Vooral nu, in deze tijd dienen we bewust om te gaan met en ons te bezinnen op onze bedrijfsactiviteiten. Onze activiteiten en daarmee mogelijkheden worden nu beperkt door een markt die beheerst wordt door gebrek aan onderling bewezen vertrouwen en te kort schietend risk management. Dat is niet zo verwonderlijk komend uit een tijd van 'alles kan, dat kan nog gekker!' en met als leidmotief 'Go with the flow en enablen maar!' Ja, dan lijkt zoiets als Cloud-computing, Virtualisatie, Security-as-a-Service, Software-as-a-Service (SaaS) een geschenk uit de hemel.
We kunnen nu alles waar we niet zo goed in zijn of waar we liever geen aandacht aan schenken, in handen geven van derde partijen. En het liefste willen we dat ze ook onze verantwoordelijkheid en aansprakelijkheid even overnemen. Maar verantwoordelijkheden en aannames laten zich slecht uitbesteden, zo is uit het verleden gebleken.
Deze nieuwe faciliteiten, mits goed gebruikt, kunnen voor het midden- en kleinbedrijf of startende bedrijfjes, die zich geen dure en arbeidsintensieve technische infrastructuur kunnen veroorloven, een uitkomst zijn. Zelfs mogelijk het verschil maken tussen zijn en niet-zijn. Immers daar waar de diensten van de leverancier(s) en de vragen van de business bij elkaar komen, daar kan iets moois ontstaan. Echter ook voor grotere bedrijven of ondernemingen is de Cloud het antwoord op al onze problemen. Toch? Als we bijvoorbeeld security uit de Cloud afnemen, dan wordt ons risk management proces transparanter. Ja toch of toch niet? In dit artikel wil ik een beknopt overzicht verschaffen van de grenzen aan de Cloud.
Beveiliging
Volgens een onderzoek uit begin 2009 van Coleman-Parkes Research (Computable van 8 mei 2009, pagina 3) wil een kwart van de Nederlandse ict-beslissers Cloud-computing of -diensten uit de Cloud. Van alle respondenten maakt zich echter 29 procent zorgen over de beveiliging. Het wordt in het artikel niet duidelijk of dit betekend dat 71 procent zich geen zorgen maakt.
Volgens McKinsey zijn Clouds hardware gebaseerde diensten, die reken-, netwerk- en opslagcapaciteit bieden. Een definitie die meer in overeenstemming is met de huidige praktijk komt echter van Google: 'De Cloud is een situatie waarin data en applicaties op afstand gehost worden, binnen grote datacenters. Klanten hebben toegang via webbrowsers. De Cloud is overal vandaan toegankelijk, net als wolken in de lucht.'
Doordat de Cloud gedefinieerd is op het internet, want de Cloud is slechts te benaderen via het internet, is ze te beschouwen als een subdimensie van dat internet. Met al haar componenten en diensten is de Cloud, net als het internet, in principe als onveilig te beschouwen. Internet is niet transparant, heeft een zwakke en complexe infrastructuur, haar software is moeilijk up-to-date en dus veilig te houden. Met al de nieuwe toepassingen op het internet veranderen de gebruikers en mogelijkheden wel bijna met de minuut. Wie had ooit kunnen vermoeden dat een sociale toepassing als twitter in Iran gebruikt kan worden als platform voor het 'echte' nieuws. Je kunt als afnemer-gebruiker-consument geen controle uitoefenen en ook is invloed beperkt tot de gemaakte afspraken in het contract.
Om dit even te illustreren, een voorbeeld: Je kunt niet voorkomen dat je contractpartner jouw account bundelt met andere accounts tot een smakelijk pakket en dit ter uitvoering geeft aan een vreemde andere partij in een ver laag-lonen land. Komt dit ons bekend voor? Ondertussen ben je wel afhankelijk geworden van de diensten in de Cloud. Mogelijk heb je zelfs al je infrastructuur en je organisatie aangepast. Ondertussen blijf je wel eindverantwoordelijk voor de beveiliging van de corporate assets en dien je een deugdelijke en adequate administratie te voeren. De smoes, mijn afspraken staan in de Cloud maar ik weet alleen niet waar, is leuk voor op feestjes maar snijdt geen hout. Waar begint mijn verantwoordelijkheid en aansprakelijkheid en waar houden deze op?
Zelf doen of laten doen
We kunnen in grove penseelstreken een driedeling onderscheiden. Een deel dat gebonden is aan wet en regelgeving, laten we zeggen security compliance, een deel dat alles te maken heeft met beveiligingsbewustzijn en integriteit van handelen en een deel dat zijn oorsprong heeft in de kwaliteitszorg ofwel het kwalitatief beheer van de informatiebeveiliging. Hiervan zijn de security compliance niet uit te besteden vanwege de wettelijke (persoonlijke) aansprakelijkheid, eenieder is immers gehouden aan het naleven van de wet en beveiligingsbewustzijn en integriteit niet vanwege de sterke binding met de cultuurcomponent van de organisatie.
Blijft dus over het kwalitatief beheer van de informatiebeveiliging. Omdat de informatiebeveiliging een proces is dat sterk gebonden is aan de organisatorische as van de onderneming, 'knowing your business', weten welke eigenaardigheden er zijn, waar de zwaartepunten en accenten in de onderneming liggen, bepaalt deze binding de kwaliteit en effectiviteit van het informatie beheer (IB)-proces. Sleutelfiguren en kennisdragers zijn uniek in het IB-proces en zijn niet uit te besteden. Kortom eigenlijk blijft dus over het pure administratieve en operationele deel van het IB-proces. Als excellence niet het kwaliteit niveau van het administratieve en operationele IB-proces bepaald, als het geen aantoonbare toegevoegde waarde heeft voor de organisatie, dan is dit een outsourcings kandidaat.
