sTN Whitepaper maart 2013
Clouddiensten gebruiken of niet? Maak een onderbouwde beslissing Management samenvatting Het gebruik van clouddiensten staat sterk in de
Ondernemen is risico’s nemen, maar wel verantwoorde risico’s
belangstelling. Ze brengen MKB-ondernemers gemak,
Toch is nu met verstandig inzetten van clouddiensten
flexibiliteit, toegang tot extra functionaliteiten en
een concurrentievoordeel te behalen. Juist omdat IT
dat vaak tegen lagere kosten. Maar de industrie
en telecommunicatie niet tot de kerntaken van de
van clouddiensten is nog jong en onvolwassen. Dat
onderneming behoort, is het interessant die taken uit
zorgt voor extra risico’s met betrekking tot bedrijfs
te besteden aan partijen die daarvoor veel de kennis en
continuïteit, wet- en regelgeving, privacy en uitwissel-
expertise in huis hebben. Het loodgieterswerk is voor
baarheid van gegevens.
hen en de gewenste functionaliteit – kantoorapplicaties, het klantenbeheer of de bedrijfscentrale – komt zo uit
Ondernemers schrikken vaak terug van die onzeker-
de wandcontactdoos met een contract dat maandelijks
heden. Computers, software-onderhoud en commu-
is aan te passen. Ondernemers kunnen die voordelen al
nicatie behoren voor de meeste ondernemingen niet
optimaal benutten. Maar niet voordat extra aandacht is
tot de kerntaken. Vaak ontbreekt de tijd, kennis en
gegeven aan de selectie van de dienstenaanbieder en
ervaring om veel te experimenteren met deze zaken.
het contract dat op tafel komt, juist omdat die risico’s
Dus wanneer alles een beetje draait, staat niemand
van een jonge markt nog niet zo vanzelfsprekend zijn
te springen om de boel om te gooien, zeker niet
gedekt als bij een gas- of elektriciteitscontract.
wanneer er twijfels bestaan of de gegevens niet op straat kunnen komen te liggen. Of wanneer er vrees
Zo maakt het voor de privacygevoeligheid een heel
is dat de Belastingdienst of het College Bescherming
verschil of er gratis clouddiensten worden ingezet. Of
Persoonsgegevens opeens komt aankloppen dat de
dat een onderneming kiest voor een betaalde dienst
gekozen dienstverlening niet aan de wetten en regels
waarvoor een solide contract uitonderhandeld kan
voldoet. De veilige weg is daarom nog een aantal jaar
worden. Ook zitten er verschillen tussen risico’s die
te wachten tot alle kinderziekten zijn verdwenen.
worden aangegaan met wereldwijd opererende cloud aanbieders en die zich voordoen wanneer lokale of gespecialiseerde dienstverleners worden ingezet. 1
sTN Whitepaper maart 2013
Door risico’s in kaart te brengen en vervolgens goede
Inhoudsopgave
afspraken te maken met de dienstverlener, kunnen de valkuilen worden omzeild en zijn de voordelen
Management samenvatting
1
1 Introductie
3
2 Cloud, niets nieuws onder de zon
3
3 Waarom zijn clouddiensten aanlokkelijk
4
te benutten. Stel bijvoorbeeld de dienstenaanbieder de vraag wie verantwoordelijk is wanneer de dienst wel beschikbaar is, maar traag werkt? Wat staat daar tegenover? En welke gegevens verzamelt de aanbieder over de dienst en kan de klant die gegevens inzien? Ook belangrijk: Hoe bereidt je je als onderneming voor op een situatie dat er toch iets fout gaat zodat de
3.1 Schaalgrootte
4
schade beperkt blijft? sTN licht in deze whitepaper de
3.2 Standaardisatie
4
ontwikkeling van clouddiensten toe en benoemt de
3.3 Wereldwijde beschikbaarheid
5
aandachtspunten bij het aangaan van het contract.
