In dit opiniestukje wil ik mijn zorg met je delen. Die zorg bestaat eruit dat we met zijn allen 'verhypen'. Sorry, geen goed Nederlands misschien, maar ik wed dat je het meteen begrijpt.
Ik neem je mee in de virtuele wereld. Je bent cio en verantwoordelijk voor het beheer van een flinke hoeveelheid gegevens. Jouw budget voor 2010 staat onder druk. Het management heeft immers ook Computable gelezen en daaruit opgemaakt dat de kosten per bit/byte drastisch omlaag kunnen. De budgetbesprekingen voor 2010 hebben je achtergelaten met de opdracht flink te snijden in het budget met daarbij de opdracht om ook eens wat te doen aan de continuïteit. De laatste tijd zijn 'jouw systemen' een paar maal getroffen door problemen, wat overwerk op grote schaal tot gevolg had omdat er gegevens verloren waren gegaan. Na wat denken zie je het licht: jouw operatie kan profiteren van 'de cloud'. Eigenlijk heb je nog niet helemaal door wat het is en de vakpers geeft wat dat betreft ook niet echt uitsluitsel, maar het is een nieuwe ontwikkeling en die moet je eigenlijk wel volgen. Bovendien houdt het de kritiek weer even van de deur; je bent er immers mee bezig. Je kunt dit in projectvorm aanpakken en met een beetje goede wil duurt het wel anderhalf tot twee jaar voor iedereen doorkrijgt dat dit het ook niet gaat worden. Wordt de organisatie daar beter van? Schiet security er iets mee op? Natuurlijk niet!
Is 'cloud security' wezenlijk iets anders dan de 'gewone' huis, tuin en keuken informatiebeveiliging die we met zijn allen al een hele poos prediken? Naar mijn bescheiden mening niet. Alle standaarden (bijvoorbeeld ISO, COBIT) beschrijven controls die we moeiteloos kunnen toepassen, ongeacht de plaats van onze informatie. Het heeft er zelfs alle schijn van dat het gebruik van de cloud in de zin van controleerbaarheid een extra uitdaging zou toevoegen. Hoe ga ik als auditor vaststellen dat de 'cloud provider' de gewenste vertrouwelijkheid van informatie biedt? Wel zou gebruik van de cloud een goede maatregel kunnen zijn die je kunt gebruiken om bijvoorbeeld de beschikbaarheid te verbeteren. Kortom: gebruik van de cloud kan operationeel en incidenteel tot voordeel leiden. Qua security is er niets nieuws onder de zon. Heeft de prediker toch gelijk.
Gerrit Post RE
Een vraag aan de heer Post.
U stelt:
Hoe ga ik als auditor vaststellen dat de ‘cloud provider’ de gewenste vertrouwelijkheid van informatie biedt?
Ziet u dat wezenlijk anders in vergelijking met vaststellen of de ‘eindklant’ de gewenste vertrouwlijkheid van informatie biedt?
Afhankelijk van de eisen ten aanzien van security, kan op 1 plek maatregelen treffen voor veel bedrijven niet juist een voordeel zijn? Stel bijvoorbeeld de CP levert SIEM achtige diensten en rapporteert hierover, dan zou dat toch prima kunnen functioneren, ook voor u als Auditor?
Hoe ziet u dat?
Ik vraag mij af waar de gedachte vandaan komt dat de interne security altijd zo goed geregeld is. Met veel externen over de vloer en een personeelsverloop van 10-20% per jaar, is het in een gemiddeld bedrijf gewoon gewoon een zooitje. Hoeveel “gewone” bedrijven hebben een protocol waar ze zich ook daadwerkelijk aan houden? Alleen al om die reden is een externe provider, die voor zijn voortbestaan afhankelijk is van vertrouwen en zich geen missers op security gebied kan veroorloven, het overwegen waard.
@Remo
Het punt wat ik wilde maken is dat die ene plek nou juist niet grijpbaar is, althans zo zou je de “cloud” moeten interpreteren. Het is aan de CP waar hij een dienst laat uitvoeren en dat kan in principe nu eens hier dan weer daar zijn.
Als dat niet zo is hebben we het eigenlijk over “managed hosting”. Wat mij betreft is “cloud computing” dat ook.
@Nick
Dat lijkt logisch maar de implementatie is weleens weerbarstig. Een externe provider zal -als het goed is- werken met SLA’s/contracten. Die zijn meestal een compromis tussen kosten en opbrengsten, voor beide partijen. De echte valkuil zit wat mij betreft verborgen in je laatste zin. Hoe kan ik er op vertrouwen dat mijn provider ook echt eerlijk is over incidenten. Dat kan ik alleen maar als ik een goede controle methodiek heb. Bedenk wel dat uiteindelijk de eigenaar van gegevens/informatie verantwoordelijk is eb blijft voor een goede beveiliging. Die verantwoordelijkheid kun je niet uitbesteden.