Vinden

Back-up blijft essentieel, ook in de cloud

Vraag niet hoe of waarom, want ook wij kennen het concrete antwoord niet. Toch is het ook vandaag nog altijd een realiteit: op de één of andere manier mispakken mensen zich aan de cloud. Data beveiligen en back-uppen die ze in een cloudtoepassing gebruiken? Daar denken ze niet aan, zelfs niet als het om gevoelige bedrijfsdata gaat. (Dries Van Damme)

Bij nader inzien kunnen we toch min of meer vermoeden waar die lakse houding ten opzichte van cloudapplicaties vandaan komt. Een deel van de aantrekkingskracht van de cloud blijft het gebruiksgemak. Laten we het even op scherp stellen. In de klassieke ICT-omgeving betekende de introductie van een nieuwe toepassing: eerst bij de ICT-afdeling een nieuwe server bestellen. Toen die na een paar weken in het on-prem datacenter arriveerde, moesten de ICT’ers de machine nog klaarmaken voor gebruik.

Na veel vijven en zessen, kon de business eindelijk met de nieuwe software aan de slag. Dat gebeurde in een gecontroleerde, veilige omgeving. Wie op de één of andere manier iets kwijtspeelde – een ondertekend bestelformulier, een mailbox – kon bij de ICT-afdeling terecht. Die dook vervolgens in de back-up om de bewuste data te herstellen.

Kredietkaart volstaat

Het verschil met een cloudtoepassing – SaaS of Software-as-a-Service – kan niet groter zijn. Eerst een server installeren? Hoeft niet. Toelating vragen aan de ICT-afdeling? Officieel moet dat wel, maar tegelijk geldt vaak ‘wat niet weet, niet deert’. Het enige wat je als gebruiker moet kunnen voorleggen, is een kredietkaart. Vervolgens ga je meteen aan de slag. Vaak is het letterlijk een kwestie van minuten. De cloudprovider zorgt overal voor – of dat denkt de gebruiker toch. Die gebruiker focust zich alleen op zijn eigen rol: die van gebruiker.

Maar zorgt de leverancier écht overal voor? Dat blijkt in de praktijk vaak tegen te vallen. Jazeker, doorgaans is er een zekere basisbeveiliging voorzien. Maar veel meer dan dat is er meestal niet. En ja, wellicht heeft de ICT-afdeling de beveiliging en back-up van een grote SaaS-oplossing als Microsoft 365 wel voorzien. Maar wat met een gewiste file uit een meer exotische SaaS-toepassing? Zomaar even een back-up herstellen, zit er dan vaak niet in. Toch niet als de ICT-afdeling niet eens weet dat je die toepassing hebt geïnstalleerd. Dan toch maar met hangende pootjes bij ICT gaan aankloppen? De eerste vraag die je dan krijgt, is sowieso waarom je de gedragscode niet volgde.

Erger dan verwacht

Komt dat scenario je bekend voor? Je bent niet alleen. HYCU, een leverancier van beveiliging en back-up, nam de proef op de som bij vijfhonderd (grote) bedrijven, waarvan ongeveer de helft in Europa. De cijfers verrassen: ze zijn erger dan verwacht. Een bedrijf heeft gemiddeld 139 SaaS-toepassingen in gebruik, zo blijkt. Zowat de helft van de organisaties zag het voorbije jaar een dramatische toename in het aantal SaaS-applicaties. Maar amper 5% van de bedrijven zegt zijn hele SaaS-portfolio onder controle te hebben. Gemiddeld heeft de ICT-afdeling maar zicht op 56% van de SaaS-toepassingen. En dat is uiteraard niet zonder risico.

Van de bevraagde bedrijven kreeg 65% het voorbije jaar te maken met een datalek dat op een SaaS-toepassing is terug te voeren. 87% geeft toe minstens één SaaS-applicatie te gebruiken die onvoldoende beveiligd is. Gemiddeld genomen heeft een bedrijf 6 SaaS-toepassingen in gebruik die mogelijk een veiligheidsrisico inhouden. En dat is niet alles: amper 3 op 10 bedrijven hebben een formeel back-upbeleid voor de data die ze in SaaS-toepassingen gebruiken. Amper één op vier test de beveiliging van die data.

Geen duidelijkheid over verantwoordelijkheid

Het zijn cijfers die vragen oproepen. Bedrijven nemen een on-prem toepassing nooit zomaar in gebruik, zoals we daarnet omschreven, en al zeker niet zonder dat ze vooraf de beveiliging van de data op orde hebben. Waarom valt die voorzorg bij SaaS dan zo vaak weg? Omdat het misverstand rond veiligheid in de cloud bijzonder hardnekkig is, blijkbaar. Volgens de studie van HYCU gelooft 66% van de bedrijven nog altijd dat de SaaS-leverancier volledig verantwoordelijk is voor de bescherming van de data. Nogmaals: wat dus niet het geval is.