3.4 Geen investeringen vooraf
5
4 Het keuzelandschap is divers
5
4.1 Internationaal
5
Leeswijzer
4.2 Nationaal
5
Na de introductie in hoofdstuk 2 komt in hoofd-
4.3 Gespecialiseerd
5
stuk 3 het begrip cloud aan orde. Waar ont-
4.4 Gratis versus betaald
6
stond de metafoor van de cloud en hoe spelen verschillende trends op elkaar in bij het huidige aanbod van clouddiensten.
5 Haken en ogen aan de cloud, gebruik verstand 5.1 Robuustheid dienstverlener
6 6
5.2 Voorkom afhankelijkheid van één Hoofdstuk 4 biedt een overzicht van de voor delen van het gebruik van clouddiensten. In hoofdstuk 5 staan de doelgroepen van de
aanbieder (vendor lock-in)
6
5.3 Voldoen aan wet- en regelgeving (compliance) 7
verschillende aanbieders in de cloud, van inter-
5.4 Encryptie en sleutelbeheer
7
nationaal tot lokaal. Ook komen de v erschillende
5.5 Gaat het toch mis
7
diensten aan bod die in de cloud worden aangeboden, van tekstverwerking tot gespecia-
6 Praktische aandachtspunten op een rij
liseerde bedrijfsprocessen.
6.1 Vragen die de Cloud Security Alliance
In hoofdstuk 6 staan waarschuwingen en
6 .2 Vragen met betrekking op service
adviseert te stellen adviezen. Samen bieden die een handvat om in
levels (SLA)
8 8 8
de contractbesprekingen met de aanbieder van de clouddienst afspraken te maken over een
7 Referenties
8
goed en veilig gebruik. Zo kan uw onderneming de voordelen genieten zonder dat de nadelen de winst teniet doen. Hoofdstuk 7 zet de belangrijkste vragen aan een aanbieder van clouddiensten op een rij en hoofdstuk 8 geeft een overzicht van bronnenmateriaal en suggesties om verder te lezen.
2
sTN Whitepaper maart 2013
1 Introductie
ïteit, maar ook over de eisen die verschillende wetten
“Het MKB kan veel besparen met cloud, maar dan moet
stellen aan de opslag van gegevens.
nog veel geregeld worden”, zei voormalig minister
Deze hobbels in de dienstverlening verdwijnen
Economische Zaken, Landbouw & Innovatie Maxime
ongetwijfeld de komende jaren onder invloed van de
Verhagen vorig jaar in de Tweede Kamer. Hij gaf daar-
concurrentie tussen dienstverleners maar ook door
mee de aftrap aan een initiatief waarin de overheid
initiatieven van overheden en bedrijfsleven op dit vlak,
zich samen met het bedrijfsleven de komende jaren
zowel nationaal als in internationaal verband. Infor-
extra inzet om die belemmeringen weg te werken.
matietechnologie krijgt dan steeds meer het karakter van elektriciteit, water of gas dat uit een aansluiting in de muur komt na het afsluiten van een overzichtelijk standaardcontract. Echter, juist nu kan de inzet van clouddienstverlening een extra concurrentievoordeel opleveren. De voorwaarde is wel scherp op te letten bij het sluiten van contracten en het inrichten van processen . In deze whitepaper komen de belangrijkste aandachtspunten aan de orde.
2 Cloud, niets nieuws onder de zon Het begrip de cloud is een paar jaar tijd uitgegroeid Verwachte groei in de uitgaven aan clouddiensten
tot een modewoord, een begrip waarin steeds meer
in Nederland
wordt ondergebracht. Iemand bedacht begin jaren 90 bij het beschrijven van de werking van internet dat het
De voordelen van de cloud zitten vooral in het gemak
tekenen van een wolkje mooi aangaf dat op internet
waarmee de ondernemer de dienstverlening kan aan-
niet van te voren te bepalen is hoe datapakketjes van
passen aan de behoefte, zonder dat daar veel techni-
plek A naar plek B komen.
sche kennis voor nodig is of grote investeringen mee
Internet is een enorme kluwen van aan elkaar ge-
zijn gemoeid.
