24 MCA: oktober 2013, nummer 5

CLOUD COMPUTING RISK FRAMEWORKLigt u, controller, wel eens wakker van de risico’s die gepaard gaan met cloud

computing, terwijl u zich ook realiseert dat dit een niet te stoppen ontwikkeling is?

Of gaat uw organisatie vanwege de voordelen en laagdrempeligheid erg gemak-

kelijk en snel mee in de cloud, terwijl u of uw bestuurder kritische vragen heeft die

niet altijd beantwoord kunnen worden? Dit artikel gaat in op deze vragen en werkt

toe naar een Cloud Computing Risk Framework, maar stelt ook kritische vragen

bij deze ontwikkeling. Uit onderzoek blijkt namelijk dat cloud computing niet

zoveel anders is als IT-dienstverlening van voorheen.

Bert Schellekens: Ontwikkelingen en innova-

ties op het gebied van IT gaan erg snel en de meeste

IT-outsourcingcontracten hebben een looptijd van

vijf jaar waarbij de dienstverlener geen belang heeft

bij het doorvoeren van innovaties. Volgens Minke

(2010) is de IT-afdeling de regie kwijt, is het als

(grote) organisatie hierdoor moeilijk om up-to-date

te blijven en lopen de meeste IT-afdelingen zelfs

drie tot vier jaar achter op de eigen eindgebruikers.

Deze eindgebruikers gaan door de vele hulpmidde-

len (laptops, smartphones, tablets e.d.) wel gemak-

kelijk mee in de nieuwe ontwikkelingen. Cloud

computing biedt de IT-afdeling de mogelijkheid om

beter in te springen op deze ontwikkelingen en in-

novaties. Daarnaast kent cloud computing andere

(potentiële) voordelen die in de economische crisis

met forse bezuinigingen voor organisaties een be-

langrijke reden kunnen zijn om over te stappen, na-

melijk (Cloud Security Alliance, 2011; Hendriks e.a.,

2012):

~ een hoge mate van flexibiliteit met betrekking tot

de afname, en betaling, van IT;

~ verschuiving van investerings- (CAPEX) naar ex-

ploitatiekosten (OPEX);

~ snelle ontwikkeling van nieuwe dienstverlening

(innovatie) en minder risico ten aanzien van nieu-

we investeringen in IT;

~ lagere kosten;

~ verlaging van de beheerinspanning.

Echter, met name de beveiliging van de data en per-

soonsgegevens roept kritische vragen op. Daarom

wordt in dit artikel ingezoomd op de risico’s die ge-

paard gaan met deze populaire ontwikkeling. Na

een korte introductie van het begrip cloud compu-

ting wordt de totstandkoming van het Cloud Com-

puting Risk Framework toegelicht.

Cloud computing: een korte introductieIn de literatuur zijn vele definities beschreven die

alle dezelfde kenmerken bevatten en daardoor goed

vergelijkbaar zijn (Sultan, 2010). In dit artikel is ge-

kozen voor onderstaande definitie.

Cloud computing is het leveren/gebruiken van schaalbare en elastische diensten via internet. Het betreft standaarddiensten, die door de gebruiker zelf in te richten zijn en waarvoor wordt betaald naar gebruik. Er zijn verschillende soorten clouddiensten. Van kant-en-klare applicaties die de eindgebruiker direct kan gebruiken tot platforms waarmee de ge-bruiker zelf applicaties kan ontwikkelen of samen-stellen (Berchum e.a., 2010).

De kracht van cloud computing zit vooral in het

aanbieden van standaarddiensten waardoor de kos-

ten structureel laag gehouden kunnen worden. Het

is dus geen maatwerk per organisatie, maar een

organisatie kiest welke standaarddiensten worden

gebruikt. Alle diensten vanuit de cloud zijn schaal-baar en elastisch wat betekent dat de dienst mee-

beweegt met het feitelijke gebruik. Dit zorgt voor

de meest efficiënte inzet van IT-diensten. De cloud

kent een pay-as-you-go kostenstructuur wat bete-

kent dat een organisatie betaalt voor het feitelijke

gebruik. Clouddiensten zijn benaderbaar via inter-net, vrijwel altijd via de standaardwebbrowser.

