Communicatie toont de professionaliteit van cloudproviders

Er lijkt geen einde te komen aan de stroom rapportages van bedrijven als Fireeye, Symantec en Verizon die weer eens duidelijk maken dat het afgelopen jaar online onveiliger was dan ooit tevoren. Gelukkig komt de digitale samenleving door dit soort berichten niet tot stilstand, maar vertrouwen van burgers en ondernemers heeft wel een knauw gekregen. Sommige critici menen dat als het om online gaat, niets en niemand meer te vertrouwen valt, ook de overheid niet.

Een nieuwe fase
Hoewel werken aan vertrouwen bij steeds meer partijen hoog op de agenda staat, is de dagelijkse praktijk weerbarstiger. Bedrijven lopen door het grote aantal meldingen en de persaandacht die dat met zich meebrengt, de kans te verzanden in de details van elke hack, DDoS aanval of datalek. Deels is dat logisch, want de techniek moet permanent worden aangepast om de dreigingen het hoofd te bieden. Voor een buitenstaander kan echter de indruk ontstaan dat men uitsluitend oog heeft voor de techniek en buiten beschouwing laat dat er ook andere factoren meer aandacht verdienen.

Gelukkig is die indruk onjuist, want tal van aanbieders, evenals brancheorganisaties, begrijpen inmiddels dat vertrouwen een sleutelrol vervult in de aanpak van de problemen. Het vertrouwen dat hier wordt bedoeld gaat uit van een effectief samenspel tussen leveranciers en afnemers van digitale diensten.

De omgang met klanten
Cloudaanbieders die verbeterd vertrouwen en meer samenwerking hoog in het vaandel hebben staan, begrijpen dat dit consequenties heeft. Uiteraard wordt door deze partijen kritisch gekeken naar de SLA (Service Level Agreement). Recent onderzoek van Research in Action in opdracht van Compuware toonde wederom aan dat de meeste gebruikers hier vaak ontevreden over zijn. De SLA wordt algemeen beschouwd als een document waarmee de leverancier zich indekt en niet iets dat de afnemers ondersteunt of samenwerking stimuleert. Ook partijen als CSA en de EC hebben al eerder gewezen op het tekortschieten van cloudaanbieders op dit terrein. Een lokale positieve ontwikkeling hier zou kunnen zijn de manier waarop onder leiding van de NEN wordt gewerkt aan transparante en begrijpelijke SLA’s voor Nederlandse cloudaanbieders.

De omgang met klanten omvat meer dan het overhandigen van een SLA: wil een afnemer in Nederland écht begrijpen wat de risico’s zijn is het nodig de contracten en contacten in het Nederlands op te stellen en ook ondersteuning in die taal aan te bieden. Dat klinkt logisch, maar de realiteit is dat een deel van het aanbod is gebaseerd op contracten in het Engels waarbij het Nederlands recht niet van toepassing wordt verklaard. Dat hoeft geen beperking te zijn, maar weet elke afnemer vooraf wat hier de verschillen zijn en hoe verhoudt zich dat met het streven van individuele ondernemers en de sector als geheel om meer vertrouwen te scheppen?

Kwaliteit en professionaliteit inzichtelijk maken
Diginotar was onze nationale wake-up call en daarna zijn er nog enkele incidenten geweest die de markt op zijn grondvesten deed schudden. Een direct gevolg van deze incidenten is geweest dat bijna alle aanbieders van zakelijke internetdiensten, van breedbandtoegang tot cloud, zijn gaan kijken naar de kwaliteit van de geleverde diensten en methoden dat objectief te laten vaststellen. Dit proces is om twee redenen gestart.

De eerste reden is dat aanbieders vanzelfsprekend niet in een vergelijkbare vervelende situatie wensten te belanden en op zoek gingen naar methoden meer zicht te krijgen op de processen en procedures. De andere reden is dat in een aanzienlijk aantal gevallen klanten en zelfs leveranciers meer inzicht wilden hebben in de kwaliteit van de partijen waarmee ze zaken doen en waarmee ze een waardeketen vormen. Het afgelopen jaar zijn de resultaten van dat proces zichtbaar geworden, inmiddels heeft het grootste deel van de aanbieders forse vorderingen gemaakt en zijn ISO en ISAE certificeringen gemeengoed geworden.

De rol van communicatie
Maar ook ISO en ISAE bieden geen 100 procent garantie voor veiligheid. Onder professionaliteit moet anno 2014 meer worden verstaan dan het voeren van certificaten en voldoen aan technische aspecten. Minstens zo belangrijk is dat de communicatie met klanten en partijen in de keten (leveranciers, partners) transparant is en regelmatig geschiedt. Een blik in de publicaties die aan het begin van het artikel zijn genoemd toont aan waarom dat zo belangrijk is: in een groot aantal gevallen blijkt dat eilandjescultuur en het ontbreken van een structuur om kennis te delen binnen en tussen bedrijven in een waardeketen mede verantwoordelijk zijn voor het onopgemerkt blijven van veiligheidsrisico’s die uiteindelijk zijn geëxploiteerd.

Communicatie, vragen stellen en vragen beantwoorden. Dat zijn – naast alle technische voorzieningen – dé aspecten waarop de kwaliteit van een professionele leverancier anno 2014 dient te worden beoordeeld. Het positieve nieuws is dat makkelijk kan worden vastgesteld of de beoogde cloudaanbieder over die eigenschappen beschikt. Het eerste contact, de vragen die tijdens dat contact worden gesteld en vervolgens het aanbod dat wordt gedaan, stuk voor stuk zijn dat momenten waarop blijkt hoezeer de aanbieder in staat is samen te werken en kennis te delen met zijn klanten.

Conclusie
Wereldwijd worden veiligheidsincidenten rond internetdiensten gemeld. Hoe vervelend elk incident ook is, de meldingen hebben een positief effect. Zowel aanbieders als gebruikers van diensten worden gedwongen om meer dan alleen de inrichting en rol van IT kritischer te bekijken. Steeds duidelijker wordt dat, naast het treffen van technische en operationele veiligheidsmaatregelen, het delen van informatie tussen de partijen noodzakelijk is om de keten en de afzonderlijke schakels veilig te houden. Deze samenwerking betekent dat aan de communicatie meer eisen gesteld gaan worden. De eerste aanzetten hiertoe zijn inmiddels duidelijk, het is aan de markt hier permanent aandacht aan te blijven schenken.