knoopte publieke netwerken. Het gemeenschappelijk afgesproken verkeersprotocol zorgt er voor dat
Die flexibiliteit zorgt er voor dat informatietechnologie
wanneer iemand een pakketje met een adreslabel
de bedrijfsvoering optimaal kan ondersteunen, terwijl
eraan ergens op het netwerk zet, het vanzelf op de
de kosten laag blijven door gebruik te maken van de
goede plek op de wereld aankomt. Je stopt het als het
schaalgrootte bij de dienstverlener.
ware aan de ene kant in de wolk en het komt er aan de andere kant uit.
Omdat deze manier van werken nog relatief jong is, zijn de valkuilen niet vanzelfsprekend afgedekt. Die valkuilen zitten in de techniek, het dagelijks gebruik en op het juridische vlak. De tekortkomingen zorgen voor aarzeling bij het inzetten van de cloud, niet alleen bij MKB-ondernemers, maar ook bij grote bedrijven. De onbekendheid met de nieuwe aanpak - zowel bij aanbieders als hun afnemers - leidt terecht tot kritische opmerkingen over de beveiliging van gegevens die de klant aan de clouddienstverlener toevertrouwt. Ook het idee dat niet altijd duidelijk is waar de gegevens blijven, roept op zijn minst vragen op over bedrijfscontinu3
sTN Whitepaper maart 2013
Het wolktekeningetje (cloud) had echter net zo
IBM . Hun rekencentra bieden de software aan als
goed een zwarte doos (black box) of desnoods de
diensten in het netwerk. Inmiddels hebben ook middel-
grote zakdoek van een goochelaar kunnen zijn. Het
grote bedrijven zo’n gevirtualiseerde IT-omgeving op
cloud-symbool beschreef toen uitsluitend de publieke
de eigen servers die daarom wel wordt aangeduid met
netwerkinfrastructuur.
een ‘private’ cloud. MKB-ondernemers krijgen vooral te maken met aan-
Wanneer we het tegenwoordig over de cloud spreken,
bieders van lokale of internationale clouddiensten. Die
hebben we het veel meer over diensten als e-mail, op-
diensten komen in de plaats van hardware en soft-
slag, sociale netwerken en apps. Diensten die voorheen
ware die de ondernemers tot voor kort zelf moesten
werden aangeduid met ‘managed services’, ‘application
aanschaffen.
services’, ‘hosted services’ en ‘Software as a Service
Voorbeelden van dergelijke diensten zijn:
(Saas).
• kantoorapplicaties (Microsoft Office, Google Apps) • boekhoud- en orderverwerkingssystemen
Virtualisatie
• klantbeheersystemen (CRM)
Gedurende dezelfde periode ontwikkelde zich de
• opslag
virtualisatie-trend: de software die de basis vormt voor
• telefonie (bedrijfscentrale)
deze diensten hoeft niet meer persé op één fysieke
• beheer van de lokale infrastructuur
computer te draaien. Wanneer er behoefte is aan meer
(pc’s, besturingsystemen, bedrijfsnetwerk)
capaciteit, verdeelt de software zich automatisch over meer servercomputers, of zelfs over verschillende rekencentra verspreid over de wereld.
3 Waarom zijn clouddiensten aanlokkelijk
Wanneer de activiteit weer afneemt, trekt de software
Het uitbesteden van het beheer van bovengenoemde
zichzelf terug en deelt de capaciteit op de servercom-
systemen heeft grote voordelen. De belangrijkste plus-
puter met andere software die op dat moment juist
punten staan hieronder kort toegelicht.
meer capaciteit nodig heeft. Hierbij is – net als bij het netwerk – vaak onduidelijk waar een gewenst proces
3.1 Schaalgrootte
zich voltrekt in de wereldwijde wolk aan capaciteit.