Hierdoor zijn ze altijd en overal benaderbaar en

sluiten perfect aan bij principes als bring-your-own-

device.

Informatiemanagement:

25MCA: oktober 2013, nummer 5

Cloud computing kent drie algemene vormen van

diensten die zijn weergegeven in tabel 1.

Software as a Service (SaaS):

Bij deze vorm van dienstverle-ning gaat het om kant-en-klare applicaties of software die direct door de eindgebruiker gebruikt kunnen worden (bijvoorbeeld Google Apps, Hotmail en Exact Online)

Infrastructure as a Service (IaaS):

Dit betreft hardware gerelateerde online diensten, bijvoorbeeld re-kenkracht (‘processing’) voor het uitvoeren van wetenschappelijke berekeningen, opslagruimte voor de back-up, of netwerkcapaciteit voor het hosten van de website (bijvoorbeeld Dropbox, Google Drive en Amazon EC2)

Platform as a Service (PaaS):

Hier neemt de gebruiker een dienst af om eigen applicaties te ontwikkelen of samen te stellen uit bouwstenen, bijvoorbeeld hardware, een besturingssys-teem, middleware, een database of webserver (bijvoorbeeld Google Application Engine, For-ce.com, Amazon Web Services en Microsoft Azure)

Tabel 1. Drie algemene vormen van clouddiensten (Berchum e.a., 2010; Hendriks e.a., 2012)

Het implementeren van cloud computing heeft een

grote impact op het beheer van IT-diensten. Alle

clouddiensten worden gehost en beheerd door de

leverancier (bijvoorbeeld Microsoft, Force.com of

Google). Hierbinnen zijn diverse inkoopvormen

mogelijk, namelijk:

~ publieke cloud: de meest ultieme vorm van cloud

computing, waarbij de diensten voor algemeen

gebruik zijn en met alle gebruikers worden ge-

deeld. Alles wordt ingericht en beheerd onder de

voorwaarden van de leverancier;

~ private cloud: de tegenhanger van de publieke

cloud, waarbij de infrastructuur wordt uitbesteed

aan een derde, maar alleen wordt gebruikt binnen

de specifieke context van een organisatie. De ge-

bruiker heeft grote invloed op de gestelde voor-

waarden aan het service level;

~ hybride cloud: een combinatie gemaakt van de

twee andere vormen, publiek en privaat. Essentië-

le (vertrouwelijke) applicaties worden bijvoorbeeld

in een private cloud gehangen, terwijl algemene

applicaties (bijvoorbeeld mail) in een publieke

cloud worden gehost en beheerd.

Binnen deze drie vormen wordt vervolgens onder-

scheid gemaakt in individuele inkoop en gezamen-

lijke inkoop. Gezamenlijke inkoop vergroot de on-

derhandelingspositie van de gebruiker ten opzichte

van de leverancier (Van der Harst, 2010).

26 MCA: oktober 2013, nummer 5

RisicomanagementbenaderingCloud computing brengt naast de diverse voordelen

ook potentiële risico’s met zich mee. Dit blijkt ook

uit onderzoek onder een groot aantal Chief Infor-

mation Officers (Berchum e.a., 2010). Als belang-

rijkste aandachtspunten (ofwel risico’s) worden de

beveiliging, integratie van bestaande systemen, zeg-

genschap over gegevens, beschikbaarheid dienst en

performance genoemd. Een goed risicomanagement

is daarom van cruciaal belang en een uitvoerige en

zorgvuldige risicoanalyse is een belangrijke eerste

stap bij het gebruik van cloud computing (Data Pro-

tection Working Party, 2012). Dit wordt versterkt

doordat het fenomeen cloud computing nog volop

in ontwikkeling is en zich bevindt op de weg naar

volwassenheid. Dit in combinatie met negatieve pu-

bliciteit over cloudincidenten (bijvoorbeeld de be-

veiligingsproblemen bij Dropbox) en al of niet te-

rechte zorg over toegang tot informatie door andere

overheden, heeft geleid tot een breed gedragen zorg

rondom het vertrouwen in cloud computing. Hierbij

is overigens ook gebleken dat percepties over voor-

en nadelen niet altijd overeenkomen met de feitelij-

ke situatie (Hendriks e.a., 2012). Om het een en an-

der te relativeren is het enige veilige systeem een

computer, ingepakt in een laag van zes meter gewa-

pend beton, die uitstaat (Van der Harst, 2010).

