Informatiemanagement: CLOUD COMPUTING RISK … · Informatiemanagement: MCA: oktober 2013, nummer 5...
Click here to load reader
Transcript of Informatiemanagement: CLOUD COMPUTING RISK … · Informatiemanagement: MCA: oktober 2013, nummer 5...
24 MCA: oktober 2013, nummer 5
CLOUD COMPUTING RISK FRAMEWORKLigt u, controller, wel eens wakker van de risico’s die gepaard gaan met cloud
computing, terwijl u zich ook realiseert dat dit een niet te stoppen ontwikkeling is?
Of gaat uw organisatie vanwege de voordelen en laagdrempeligheid erg gemak-
kelijk en snel mee in de cloud, terwijl u of uw bestuurder kritische vragen heeft die
niet altijd beantwoord kunnen worden? Dit artikel gaat in op deze vragen en werkt
toe naar een Cloud Computing Risk Framework, maar stelt ook kritische vragen
bij deze ontwikkeling. Uit onderzoek blijkt namelijk dat cloud computing niet
zoveel anders is als IT-dienstverlening van voorheen.
Bert Schellekens: Ontwikkelingen en innova-
ties op het gebied van IT gaan erg snel en de meeste
IT-outsourcingcontracten hebben een looptijd van
vijf jaar waarbij de dienstverlener geen belang heeft
bij het doorvoeren van innovaties. Volgens Minke
(2010) is de IT-afdeling de regie kwijt, is het als
(grote) organisatie hierdoor moeilijk om up-to-date
te blijven en lopen de meeste IT-afdelingen zelfs
drie tot vier jaar achter op de eigen eindgebruikers.
Deze eindgebruikers gaan door de vele hulpmidde-
len (laptops, smartphones, tablets e.d.) wel gemak-
kelijk mee in de nieuwe ontwikkelingen. Cloud
computing biedt de IT-afdeling de mogelijkheid om
beter in te springen op deze ontwikkelingen en in-
novaties. Daarnaast kent cloud computing andere
(potentiële) voordelen die in de economische crisis
met forse bezuinigingen voor organisaties een be-
langrijke reden kunnen zijn om over te stappen, na-
melijk (Cloud Security Alliance, 2011; Hendriks e.a.,
2012):
~ een hoge mate van flexibiliteit met betrekking tot
de afname, en betaling, van IT;
~ verschuiving van investerings- (CAPEX) naar ex-
ploitatiekosten (OPEX);
~ snelle ontwikkeling van nieuwe dienstverlening
(innovatie) en minder risico ten aanzien van nieu-
we investeringen in IT;
~ lagere kosten;
~ verlaging van de beheerinspanning.
Echter, met name de beveiliging van de data en per-
soonsgegevens roept kritische vragen op. Daarom
wordt in dit artikel ingezoomd op de risico’s die ge-
paard gaan met deze populaire ontwikkeling. Na
een korte introductie van het begrip cloud compu-
ting wordt de totstandkoming van het Cloud Com-
puting Risk Framework toegelicht.
Cloud computing: een korte introductieIn de literatuur zijn vele definities beschreven die
alle dezelfde kenmerken bevatten en daardoor goed
vergelijkbaar zijn (Sultan, 2010). In dit artikel is ge-
kozen voor onderstaande definitie.
Cloud computing is het leveren/gebruiken van schaalbare en elastische diensten via internet. Het betreft standaarddiensten, die door de gebruiker zelf in te richten zijn en waarvoor wordt betaald naar gebruik. Er zijn verschillende soorten clouddiensten. Van kant-en-klare applicaties die de eindgebruiker direct kan gebruiken tot platforms waarmee de ge-bruiker zelf applicaties kan ontwikkelen of samen-stellen (Berchum e.a., 2010).
De kracht van cloud computing zit vooral in het
aanbieden van standaarddiensten waardoor de kos-
ten structureel laag gehouden kunnen worden. Het
is dus geen maatwerk per organisatie, maar een
organisatie kiest welke standaarddiensten worden
gebruikt. Alle diensten vanuit de cloud zijn schaal-baar en elastisch wat betekent dat de dienst mee-
beweegt met het feitelijke gebruik. Dit zorgt voor
de meest efficiënte inzet van IT-diensten. De cloud
kent een pay-as-you-go kostenstructuur wat bete-
kent dat een organisatie betaalt voor het feitelijke
gebruik. Clouddiensten zijn benaderbaar via inter-net, vrijwel altijd via de standaardwebbrowser.