De dienstverlener richt zijn datacentrum niet in voor één onderneming, maar voor velen. Zijn inkoop is daardoor veel voordeliger, net als het beheer. Bovendien kan hij door de virtualisatie van zijn servers, de beschikbare capaciteit veel efficiënter inzetten dan een individuele onderneming dat kan. Ook heeft de dienstverlener als het goed is veel meer kennis en ervaring in huis voor de ondersteuning van de specifieke software dan een individuele onderneming. 3.2 Standaardisatie Om optimaal gebruik te kunnen maken van de schaalvoordelen is de dienstverlener geneigd de dienstverlening waar mogelijk te standaardiseren. Dat heeft als voordeel dat de klanten goed weten wat ze krijgen. Ook is snel duidelijk wat er eventueel moet gebeuren
Veel software draait nu nog op de server op kantoor
om toch voorzieningen te krijgen die niet in de standaard-aanpak zitten. Standaardisatie kan het makke-
Die virtualisatie-trend begon bij de grote aanbieders
lijker maken om over te stappen naar concurrerende
op internet zoals Amazon en Google, maar breidde zich
dienstenaanbieder, maar dat is geen garantie (zie
snel uit naar grote bedrijven met een eigen datacen-
hoofdstuk 5.2).
trum zoals financiële instellingen en IT-bedrijven als 4
sTN Whitepaper maart 2013
3.3 Wereldwijde beschikbaarheid
4.1 Internationaal
De diensten komen over een beveiligde internetverbin-
Salesforce.com was in 1999 een van de eerste
ding beschikbaar op kantoor. Maar die internetverbin-
bedrijven die zich uitsluitend toelegde op het leveren
ding is ook van elke plek op de wereld op te zetten met
van een zakelijke internetdienst, namelijk klanten-
een pc of in veel gevallen ook met een smartphone.
beheer (CRM). Tot dan toe had vrijwel ieder bedrijf
Het cloudaanbod zorgt er dus voor dat de laatste gege-
daartoe zelf software in huis. Salesforce.com bedient
vens uit het bedrijfsproces makkelijk zijn in te zien en
vanuit Californië grote multinationale ondernemingen,
te bewerken door werknemers in de buitendienst, voor
maar ook het verzekeringsagentschap op de hoek van
thuiswerkers of Bedrijfsgegevens zelfs beschikbaar in
de straat. Er is inmiddels een groot aantal bedrijven dat
het vakantiehuisje zelfs - wanneer dat zo uitkomt - in
internationaal diensten aanbiedt die interessant zijn
het vakantiehuisje. Clouddiensten maken plaats- en
voor zakelijke gebruikers. Google en Microsoft bieden
tijdonafhankelijk werken, ook wel aangeduid met Het
bijvoorbeeld kantoorapplicaties voor tekstverwerking,
Nieuwe Werken , heel gemakkelijk.
presentatie en rekenen (spreadsheet) maar ook voor het opslaan en uitwisselen van willekeurige bestanden. Dropbox en alternatieve aanbieders als Probox, Syncplicity, Cubby en Huddle die claimen beter beveiligd te zijn , hebben zich helemaal toegelegd op de opslag van bestanden en het uitwisselen ervan tussen computers. Een dienst als Evernote voegt daar weer mogelijkheden aan toe, zoals snel een notitie maken en bewerken, bestanden en webpagina’s verzamelen en het geheel makkelijk te groeperen voor later gebruik. Dit zijn maar enkele voorbeelden uit het grote aanbod van internationale clouddiensten die de productiviteit van de werknemers v ergroten of essentiële taken uit het bedrijfsproces invullen.