Het belang van risicomanagement is hierboven

aangetoond en daarom is een Cloud Computing

Risk Framework ontwikkeld waarvan het ontstaan

hieronder wordt toegelicht.

In het betreffende onderzoek zijn de risico’s in-

zichtelijk gemaakt door een gedegen literatuuron-

derzoek. Om hierbij een goede structuur te kiezen

zijn vanuit het vakgebied risicomanagement drie

mogelijke raamwerken bekeken, namelijk:

~ Enterprise Risk Management (ERM) Integrated

Framework van COSO (2004);

~ Cloud Security Alliance (2011), specifiek gericht

op cloud computing;

~ Control Objectives for Information and related

Technology versie 5 (COBIT 5) van ISACA (2012).

Alle raamwerken bieden een goede structuur voor

het uitwerken van een Cloud Computing Risk

Framework. Aangezien het raamwerk van COSO

een breder draagvlak heeft binnen de literatuur en

de werking ervan meerdere malen is bewezen (on-

der andere door Gates e.a., 2012) is deze als leidende

structuur gebruikt. Aspecten van het Cloud Securi-

ty Alliance en COBIT 5 raamwerk zijn hierbij ge-

bruikt als een checklist voor de volledigheid.

Daarnaast is het literatuuronderzoek versterkt

door een aantal diepte-interviews met deskundigen

op het gebied van risicomanagement inzake cloud

computing. De reden hiervan is dat cloud compu-

ting een nieuwe ontwikkeling is die de laatste jaren

een sterke opmars kent. Dit blijkt ook uit het jonge

karakter van de wetenschappelijke artikelen, waar-

van de oudste artikelen gepubliceerd zijn in 2009.

Door deze aanpak is het onderwerp vanuit meerde-

re perspectieven (literatuur en praktijk) bekeken,

wat de betrouwbaarheid verhoogt.

Cloud Computing Risk FrameworkHet COSO-raamwerk (figuur 1) bestaat uit vier ca-

tegorieën doelstellingen (bovenkant kubus), acht

componenten (voorkant kubus) en vier organisatie-

niveaus (zijkant kubus). Het Cloud Computing Risk

Framework is gericht op het niveau van de totale or-

ganisatie (entity-level) wat het detailniveau aangeeft

waarmee de categorieën en componenten zijn be-

schreven. Het bestaat uit vier onderdelen, namelijk:

~ interne omgeving & formuleren doelstellingen

(internal environment & objective setting);

~ rapportage & compliance (reporting & compliance);

~ operationeel (operations);

~ strategisch (strategic).

Vanwege de grote samenhang tussen rapportage &

compliance zijn deze twee categorieën samenge-

voegd. Tevens zijn de componenten interne omge-

ving en formuleren van doelstellingen als afzonder-

lijk onderdeel opgenomen vanwege de grote overlap

met alle categorieën doelstellingen. Binnen deze on-

‘Het enige veilige systeem is een computer, ingepakt in een laag van zes meter gewapend beton, die uitstaat’ (Van der Harst, 2010)

27MCA: oktober 2013, nummer 5

Internal Environment

Objective Setting

Event Identification

Risk Assessment

Risk Response

Control Activities

Information & Communication

Monitoring

derdelen van het Cloud Computing Risk Framework

zijn diverse risicoclusters van cloud computing be-

schreven. Deze worden hieronder kort toegelicht.

Interne omgeving & formuleren doelstellingenVoor de interne omgeving is het van belang om het

risico op ongewenst gedrag binnen de organisatie zo

veel mogelijk te verminderen. Een beheersingsactivi-

teit hiervoor is een gedegen management control sys-

teem, zodat de neuzen in de organisatie dezelfde kant

op wijzen. Hierbij dient een organisatie doelstellingen

te formuleren om potentiële risico’s te kunnen bepalen

die invloed hebben op het behalen van deze doelstel-

lingen. Deze moeten afgestemd zijn op de vastgestelde

risicoacceptatiegraad. Dit laatste is bij cloud compu-

ting belangrijk en het creëren van een juiste IT-align-

ment is daarbij essentieel. De overgang naar cloud

computing is namelijk een belangrijke strategische

keuze met niet alleen een grote impact op IT, maar

ook op de cultuur van de organisatie (bijvoorbeeld an-

dere manier van werken en specifieke kennis).

