In veel organisatie is de behoefte om meer gebruik te maken van cloud-mogelijkheden, maar ze worstelen nog met de vraag: Hoe kan ik de risico’s met betrekking tot beveiliging minimaliseren? Er zijn natuurlijk vele risico’s verbonden aan cloud computing, maar het belangrijkste risico is dat persoonlijke data op straat komt te liggen en openbaar toegankelijk is.
Er zijn dagelijks voorbeelden van in het nieuws over gelekte vertrouwelijke informatie waarvan je niet wilt dat dit jouw organisatie overkomt. Voice-mails van Tweede Kamerleden die op een simpele manier gehacked worden. Apple die in zijn privacy-voorwaarden heeft opgenomen dat geografische locatiedata worden geregistreerd en beschikbaar gesteld aan derde partijen, die hier commercieel voordeel uit (kunnen) halen. Veel maatregelen kunnen technisch gerealiseerd worden, maar er dient ook aandacht besteed te worden aan de organisatorische uitvoering ervan. Discipline van medewerkers binnen de organisatie is immers een vereiste, anders zijn de technische maatregelen overbodig.
Cloud is een containerbegrip, maar het betreft in de meeste gevallen applicaties. Kantoorapplicaties als Office, mail- en internetfunctionaliteiten worden door menig werknemer al privé en zakelijk gebruikt. In deze vorm van cloud ben je grotendeels afhankelijk van de voorwaarden die gesteld worden door de leveranciers.
Naast de standaardapplicaties zijn er nog veel meer applicaties erg interessant voor organisaties om de voordelen van cloud te benutten. Dit zijn bijvoorbeeld de financiële en logistieke applicaties waarvan bijna elk bedrijf gebruikmaakt. Belangrijkste voordelen zijn de spreiding en transparantie van de financiën en de service levels die voor de eigen ict-organisatie bijna onmogelijk zijn om waar te maken, met betrekking tot beschikbaarheid, kosten, etc. Voor deze grote set applicaties zie ik als interim professional veel organisaties worstelen met de vraag, hoe kan ik optimaal gebruik maken van de mogelijkheden, zonder daarbij het risico te lopen dat mijn gegevens op straat komen te liggen. Oftewel: hoe voorkom ik dat die wolk een donderbui wordt?
Om dit te realiseren is grondige voorbereiding vereist. De marktstandaard voor informatiebeveiliging is ISO27001 (wat een afgeleide is van de Code of Practise). Als ik echter op zoek ga naar welke organisaties over dit certificaat beschikken, dan vind ik in het Nederlandse ISO-register minder dan 20 organisaties en in het internationale ISO 27001 Register ongeveer eenzelfde aantal Nederlandse bedrijven. Er zijn echter maar een paar organisaties die overeenkomen in beide registers. Verdere analyse van deze organisaties leidt tot de conclusie dat feitelijk alleen organisaties deze certificatie hebben die datacenterdiensten aanbieden. Dat is aan de ene kant natuurlijk logisch, maar aan de andere kant zijn dit niet de leveranciers die de applicaties in de cloud aanbieden.
Op moment dat je kiest voor afname van een dienst, wil je niet direct met twee of meer leveranciers zaken doen. Zelf vergelijk ik dit vaak met de bouwbranche, waar een aannemer een huis oplevert en daarop jaren garantie geeft. Je hoeft niet zelf de loodgieter en metselaar te zoeken. Dit betekent niet dat je zelf niet verantwoordelijk bent om aan te geven hoe het eindresultaat eruit moet zien. Je bepaalt bijvoorbeeld zelf op welke hoogte je een stopcontact wilt en of je kiest voor een bad of een douche. Maar je wilt niet weten dat een metselaar rekening dient te houden met het inbouwen van leidingen om het stopcontact op de juiste hoogte te krijgen. Voor generieke applicaties in de cloud geldt hetzelfde. Ik wil geen uitputtende lijst met maatregelen die een leverancier dient te realiseren, maar wel een norm waaraan deze moet voldoen en een onafhankelijke controle of de leverancier gemaakte afspraken nakomt. Essentieel in deze constructie is dat je de leverancier kiest omdat hij deze expertise heeft om zijn dienstverlening te realiseren.
