Zijn cloudrisico’s anno 2026 nog te managen?

“Is jullie nieuwe applicatie in de cloud niet veel risicovoller dan onze huidige applicaties die on-premise draaien?” vroeg een klant ons pas geleden. “Als het internet uitvalt, kunnen we toch niet meer bij onze applicaties?”

Een terechte zorg, want we voelen steeds meer een (oorlogs)dreiging. Met noodpakketten en waarschuwingen bereidt de overheid ons actief voor op mogelijke rampen, waaronder een uitval van het internet.

De situatie die onze klant vreest, is daarom zeker niet ondenkbaar. Maar: hoe luidt het antwoord op haar vraag?

Wat als de digitale wereld platligt?

Wie inzoomt op applicaties die on-premise draaien, ziet al snel dat je je hiermee niet per se veiliger kan wanen. Je bent nog altijd afhankelijk van het internet. Nog belangrijker: je bent net zo gevoelig voor cyberaanvallen (zoals phishing of hacking) én fysieke bedreigingen (zoals een bominslag of EMP, een ElektroMagnetische Puls). En als dat onverhoopt gebeurt, werkt er helemaal niets meer in de directe omgeving. Of je nu in de cloud werkt of on-premise.

Geruststellend? Niet bepaald. Want dit betekent dat cloud en on-premise even risicovol zijn… En die gedachte zou mij als klant geen goede nachtrust bezorgen. In zo’n scenario, waarin de digitale wereld wordt platgelegd, is de fysieke wereld onze enige uitkomst. We moeten weer met elkaar om de tafel, ‘ouderwets’ bellen (maar gaat dat ook niet digitaal?) en elkaar papieren post sturen (kent dat ook niet een virtueel component?). Dan krijgen we een ‘omgekeerde coronawereld’: tijdens de pandemie was technologie ons redmiddel en nu zou fysiek samenkomen juist de oplossing zijn.

Maar kán dat anno 2026 eigenlijk nog wel?

Kans x Impact = Risico

Laten we dit vraagstuk eens vanuit risicomanagement bekijken. Met een nuchtere, analytische blik. Als je weleens een projectplan of investeringsvoorstel hebt opgesteld, heb je moeten nadenken over risico’s. Wat als je niet de juiste mensen in je team krijgt? Wat als de investeerder zich terugtrekt? Wat als je aannames niet blijken te kloppen in de praktijk?

Dergelijke risico’s wil je van tevoren in kaart brengen. Vaak gebruik je daar een eenvoudige formule voor: K x I = R. Oftewel, je vermenigvuldigt de Kans met de Impact om het Risico in te schatten.

Maar als je met deze formule een ramp gaat berekenen, kom je al gauw in de knoop. Wat gebeurt er als het wereldwijde web er compleet uit ligt? Of als de dijken doorbreken? De kans op dit soort rampen mag klein zijn, maar de impact is oneindig groot. En wie de basis van wiskunde kent, weet dat een vermenigvuldiging met ‘oneindig’ altijd ‘oneindig’ als uitkomst heeft.

Wat moet je met een oneindig risico? Als je dát ziet terugkomen in je projectplan of investeringsvoorstel, blijft er één besluit over: niets doen!

Risicomanagement in een groter samenwerkingsverband

Laten we even filosofisch worden (vanuit een praktisch perspectief): ‘niets doen’ staat zo ongeveer gelijk aan ‘niet leven’. Dát is niet de bedoeling van risicomanagement. Waar het om gaat, is dat we risico’s managen en besluiten nemen. In dat kader treffen we tegenmaatregelen vanuit PRACT: prevent (voorkomen), reduce (verminderen), accept (accepteren), control (continuïteit waarborgen) en transfer (overdragen aan een derde partij).

Het gemiddelde bedrijf heeft bij rampen slechts twee mogelijkheden: het risico accepteren of overdragen aan een derde partij. Bij een natuurramp doe je meestal het eerste. In het geval van een oorlog ‘draag je het risico over’ op de overheid en het leger.

Let op: PRACT betekent níet dat je risico’s negeert. Het laat simpelweg zien dat bepaalde situaties zich alléén lenen voor risicomanagement in een groter samenwerkingsverband.

Klein stukje zorg overdragen naar de cloud

Om terug te gaan naar de vraag van onze klant: on-premise is niet veiliger dan de cloud. Beide varianten kennen risico’s. Nemen we maatregelen om ons daartegen te beschermen? Absoluut. Voor zover dat mogelijk is. Tegelijkertijd moeten we met z’n allen accepteren dat oneindige risico’s bestaan in de wereld van vandaag. Als we die ooit moeten managen, kunnen we dat niet op individueel of bedrijfsniveau. Dan zullen we daar als samenleving op moeten reageren.

Als leverancier zeggen wij dit eerlijk tegen onze klanten. Levert dat een reële zorg op? Uiteraard. Maar een klein stukje van deze zorg mag je overdragen naar een ‘derde partij’: onze goed beveiligde cloud.