Hierdoor zijn ze altijd en overal benaderbaar en
sluiten perfect aan bij principes als bring-your-own-
device.
Informatiemanagement:
25MCA: oktober 2013, nummer 5
Cloud computing kent drie algemene vormen van
diensten die zijn weergegeven in tabel 1.
Software as a Service (SaaS):
Bij deze vorm van dienstverle-ning gaat het om kant-en-klare applicaties of software die direct door de eindgebruiker gebruikt kunnen worden (bijvoorbeeld Google Apps, Hotmail en Exact Online)
Infrastructure as a Service (IaaS):
Dit betreft hardware gerelateerde online diensten, bijvoorbeeld re-kenkracht (‘processing’) voor het uitvoeren van wetenschappelijke berekeningen, opslagruimte voor de back-up, of netwerkcapaciteit voor het hosten van de website (bijvoorbeeld Dropbox, Google Drive en Amazon EC2)
Platform as a Service (PaaS):
Hier neemt de gebruiker een dienst af om eigen applicaties te ontwikkelen of samen te stellen uit bouwstenen, bijvoorbeeld hardware, een besturingssys-teem, middleware, een database of webserver (bijvoorbeeld Google Application Engine, For-ce.com, Amazon Web Services en Microsoft Azure)
Tabel 1. Drie algemene vormen van clouddiensten (Berchum e.a., 2010; Hendriks e.a., 2012)
Het implementeren van cloud computing heeft een
grote impact op het beheer van IT-diensten. Alle
clouddiensten worden gehost en beheerd door de
leverancier (bijvoorbeeld Microsoft, Force.com of
Google). Hierbinnen zijn diverse inkoopvormen
mogelijk, namelijk:
~ publieke cloud: de meest ultieme vorm van cloud
computing, waarbij de diensten voor algemeen
gebruik zijn en met alle gebruikers worden ge-
deeld. Alles wordt ingericht en beheerd onder de
voorwaarden van de leverancier;
~ private cloud: de tegenhanger van de publieke
cloud, waarbij de infrastructuur wordt uitbesteed
aan een derde, maar alleen wordt gebruikt binnen
de specifieke context van een organisatie. De ge-
bruiker heeft grote invloed op de gestelde voor-
waarden aan het service level;
~ hybride cloud: een combinatie gemaakt van de
twee andere vormen, publiek en privaat. Essentië-
le (vertrouwelijke) applicaties worden bijvoorbeeld
in een private cloud gehangen, terwijl algemene
applicaties (bijvoorbeeld mail) in een publieke
cloud worden gehost en beheerd.
Binnen deze drie vormen wordt vervolgens onder-
scheid gemaakt in individuele inkoop en gezamen-
lijke inkoop. Gezamenlijke inkoop vergroot de on-
derhandelingspositie van de gebruiker ten opzichte
van de leverancier (Van der Harst, 2010).
26 MCA: oktober 2013, nummer 5
RisicomanagementbenaderingCloud computing brengt naast de diverse voordelen
ook potentiële risico’s met zich mee. Dit blijkt ook
uit onderzoek onder een groot aantal Chief Infor-
mation Officers (Berchum e.a., 2010). Als belang-
rijkste aandachtspunten (ofwel risico’s) worden de
beveiliging, integratie van bestaande systemen, zeg-
genschap over gegevens, beschikbaarheid dienst en
performance genoemd. Een goed risicomanagement
is daarom van cruciaal belang en een uitvoerige en
zorgvuldige risicoanalyse is een belangrijke eerste
stap bij het gebruik van cloud computing (Data Pro-
tection Working Party, 2012). Dit wordt versterkt
doordat het fenomeen cloud computing nog volop
in ontwikkeling is en zich bevindt op de weg naar
volwassenheid. Dit in combinatie met negatieve pu-
bliciteit over cloudincidenten (bijvoorbeeld de be-
veiligingsproblemen bij Dropbox) en al of niet te-
rechte zorg over toegang tot informatie door andere
overheden, heeft geleid tot een breed gedragen zorg
rondom het vertrouwen in cloud computing. Hierbij
is overigens ook gebleken dat percepties over voor-
en nadelen niet altijd overeenkomen met de feitelij-
ke situatie (Hendriks e.a., 2012). Om het een en an-
der te relativeren is het enige veilige systeem een
computer, ingepakt in een laag van zes meter gewa-
pend beton, die uitstaat (Van der Harst, 2010).