Om dit te realiseren zijn er twee mogelijkheden. De eerste betreft het zelf ontwikkelen van een beleid, waarin wordt aangegeven aan welke normering leveranciers dienen te voldoen en hoe je controle op nalevering borgt. De tweede betreft het gebruikmaken van een openbare normering, waarbij je afspraken maakt met de leverancier en deze opneemt in de SLA. Een voorbeeld van zo’n openbare normering is de norm die door het College Bescherming Persoonsgegevens (bron: www.cbpweb.nl) wordt gebruikt. Deze voorziet in diverse risicoklassen en per risicoklasse zijn een aantal maatregelen gedefinieerd. De maatregelen zijn zo beschreven dat het geen harnas is voor leveranciers en deze in staat worden gesteld om de meest actuele technische voorzieningen toe te passen. Een bijkomend voordeel is dat deze normering, die primair is bedoeld om de risico’s omtrent de bescherming van persoonsgegevens te minimaliseren, met de te treffen maatregelen ook diverse andere risico’s minimaliseert. Borging en controle van deze maatregelen dient onderdeel te zijn van de SLA, waarbij Third Party Mededeling (TPM) een vaak toegepaste methodiek is van controle door een onafhankelijke derde partij.
Keuze voor een normering en controle op naleving klinkt erg simpel. De reden dat er zoveel discussie over is zegt immers genoeg. Uit eigen praktijkervaring weet ik, dat dit de nodige discussie oplevert. Tijdens de analysefase kan een brown paper sessie handvatten geven, om de risico’s te definiëren en de kans van optreden vast te stellen. Aan de hand van deze lijst kun je aan de slag met het definiëren van noodzakelijke maatregelen. Het is dan ook essentieel om een (bij voorkeur) openbare normering te vinden bij de maatregelen die jouw organisatie gerealiseerd wil zien. Tijdens de leveranciers-selectie kun je deze normering als eis stellen. In de praktijk zie ik dat veel leveranciers standaard vele maatregelen hebben getroffen, maar dat deze maar gedeeltelijk overeenkomen met hetgeen voor jouw organisatie belangrijk is. Dit is de fase waarin je als ict-afdeling op glad ijs komt. Hier dien je stevig in je schoenen te staan. Leveranciers proberen hun poot stijf te houden en schermen met argumenten dat ze hier al jaren ervaring mee hebben. Ze komen met een track-record aan referenties waarmee ze alle belanghebbenden, dus ook de afdeling die de applicatie nodig heeft om zijn werk uit te voeren, proberen te overtuigen. Dit is een normale reactie voor een leverancier. Het is immers belangrijk dat de leveranciers vanuit een standaard (naast voorwaarden m.b.t. tot beveiliging, gelden ook inkoop-, contract- en licentievoorwaarden) kan aanbieden. Het verdienmodel van de leverancier is met een gestandaardiseerde oplossing zoveel mogelijk klanten te bedienen. In deze fase wordt veel van je verwacht op het gebied van overtuigingskracht en leiderschap. Je wordt immers onder druk gezet door zowel de leverancier als je collega’s, die andere belangen hebben dan jij als ict-afdeling. Feit blijft dat jij degene bent die de noodzakelijke maatregelen moet definiëren om te voorkomen dat jouw organisatie morgen in het nieuws komt.
Samengevat kun je stellen dat cloud computing booming business is voor zowel privé als zakelijk gebruik, maar dat er grote risico’s zijn als je organisatie kiest voor deze op het oog aantrekkelijke vorm van applicatieontsluiting. Overweeg je de keuze voor cloud applicaties, dan is het essentieel dat je vooraf een grondige analyse maakt van de risico’s die hieraan verbonden zijn. Met een set aan maatregelen kun je veel problemen voorkomen. Je dient er daarbij voor te zorgen dat de leverancier met deze maatregelen zijn specialisme kan inzetten, wat nodig is om de gevraagde dienstverlening te realiseren en ook aan te tonen dat hij zijn werk naar behoren heeft verricht.
Gert-Jo van der Heijden
Sr. interim professional
Yacht
