McKinsey en Google over public cloud

Eind februari verscheen op het Google blog een artikel over veiligheid en de cloud. Het ging over vers onderzoek verricht door McKinsey met als centrale vraag hoe je op een veilige manier naar de publieke cloud kan migreren. Dat klinkt interessant, maar is het dat ook?

Het thema zal de lezer zonder meer aanspreken. In de rij met redenen waarom er niet naar een publieke cloud kan worden gemigreerd staan de twee containerbegrippen veiligheid en compliance altijd boven aan. Het aantal achterliggende argumenten is echter veel groter. Tegelijkertijd is het geen statisch geheel. De laatste jaren is er een hoop verbeterd in het cloud aanbod, dus wellicht wordt het nu ook makkelijker daar veilig naar te migreren en eenmaal in een cloud ook de juiste veiligheidsmaatregelen te kunnen inzetten.

Als McKinsey zich met onderzoek bezighoudt weet je een ding zeker: dat levert geen vlot leesbare flyer op. In dit geval gaat het om een rapport van 70 pagina’s en ondanks de grote grafieken blijft het een hoop lees werk. ISP Today ontzorgt de lezer en heeft de pdf doorgenomen. We hebben ook een aantal conclusies en adviezen voor de potentiële lezer.

De belangrijkste conclusie is dat dit onderzoek van behoorlijk hoog niveau is en daarom de moeite van het lezen waar is. Dat wil zeggen: voor als je enterprise klanten hebt of daarin geïnteresseerd bent. We hadden het kunnen weten, met McKinsey aan boord zal het nooit gaan over de bakkers en fietsenmakers om de hoek. Dit onderzoek is bestemd voor enterprises. De bijna 100 bedrijven die hebben meegewerkt zitten ook allemaal in dat segment. 41% heeft een omzet van minder dan $3 miljard, 42% draait op jaarbasis tussen de $4 en $22 miljard en de rest rapport nog hogere bedragen.

Tweede conclusie (zie afbeedling hieronder) is dat ook op enterprise niveau onduidelijkheid bestaat over wie waarvoor verantwoordelijk als er van cloud diensten gebruik wordt gemaakt. De geïnterviewden lijken heel goed op de hoogte te zijn van de mogelijke veiligheidsmaatregelen, maar wie die start en beheert is veel minder duidelijk.

Derde en laatste conclusie: McKinsey gaat behoorlijk diep in op drie mogelijkheden publieke cloud omgevingen veilig te maken en houden. De eerste is dat de enterprise klant vanaf zijn eigen (on-premise) omgeving de cloud processen volgt en monitort. Dat wordt volgens de onderzoekers door circa 50% van de enterprises gedaan. Of het daarbij uitsluitend gaat om bestaande tooling die voor de cloud wordt ingezet wordt niet duidelijk. De tweede mogelijkheid is dat er met een compleet schone lei wordt begonnen en de hele security architectuur vanaf de nieuwe cloud omgeving wordt opgebouwd. Derde optie is dat de enterprise klant vertrouwt op de tooling die de cloud aanbieder voorstelt of zelf in gebruik heeft. Elk heeft zijn voor- en nadelen. Voor elk van de verschillende fasen (voorbereiding – migratie – operatie) is de wenselijkheid en effectiviteit ook anders.

Dit laatste, zeer complexe, punt maakt het onderzoek tot iets waardevols. Ook als je geen enterprise klanten hebt of een platform dat kleiner is dan dat van Google. Dat komt omdat de matrix die daar over gaat (exhibit 11, met opzet niet afgebeeld) voor elke type klant die migreert als checklist te gebruiken is.

Over Redactie ISP Today

ISP Today is het Nederlandstalige platform voor de Internet Service Providers in Nederland. We presenteren nieuws van redactionele kwaliteit met relevantie voor de Nederlandse ISP community. Internet Service Providers en met name de mensen daarachter staan centraal op ISP Today.