Het belang van risicomanagement is hierboven
aangetoond en daarom is een Cloud Computing
Risk Framework ontwikkeld waarvan het ontstaan
hieronder wordt toegelicht.
In het betreffende onderzoek zijn de risico’s in-
zichtelijk gemaakt door een gedegen literatuuron-
derzoek. Om hierbij een goede structuur te kiezen
zijn vanuit het vakgebied risicomanagement drie
mogelijke raamwerken bekeken, namelijk:
~ Enterprise Risk Management (ERM) Integrated
Framework van COSO (2004);
~ Cloud Security Alliance (2011), specifiek gericht
op cloud computing;
~ Control Objectives for Information and related
Technology versie 5 (COBIT 5) van ISACA (2012).
Alle raamwerken bieden een goede structuur voor
het uitwerken van een Cloud Computing Risk
Framework. Aangezien het raamwerk van COSO
een breder draagvlak heeft binnen de literatuur en
de werking ervan meerdere malen is bewezen (on-
der andere door Gates e.a., 2012) is deze als leidende
structuur gebruikt. Aspecten van het Cloud Securi-
ty Alliance en COBIT 5 raamwerk zijn hierbij ge-
bruikt als een checklist voor de volledigheid.
Daarnaast is het literatuuronderzoek versterkt
door een aantal diepte-interviews met deskundigen
op het gebied van risicomanagement inzake cloud
computing. De reden hiervan is dat cloud compu-
ting een nieuwe ontwikkeling is die de laatste jaren
een sterke opmars kent. Dit blijkt ook uit het jonge
karakter van de wetenschappelijke artikelen, waar-
van de oudste artikelen gepubliceerd zijn in 2009.
Door deze aanpak is het onderwerp vanuit meerde-
re perspectieven (literatuur en praktijk) bekeken,
wat de betrouwbaarheid verhoogt.
Cloud Computing Risk FrameworkHet COSO-raamwerk (figuur 1) bestaat uit vier ca-
tegorieën doelstellingen (bovenkant kubus), acht
componenten (voorkant kubus) en vier organisatie-
niveaus (zijkant kubus). Het Cloud Computing Risk
Framework is gericht op het niveau van de totale or-
ganisatie (entity-level) wat het detailniveau aangeeft
waarmee de categorieën en componenten zijn be-
schreven. Het bestaat uit vier onderdelen, namelijk:
~ interne omgeving & formuleren doelstellingen
(internal environment & objective setting);
~ rapportage & compliance (reporting & compliance);
~ operationeel (operations);
~ strategisch (strategic).
Vanwege de grote samenhang tussen rapportage &
compliance zijn deze twee categorieën samenge-
voegd. Tevens zijn de componenten interne omge-
ving en formuleren van doelstellingen als afzonder-
lijk onderdeel opgenomen vanwege de grote overlap
met alle categorieën doelstellingen. Binnen deze on-
‘Het enige veilige systeem is een computer, ingepakt in een laag van zes meter gewapend beton, die uitstaat’ (Van der Harst, 2010)
27MCA: oktober 2013, nummer 5
Internal Environment
Objective Setting
Event Identification
Risk Assessment
Risk Response
Control Activities
Information & Communication
Monitoring
derdelen van het Cloud Computing Risk Framework
zijn diverse risicoclusters van cloud computing be-
schreven. Deze worden hieronder kort toegelicht.
