Ard gedeelde items

Saturday, March 13, 2010

Met het hoofd in de wolken en de voetjes van de vloer

ICT~Office. SaaS en Cloud seminar.


Afgelopen week (11 mrt 2010) heb ik het Seminar van ICT~Office bezocht waar het platform werd gegund aan twee grote spelers uit de wereld van de IT - Google en Microsoft. Voor Google was Erik de Muinck Keizer aanwezig. Microsoft had Peter de Haas afgevaardigd.
De ontwikkeling van SaaS en het begrip Cloud meer algemeen werd door de analist Jeffrey Mann vanuit Gartner 'perspectief' belicht.

Alle drie de sessies waren de moeite van het bekijken zeker waard, maar één issue is bij me rondblijven zingen tijdens de afgelopen dagen.

Security.

De vraag of bedrijven hun informatie aan de Cloud kunnen toevertrouwen is een altijd terugkerend onderwerp. De grote jongens die een rol spelen in Battle Zone Cloud (Microsoft, Google, Cisco en IBM - Jeffrey Mann, Gartner) nemen dit uitermate serieus als essentiële basis van hun proposities. Hoewel het vertrouwen vanuit de markt nog niet eindeloos is, lijkt het vertrouwen in de grondhouding van deze leveranciers ten aanzien van het onderwerp wel te groeien.

Opvallend.

Opvallend echter is dat Google licht laconiek omging met het issue. Toen het publiek daar Erik de Muinck Keizer op aansprak en refereerde naar het China incident van begin dit jaar startte hij zijn verweer wel door te zeggen dat hij die indruk niet had willen wekken en dat Google dit zeer serieus neemt. Echter in de toelichting hanteerde hij dezelfde argumenten als eerder in zijn betoog.

Bunker en bezemkast

Google heeft in de wereld een enorme capaciteit aan rekencentra staan. Deze voldoen aan zeer zware eisen. Een veel aangehaald certificaat de laatste tijd is de SAS70 certificering en dan wel de Type II.
De trajecten om te komen tot deze certificering zijn niet flauw en veel van de processen en maatregelen die getroffen zijn om deze certificering te bereiken worden niet zomaar openbaar gemaakt. Google hanteert hierin een heel gesloten beleid, zo merkt ook Gartner op. Ze laten niet eenvoudig in hun keuken kijken en dat beleid wordt ook meerdere malen door Erik de Muinck Keizer tijdens zijn verhaal en ook later in zijn toelichting expliciet vermeld.
Eén van de argumenten die wordt aangehaald is dat dit te maken heeft met het risico dat daarmee de certificering kan vervallen. Nu werp ik me niet als expert op als het gaat om de beveiliging en de exploitatie van rekencentra in het algemeen en SAS70 certificerings trajecten in het bijzonder. Wel ben ik al een aantal maal op bezoek geweest in zo'n bunker. Enfin. Prima dat Google dit beleid hanteert en voorzichtig is met de wijze waarop ze hun rekencentra en de beveiliging daarvan hebben ingericht. Ik heb daar geen moeite mee.
Minder plezierig voel ik me echter bij het gebruik van deze SAS70 certificering in een presentatie om te benadrukken dat een onpremise installatie van een applicatie nooit hetzelfde security niveau kan bereiken als een enterprise cloud oplossing vanuit een bunker. Eerlijk gezegd verwacht ik niet anders.
Als dan bovendien Google ook nog klaagt dat ze zich in negatieve zin in de picture spelen als er zich eens een keer een security incident voordoet, dat de pers daar massaal op springt. Wat verwacht je dan? Maar het wordt wel licht irritant indien je dan naar alle security incidenten op de zoemende pizzadozen in de bezemkast van de gemiddelde MKB'er of zelfs enterprise onderneming wijst. Nee, de pers maakt daar veel minder geluid over. Het incident op die schaal is echter in geen enkele verhouding met een security breach bij één van de ondernemingen die graag als megavendor in de Cloud Battle Zone gepositioneerd wordt door Gartner.

Het oordeel van Gartner

Gartner had de gelegenheid om de derde en laatste sessie op het podium te brengen. Daarin bracht Jeffrey Mann op een ontspannen manier overzicht aan in de battle zone en volwassenheid van de mega vendors volgens de analyse van Gartner. Daarin werd ondermeer Security implementation geduid als 'serious work needed' en is ook de service afspraken (SLA) naar de klant nog niet optimaal. Even later werd door Jeffrey Mann een aantal punten belicht die tot een doomscenario zouden kunnen leiden. Voor Google heeft Gartner een drietal punten in het kader van security en eigenlijk nog meer op het gebied van vertrouwen aangehaald.
  • Blocked access to information
  • Government regulation
  • Privacy and Trust crisis

Oef. Dit zijn serieuze bedreigingen indien je als pure Cloud speler de enterprise markt wil bestormen.

In de herkansing

Tot slot was het aan een panel om haar oordeel te geven en aan het publiek om vragen te stellen. De wijze waarop Erik de Muinck Keizer de opstelling t.a.v. security had overgebracht werd aan de kaak gesteld. Het China incident was daarbij het concrete vraagteken wat geplaatst werd. Een laconieke opstelling en wegwuiven van het probleem was de beschuldiging.
Beide partijen, Google en Microsoft kregen de gelegenheid om uitgebreid toelichting te geven. Helaas herhaalde Erik de Muinck Keizer zijn eerder aangehaald verweer. Een gemiste kans om met de voeten op de vloer te komen.

Het resultaat?

Het resultaat van deze opstelling is dat de indruk van een laconieke opstelling t.a.v. security enkel versterkt werd. Misschien zelfs arrogant ontkent of van de hand werd gewezen.

Tot Slot

Laat ik toch vooral duidelijk stellen dat ik geloof in de intentie die Google en ook de andere leveranciers in het speelveld het onderwerp security uiterst serieus nemen. Dat de ontwikkelingen op dit gebied enorm zijn, maar de aanpak van Google deze dag was niet handig te noemen.

De presentaties zijn door ICT~Office aan de aanwezige bezoekers verzonden. De slidedeck van Peter de Haas is zoals gewoonlijk ook in zijn slideshare te vinden. Die van Google die ontbrak tot nu toe, maar misschien dat deze nog volgt.

No comments: