Met een exitstrategie kun je niet vroeg genoeg beginnen

640px-Glass_exit_signAfgelopen woensdag werd er in Amsterdam een bijeenkomst van PvIB en CSA gehouden. Centrale vraag van de middag was “hoe het staat met informatiebeveiliging in de cloud?” Doelgroep, en daarmee aanwezigen, waren duidelijk niet de aanbieders van clouddiensten. Hier zaten – vooral – heren in pak aan tafel. De meesten waren werkzaam bij grotere ondernemingen en direct of indirect belast met informatiebeveiliging. Dat betekent concreet alles van interne auditors tot een enkele CTO.

Dat is duidelijk niet de groep waarmee de doorsnee provider dagelijks contact heeft. De vragen die zij stelden en de problemen waarmee ze worstelen zijn, ondanks het feit dat dit enterprise niveau was, gewoon leerzaam. De middag laat zich het beste samenvatten in drie vragen. Die zijn bijna letterlijk zo gesteld als dat ze hier worden weergegeven.

Vraag 1: De focus rond informatiebeveiliging ligt bij consumentenbescherming. Is dat voor mijn business voldoende, en wordt dat opgerekt naar B2B (of B2G)?

Vraag 2: Hoe staat het nu met certificeringen? Zijn de ontwikkelingen al zo ver dat je bij cloud aanbod van echte garanties kunt spreken en sancties als de aanbieder daar niet naar handelt?

Vraag 3: Cloudaanbieders spreken van vertrouwen, maar de praktijk is dat wij (bedoeld zijn zowel cio’s, cto’s als auditors) ons “helemaal suf controleren”. Hoeveel lijstjes en rapporten denken ze dat wij nog kunnen (niet: willen!) ontvangen?

Als dit is wat leeft bij grote ondernemingen, dan zijn het waarschijnlijk ook punten die elders voorkomen. Nu je dat weet kun je je eigen aanbod – ook als je geen cloud levert – nog eens doorlopen. Stel je zelf de vraag: wat zou op deze drie vragen ons antwoord zijn?

En als klap op de vuurpijl nog dit: alle aanwezigen waren op de hoogte van de betekenis van een exitstrategie. Het was zelfs zo nadrukkelijk top-of-mind dat hier uitgebreid over gesproken werd. Idee daarachter is dat als het niet is benoemd het ontbreken van een exit strategie tot een security risico kan leiden en ook nog eens tot een rekening die de hele businesscase onderuit haalt. De aanwezigen waren het unaniem eens met de opmerking “als je als cloud dienstenaanbieder echt invulling wil geven aan het begrip trust, dan zorg je ervoor dat je al aan het begin van elk traject de exit voor hebt beschreven én besproken”.