Interne omgeving & formuleren doelstellingenVoor de interne omgeving is het van belang om het
risico op ongewenst gedrag binnen de organisatie zo
veel mogelijk te verminderen. Een beheersingsactivi-
teit hiervoor is een gedegen management control sys-
teem, zodat de neuzen in de organisatie dezelfde kant
op wijzen. Hierbij dient een organisatie doelstellingen
te formuleren om potentiële risico’s te kunnen bepalen
die invloed hebben op het behalen van deze doelstel-
lingen. Deze moeten afgestemd zijn op de vastgestelde
risicoacceptatiegraad. Dit laatste is bij cloud compu-
ting belangrijk en het creëren van een juiste IT-align-
ment is daarbij essentieel. De overgang naar cloud
computing is namelijk een belangrijke strategische
keuze met niet alleen een grote impact op IT, maar
ook op de cultuur van de organisatie (bijvoorbeeld an-
dere manier van werken en specifieke kennis).
Rapportage & complianceDit onderdeel is veel besproken binnen cloud com-
puting en zorgt voor een grote hoeveelheid onzeker-
heid. Het bevat de volgende drie risicoclusters:
1. Informatie- en databeveiliging richt zich onder
andere op de rollen en verantwoordelijkheden bij
cloud computing, waarbij het van belang is dat de
afnemer (controller) altijd een leverancier (pro-
cessor) kiest die kan garanderen aan de wet- en
regelgeving voor dataprotectie te voldoen. Daar-
naast dienen risico’s ten aanzien van toegankelijk-
heid, identiteit, toegangsbeheer en complexiteit
beheerst te worden. Aangezien de persoonlijke
data wordt beheerd door de leverancier is het van
belang om goede afspraken te maken over de op-
slag van en controle over deze eigen gegevens. De
afnemer is namelijk de exclusieve controle kwijt.
Ten slotte is de transparantie van de leverancier
een belangrijk aandachtspunt. Veel leveranciers
geven namelijk vaak geen, of slechts in beperkte
mate, inzicht in de beveiligingsmaatregelen die
zijn genomen en de wijze waarop deze worden ge-
test en gecontroleerd. Een ‘right-to-audit’ geeft de
afnemer hierbij het recht om een controle op de
informatiebeveiliging uit te voeren.
2. Juridische afspraken (overeenkomsten) met de
leverancier zijn belangrijk om risico’s te onder-
vangen. Veel risico’s zijn niet afgedekt in de stan-
daardvoorwaarden, die overigens ook nog eens als
sterk eenzijdig, niet onderhandelbaar en weinig
transparant worden ervaren (Hendriks e.a., 2012).
Duidelijke afspraken over dataprotectie, informa-
tiebeveiliging, privacy en dienstverlening zorgen
wel voor de juiste zekerheid.
Figuur 1. ERM Integrated Framework (COSO, 2004)
‘De overgang naar cloud computing is een belangrijke strategische keuze met niet alleen een grote impact op IT, maar ook op de cultuur van de organisatie’
28 MCA: oktober 2013, nummer 5
OperationeelImplementatie aanpak en beheer
Informatie- en databeveiliging
Juridische afspraken (contractering)
Ongewenst gedrag t.a.v. doelstellingen en risico’sOnjuiste/onvolledige IT-alignment
Compliance/privacy
Strategische randvoorwaarden
Deskundigheid personeel (operationeel)
Ineffectieve en inefficiënte inzet van middelen t.b.v. implementatie
Onduidelijkheid rollen en verantwoordelijkheden dataprotectie
Checklist cloud computing & privacyChecklist contractering (incl. niveau dienstverlening)
Onjuist en onwettig (misbruik) van (privacygevoelige) gegevensOnwenselijk gebruik van (privacygevoelige) gegevens door locatie van data
Misbruik systeem door onvoldoende identiteits- toegangsbeheerOnjuiste opslag van en controle over eigen gegevensOnvoldoende controle op informatiebeveiliging door onvoldoendetransparantie leverancier
Sterk eenzijdige, niet onderhandelbare en weinig transparante standaardvoorwaarden
Onjuiste en/of onvolledige contractering leverancier, incl. afspraken over niveau dienstverlening en privacy