Rapportage & complianceDit onderdeel is veel besproken binnen cloud com-

puting en zorgt voor een grote hoeveelheid onzeker-

heid. Het bevat de volgende drie risicoclusters:

1. Informatie- en databeveiliging richt zich onder

andere op de rollen en verantwoordelijkheden bij

cloud computing, waarbij het van belang is dat de

afnemer (controller) altijd een leverancier (pro-

cessor) kiest die kan garanderen aan de wet- en

regelgeving voor dataprotectie te voldoen. Daar-

naast dienen risico’s ten aanzien van toegankelijk-

heid, identiteit, toegangsbeheer en complexiteit

beheerst te worden. Aangezien de persoonlijke

data wordt beheerd door de leverancier is het van

belang om goede afspraken te maken over de op-

slag van en controle over deze eigen gegevens. De

afnemer is namelijk de exclusieve controle kwijt.

Ten slotte is de transparantie van de leverancier

een belangrijk aandachtspunt. Veel leveranciers

geven namelijk vaak geen, of slechts in beperkte

mate, inzicht in de beveiligingsmaatregelen die

zijn genomen en de wijze waarop deze worden ge-

test en gecontroleerd. Een ‘right-to-audit’ geeft de

afnemer hierbij het recht om een controle op de

informatiebeveiliging uit te voeren.

2. Juridische afspraken (overeenkomsten) met de

leverancier zijn belangrijk om risico’s te onder-

vangen. Veel risico’s zijn niet afgedekt in de stan-

daardvoorwaarden, die overigens ook nog eens als

sterk eenzijdig, niet onderhandelbaar en weinig

transparant worden ervaren (Hendriks e.a., 2012).

Duidelijke afspraken over dataprotectie, informa-

tiebeveiliging, privacy en dienstverlening zorgen

wel voor de juiste zekerheid.

Figuur 1. ERM Integrated Framework (COSO, 2004)

‘De overgang naar cloud computing is een belangrijke strategische keuze met niet alleen een grote impact op IT, maar ook op de cultuur van de organisatie’

28 MCA: oktober 2013, nummer 5

OperationeelImplementatie aanpak en beheer

Informatie- en databeveiliging

Juridische afspraken (contractering)

Ongewenst gedrag t.a.v. doelstellingen en risico’sOnjuiste/onvolledige IT-alignment

Compliance/privacy

Strategische randvoorwaarden

Deskundigheid personeel (operationeel)

Ineffectieve en inefficiënte inzet van middelen t.b.v. implementatie

Onduidelijkheid rollen en verantwoordelijkheden dataprotectie

Checklist cloud computing & privacyChecklist contractering (incl. niveau dienstverlening)

Onjuist en onwettig (misbruik) van (privacygevoelige) gegevensOnwenselijk gebruik van (privacygevoelige) gegevens door locatie van data

Misbruik systeem door onvoldoende identiteits- toegangsbeheerOnjuiste opslag van en controle over eigen gegevensOnvoldoende controle op informatiebeveiliging door onvoldoendetransparantie leverancier

Sterk eenzijdige, niet onderhandelbare en weinig transparante standaardvoorwaarden

Onjuiste en/of onvolledige contractering leverancier, incl. afspraken over niveau dienstverlening en privacy

Onvoldoende zekerheid t.b.v. dataprotectie/informatiebeveiliging

Onjuiste inrichting beheerorganisatie

Onvoldoende deskundigheid gebruikers

‘Vendor lock-in’ door ontbreken open standaarden

Onzekerheid of weinig vertrouwen bij stakeholdersOnvoldoende vakkundige aansturing externe leverancier

Onvoldoende IT-deskundigheid (strategisch)

Vooraf onvoldoende inzicht in (financiële) consequenties van overstap/keuze voor clouddienst

