Nieuws & Blogs

Hoe veilig is ERP in de cloud?

Flexibiliteit, innovatie en kostenreductie zijn dé pijlers voor een succesvolle business. Daarom migreren veel bedrijven hun ERP naar de cloud, maar niet allemaal. Voor sommige organisaties blijft security in de cloud een mistig verhaal. Is dat terecht en waar moet u aan denken bij een veilige migratie

Bijna iedereen gebruikt tegenwoordig privé clouddiensten; ook in het bedrijfsleven worden ze steeds populairder. Volgens onderzoeksbureau Gartner gaat in 2017 zeker 75 procent[1] van alle organisaties een of meer clouddiensten gebruiken. Er worden vaak (opstart)kosten bespaard door de infrastructuur en het beheer uit te besteden. Omdat in de cloud wordt betaald naar gebruik hoeft geen hardware te worden aangeschaft voor die ene piekbelasting. Rekenkracht, netwerkkoppelingen, virtuele servers en opslag worden met een paar muisklikken direct toegevoegd. Ook het uitrollen van nieuwe diensten gaat in de cloud veel sneller dan in een on-premise omgeving. Ondanks deze voordelen zijn nog niet alle bedrijven overgestapt naar de cloud.

Het verlangen naar controle

Sommige organisaties willen uit principe liever geen eigen data bij andere bedrijven onderbrengen. De al dan niet terechte angst om controle kwijt te raken speelt hier een grote rol. Waar blijven mijn data en mijn applicaties in de cloud en kunnen ongeautoriseerde types niet meekijken? Sommige bedrijven houden met deze gedachte al hun data on-premise. Bij hen kan alleen worden ingelogd vanuit het kantoor binnen het eigen netwerk. Andere bedrijven kiezen voor een private cloudoplossing. De virtuele infrastructuur staat gehost op locatie of bij de cloudaanbieder. De omgeving is volledig afgeschermd. Anderen kiezen voor de public cloud. Hierbij zijn servers, netwerk en opslag gevirtualiseerd en worden ze gedeeld met andere gebruikers bij een cloudaanbieder.

Uitbesteden security: vaak een kleine stap

Security goed regelen is specialistisch werk. Alleen de allergrootste bedrijven kunnen het zich veroorloven om dit intern te doen. Zij beschikken wél over de middelen om een afdeling met securityspecialisten in dienst te hebben. De meeste bedrijven besteden de IT-beveiliging uit. Het bedrijf dat de IT-beveiliging dan op zich neemt heeft als kerntaak om de infrastructuur, routeringen, netwerktopologieën, VPN’s en meer, goed te begrijpen. De applicaties en de data naar een cloudprovider verplaatsen, is vaak niet eens zo’n grote stap.

Checklist: de juiste cloudprovider op security gebied

Als een organisatie naar de cloud wil migreren, is het essentieel een cloudaanbieder te kiezen die bij de schaalgrootte en de strategie van het bedrijf past. Deze checklist kan daarbij helpen:

  •          Hoe flexibel is het contract bij groei, krimp of stopzetting? Is er een exit-strategie?
  •          Staan de data fysiek in een land dat compliant is met de juridische kaders van het bedrijf?
  •          Is het nodig dat diensten mondiaal worden uitgerold? Dan is een wereldwijd opererende provider soms een betere keuze.
  •          Beschikt de cloudprovider over de beveiligingscertificaten die overeenkomen met de bedrijfseisen die worden gesteld aan security?
  •          Wat is de uptime van de dienst? Een uptime van 100% wordt meestal niet gegarandeerd. Een uptime van 99,95% betekent dat een applicatie bijna 4,5 uur per jaar niet beschikbaar is.
  •          Hoe snel kan geschakeld worden met een helpdesk en bij welke vragen kan deze helpen? Bij de ene provider zal de klant zelf virtuele servers, koppelingen en firewalls bij elkaar moeten klikken en configureren. Andere providers helpen daarbij. Ook zijn er steeds meer intermediairs die cloud-IT-diensten aanbieden. Dit kan nodig zijn, omdat cloud-computing andere vaardigheden vereist dan traditioneel IT-beheer.
  •          Kan de cloudprovider overweg met alle tools die worden overgezet? Niet alle applicaties zijn geschikt voor de cloud.
  •          Templates zijn herbruikbaar en leveren voorspelbare resultaten op. Oracle Optimized Solutions geven bijvoorbeeld een aantal templates waarmee de migratie soepel en veilig verloopt.
  •          Als de optie bestaat, kan het veiliger zijn om gebruik te maken van een eigen, fysieke verbinding in plaats van verbinding via een internet-VPN. De performance via een eigen lijn is ook stabieler.
  •          Als een bedrijf kiest voor uitbesteedde virtuele infrastructuur (IaaS) of Platform as a Service (PaaS) heeft het alsnog een eigen securityspecialist nodig om op de juiste manier gebruik te maken van de geboden faciliteiten.
  •          Penetration testing wordt niet overbodig bij cloud-computing.
  •          Een (software) firewall is een extra beveiligingslaag. Hiermee is te regelen tot welk niveau gebruikers toegang krijgen.
  •          Hoe is de back-up geregeld en hoe snel is alles weer online?
  •          De beveiliging van telefoons, tablets en notebooks zal ook goed geregeld moeten zijn, zodat bij verlies of diefstal niet ongenode gasten een kijkje in het ERP-systeem kunnen nemen.

Alles in de cloud, maar toch nog beheer nodig

De cloud kan dus veiliger zijn dan een eigen on-premise-datacenter. Als de infrastructuur en het platform zijn uitbesteed, is er toch een eigen securityspecialist nodig om op de juiste manier gebruik te maken van de geboden faciliteiten. Door uw eigen veiligheidseisen goed in kaart te brengen en deze naast de mogelijkheden van de cloud-provider te leggen, kunt u zorgeloos profiteren van de mogelijkheden van ERP in de cloud. Meerdere leveranciers bieden dan ook de combinatie van het gebruik van hun ERP-software op een eigen cloud-infrastructuur, waarbij de gestelde eisen op gebied van security in hoge mate worden ingevuld.

Oracle JD Edwards ERP in de Oracle Cloud: een veilig alternatief

Met Oracle JD Edwards kan dat bij welke aanbieder dan ook, omdat u dan op alle public clouds en elke private cloud uit de voeten kunt. Met JD Edwards in een Oracle public cloud (IaaS- of-PaaS) maakt u gebruik van alle beveiliging van Oracle en JD Edwards. Op deze manier komen on-premise ERP en public cloud samen met de voordelen van beide platformen. Hierbij kunt u zelf bepalen wanneer u een upgrade uitvoert, kunt u zelf aanpassingen doen en blijft u de baas over uw data. Dat in een volledige beveiligde omgeving met alle security van Oracle en altijd up-to-date infrastructuur en database en middleware en meer. Bent u benieuwd naar ervaringen in de public cloud van Oracle, lees dan Deployment to Oracle's Public Cloud.

[1] http://www.gartner.com/newsroom/id/3233217