Onvoldoende zekerheid t.b.v. dataprotectie/informatiebeveiliging
Onjuiste inrichting beheerorganisatie
Onvoldoende deskundigheid gebruikers
‘Vendor lock-in’ door ontbreken open standaarden
Onzekerheid of weinig vertrouwen bij stakeholdersOnvoldoende vakkundige aansturing externe leverancier
Onvoldoende IT-deskundigheid (strategisch)
Vooraf onvoldoende inzicht in (financiële) consequenties van overstap/keuze voor clouddienst
Onvoldoende prestaties cruciale bedrijfsprocessen t.a.v. netwerkcapaciteitDataverlies door stoppen of verdwijnen van clouddienst bij
faillissement leverancierDataverlies door afbouwen of wijzigen clouddienst
vanwege economische redenen
Deskundigheid personeel (strategisch)
Business case
Business continuïteit en prestatie
Dataportabiliteit en interoperabiliteit (integratie en standaarden)
Rapportage & compliance
Cloud Computing Risk Framework
Interne omgeving & formuleren doelstellingen
Strategisch
3. Risico’s ten aanzien van compliance/privacy en
gegevensbescherming (dataprotectie) zijn wellicht
het meest besproken bij cloud computing. In Ne-
derland is de Wet bescherming persoonsgegevens
(WBP) van belang en de locatie van de data speelt
hierbij een belangrijke rol. Vanuit de WBP mogen
persoonsgegevens in beginsel slechts naar landen
buiten de EU worden doorgegeven indien dat land
een ‘passend beschermingsniveau’ kent. In de
praktijk betreft dit landen die op de zogenoemde
‘Witte lijst’ staan. Amerika staat hier bijvoorbeeld
niet op en het College bescherming persoonsge-
gevens (2012) heeft hiervoor belangrijke aan-
dachtspunten opgesteld. Deze gaan specifiek in op
de naleving van de ‘Safe Harbor Principles’, het
opvragen van een ‘third party mededeling’ zoals
ISAE 3402 en SSAE 16 en de rol van (sub)bewer-
kers.
OperationeelDit onderdeel is onderverdeeld in drie risicoclus-
ters, namelijk:
1. Implementatieaanpak en beheer: de implementa-
tieaanpak richt zich op het beschrijven van een
volledig projectplan. Het beheer bij cloud compu-
ting is vooral gericht op de deelprocessen identi-
teits- en rechtenbeheer en portfolio- en contract-
management (Manderveld e.a., 2011). Dit komt
doordat de leverancier belangrijke beheertaken
van applicatie- en technisch beheer volledig over-
neemt.
2. Risico’s ten aanzien van deskundigheid personeel (operationeel) worden gemitigeerd door het mee-
nemen en vooraf informeren van de gebruikers
over het juiste gebruik van de clouddienst. Een
mediaprotocol inclusief de consequenties van on-
verantwoord gedrag is hierbij een goed hulpmid-
del.
3. Een goede dataportabiliteit en interoperabiliteit voorkomt het risico op een ‘vendor lock-in’. Hier-
bij zit de afnemer vast in de standaard van de be-
treffende leverancier, waarbij de data niet goed
overplaatsbaar (dataportabiliteit) of uitwisselbaar
(interoperabiliteit) zijn. Het is hiervoor van be-
lang om vooraf goed zicht te krijgen op de ‘open-
heid’ van de leverancier.
StrategischHet onderdeel strategisch is onderverdeeld in vier
risicoclusters.
1. De strategische randvoorwaarden regieorganisa-
tie, IT-strategie en -governance zijn een belangrij-
ke basis om als organisatie de leverancier vakkun-
dig te kunnen aansturen (Van der Harst, 2010).
2. Risico’s ten aanzien van deskundigheid personeel (strategisch) hebben betrekking op de grote im-
pact van cloud computing op de IT-afdeling. Het
werken in een IT-omgeving binnen de cloud
vraagt een andere deskundigheid dan de traditio-
nele IT-omgeving. IT-medewerkers moeten bij-
voorbeeld de juiste competenties bezitten voor
het managen van een strategische relatie met de
leveranciers van clouddiensten, alsmede het wer-
ken onder stringente contractuele afspraken met
dezelfde leveranciers (Bristow e.a., 2010).