Onvoldoende prestaties cruciale bedrijfsprocessen t.a.v. netwerkcapaciteitDataverlies door stoppen of verdwijnen van clouddienst bij

faillissement leverancierDataverlies door afbouwen of wijzigen clouddienst

vanwege economische redenen

Deskundigheid personeel (strategisch)

Business case

Business continuïteit en prestatie

Dataportabiliteit en interoperabiliteit (integratie en standaarden)

Rapportage & compliance

Cloud Computing Risk Framework

Interne omgeving & formuleren doelstellingen

Strategisch

3. Risico’s ten aanzien van compliance/privacy en

gegevensbescherming (dataprotectie) zijn wellicht

het meest besproken bij cloud computing. In Ne-

derland is de Wet bescherming persoonsgegevens

(WBP) van belang en de locatie van de data speelt

hierbij een belangrijke rol. Vanuit de WBP mogen

persoonsgegevens in beginsel slechts naar landen

buiten de EU worden doorgegeven indien dat land

een ‘passend beschermingsniveau’ kent. In de

praktijk betreft dit landen die op de zogenoemde

‘Witte lijst’ staan. Amerika staat hier bijvoorbeeld

niet op en het College bescherming persoonsge-

gevens (2012) heeft hiervoor belangrijke aan-

dachtspunten opgesteld. Deze gaan specifiek in op

de naleving van de ‘Safe Harbor Principles’, het

opvragen van een ‘third party mededeling’ zoals

ISAE 3402 en SSAE 16 en de rol van (sub)bewer-

kers.

OperationeelDit onderdeel is onderverdeeld in drie risicoclus-

ters, namelijk:

1. Implementatieaanpak en beheer: de implementa-

tieaanpak richt zich op het beschrijven van een

volledig projectplan. Het beheer bij cloud compu-

ting is vooral gericht op de deelprocessen identi-

teits- en rechtenbeheer en portfolio- en contract-

management (Manderveld e.a., 2011). Dit komt

doordat de leverancier belangrijke beheertaken

van applicatie- en technisch beheer volledig over-

neemt.

2. Risico’s ten aanzien van deskundigheid personeel (operationeel) worden gemitigeerd door het mee-

nemen en vooraf informeren van de gebruikers

over het juiste gebruik van de clouddienst. Een

mediaprotocol inclusief de consequenties van on-

verantwoord gedrag is hierbij een goed hulpmid-

del.

3. Een goede dataportabiliteit en interoperabiliteit voorkomt het risico op een ‘vendor lock-in’. Hier-

bij zit de afnemer vast in de standaard van de be-

treffende leverancier, waarbij de data niet goed

overplaatsbaar (dataportabiliteit) of uitwisselbaar

(interoperabiliteit) zijn. Het is hiervoor van be-

lang om vooraf goed zicht te krijgen op de ‘open-

heid’ van de leverancier.

StrategischHet onderdeel strategisch is onderverdeeld in vier

risicoclusters.

1. De strategische randvoorwaarden regieorganisa-

tie, IT-strategie en -governance zijn een belangrij-

ke basis om als organisatie de leverancier vakkun-

dig te kunnen aansturen (Van der Harst, 2010).

2. Risico’s ten aanzien van deskundigheid personeel (strategisch) hebben betrekking op de grote im-

pact van cloud computing op de IT-afdeling. Het

werken in een IT-omgeving binnen de cloud

vraagt een andere deskundigheid dan de traditio-

nele IT-omgeving. IT-medewerkers moeten bij-

voorbeeld de juiste competenties bezitten voor

het managen van een strategische relatie met de

leveranciers van clouddiensten, alsmede het wer-

ken onder stringente contractuele afspraken met

dezelfde leveranciers (Bristow e.a., 2010).

3. Ten behoeve van business continuïteit en presta-

Figuur 2. Cloud Computing Risk Framework

29MCA: oktober 2013, nummer 5

ties ontstaan de volgende risico’s door het gebrek

aan controle over de hardware, omdat bij cloud

computing de dienstverlening wordt uitbesteed:

~ slechtere prestaties door overbelasting van het

netwerk/platform door de prikkel bij de leveran-

cier om een zo hoog mogelijke financiële marge te

behalen (Tisnovsky, 2010);

~ geen garantie voor de minimale bereikbaarheid

(‘uptime’) van de dienst tegen de gebruikelijke

performance. Bij cruciale bedrijfsprocessen zorgt

dit voor ongewenste risico’s;

~ dataverlies bij het stoppen of verdwijnen van de

clouddienst door bijvoorbeeld faillissement leve-

rancier (Bristow, 2010; Tisnovsky, 2010) of afbou-

wen of wijzigen van de dienst vanwege economi-

sche redenen (Hendriks e.a., 2012).