Bedrijfsgegevens zijn zelfs beschikbaar in het vakantiehuisje
4.2 Nationaal Verschillende telecombedrijven in Nederland waar-
3.4 Geen investeringen vooraf
onder KPN bieden eveneens generieke diensten aan
Bij uitbesteding in de cloud zijn de hardware en
zoals opslag, backup maar ook kantoorapplicaties. Het
softwarelicenties een zorg voor de dienstverlener. De
voordeel is dat zij de zakelijke diensten in een pakket
MKB-ondernemer betaalt slechts voor wat daadwerke-
aanbieden samen met de communicatiediensten waar-
lijk wordt gebruikt. Afhankelijk van het contract en de
voor ze toch al een relatie met hun klanten hebben.
complexiteit van de dienst is het vaak mogelijk zonder
Het voelt al snel vertrouwd aan vanwege de jarenlan-
startkosten binnen enkele weken een nieuwe dienst in
ge reputatie van deze bedrijven en hun op Nederland
gebruik te nemen. Ook is opzeggen per maand door-
gerichte dienstverlening.
gaans geen probleem. Tussentijds uitbreiden of inkrimpen van de dienstverlening is eenvoudig te regelen,
4.3 Gespecialiseerd
ook voor een korte periode.
Heel wat aanbieders van branchespecifieke software in Nederland hebben hun aanbod inmiddels ook als
4 Het keuzelandschap is divers
online-dienst beschikbaar gemaakt. In plaats van DVD’s, een licentie en eventueel bijbehorende installa-
De modewoord cloud heeft een grote aanzuigende
tie- en beheerdiensten te verkopen, bieden ze nu hun
werking gehad op IT-bedrijven die hun dienstverlening
boekhoudpakketten, workflowsystemen of orderver-
in de vorm van een clouddienst zijn gaan aanbieden.
werking via internet aan. Daaromheen verzamelen 5
sTN Whitepaper maart 2013
zich dan vaak weer lokale dienstverleners die het
maar ook die van de leverancier van de dataverbinding.
technische gedeelte van dit aanbod verzorgen en gelijk
In de servicelevelagreements (SLA’s) moet duidelijk
additionele diensten toevoegen, zoals kantoorapplica-
omschreven staan wat de leveringsplicht is van de
ties of zelfs het beheer van desktops, printers en de
cloudaanbieder, maar ook de inspanningsplicht bij het
netwerkinfrastructuur.
oplossen van onverhoopte verstoringen in de dienstverlening . Beiden partijen moeten overeenstemming
4.4 Gratis versus betaald
bereiken over hoe gemeten gaat worden of en in
Met de opkomst van internet is de indruk ontstaan dat
welke mate de dienstenaanbieder aan die leverings-
veel zaken waarvoor eerst betaald moest worden, nu
en inspanningsplicht voldoet. Het is verder belangrijk
gratis zijn. Elke ondernemer weet natuurlijk dat dat
het vooraf eens te worden hoe die metingen worden
niet mogelijk is. Ergens moet voor de dienst worden
geïnterpreteerd.
betaald. Dat kan in de vorm van advertentie-inkomsten rondom de dienstverlening of - en dat is zorgwekken-
Het is verstandig een boeteclausule af te spreken
der - het verkopen van de al dan niet geaggregeerde
wanneer de dienstverlener niet aan zijn verplichtin-
en geanonimiseerde (gebruiks)gegevens die de cloud-
gen voldoet. Een alternatieve, vriendelijker aanpak
dienstverlening genereert.
is het toezeggen van een goede bonus wanneer de
Het voordeel van het gratis aanbod of de gratis
aanbieder aan alle afspraken heeft voldaan.
probeerversie van een dienst is wel dat de klanten laagdrempelig ervaring kunnen opdoen met de nieuwe
5.2 Voorkom afhankelijkheid van één aanbieder
vorm van werken. Maar houd altijd in het achterhoofd
(vendor lock-in)
dat de risico’s bij gratis vele malen groter zijn dan bij
Standaardisatie van diensten kan het wisselen van
een betaalde dienstverlening.
dienstenaanbieder vereenvoudigen. Ook het gebruik van resultaten van de ene clouddienst in een dienst-
5 Haken en ogen aan de cloud, gebruik verstand De hele industrie rond clouddiensten bestaat misschien
verlening van een andere aanbieder is vaak eenvoudig als beiden gebruik maken van open standaarden. Dat geldt ook voor verdere verwerking van de gegevens uit de cloud met ‘in-huis’-software.
