Onze data opslaan in de cloud is tegenwoordig de normaalste zaak van de wereld. Zowel zakelijk als privé doen we het met het grootste gemak. Cloud leveranciers steken veel energie in het wegnemen van barrières waardoor wij, zonder al te veel nadenken, onze meest kostbare bezittingen overhevelen naar hun datacentrum.  

Doordat data in de cloud opslaan zo mainstream en gemakkelijk is geworden, ben ik echter bang dat we er te weinig of te makkelijk over denken. Belangrijke vragen – die het verdienen vooraf gesteld te worden – eindigen te vaak als afterthought. Vragen als ‘Hoe zit het met de veiligheid van mijn data? Heb ik alle data die is opgeslagen nog wel nodig? Wie hebben er eigenlijk toegang tot mijn data; zowel in business-as-usual scenario’s als tijdens calamiteiten?’

In deze blog zal ik het opslaan van data in de cloud vergelijken met het opslaan van fysieke spullen in een opslagbox. Door middel van deze vergelijking hoop ik de aspecten veiligheid, noodzakelijkheid en toegang concreet te kunnen illustreren.

De storagebox

Laat ik beginnen met aan te tonen dat ik op het vlak van fysieke opslag een ervaringsdeskundige ben. Toen mijn man en ik gingen samenwonen in mijn toenmalig semi-studio appartement, moesten twee huishoudens samensmelten. Alles hadden we dubbel. Alles. Behalve de bergingsmogelijkheden.

Waar mijn innerlijke Marie Kondo zei dat we moesten opruimen en alleen datgene moesten bewaren ‘which sparks joy’, zei mijn man’s innerlijke stem dat ‘weggooien zonde is’. Ergens tussen de Japanse, minmalistische filosofie en de Amerikaanse ‘Doomsday Prepper’ mentaliteit moesten we elkaar vinden.

Het eindresultaat van deze tenenkrommende exercitie waren een tiental dozen, een eettafel, twee tapijten, een dartbord, een skibox, kampeerspullen en drie kratten kerstversiering. We besloten deze spullen te bewaren in een opslagbox, totdat we samen groter zouden gaan wonen.

Op dat moment maakten wij dus de bewuste keuze om een gedeelte van onze waardevolle eigendommen te verplaatsen naar het pand van een ander. Een pand dat we met andere mensen zouden delen. Een pand waarin wij een stukje zouden afhuren voor eigen gebruik, terwijl we gebruik zouden maken van de gemeenschappelijke infrastructuur van het gebouw. Ziet u de vergelijking met de cloud? Mooi.

En toen begon onze zoektocht. Want opslag huren is duur. En hoe groot moet die box eigenlijk zijn? Na meerdere aanbieders bezocht te hebben kozen we voor leverancier X. X? Ja, X, want ik ga hier geen reclame maken.

Na een uitgebreide rondleiding rondom het pand (‘Kijk eens hoeveel camera’s er hangen.’), door het pand en de diverse formaten boxen, kozen we een box waarvan we wisten dat het krap aan zou worden, maar wellicht net zou passen. We tekenden een maandelijks opzegbaar contract, ontvingen een cilinderslot met sleutel, het nummer van onze box en onze persoonlijke toegangscode. Het vier-cijferige nummer van onze box vormde het eerste deel van onze acht-cijferige toegangscode – de laatste vier cijfers mochten we zelf kiezen. Die code mochten we vervolgens op een kaartje schrijven met de NAW gegevens van de opslag leverancier en daarna keurig in onze portemonnee steken. ‘Want dat was’, aldus de manager, ‘handig’. Op die manier hadden we de code altijd bij ons. Ik dacht: dan kan ik hem dus ook altijd kwijt raken.

Interessant aan deze code is dat je hem drie keer moet gebruiken voordat je bij je box aankomt. De eerste keer is bij de toegangspoort om het terrein op te komen – wat tevens de uitgang is. De tweede keer zet je de code in om het gebouw te betreden. De derde keer voer je de code in om de lift naar de gewenste verdieping te sturen.

Eenmaal aangekomen bij de box steekt men de sleutel in het cilinderslot. Et voila, u bent aangekomen bij uw waardevolle bezittingen. Ervan uitgaande dat niemand u gevolgd is, uw code afgekeken heeft en de sleutel van het slot gestolen heeft, kunt u gerust zijn dat u de enige bent die toegang heeft tot uw bezittingen.

Eenmaal klaar in de opslagbox, sluit men de box met het slot en verlaat men het pand via dezelfde weg als dat men gekomen is. Echter deze keer is een code niet nodig om de lift naar beneden te sturen, of om de deur naar buiten te openen. De enige keer dat men de code inzet is om de poort naar buiten – een tergend langzaam rolhek – te openen.

Kortom, er zijn vier beveiligingslagen om bij de box te komen. Hierbij wordt gebruik gemaakt van multi-factor authenticatie; iets wat je hebt (de sleutel) en iets wat je weet (de toegangscode). En er zijn twee beveiligingslagen bij het verlaten van het pand; wederom dezelfde sleutel en code.

Ervaring uit de praktijk leerde ons helaas al snel dat drie van de beveiligingslagen gemakkelijk te omzeilen waren door middel van het alom bekende security concept tailgaiting. Oftewel iemand volgen met auto of te voet om zodoende zonder code door poorten en deuren te lopen. Uiteraard moest dat tailgaiten dan wel gebeuren zonder dat het opgemerkt werd door de beveiliger bij de receptie die de beelden van de camera’s in de gaten hield.

Tot waar reikt de beveiliging en verantwoordelijkheid?

Ondertussen, 2 jaar verder, wonen mijn man en ik al niet meer in ons postzegel appartement. De opslagbox hebben we leeggehaald en opgezegd. Van alle spullen die eruit kwamen hebben we slechts de helft meegenomen naar ons nieuwe huis en de andere helft is direct naar de stort gegaan. ‘Zonde’ vond mijn man. Ik vond het vooral zonde van het geld.

Maar als iemand mij in die periode vroeg hoe het met de veiligheid van mijn spullen zat, dan kon ik daar altijd heel concreet antwoord op geven. Als iemand mij vroeg wie er toegang had tot onze spullen, dan durfde ik met zekerheid te zeggen dat dit alleen mijn man en ikzelf waren.  Tenslotte, op het vlak van noodzakelijkheid, durf ik te stellen dat we in ieder geval begonnen met de juiste intenties; oftewel we hebben enkel en alleen de spullen opgeslagen die we destijds de moeite vonden om te houden.

Als u dit nu allemaal leest, is de veiligheid rondom uw cloud opslag net zo concreet voor u als de fysieke opslag dat voor mij was? Zo ja, geweldig. Deze blog heeft dan puur als amusement gediend. Althans dat hoop ik. Zo nee, dan hoop ik dat bovenstaand verhaal u aan het denken heeft gezet.

Cloud leveranciers bieden een breed scala aan authorisatie en authenticatie mechanismen vooraleer ze u binnenlaten. Maar maakt u daar ook echt gebruik van? Hoe zit het met monitoring? Is het voor u duidelijk tot waar de beveiliging en verantwoordelijkheid van de cloud leverancier reikt? En waar u zelf maatregelen moet treffen door bijvoorbeeld een derde partij in te schakelen?

Meer informatie?

Ingram Micro heeft zowel cloud- als securityspecialisten die graag met u bezinnen voor dat u begint. Neem contact op met ons software team via software@ingrammicro.nl, ons cloud team via cloud@ingrammicro.nl of via +31 (0) 30 246 4085.

Word Cloud Reseller Ga naar de Cloud Marketplace