4. Het beschrijven van een business case dwingt tot

het maken van een zorgvuldige en strategische

keuze om over te stappen naar een clouddienst.

Volgens Manderveld e.a. (2011) bevat een busi-

ness case de volgende aspecten:

~ kwalitatieve voor- en nadelen: een kwalitatieve

beschrijving van voor- en nadelen;

~ kwantitatieve voor- en nadelen: meetbare eenhe-

den, maar niet in geld uit te drukken;

~ financiële voor- en nadelen: in geld uit te drukken

meetbare eenheden;

~ risico’s: potentiële nadelen.

Aangezien het reduceren van kosten een belangrijke

reden is voor organisaties om over te stappen dient

vooraf een goede financiële analyse gemaakt te wor-

den. De systematiek total cost of ownership leent

zich goed voor cloud computing, omdat hierbij ook

minder zichtbare of verborgen kosten en opbreng-

sten inzichtelijk worden gemaakt.

Bovenstaande leidt tot het Cloud Computing

Risk Framework in figuur 2. Dit is een schermaf-

druk van een interactieve mindmap met gedetail-

leerde informatie per onderdeel.

Hoe kan het worden gebruikt?Het Cloud Computing Risk Framework is univer-

seel te gebruiken als checklist voor een risicoanaly-

se voor nieuwe of bestaande clouddiensten. Een uit-

voerige en zorgvuldige risicoanalyse is van cruciaal

belang bij het gebruik van cloud computing (Data

Protection Working Party, 2012). Het kan als onder-

deel van de business case worden opgenomen of

met terugwerkende kracht worden doorlopen voor

bestaande clouddiensten. Dit leidt dan tot een risi-

cobeoordeling die wel of niet acceptabel wordt ge-

acht, afhankelijk van de risicoacceptatiegraad van

de organisatie.

Ten slotte heeft het Cloud Computing Risk

Framework vanwege de snelle ontwikkelingen en

onvolwassenheid een beperkte geldigheidsduur. Met

name ontwikkelingen op het gebied van informatie-

beveiliging en wetgeving gaan snel. Bij de imple-

mentatie van het raamwerk dient het beheer van het

risk framework dan ook goed belegd te worden.

ConclusieIn dit artikel is de totstandkoming van het Cloud

Computing Risk Framework beschreven. Het raam-

Dit onderzoek was onderdeel van mijn afstu-

deerscriptie voor de EMFC-opleiding bij Ny-

enrode Business Universiteit. De scriptie ging

nog verder tot het niveau van mijn werkgever

Fontys Hogescholen, met de hoofdvraag wat

een goed Cloud Computing Risk Framework

voor Fontys Hogescholen is. Het onderzoek

bestond uit twee fasen, waarvan in dit artikel

fase 1 is beschreven. Een totaaloverzicht van

het afstudeeronderzoek is hieronder weerge-

geven. Het Cloud Computing Risk Framework

(Fontys) wordt de komende tijd geïmplemen-

teerd binnen Fontys Hogescholen.

FASE 1.1

Fase 1 Fase 2

FASE 2.1

FASE 2.2FASE 1.2

Cloud

computing Risk

Framework

(Fontys)

Cloud

computing Risk

Framework

(Universeel)

Onderzoeksfasering en -resultaten

‘Cloud computing is voor veel onderdelen niet uniek, maar oude wijn in nieuwe zakken’

30 MCA: oktober 2013, nummer 5

werk is gevoed vanuit de literatuur en de praktijk.

De confrontatie tussen beide heeft geleid tot drie

bevindingen.

