Office 365

MSIgnite 8 mei: Compliance en cloud security Office 365

12 mei 2015

Williamsburg, Brooklyn (NYC) – May 8Microsoft Ignite conference in Chicago is alweer een paar dagen voorbij, een week bol van boeiende informatie en leuke gesprekken. Goed om een en ander te laten bezinken. Misschien was ik nog wel het meest onder de indruk van Neil Suggs, Vice President & Associate General Counsel van Microsoft. Hij trad de allerlaatste dag van de conferentie op onder het motto ‘Why trust Microsoft Enterprise cloud with your data?’. In december schreef ik over de juridische strijd van Microsoft om de Amerikaanse overheid bij de in Ierland opgeslagen content van zijn klanten vandaan te houden. Het ging om één geval, maar het is natuurlijk een principekwestie geworden. En bovendien eentje die de toekomst van cloud-opslag kan maken of breken.

‘TRUST’: met grote gebeitelde letters stond het op de eerste sheet van Suggs, vorig jaar nog gelauwerd als één van de beste zwarte advocaten van de VS. Als organisaties en bedrijven geen vertrouwen meer hebben in de cloud, dan is dat ernstig voor de Amerikaanse IT-economie èn voor Microsoft. Op de vraag wat Microsoft zou doen als ze deze juridische strijd verliezen, antwoordde Suggs dat Microsoft het huidige model, met gedeconcentreerde datacenters, zouden moeten verlaten en vervangen door een partner-model. Met dusdanig losse banden dat justitie dit niet langer mag zien als onderdeel van Microsoft. Hij noemde China, waar Microsoft blijkbaar dit model hanteert.

Suggs legde het nog eens uit: toen Justitie vroeg om content van een Microsoft klant, opgeslagen in Ierland, sprak ze van ‘Microsofts records’. Microsoft heeft het verzoek aangevochten, geantwoord dat content van klanten geen ‘records van Microsoft’ kunnen zijn, zoals iemands eigendommen in een bankkluis ook geen eigendom kunnen zijn van die bank.

Suggs ging nog eens de veiligheidsmaatregelen af die nieuwe klanten voor Office 365 moeten verleiden en ontzorgen: Brad Smith Microsoft Quote‘We decided to make compliance an embedded feature to our product.’ Geen cloudprovider is in staat tot de investeringen die Microsoft daarbij doet (‘overinvesting’). Niet de alleen de fysieke beveiliging is extreem (‘have you ever visited a datacenter owned by Microsoft? It’s scary ‘). En mochten inbrekers fysiek of van afstand door de lagen beveiliging heen breken dan treffen ze content waarvan elk document – en grote bestanden in meerdere delen – zijn encrypted. Waar professionele hackers en beveiligers in red & blue teaming worden betaald om kwetsbare plekken op te sporen en datasecurity specialisten met ‘bug bounty’ worden uitgedaagd.

Ook lichtte Suggs toe dat we niet moesten verwachten dat de juridische kwestie snel klaar was: ongetwijfeld zou na uitspraak van de rechtszaak in New York het circus richting Supreme Court verhuizen. ‘Reken maar op twee-drie jaar.’ Suggs heeft een prettige manier van spreken en was niet bang voor stevige uitspraken. Zo vond hij de afzonderlijke US-government-cloud die Microsoft verzorgde maar een zinloos ‘placebo’ aangezien het exact dezelfde functionaliteiten en veiligheid bood als de publieke Microsoft cloud. Court rules NSA metadata surveillance illegalOok juichte hij de rechterlijke uitspraak over de NSA praktijken voor bulk-verzameling van metadata van harte toe (deze week voorpagina-nieuws in de VS). Dat hielp geweldig de goede zaak. Daarom steunde Microsoft ook actief een wetsvoorstel dat de mogelijkheden voor toegang van de Amerikaanse overheid tot digitale content in de cloud moet beperken. Al met al ontwikkelingen waarvan we niet morgen al de vruchten kunnen plukken, maar wel de voortdurende betrokkenheid kunnen zien.

Als iets mij duidelijk is geworden deze week in Chicago, dan is het wel dat Microsoft met zijn ‘Mobile first, cloud first’ strategie alle kaarten op Office 365 en Azure heeft gezet. Dat er zwaar wordt ingezet op compliance maatregelen. Maar ook – en wellicht nog het meest spectaculair – dat Office 365 meer is en wordt dan de samenstellende delen (Office, OneDrive for Business, Exchange, Lync, SharePoint, etc.). Die samenhang, met nieuwe, verbindende functionaliteiten als Delve en Groups, maakt het aantrekkelijker. En SharePoint Online waar dat nodig is, maar grote kans dat de eindgebruiker zich zal storten op Onedrive for Business, Groups en Delve.

Maar ik voorzie ook meer complexiteit, zeker ook voor governance en compliance. EU Model Clauses ApproachVoor de veiligheid die Microsoft zelf kan bieden, mag de klant vertrouwen op de certificaten die Microsoft heeft verworven. Maar er is nog heel veel werk aan de winkel voor het eigen governance-team in de organisatie of het bedrijf om Office 365 te voorzien van de inrichting van ‘customer controls’ in het Compliance Center (voor o.a. Data Loss Prevention, Information Rights Management, Archiving, e-Discovery, etc) om Office 365 niet te laten ontsporen. Anders blijft instappen bij Office 365 toch net zoiets als instappen bij de nieuwste Volvo: superveilig, maar als je de gordels niet zèlf omdoet, hoogst riskant.

You Might Also Like

Geen reacties

Plaats een reactie