3. Ten behoeve van business continuïteit en presta-
Figuur 2. Cloud Computing Risk Framework
29MCA: oktober 2013, nummer 5
ties ontstaan de volgende risico’s door het gebrek
aan controle over de hardware, omdat bij cloud
computing de dienstverlening wordt uitbesteed:
~ slechtere prestaties door overbelasting van het
netwerk/platform door de prikkel bij de leveran-
cier om een zo hoog mogelijke financiële marge te
behalen (Tisnovsky, 2010);
~ geen garantie voor de minimale bereikbaarheid
(‘uptime’) van de dienst tegen de gebruikelijke
performance. Bij cruciale bedrijfsprocessen zorgt
dit voor ongewenste risico’s;
~ dataverlies bij het stoppen of verdwijnen van de
clouddienst door bijvoorbeeld faillissement leve-
rancier (Bristow, 2010; Tisnovsky, 2010) of afbou-
wen of wijzigen van de dienst vanwege economi-
sche redenen (Hendriks e.a., 2012).
4. Het beschrijven van een business case dwingt tot
het maken van een zorgvuldige en strategische
keuze om over te stappen naar een clouddienst.
Volgens Manderveld e.a. (2011) bevat een busi-
ness case de volgende aspecten:
~ kwalitatieve voor- en nadelen: een kwalitatieve
beschrijving van voor- en nadelen;
~ kwantitatieve voor- en nadelen: meetbare eenhe-
den, maar niet in geld uit te drukken;
~ financiële voor- en nadelen: in geld uit te drukken
meetbare eenheden;
~ risico’s: potentiële nadelen.
Aangezien het reduceren van kosten een belangrijke
reden is voor organisaties om over te stappen dient
vooraf een goede financiële analyse gemaakt te wor-
den. De systematiek total cost of ownership leent
zich goed voor cloud computing, omdat hierbij ook
minder zichtbare of verborgen kosten en opbreng-
sten inzichtelijk worden gemaakt.
Bovenstaande leidt tot het Cloud Computing
Risk Framework in figuur 2. Dit is een schermaf-
druk van een interactieve mindmap met gedetail-
leerde informatie per onderdeel.
Hoe kan het worden gebruikt?Het Cloud Computing Risk Framework is univer-
seel te gebruiken als checklist voor een risicoanaly-
se voor nieuwe of bestaande clouddiensten. Een uit-
voerige en zorgvuldige risicoanalyse is van cruciaal
belang bij het gebruik van cloud computing (Data
Protection Working Party, 2012). Het kan als onder-
deel van de business case worden opgenomen of
met terugwerkende kracht worden doorlopen voor
bestaande clouddiensten. Dit leidt dan tot een risi-
cobeoordeling die wel of niet acceptabel wordt ge-
acht, afhankelijk van de risicoacceptatiegraad van
de organisatie.
Ten slotte heeft het Cloud Computing Risk
Framework vanwege de snelle ontwikkelingen en
onvolwassenheid een beperkte geldigheidsduur. Met
name ontwikkelingen op het gebied van informatie-
beveiliging en wetgeving gaan snel. Bij de imple-
mentatie van het raamwerk dient het beheer van het
risk framework dan ook goed belegd te worden.
ConclusieIn dit artikel is de totstandkoming van het Cloud
Computing Risk Framework beschreven. Het raam-
Dit onderzoek was onderdeel van mijn afstu-
deerscriptie voor de EMFC-opleiding bij Ny-
enrode Business Universiteit. De scriptie ging
nog verder tot het niveau van mijn werkgever
Fontys Hogescholen, met de hoofdvraag wat
een goed Cloud Computing Risk Framework
voor Fontys Hogescholen is. Het onderzoek
bestond uit twee fasen, waarvan in dit artikel
fase 1 is beschreven. Een totaaloverzicht van
het afstudeeronderzoek is hieronder weerge-
geven. Het Cloud Computing Risk Framework
(Fontys) wordt de komende tijd geïmplemen-
teerd binnen Fontys Hogescholen.
FASE 1.1
Fase 1 Fase 2
FASE 2.1
FASE 2.2FASE 1.2
Cloud
computing Risk
Framework
(Fontys)
Cloud
computing Risk
Framework
(Universeel)
Onderzoeksfasering en -resultaten
‘Cloud computing is voor veel onderdelen niet uniek, maar oude wijn in nieuwe zakken’
30 MCA: oktober 2013, nummer 5
werk is gevoed vanuit de literatuur en de praktijk.
De confrontatie tussen beide heeft geleid tot drie
bevindingen.