Bij 43% bestaat er twijfel over wie die verantwoordelijkheid draagt, waardoor er onvermijdelijk gaten vallen – niet alleen in de aansprakelijkheid, maar ook in de bescherming. “Met SaaS hebben bedrijven hun ICT-productie uit handen gegeven”, vertelde Simon Taylor, de CEO van HYCU aan het vakblad Data News. Hij bedoelt daarmee dat bedrijven zo niet langer zelf aan de slag moeten met servers en andere hardware. Maar nu geven ze ook de controle over hun data weg. “Dat willen ze toch niet?”

9 apps met back-up

Want als een onderneming gemiddeld 139 SaaS-applicaties in huis heeft, wil dat zeggen dat de data die ze daarin gebruikt zich in 139 clouds bevindt. In de praktijk zijn het er natuurlijk een pak minder, maar toch. “Bovendien is het echt niet normaal om te zien hoeveel schaduw-ICT er vandaag bij bedrijven te vinden is – toepassingen die onder de radar van de ICT-afdeling vliegen – puur door het gebruik van SaaS”, aldus Simon Taylor.

“Van al die SaaS-oplossingen zijn er gemiddeld maar 9 waarvoor er een back-up is voorzien. En de rest? Wie waakt over de veiligheid van die data? De aanbieders van de SaaS-oplossingen alvast niet. Als je een contract kwijtraakt in pakweg DocuSign, denk je toch niet dat DocuSign dat document voor je terugzet? Je moet zelf een oplossing voorzien. En dat maakt het heel ingewikkeld.” Net daar speelt HYCU op in. Het platform van het bedrijf laat toe om vanop één plaats de back-up en bescherming van een honderdtal SaaS-applicaties te organiseren, zodat je dat niet voor iedere toepassing afzonderlijk hoeft te doen.

Basis voor snelle herstart

Dat een complete, werkende back-up van levensbelang kan zijn, vraag je best eens na bij een bedrijf dat te maken kreeg met ransomware. Zo’n aanval is er doorgaans op gericht eerst de back-up uit te schakelen, vervolgens de primaire data te versleutelen en dan losgeld te vragen om die weer vrij te geven. Wie op dat moment over een back-up beschikt die zich buiten het bereik van de aanvallers bevond, heeft een goede basis om zijn activiteiten relatief snel te herstarten.

Erop vertrouwen dat het allemaal zo’n vaart niet loopt als je met SaaS-toepassingen werkt, is daarbij niet bepaald de sterkste strategie. Er zijn intussen genoeg verhalen bekend van bedrijven die data verloren, terwijl ze ervan uitgingen dat hun provider garant stond voor de beveiliging. Maar naast het risico op het verlies van data – door een eigen, menselijke fout of door een actie van cybercriminelen – duikt er nog een ander doemscenario op, waar almaar meer bedrijven zich tegen indekken.

Off-site en offline

De SaaS-toepassingen die vandaag in de professionele context bij Belgische bedrijven in gebruik zijn, steunen voor het merendeel op Amerikaanse clouds. Een Amerikaanse toepassing als Salesforce, bijvoorbeeld, werkt samen met Amazon en Google. Maar hetzelfde geldt voor Europese SaaS-applicaties. Exact Online, bijvoorbeeld, slaat data op bij Amazon en Microsoft Azure.

Wat als – om wat voor reden ook – de toegang tot Amerikaanse clouds voor Europese bedrijven zou wegvallen? Wie die denkoefening maakt, komt al snel tot de vaststelling dat de meeste organisaties zouden stilvallen. Het zet bedrijven ertoe aan om een extra beveiligingslaag in te bouwen: namelijk om een extra kopie van hun data achter de hand te houden, ja, ook van SaaS-data. Het weerhoudt bedrijven er niet van om verder met SaaS te werken. Wel zien leveranciers van back-upsoftware hoe die bedrijven meer voorzichtigheid aan de dag leggen, met niet alleen een eerste en een tweede kopie van de data in de cloud, maar met ook een derde kopie bij een andere cloudleverancier en tot slot een vierde kopie, off-site en offline.

Nulrisico bestaat niet

Zit je daarmee als bedrijf gebeiteld? Helaas niet. Nulrisico bestaat niet, op hoeveel kopieën van je bedrijfsdata je ook inzet. Want ook dat vergeten bedrijven wel eens: uiteindelijk is de back-up maar een middel. Het doel is dat je de continuïteit van je bedrijf kan garanderen. Het gaat dus niet enkel om de back-up op zich, wel om de snelheid waarmee je die – geheel of gedeeltelijk – kan activeren na een incident.

Terug
Partner Content
Haven van Brussel
Inschrijven nieuwsbrief Uw advertentie in onze nieuwsbrief?
Partner Content
Haven van Brussel
Infotheek
Valse e-mails uit naam van de RSZ

Pas op voor valse e-mails uit naam van de RSZ

Hoogste aantal zieken afgelopen vijf jaar

Hoogste aantal zieken van afgelopen vijf jaar in september en oktober

Salariswijzer 2025

Salariswijzer 2025 (Bright Plus)

Archief
©Copyright - Alg.voorwaarden | Disclaimer Roularta | Privacy statement Roularta | Roularta Media Group NV - 434.278.896 | Cookie Settings | E-business by Alistar