BCM en de Cloud CSA-nl – 10 april 2012 André Koot
[email protected]
Twitter: @meneer
Agenda Cloud Risico's Maatregelen
1. Cloud
Cloud en continuïteit Cloud omnipresent Wereldwijd alle grote aanbieders Volop management aandacht Is het wel ICT?
Cloud Proven technologie ➢ Reëel alternatief standaard ICT Steeds meer aanbieders Volwassenheid ➢ Deels al ‘mainstream’ ➢ Vooral 'Point solutions' >nog niet voor procesoverstijgende functies >integratiemogelijkheden nog in de kinderschoenen
Gartner Hype Cycle juli 2011
Diensten en architecturen IAAS PAAS SAAS Interne Cloud Publieke Cloud Hybride Cloud
2.
Continuïteitsrisico's
Connectiviteit •App in the cloud: kom daar maar eens bij •Eigen internetverbinding is bedrijfskritisch
IAAS/PAAS
Natuurlijk •Blijkbaar is ook technologie niet onfeilbaar...
SAAS
Groot is niet voldoende •Ook de grootste professionele aanbieders falen •En wat als dit nou eens onze Cloud-BCM provider was...
Klein •Kleine oorzaken hebben grote gevolgen
Vertrouwen •Trust is a Single point of Failure
Afspraken •Ook contracten dekken niet alle risico's af •Slachtoffer van andere 'tenants'
Onzekerheden Onbekende risico's? Auditors en Toezicht ➢ Normen voor continuïteit ➢ Incidentgedreven aandacht voor security
Risico's volgens de industrie Gartner identificeert de volgende risico’s ➢ Loss of application functionality ➢ Loss of transaction data or records ➢ Loss of administration data ➢ Loss of community
IAAS, PAAS, SAAS IAAS ➢ ➢
Provider valt weg Politiek
PAAS ➢
Standaarden veranderen
SAAS ➢ ➢
Vendor lock-in Business Case vs regelgeving
3.
Maatregelen
“Entree strategie” Aandacht voor ➢ Gegevensbescherming en privacy ➢ Classificatie ➢ Beschikbaarheid en continuïteit Classificatie ➢ Wat naar de cloud en wat niet ➢ Criteria en business cases Cloud betekent ook: Standaardiseren
Randvoorwaarden Contract ➢ Inkoopvoorwaarden Toezicht en controle ➢ SAS70, ISAE 3402
Control's Technologie ➢ Redundantie inbouwen, tot aan 3G Contracten ➢ Standaarddiensten: niet veel specifiek mogelijk! ➢ Uitwijk / recovery ➢ Testen
Architectuur aspecten IAAS ➢
Veel organiseren door klant
SAAS ➢
Veel organiseren door provider
Nut Escrow Traditionele Escrow gaat niet meer werken Cloud Escrow nodig ➢ Gegarandeerde toegang tot broncode in geval calamiteit nodig ➢ Zekerheid omtrent versies
En wat zegt de industrie? 4 Gartner risico’s ➢ Loss of application functionality >Volgende sheet ➢ Loss of transaction data or records >Periodieke dump, eigen/open formaat ➢ Loss of administration data >Periodieke dump ➢ Loss of community >Interacties identificeren en alternatieven ontwikkelen
Loss of application continuity The planned exit ➢ 7 stappen actieplan Migration to an on-premises version of the SaaS solution The cloud provider ➢ Software escrow ➢ Releasing the application to the opensource community
7 stappen actieplan Evaluate the market prior to investment (and annually thereafter) to delineate which alternative suppliers are most suitable Ensure that you have access to current transaction data, records and/or administrative data by scheduling periodic extracts as needed, by defining upfront what your data means, and by negotiating rights to exit the vendor smoothly. Define in your contract what constitutes a business continuity breach, which would allow you to exit the contract with a refund for any prepaid fees. Ask the vendor to contract with their cloud provider to continue to operate the solution on behalf of all customers. Negotiate a contractual right to access the solution, your configuration and your partners from a trusted third party that agrees ahead of time to assume responsibility Negotiate the right to run the solution yourself. Ask the vendor to contractually agree to open its code to open source.
4.
Conclusie
Essentie BCM Niet veel anders dan traditioneel Voordelen Cloud: ➢ Professionele aanbieders ➢ Beschikbaarheid lijkt geen probleem! Nadelen Cloud: ➢ Professionele afnemer nodig ➢ Menselijke fouten... Vaststellen criteria voor migratie naar cloud ➢ Entree strategie
Idee ontwikkeling Cloud provider Fall-Back ➢ Federatie van cloud providers ➢ Master-Slave architectuur
Governance? Normeren Cloud BCM? BS25-307 en 309? Domain 7 van de CSA Guideline v3? Wat ontbreekt?
Herkenbaar? Zijn deze problemen en richtingen herkenbaar?
Hoe nu verder? Studierapport Baseline