Maar ook hier is geldig: 'Als men doet zoals iedereen het doet, krijg je op z'n best dat wat iedereen krijgt!
Waar betaal je voor?
De hardware is niet (meer) in bezit. Er zijn kosten voor het beheer en gebruik van de hardware. Virtualisatie van de hardware is een mogelijkheid. Er is sprake van terugkerende kosten voor de diensten van de Cloud ( abonnement en licentie kosten, vaste fee). Betaal naar gebruik/consumptie, de facturering van de hoeveelheid gebruikte infrastructuur is zeer elastisch naar boven als wel naar beneden. De beschikbaarheid en toegankelijkheid.
De risico’s
Scenario: De Cloud is niet online, er is een onderbreking van de dienstverlening. Door de downtime kan er niet geleverd worden aan de afnemers. Er treedt imago schade op, mogelijk wordt er verlies aan productiviteit geclaimd. Real-time handelen op basis van de laatste en nieuwste informatie is niet meer mogelijk. Het verlies aan informatie is beperkt of kan beperkt worden door offline te werken en op een later tijdstip met de Cloud te synchroniseren.
Als we een beschikbaarheid van 99,9 procent op jaarbasis willen hebben, moeten we voorzieningen treffen voor en rekening houden met een mogelijke maandelijks terugkerende down-time van een 43 minuten.
Natuurlijk kun je tegenwerpen dat de beschikbaarheid, integriteit en vertrouwelijkheid van de gegevens gewaarborgd wordt door de grote jongens in de Cloud, zoals Google en Microsoft. Want organisaties als Google c.s. hebben altijd al een betere beveiliging geboden dan waarvoor de klant zelf kan zorgen. Zoals de beveiliging van de kluis van de bank beter is dan de beveiliging van 'onder de matras' thuis.
Een terecht vertrouwen? Google heeft het 'vrije' internet beperkt en heeft filters voor de Chinese overheid aangebracht. Je moet op het Chinese deel van het internet niet naar 'Tibet' google-en. Het is fijn als de belangen van een dergelijk grote organisatie samenlopen met mijn belangen, maar ik moet serieus rekening houden en als een gegeven accepteren dat die grote dotcom, andere belangen en dus ook andere afwegingen (kan) maken.
Waar goed inzetbaar?
Zoals eerder al is aangegeven draait alles om de sleutelwoorden: transparantie, eenvoud, beschikbaarheid, controle en invloed. Dit maakt de Cloud uitermate geschikt voor nieuwe ontwikkelingen en functionaliteiten omdat we in die situatie alles in eigen hand hebben.
De architectuur moet 'echte on-demand', platform (zowel hardware als software) onafhankelijk zijn en moet zich naadloos laten integreren in ander systemen.
Een businesscase dient in elk geval de volgende points-of-interests te beschrijven: kostenreductie door simplificatie en integratie, on-time en on-demand schaalbaarheid, speed-to-market van de service, de welhaast oneindig beschikbare storage en computing power en het vermogen om tailor-made maatwerk te leveren.
Trouwens afsluitend dien ik even nog op te merken dat dit document tot stand is gekomen dankzij de Cloud van Google en Microsoft live. Fantastische tools die het mogelijk maken om in teams te werken, ongeacht de fysieke locatie van de teamleden. Voor mij ging het pas fout toen ik van de ene Cloud naar de andere wilde gaan met mijn document. Blijkbaar was dat (nog) niet de bedoeling. Maar gelukkig had ik nog een backup zodat ik mijn werk niet in de Cloud moest gaan zoeken.
Conclusie
De Cloud is er al en er is al voor de Cloud gekozen. De opdracht aan ons allen is: bouwen aan vertrouwen. Laten we vooral 'klein' denken en 'beperkt' beginnen. Bouw eerst maar eens een Intra-Cloud (een analogie met intra-net) en doe vertrouwen en ervaring op in het managen en beheren van deze in principe 'oneindige mogelijkheden met onbegrensde computing krachten' voordat we onze klanten hieraan overleveren. Kortom laten we even nog wachten met de lont in het kruitvat te steken.
Coen Robeers CISA, werkzaam bij Inframatica Consultants
Coen,
Ik denk ook dat de uitdaging niet direct in de it en technologie ligt, het ligt veel meer in het vertrouwen en de adoptie van mensen.
Ik heb Cloud computing undressed geschreven om even op het netvlies te krijgen waar we het nu eigenlijk over hebben. IAAS PAAS SAAS, wat is het verband?
http://adi.atosoriginblog.nl/2009/07/29/cloud-computing-undressed/
@ Hans ten Berge,
Dank je wel voor je link naar jouw artikel. Zeer lezenswaardig en compleet.
Nog een aanvulling.
Het NIST ( National Institute of Standards and Technology) is bezig met het ontwikkelen van een standaard om Cloud Computing te auditeren.
Op de website staan de volgende documenten (public domain):
– Draft NIST Working Definition of Cloud Computing v15
– Presentation on Effectively and Securely Using the Cloud Computing Paradigm v25
De link:
http://csrc.nist.gov/groups/SNS/cloud-computing/