk nodig is. Er “liggen” geen licenties meer ongebruikt rond te slingeren.
Dit stelt bedrijven in staat het geld te gebruiken voor andere projecten, bijvoorbeeld op het gebied van digitalisering. Bovendien neemt de cloud-dienstverlener de taak op zich om nieuwe versies en patches aan te bieden. Dit ontlast de interne IT-afdeling en vermindert het risico dat belangrijke updates niet of te laat worden doorgevoerd.
Bedrijven in Europa hebben de voordelen van het SaaS-model ingezien, zo blijkt uit een studie van Global Market Insights. Volgens haar zullen de inkomsten uit clouddiensten stijgen van 25 miljard dollar (2020) tot 75 miljard (2026). Ongeveer tweederde hiervan komt voor rekening van SaaS-aanbiedingen. Hieruit blijkt dat het voor bedrijven en overheidsinstellingen steeds vanzelfsprekender wordt om toepassingen uit de cloud te betrekken, van Office tot oplossingen op gebieden als e-mail- en webbeveiliging en cyberresilience.
In het algemeen kan worden gesteld dat de angst voor de “kostenval cloud” in de meeste gevallen ongegrond is. Integendeel: cloud-diensten vereisen minder gebruik van servers en netwerk- en opslagsystemen in het eigen datacenter, inclusief personele middelen voor bediening en onderhoud. Daar komt nog de grotere flexibiliteit bij.
Het boeken van een cloudservice is snel en eenvoudig. Daarentegen vereist het aanbieden van toepassingen in een doe-het-zelf proces de aankoop en implementatie van hardware en software. Bovendien kan de gebruiker deze infrastructuur niet “teruggeven” als hij deze niet meer nodig heeft.
Wat betreft de beveiliging van de gegevens en toepassingen van gebruikers doet de cloud het niet slechter dan een datacenter van een bedrijf. Integendeel: datacenters in de cloud hebben doorgaans betere voorzorgsmaatregelen op het gebied van IT-beveiliging en gegevensbescherming dan datacenters in bedrijfseigendom, van firewalls en inbraakpreventiesystemen tot gegevensversleuteling en back-up- en noodhersteloplossingen. De reden hiervoor is dat een dienstverlener zich eenvoudigweg geen systeemstoring of verlies van klantgegevens kan veroorloven. Daarom repliceren veel aanbieders de werklast van gebruikers in meerdere cloud-datacenters in verschillende regio’s. Als één datacenter uitvalt, springt een ander bij.
Daarnaast beschikken de meeste leveranciers van clouddiensten over certificeringen om de kwaliteit en veiligheid van hun diensten aan te tonen. Hiertoe behoren bijvoorbeeld de ISO/IEC 27001 voor het beheer van informatiebeveiliging en de ISO/IEC 27018-specificatie. Het geeft informatie over de beschermende maatregelen van een cloudaanbieder voor persoonsgegevens. Andere belangrijke certificeringen zijn STAR (Security, Trust & Assurance Registry) van de Cloud Security Alliance (CSA) en Certified Cloud Security Professional (CCSP) van de Cyber Security Organisation (ISC).
Onder het aspect “IT-beveiliging” in verband met de cloud speelt nog een andere factor een rol: de mogelijkheid om beveiligingsoplossingen via een cloudservice bij specialisten te betrekken. Naast de grote flexibiliteit en schaalbaarheid heeft deze aanpak nog een ander belangrijk voordeel: de gebruiker krijgt IT-beveiligingsdiensten die altijd up-to-date zijn en dus ook bescherming bieden tegen nieuwe soorten bedreigingen. Bovendien kunnen bedrijven eindapparaten of servers variabel in het beveiligingsconcept integreren en zo nodig weer verwijderen – met weinig configuratie-inspanningen.
Volgens de studie van Techconsult en Mimecast hebben Duitse bedrijven dergelijke factoren in het achterhoofd. Op dit moment maakt iets meer dan 40 procent al gebruik van cloud-gebaseerde e-mailbeveiligingsdiensten, zoals die van Mimecast. Binnenkort wil meer dan 50 procent van de ondervraagden van dergelijke diensten gebruik maken.
De situatie is vergelijkbaar voor oplossingen op gebieden als back-up en herstel, mobiele en webbeveiliging, zoals identiteitsbeheer: clouddiensten zijn aan een opmars bezig en overvleugelen het on-premise aanbod. Cloudgebaseerde IT-beveiligingsoplossingen spelen dus nu al een centrale rol in elk bedrijf. Deze trend zal de komende maanden verder doorzetten.
Het is belangrijk voor een IT-beveiligingsoplossing uit de cloud dat deze kan worden gecombineerd met producten van andere aanbieders – via open programmeerinterfaces (API). Alleen op die manier kunnen gebruikers een IT-beveiligingsecosysteem opbouwen dat uitgebreide bescherming biedt tegen cyberaanvallen. Meer dan 60 integraties van oplossingen van toonaangevende IT-beveiligingsspecialisten zijn beschikbaar voor de e-mailbeveiligings- en cyberweerbaarheidsdiensten van Mimecast. Hiertoe behoren aanbieders als CrowdStrike, IBM Security, Netskope en Palo Alto Networks, maar ook Rapid7, SerivceNow en Splunk.
Er is geen geldige reden om “bang te zijn voor de cloud”. Bedrijven kunnen immers op verschillende manieren profiteren van clouddiensten. Een groot aantal Duitse bedrijven is zich hiervan thans bewust. Ongeveer de helft van hen ziet cloud-diensten als een middel om sneller en gevarieerder oplossingen en functies aan te bieden. Bijna evenveel mensen zien cloud-gebaseerde diensten als een middel om de IT-beveiliging te verbeteren. Vooral bedrijven met meer dan 1.000 werknemers zien clouddiensten als een optie om de schaalbaarheid van hun IT-infrastructuur te optimaliseren. Geen enkel bedrijf zou het zonder dergelijke voordelen moeten stellen, vooral omdat flexibiliteit en schaalbaarheid sleutelfactoren zijn voor een succesvolle implementatie van een digitaliseringsstrategie.
Afbeelding bron: Mimecast