Ten eerste blijkt een grote tegenstrijdigheid tus-
sen de literatuur en de praktijk ten aanzien van de
definitie van cloud computing en de genoemde
voordelen. Deskundigen betwisten namelijk het as-
pect van schaalbaarheid gekoppeld aan de pay-as-
you-go kostenstructuur en de verlaging van kosten
door invoering van cloud computing. Bij de meeste
aangeboden clouddiensten betaalt de afnemer vaste
licentiekosten en dus niet naar feitelijk gebruik.
Wellicht kan dit alleen worden bereikt bij de ultie-
me vorm van cloud computing, een publieke cloud.
Echter, grotere organisaties zullen niet snel over-
gaan tot een publieke cloud, want de afname van
een hybride of private cloud ligt meer voor de hand.
Ten tweede zijn veel beschreven risico’s van
cloud computing niet nieuw, want deze zijn er bij
traditionele IT-dienstverlening ook. Volgens een
van de deskundigen is cloud computing voor veel
onderdelen niet uniek, maar oude wijn in nieuwe
zakken. Het kan wel zijn dat de risicobeoordeling
(kans x impact) verschilt.
Ten derde en niet onbelangrijk komen de groot-
ste risico’s ten aanzien van cloud computing in de li-
teratuur en de praktijk overeen. Dit richt zich vooral
op de informatiebeveiliging, de privacy en dataver-
werking, het identiteitsmanagement, het individuele
gebruik van clouddiensten, de open standaarden en
de dataportabiliteit.
Al met al moeten de risico’s van cloud compu-
ting, als onderdeel van de totale IT-dienstverlening,
serieus worden genomen en een Cloud Computing
Risk Framework is hierbij een belangrijk hulpmiddel.
Literatuur
~ Berchum, M. van e.a. (2010), Cloud Computing in het Onderwijs, minder zorg
om techniek, meer profijt van IT, SURFnet/Kennisnet, pp. 1-79.
~ Bristow, R. e.a. (2010), Cloud Computing and the Power to Choose, Educausere-
view, mei-juni 2010, pp. 14-30.
~ Cloud Security Alliance (2011), Security Guidance for Critical Areas of Focus in
Cloud Computing v3.0, Cloud Security Alliance, versie 3.0, 2011
~ College Bescherming Persoonsgegevens (2012), Zienswijze inzake de toepassing
van de Wet bescherming persoonsgegevens bij een overeenkomst met betrekking
tot cloud computing diensten van een Amerikaanse leverancier, Cbp, 10 septem-
ber 2012, http://www.cbpweb.nl/pages/med_20120910-zienswijze-cbp-cloud-
computing.aspx.
~ COSO (2004), Enterprise Risk Management Integrated Framework (ERM), Man-
agement Summary, september 2004.
~ Data Protection Working Party (2012), Opinion 05/2012 on Cloud Computing,
onafhankelijk Europees adviesorgaan voor data protectie en privacy, opgezet
onder artikel 29 van Directive 95/46/EC, juli 2012.
~ Gates, S. e.a. (2012), Enterprise Risk Management: A Process for Enhanced
Management and Improved Performance, Management Accounting Quarterly,
Spring 2012, vol. 13, nr. 3, pp. 28-38.
~ Harst, G. van der (2010), Cloud Computing, checklist en de te stellen vragen,
SURFnet, december 2010.
~ Hendriks, A., E.M. Meershoek e.a. (2012), Cloud Computing, Fundament op
Orde, eindrapportage, Verdonck, Kloosters & Associates B.V., versie 1.1., pro-
jectnummer 20110472.
~ ISACA (2012), COBIT 5, A Business Framework for the Governance and Man-
agement of Enterprise IT, ISBN 978-1-60420-237-3.
~ Manderveld, J. e.a. (2011), Cloud Computing, een kans voor het onderwijs,
SURFnet/Kennisnet Innovatieprogramma, november 2011.
~ Minke, B. (2010), De cloud controller, Controllersmagazine, mei 2010, pp. 34-36.
~ Sultan, N. (2010), Cloud Computing for Education: A new dawn? International
Journal of Information Management, vol. 30, pp. 109-116
~ Tisnovski, R. (2010), Risk versus Value in Outsourced Cloud Computing, Finan-
cial Executive, November 2010, pp. 64-65.
Bert Schellekens is als Manager Bedrijfsvoering werkzaam bij Fontys Sporthogeschool