net 10 jaar waarbij de sterkste groei van het aanbod plaatsvond in de laatste 5 jaar. Zo’n jonge sector biedt
Toch is standaardisatie zeker geen garantie voor deze
kans voor veel innovatie en ondernemerschap, maar
mogelijkheden. Een ondernemer kan onaangename
trekt ook opportunisten en cowboys aan bij wie de con-
verrassingen voorkomen door eerst zelf een goede
tinuïteit van de eigen dienstverlening en die van hun
inventarisatie van de bedrijfsprocessen te maken en
klanten niet de hoogste prioriteit heeft. Het groeiproces
een strategie te formuleren voor de komende jaren.
gaat ook gepaard met kinderziekten waarvoor een
Het aanbod van de clouddienstenaanbieder moet die
oplossing moet uitkristalliseren. Meer nog dan bij het
langetermijnwensen kunnen faciliteren, ook al bete-
aangaan van contracten met andere toeleveranciers, is
kent het dat functionele koppelingen moeten worden
het belangrijk te letten op de volgende aspecten.
gemaakt met externe bronnen.
5.1 Robuustheid dienstverlener
Ook is het belangrijk helder te krijgen wat cloudprovi-
Het uitbesteden van essentiële processen voor de
der aan maatregelen heeft getroffen mocht zich een
bedrijfsvoering, maakt de onderneming afhankelijk
calamiteit voordoen. Is er een uitwijkvoorziening en
van zijn dienstverlener. Uitval van de dienstverlening
kan de aanbieder laten zien dat hij die regelmatig test?
leidt al snel tot extra kosten, omzetverlies en in het slechtste geval tot faillissement van de klant. In het
In het contract moet vastliggen wie juridisch eigenaar
selectieproces van een cloudaanbieder en bij de con-
is van de gegevens die aan de cloudvoorziening zijn
tractbesprekingen is het maken van harde afspraken
toevertrouwd en hoe deze beschikbaar komen bij de
over continuïteit van de dienstverlening dus van groot
beëindiging van het contract of in geval van een cala-
belang. Daarbij zijn niet alleen de leveringsvoorwaar-
miteit. Dat geldt helemaal voor software die speciaal
den van de aanbieder van clouddiensten belangrijk
is ontwikkeld ten behoeve van de klant. Wanneer het 6
sTN Whitepaper maart 2013
gaat om een voor het bedrijfsproces essentiële dienst,
welke personen bij de dienstverlener toegang hebben
is het aan te raden een goede alternatief (plan B) op
tot welke gegevens.
een onafhankelijke infrastructuur achter de hand te
In de eigen onderneming moet net zo goed een beleid
houden en het overschakelen daarop ook periodiek te
worden geformuleerd wie van welke diensten gebruik
testen.
mag maken. In een klassieke lokale IT-omgeving is het tegenwoordig redelijk eenvoudig iedere werknemer
5.3 Voldoen aan wet- en regelgeving (compliance)
met een enkel wachtwoord op de pc de juiste toe-
Ondernemers leggen gegevens vast over klanten,
gang te geven tot de software waar hij of zij rechten
medewerkers en relaties. De Wet Bescherming Per-
in heeft. Met het uitbesteden van IT bij verschillende
soonsgegevens (WBP) eist dat de ondernemer de
clouddienstverleners levert dat vaak problemen op.
juiste maatregelen treft om te voorkomen dat deze in verkeerde handen vallen en worden misbruikt.
Ondernemers moeten voorkomen dat hun werknemers
Wanneer deze gegevens worden ondergebracht bij een
met een groot aantal complexe wachtwoorden moeten
dienstverlener, heeft de klant van de dienstverlener de
omgaan (de digitale sleutelbos ) omdat dit onherroepe-
plicht een bewerkersovereenkomst te sluiten en toe te
lijk leidt tot het noteren van wachtwoorden die op die
zien op de naleving ervan.
manier gaan rondslingeren. Een identityserviceprovider
Vanwege het internationale karakter van de cloud, is
(IDaaS) kan in zo’n geval een oplossing bieden. De
het vaak niet duidelijk in welk land de gegevens staan
aanbieders van de verschillende clouddiensten moeten
opgeslagen en of de regels die de WBP oplegt aan
dan wel overweg kunnen met de diensten van zo’n
dienstverleners daar ook kan worden afgedwongen. De
IDaaS-aanbieder.
dienstverlener met internationale datacentra moet daar dus zelf een verklaring over afgeven.
