Cloud computing: is er zon achter de wolken?
In dit opiniestukje wil ik mijn zorg met je delen. Die zorg bestaat eruit dat we met zijn allen 'verhypen'. Sorry, geen goed Nederlands misschien, maar ik wed dat je het meteen begrijpt.
Ik neem je mee in de virtuele wereld. Je bent cio en verantwoordelijk voor het beheer van een flinke hoeveelheid gegevens. Jouw budget voor 2010 staat onder druk. Het management heeft immers ook Computable gelezen en daaruit opgemaakt dat de kosten per bit/byte drastisch omlaag kunnen. De budgetbesprekingen voor 2010 hebben je achtergelaten met de opdracht flink te snijden in het budget met daarbij de opdracht om ook eens wat te doen aan de continuïteit. De laatste tijd zijn 'jouw systemen' een paar maal getroffen door problemen, wat overwerk op grote schaal tot gevolg had omdat er gegevens verloren waren gegaan. Na wat denken zie je het licht: jouw operatie kan profiteren van 'de cloud'. Eigenlijk heb je nog niet helemaal door wat het is en de vakpers geeft wat dat betreft ook niet echt uitsluitsel, maar het is een nieuwe ontwikkeling en die moet je eigenlijk wel volgen. Bovendien houdt het de kritiek weer even van de deur; je bent er immers mee bezig. Je kunt dit in projectvorm aanpakken en met een beetje goede wil duurt het wel anderhalf tot twee jaar voor iedereen doorkrijgt dat dit het ook niet gaat worden. Wordt de organisatie daar beter van? Schiet security er iets mee op? Natuurlijk niet!
Is 'cloud security' wezenlijk iets anders dan de 'gewone' huis, tuin en keuken informatiebeveiliging die we met zijn allen al een hele poos prediken? Naar mijn bescheiden mening niet. Alle standaarden (bijvoorbeeld ISO, COBIT) beschrijven controls die we moeiteloos kunnen toepassen, ongeacht de plaats van onze informatie. Het heeft er zelfs alle schijn van dat het gebruik van de cloud in de zin van controleerbaarheid een extra uitdaging zou toevoegen. Hoe ga ik als auditor vaststellen dat de 'cloud provider' de gewenste vertrouwelijkheid van informatie biedt? Wel zou gebruik van de cloud een goede maatregel kunnen zijn die je kunt gebruiken om bijvoorbeeld de beschikbaarheid te verbeteren. Kortom: gebruik van de cloud kan operationeel en incidenteel tot voordeel leiden. Qua security is er niets nieuws onder de zon. Heeft de prediker toch gelijk.
Gerrit Post RE
Nick, 13-12-2009 19:27
Gerrit Post, 07-01-2010 16:06
Het punt wat ik wilde maken is dat die ene plek nou juist niet grijpbaar is, althans zo zou je de "cloud" moeten interpreteren. Het is aan de CP waar hij een dienst laat uitvoeren en dat kan in principe nu eens hier dan weer daar zijn.
Als dat niet zo is hebben we het eigenlijk over "managed hosting". Wat mij betreft is "cloud computing" dat ook.
Gerrit Post, 07-01-2010 16:17
Dat lijkt logisch maar de implementatie is weleens weerbarstig. Een externe provider zal -als het goed is- werken met SLA's/contracten. Die zijn meestal een compromis tussen kosten en opbrengsten, voor beide partijen. De echte valkuil zit wat mij betreft verborgen in je laatste zin. Hoe kan ik er op vertrouwen dat mijn provider ook echt eerlijk is over incidenten. Dat kan ik alleen maar als ik een goede controle methodiek heb. Bedenk wel dat uiteindelijk de eigenaar van gegevens/informatie verantwoordelijk is eb blijft voor een goede beveiliging. Die verantwoordelijkheid kun je niet uitbesteden.
10-02 Het einde van het begin van cloud en virtualisatie
10-02 De windwakken van de cloud-sector
09-02 Citoto
09-02 Lang leve de hackers!
09-02 Modder gooien in ICT-land
08-02 Reseller verliest slag om het groene huishouden
08-02 Hadoop lijkt een alleskunner
07-02 Hou zicht op de informatie bij HNW
07-02 Eigen werknemer kan ook een vijand zijn
06-02 Krachtenbundeling NGI en TestNet is goede zaak
10-02 SecureLink migreert Microsoft-diensten Atradius
09-02 Vodafone: Wij spelen klantinformatie niet door
09-02 Lang leve de hackers!
09-02 'Ook met cookiewet is gebruiker niet anoniem'
09-02 'KPN koppelt ID aan internetverkeer'
08-02 'Nieuwe cookiewet is eenvoudig te omzeilen'
07-02 Eigen werknemer kan ook een vijand zijn
03-02 'Overheid vreest voor veiligheid in de cloud'
01-02 F5 beschermt openbare websites
31-01 Publieksvoorlichting is belangrijke taak voor NCSC
|
|
12-03-10 CA breidt cloudaanbod uit via grote overname
16-12-09 Cloud computing vereist andere kennis ICT'er
Best Practices om laptop-data te beschermen
In een tijd waarin steeds meer werknemers mobiel hun werk doen en de hoeveelheid data exponentieel toeneemt, is......
| Aantal reacties met 3+ sterren | Gemiddelde waardering | |||
 | 1 | 154 | 6.4 | |
 | 2 | 120 | 6.7 | |
 | 3 | 109 | 6.4 | |
 | 4 | 79 | 6.6 | |
| 5 | 53 | 6.1 | |
| 6 | 49 | 6.3 | |
 | 7 | 47 | 6.5 | |
| 8 | 43 | 6.1 | |
| 9 | 43 | 6.0 | |
| 10 | 40 | 6.3 | |
Computable.nl is onderdeel van VNU Media, uitgever van o.a.: NationaleVacaturebank.nl | Intermediair | IntermediairPW | Carrièregids.nl | CompanyRating | NationaleStagebank.nl | Banen.nl | HRbase.nl | HRdirectory.nl | Financebase.nl | InIct.nl | InInterim.nl | InOverheid.nl | Overheidscircuit.nl | Computable | CRN | IT Knowledge Base | Tweakers.net | Recruitmentbloggers
Sitemap | Abonneren | Adverteren | Algemene voorwaarden | Disclaimer | Privacy | Alle rechten voorbehouden © 1995-2012 VNU Media
U stelt:
Hoe ga ik als auditor vaststellen dat de 'cloud provider' de gewenste vertrouwelijkheid van informatie biedt?
Ziet u dat wezenlijk anders in vergelijking met vaststellen of de 'eindklant' de gewenste vertrouwlijkheid van informatie biedt?
Afhankelijk van de eisen ten aanzien van security, kan op 1 plek maatregelen treffen voor veel bedrijven niet juist een voordeel zijn? Stel bijvoorbeeld de CP levert SIEM achtige diensten en rapporteert hierover, dan zou dat toch prima kunnen functioneren, ook voor u als Auditor?
Hoe ziet u dat?