Stad & OCMW Sint-Niklaas
To cloud or not to cloud gebruik bij lokale besturen
Ivan Stuer – 25 juni 2015
Wat is cloud eigenlijk?
Wat is cloud eigenlijk?
Voordelen • • • •
echte realisatie van 'on-demand' computing vlotte toegang tot resources geen investering betere technische beveiliging dan in eigen DC – PCI-DSS, HIPAA, ISO27001, ISO27018, ...
• geen technology debt • PaaS en Saas mogelijk naast IaaS • ...
Mogelijkheden voor besturen • Software-as-a-service (SaaS) oplossingen voor ‘commodity’ software zoals mail, instant messaging, bestandssystemen – Office365, Google Docs, CRM online, CIPAL toepassingen in het CiPort datacenter,...
• • • •
Vervanging of extensie van de eigen serverroom. Uitbreiding voor tijdelijke capaciteit. Dev, test en beta systemen. Kunnen worden 'afgezet' indien niet in gebruik Hybride oplossingen waar archieven of minder vaak geraadpleegde gegevens in de cloud worden bijgehouden (uitbreiding van de storagecapaciteit) • Toepassingen met een sterke externe oriëntatie (bijv. websites). Geen eigen DMZ nodig, goede beveiliging tegen DDOS
Mogelijkheden voor besturen • Toepassingen voor interbestuurlijke en intergouvernementele samenwerking • Opslag van Big Data. Verzameling van bijvoorbeeld sensorinformatie in het kader van mobiliteit, milieu, energie, veiligheid, internet of things • Geografische informatie (Geopunt van AGIV draait bijvoorbeeld volledig in de Cloud omwille van de schaalbaarheid en beschikbaarheid) • Beeldbanken
Mogelijkheden voor besturen • Ook productiesystemen?
Mogelijkheden voor besturen • Ook productiesystemen? • Kan, wanneer aan een aantal aandachtspunten wordt voldaan
Aandachtspunten • Eigenlijk dezelfde aandachtspunten dan bij 'gewone' outsourcing of on-premise • Goede governance nodig op omgeving, beveiliging, dataclassificatie,...
Governance • ITSM: hier dient vooral de beschikbaarheid en informatieveiligheid tegen het licht te worden gehouden. Hoe garanderen we de beschikbaarheid van toepassingen en data (technisch, maar ook bij failissement of calamiteiten bij de leverancier, back-up, recovery,…) en hoe blijven confidentialiteit en integriteit van data verzekerd? • ALM: hier moet zeker stil worden gestaan bij mogelijke exit scenario’s. Hoe krijgen we toepassingen en data terug uit de cloud? Releases, patches en upgrades zijn in een Iaas scenario minstens even belangrijk als in onpremise omgevingen
Governance • Samenwerken met een externe partner (= de verwerker van gegevens), in de cloud, in outsourcing of in een “traditioneel” ondersteuningsmodel vergt een nog grotere aandacht voor governance dan bij een on-premise beheer. Mogelijk komt dit de informatiebeveiliging ten goede, en is het dus eerder een positief effect, al is dit sterk afhankelijk van het bestaande maturiteitsniveau van het bestuur.
Informatieveiligheid • 3 aspecten aan informatieveiligheid – Technisch – Procedureel – Wetgeving
= Komt ook weer neer op goed risicobeheer
Informatieveiligheid • Technisch – Professionele grote speler heeft (waarschijnlijk) een veel betere technische beveiliging dan de eigen serverroom -> onderzoeken – Encrypteren is altijd een goed idee • kans op spionage of inbraak in een datacenter van Microsoft, Google of Amazon is zeer klein • maar dat in transit loopt gevaar
Informatieveiligheid • Procedureel – aandacht voor risico's in alle ITSM en ALM aspecten – contractuele bepalingen – ondersteuning door partner zou eigenlijk gewoon mee moeten kunnen worden opgenomen in de bestaande processen
Informatieveiligheid • Wetgeving – Zie sessie Smals – KSZ, RR, Privacy wetgeving – e-gov decreet – Richtsnoeren informatieveiligheid
Informatieveiligheid • Wetgeving – Verbiedt zeker niet expliciet het gebruik van de cloud – Wel aandacht voor een aantal aspecten van de privacywet
Informatieveiligheid • Uit de Privacywet kunnen 2 eisen rond cloudcomputing worden gedestilleerd: • Overeenkomst – Er moet een overeenkomst kunnen worden gemaakt met de public cloud provider, waarin deze zich, als verwerker van de gegevens, committeert op het naleven van de regels. Dit wordt door de EU (WP29) vertaald als 'model clauses', waaraan intussen Microsoft en Amazon voldoen .
Informatieveiligheid • Uit de Privacywet kunnen 2 eisen rond cloudcomputing worden gedestilleerd: • zelfde verplichtingen als verantwoordelijke voor de verwerking – de garantie moet worden geboden dat geen gegevens worden overgedragen aan buitenlandse overheden (VS: FISA, Patriot act, maar ook Frankrijk, Duitsland, China,...) – Dit risico kan ook worden ingedekt door encryptie en hybride modellen
Informatieveiligheid • Voor de verwerking van persoons-, medische en sociale gegevens is de KSZ zeer risico-avers. Zo is elke instelling van sociale zekerheid die vertrouwelijke gegevens wenst te verwerken in een "Cloud" die door een provider wordt beheerd, verplicht de volgende contractuele waarborgen in acht nemen onder de nodige clausules met betrekking tot: – de mogelijkheid voor een cloud-provider om een deel van zijn activiteiten uit te besteden – de integriteit, continuïteit en kwaliteit van de dienstverlening – de teruggave van de gegevens – de overdraagbaarheid van de gegevens en de interoperabiliteit van de systemen – de auditregeling – de verplichtingen van de provider inzake vertrouwelijkheid van de gegevens – de soevereiniteit – de verplichtingen van de provider inzake gegevensbeveiliging
Kortom • Het gebruik van de cloud moet worden meegenomen in uw standaard informatieveiligheidsbeleid en –plan, met extra aandacht voor de specifieke risico’s die het gebruik van de cloud met zich meebrengt. Hierbij dient een duidelijke dataclassificatie te worden gehanteerd (bijvoorbeeld: vertrouwelijk, privacygevoelig, medische gegevens, sociale data, intern gebruik, open data, ….). De classificatie bepaalt dan verder de af te dekken kwetsbaarheden en risico’s.
Welke cloud kiezen • Leverancier die goed antwoord biedt op alle bezorgdheden rond governance en risico's • Evaluatietools: – CSA cloud risk matrix – Smals tool – ISO, PCI-DSS, HIPAA, ea. certificaten – EU Model Clauses – ENISA risk inventaris
• Lees contracten en terms of use na!
Meer info • • • •
Security.v-ict-or.be Cloudsecurityalliance.org enisa.europa.eu smals.be
Conclusie • Cloud computing lijkt het antwoord op de oude belofte van on-demand IT diensten waarbij besturen zich kunnen concentreren op de meerwaarde van informatie (business intelligence, big data/smart cities, kennis, informatiedeling, efficiënte dienstverlening) en minder op de technische kant. • Het zou jammer zijn mochten we hier niet de vruchten van kunnen plukken omwille van juridische of geopolitieke beperkingen. Hier moeten we zeker de juridische, privacy en IT-technische wereld op 1 lijn krijgen om als Vlaamse besturen deze opportuniteit niet te missen.
Q&A