Ten eerste blijkt een grote tegenstrijdigheid tus-

sen de literatuur en de praktijk ten aanzien van de

definitie van cloud computing en de genoemde

voordelen. Deskundigen betwisten namelijk het as-

pect van schaalbaarheid gekoppeld aan de pay-as-

you-go kostenstructuur en de verlaging van kosten

door invoering van cloud computing. Bij de meeste

aangeboden clouddiensten betaalt de afnemer vaste

licentiekosten en dus niet naar feitelijk gebruik.

Wellicht kan dit alleen worden bereikt bij de ultie-

me vorm van cloud computing, een publieke cloud.

Echter, grotere organisaties zullen niet snel over-

gaan tot een publieke cloud, want de afname van

een hybride of private cloud ligt meer voor de hand.

Ten tweede zijn veel beschreven risico’s van

cloud computing niet nieuw, want deze zijn er bij

traditionele IT-dienstverlening ook. Volgens een

van de deskundigen is cloud computing voor veel

onderdelen niet uniek, maar oude wijn in nieuwe

zakken. Het kan wel zijn dat de risicobeoordeling

(kans x impact) verschilt.

Ten derde en niet onbelangrijk komen de groot-

ste risico’s ten aanzien van cloud computing in de li-

teratuur en de praktijk overeen. Dit richt zich vooral

op de informatiebeveiliging, de privacy en dataver-

werking, het identiteitsmanagement, het individuele

gebruik van clouddiensten, de open standaarden en

de dataportabiliteit.

Al met al moeten de risico’s van cloud compu-

ting, als onderdeel van de totale IT-dienstverlening,

serieus worden genomen en een Cloud Computing

Risk Framework is hierbij een belangrijk hulpmiddel.

Literatuur

~ Berchum, M. van e.a. (2010), Cloud Computing in het Onderwijs, minder zorg

om techniek, meer profijt van IT, SURFnet/Kennisnet, pp. 1-79.

~ Bristow, R. e.a. (2010), Cloud Computing and the Power to Choose, Educausere-

view, mei-juni 2010, pp. 14-30.

~ Cloud Security Alliance (2011), Security Guidance for Critical Areas of Focus in

Cloud Computing v3.0, Cloud Security Alliance, versie 3.0, 2011

~ College Bescherming Persoonsgegevens (2012), Zienswijze inzake de toepassing

van de Wet bescherming persoonsgegevens bij een overeenkomst met betrekking

tot cloud computing diensten van een Amerikaanse leverancier, Cbp, 10 septem-

ber 2012, http://www.cbpweb.nl/pages/med_20120910-zienswijze-cbp-cloud-

computing.aspx.

~ COSO (2004), Enterprise Risk Management Integrated Framework (ERM), Man-

agement Summary, september 2004.

~ Data Protection Working Party (2012), Opinion 05/2012 on Cloud Computing,

onafhankelijk Europees adviesorgaan voor data protectie en privacy, opgezet

onder artikel 29 van Directive 95/46/EC, juli 2012.

~ Gates, S. e.a. (2012), Enterprise Risk Management: A Process for Enhanced

Management and Improved Performance, Management Accounting Quarterly,

Spring 2012, vol. 13, nr. 3, pp. 28-38.

~ Harst, G. van der (2010), Cloud Computing, checklist en de te stellen vragen,

SURFnet, december 2010.

~ Hendriks, A., E.M. Meershoek e.a. (2012), Cloud Computing, Fundament op

Orde, eindrapportage, Verdonck, Kloosters & Associates B.V., versie 1.1., pro-

jectnummer 20110472.

~ ISACA (2012), COBIT 5, A Business Framework for the Governance and Man-

agement of Enterprise IT, ISBN 978-1-60420-237-3.

~ Manderveld, J. e.a. (2011), Cloud Computing, een kans voor het onderwijs,

SURFnet/Kennisnet Innovatieprogramma, november 2011.

~ Minke, B. (2010), De cloud controller, Controllersmagazine, mei 2010, pp. 34-36.

~ Sultan, N. (2010), Cloud Computing for Education: A new dawn? International

Journal of Information Management, vol. 30, pp. 109-116

~ Tisnovski, R. (2010), Risk versus Value in Outsourced Cloud Computing, Finan-

cial Executive, November 2010, pp. 64-65.

Bert Schellekens is als Manager Bedrijfsvoering werkzaam bij Fontys Sporthogeschool