Voor de ict-industrie bestaan al diverse soorten certificeringen. Er is echter nog geen enkele breed geaccepteerde certificering voor cloud oplossingen. Zijn er initiatieven gaande? Hoe zien die er dan uit, wie zijn erbij betrokken en hoe wordt een initiatief dan een 'de facto'-standaard?
Het is een utopie om te denken dat slechts één certificering het gehele spectrum van cloud computing kan bestrijken, alleen al als gekeken wordt naar Infrastructuur (IaaS), Platform (PaaS) en Software (SaaS) is de conclusie dat deze drie servicemodellen dermate verschillen van elkaar dat een aparte benadering voor elk van deze modellen nodig zal zijn om op te kunnen certificeren. Vanuit ISO bestaat al de ISO2700x normering, maar die is meer voor algemeen informatiemanagement en zeker niet gericht op Cloud Computing.
Er zijn al een aantal organisaties begonnen om de eerste stappen op dit gebied te zetten, maar met het brede werkgebied van cloud computing, de benodigde expertise op de diverse deelgebieden en de benodigde steun om een wereldwijde standaard neer te kunnen zetten, mag dit aangemerkt worden als een behoorlijke klus, maar zeker geen 'mission impossible'.
De organisaties die hier al mee bezig zijn en het verst gevorderd, zijn ENISA (European Network and Information Security Agency), ISO (International Standards Organisation), NIST (National Institute of Standards and Technology), IEEE (Institute of Electrical and Electronics Engineers), CSA (Cloud Security Alliance) en EuroCloud. EuroCloud heeft zelfs al twee complete certificeringsprogramma’s klaar, één voor datacenters (IaaS) en één voor cloud-softwareoplossingen (SaaS) en lijkt daarmee het beste ge-equipeerd om de 'de facto'-standaard neer te kunnen zetten. EuroCloud heeft dit programma opgezet met input van ENISA en ISO en rolt dit programma al op het Europese continent uit. Commerciële organisaties hebben ook certificeringsprogramma’s voor cloud oplossingen maar die zijn dan weer meer gericht op hun eigen producten en de toepassing daarvan in de cloud.
Andere initiatieven vinden mogelijk plaats via of bij Sarbanes Oxley (SOX), SAS70, SSAE16 and ISAE3402, maar deze zijn minder bekend en de verwachting is dat zij geen voortrekkersrol in dit certificerings geweld op zich zullen nemen.
Er is nog veel onzekerheid op het gebied van cloud computing die de ontwikkeling van deze zogenaamde paradigmaverschuiving remt. Die onzekerheid komt voort uit het feit dat veel mensen nog steeds niet de basisconcepten van cloud computing ten volste begrijpen en hoe ze dit in hun bedrijfsvoering kunnen toepassen. Hiervoor is inmiddels een boek van mijn hand in de markt met de veelbelovende titel 'Een heldere kijk op cloud computing'.
Om cloud-oplossingen te vertrouwen en om veilig met cloud-oplossingen te kunnen werken, zoekt de afnemer naar methoden om de cloud-oplossingen te kunnen laten meten en te laten classiferen. Om dit proces onafhankelijk en erkend te kunnen laten plaatsvinden, zijn certificeringsprogramma’s nodig. Zonder dergelijke programma’s is er geen meetinstrument om oplossingen met elkaar te kunnen vergelijken en loopt de markt het risico dat het overspoeld wordt met oplossingen van gelukszoekers, die in het huidige cloud-geweld de boot niet willen missen, voor hun eigen commerciële kansen gaan maar de veiligheid en robuustheid van hun oplossing onvoldoende overdenken, wat op haar beurt de markt weer kan schaden.
De Europese Commissie heeft dit ook onderkend en laat momenteel onderzoeken welke mogelijkheden er zijn om tot cloud computing-certificeringen te kunnen komen, waarbij het uitgangspunt is dat een dergelijk programma door het cloud-werkveld geleid wordt en vrijwillig kan plaatsvinden bij organisaties die hier behoefte aan hebben. Uiteindelijk is de verwachting dat organisaties zich vrijwillig zullen certificeren op hun IaaS, PaaS en/of SaaS oplossing want zonder certificering zal er weinig meetbare veiligheid voor cloud-oplossingen aanwezig zijn, wat het vertrouwen weer geen goed doet. In de tweede helft van 2012 worden resultaten verwacht, waarmee we hopenlijk niet alleen een robuuste cloud-markt tegemoet kunnen zien, maar ook een die gecertificeerd kan worden.