5.5 Gaat het toch mis Alle beveiligers, of het nu gaat om slotenmakers of
Om dezelfde reden moeten afspraken worden gemaakt
IT-beveiligers, zijn het met elkaar eens: 100 procent
over regels die de wetgever oplegt met betrekking tot
veiligheid bestaat niet. Het gilde kwaadwillenden
de fiscale en commerciële jaarrekening (IFRS, Sox). Dat
innoveert net zo snel als de beveiligers en heeft het
geldt ook voor de regels uit de Telecomwet (Tw) met
voordeel altijd een stap voor te zijn. Of je als bedrijf er
betrekking tot de aftapbaarheid van netwerken en het
mee te maken krijgt, hangt af van wat er aan waarde-
bewaren van verkeersgegevens.
vol materiaal te vinden is en of het de moeite waard is de getroffen beveiligingsmaatregelen te doorbreken.
Verder vereist de Privacywet dat gegevens niet lan-
Hoe groter de organisatie, hoe meer geïnvesteerd kan
ger bewaard worden dan strikt noodzakelijk is. Een
worden in beveiliging. Maar met de omvang neemt ook
cloudaanbieder moet duidelijk kunnen maken wat er
vaak de zichtbaarheid en de aantrekkelijkheid voor de
gebeurt met gegevens die zich in backups bevinden of
kwaadwillende hacker toe.
bijvoorbeeld op een defecte harde schijf in het datacentrum, die is vervangen.
Ondernemers doen er daarom goed aan zelf een risico-inventarisatie te maken. Dat geldt niet alleen bij
5.4 Encryptie en sleutelbeheer
het gebruik van clouddiensten, maar verdient in dat
Een goede manier om te voorkomen dat gegevens
geval wel extra aandacht. Wat kan er fout gaan? Hoe
in verkeerde handen vallen is gebruik te maken van
kan een beveiligingsincident zo snel mogelijk worden
versleuteling (encryptie) van alle gegevens die aan de
gesignaleerd?
cloud worden toevertrouwd. Wanneer er alleen sprake is van opslag in de cloud of uitwisseling via de cloud is
Stel een plan op met maatregelen om de schade zo
daarin eenvoudig te voorzien met lokale encryptiesoft-
veel mogelijk te beperken en vergeet niet dat plan
ware . Wanneer de gegevens ook door clouddienst
periodiek te evalueren. Zorg dat het personeel op de
worden bewerkt, moeten daarover afspraken worden
hoogte is van het plan en bijvoorbeeld goed weet wel-
gemaakt met de clouddienstverlener. Dan is het ook
ke data wel en niet in de cloud gezet mogen worden.
belangrijk vast te leggen wie bij de dienstverlener
Doe een vergelijkbare inventarisatie voor wanneer de
aansprakelijk is voor het beheer van de sleutels. En
dienst toch (voor langere tijd) uitvalt. 7
sTN Whitepaper maart 2013
6 Praktische aandachtspunten op een rij
7 Referenties
6.1 Vragen die de Cloud Security Alliance adviseert
1 Cloud Computing fundament op orde, Min EL&I
te stellen
(Verdonk Klooster Associates), maart 2012. (pdf)
• Wie heeft toegang tot de gegevens?
http://bit.ly/zIpZdU
• Hoeveel werknemers hebben toegang tot root, database en infrastructuur?
2 Leveringsvoorwaarden cloud-aanbieder blinde vlek, Fujitsu, april 2012 http://bit.ly/VcLeDb
• Welk beleid is er van kracht om te voorkomen dat de werknemers van de cloudaanbieder toegang krijgen tot de gegevens van uw bedrijf?
3 Fast track to the future, IBM, december 2012. (pdf) http://ibm.co/Sfa5F0 4 Wat is Het Nieuwe Werken, Werken 2.0, feb 2013.
• Zijn de gegevens versleuteld in rust en in bewerking? • Wordt de infrastructuuromgeving door meer klanten gebruikt (multi-tenant) en zo ja hoe wordt de segmentatie van de gegevens gewaarborgd? • Staan mijn gegevens op servers in andere landen? Zo ja wat betekent dat voor de juridische
http://bit.ly/wwPz5y 5 Google Apps for Business, februari 2013. http://bit.ly/QbaOD6 6 Microsoft Office 365, februari 2013. http://bit.ly/eNRYGM 7 The FixYa Cloud Storage Report, november 2012.
verplichtingen (compliance)?
http://bit.ly/SR6n30
• Welke maatregelen zijn genomen om te voorkomen dat er gegevens lekken? (bijvoorbeeld een
8 5 serious business alternatives to Dropbox, PCWorld, 20 sept 2012. http://bit.ly/RAUZM
toeleverancier die gegevens van klanten op een USB-stick laadt)
9 KPN Zakelijke diensten, februari 2013. http://bit.ly/Yy1pff
• Welke informatie verzamelt de dienstenaanbieder in
10 Instinkertjes in de cloud, AutomatiseringGids januari
audit en security logs en zijn deze gegevens
2013. http://bit.ly/Ug8a0z
inzichtelijk voor de klanten?
en Special Report Cloud Computing Cloud Sourcing
6.2 Vragen met betrekking op service levels (SLA) • Is er sprake van een inspanningsplicht of een leveringsplicht?
Alexa Bona, Gartner 2012 http://gtnr.it/fTHcHS 11 Een cloudescrow of niet? Louwersadvocaten ism AutomatiseringGids, mei 2012. http://bit.ly/XJRX63
• Wie is verantwoordelijk bij een trage
12 Privacyrisico’s in de cloud, Louwersadvocaten ism
dienstverlening?
AutomatiseringGids, oktober 2012.
• Hoe worden de prestaties gemeten en de meet resultaten beoordeeld?
http://bit.ly/WFz3yj en http://bit.ly/Y5VrAf 13 ‘Privacy & Security in de Cloud, een verkenning
• Welke boete is van toepassing bij niet nakomen van de SLA of welke bonus krijgt de dienstverlener wanneer aan alle voorwaarden is voldaan?
van tools en technieken’ SurfNet’s Kennisnet, september 2012. http://bit.ly/QdMQHN 14 Toegangscontrole in de cloud moet beter, Identity.
• Hoe is de uitwijk geregeld bij calamiteiten?
Next ism AutomatiseringGids, oktober 2012.
• Wie is juridisch eigenaar van de gegevens op de server van de dienstenaabieder?
http://bit.ly/Y99maw 15 ‘Privacy & Security in de Cloud, een verkenning
• In welk bestandsformaat komen de gegevens beschikbaar na beëindiging contract (ook in geval van faillissement dienstenaanbieder)?
van tools en technieken’ SurfNet’s Kennisnet, september 2012. http://bit.ly/QdMQHN 16 Turbulence in the cloud, Cloud Security Alliance
• Maakt de dienstverlener gebruik van open
(pdf) http://bit.ly/Y9b0Zy
standaarden zodat (tussen)resultaten van de dienstverlening gebruikt kunnen worden in systemen buiten die van de cloudaanbieder? • Is het mogelijk een derde partij in te schakelen voor
Volg ons nu via Twitter.
www.twitter.com/stnnl
toegangsmanagement (Identity as a service)?
sTN Telecom & Internet Postbus 627 3447 GW Woerden
Antwoordnummer 2241 3440 VB Woerden Telefoon: 0348-495051
E-mail:
[email protected] Web: www.stn.nl Twitter: twitter.com/stnnl
