Werkt u ook al in de cloud?

13-10-2014 Afspraken over Cloud computing in de maak! Werken in de ‘cloud’, software en zelfs data opslaan in de ‘cloud’, steeds meer bedrijven gaan hierop over. Cloud computing biedt veel voordelen, maar wat zijn de risico’s?

Is het veilig, komen privacy- en bedrijfsgevoelige data niet in verkeerde handen en hoe sluit je een goed contract af zodat je probleemloos kan overstappen naar een andere hostingpartij? In de media staan met name berichten over lekken, onzorgvuldige opslag, data die gehackt wordt of data niet naar een andere hostingpartij kan worden meegenomen. Is dat te voorkomen?

Als Nederland lopen we in de voorste gelederen als het gaat om ontwikkeling en toepassing van digitale communicatie. Nederlanders staan bekend om het goed kunnen samenwerken, het snel kunnen ontwikkelen en hun ondernemerschap. Nederland behoort dan ook op dit nieuwe terrein tot de top van de wereld. Het is dan ook niet verwonderlijk dat Nederland een van de eerste landen is die over cloud computing afspraken maakt.

NPR 5317 'Cloud computing'
Twee jaar geleden is NEN begonnen aan het ontwikkelen van de Nederlandse praktijkrichtlijn (NPR) 5317 - Cloud computing. Het ontwikkelen van een NPR begint altijd met een idee, een gevoel van ‘het is nu onduidelijk en we willen er iets mee’. Een aantal (markt)partijen signaleerden dit en zijn vanaf het begin betrokken bij de ontwikkeling. In de normcommissie zijn gebruikers, leveranciers, ontwikkelaars en auditors vertegenwoordigd. Iedereen, ook de ontwikkelaars en leveranciers, realiseert zich dat open standaarden niet meer weg te denken zijn en dat afspraken hierover belangrijk zijn voor het opschalen van hun eigen software. De praktijkrichtlijn wordt een handreiking voor het specificeren, aanbieden, leveren en afnemen van een clouddienst.

Ontzorgen en kostenreductie triggeren
Ontzorgen en kostenreductie zijn de twee belangrijkste redenen om in de cloud te gaan werken. Een presentatie over de cloud begint dan ook altijd hiermee. Een externe partij zorgt voor beheer en onderhoud van software en of data en levert voldoende capaciteit als het nodig is, het stukje ontzorgen. Kostenreductie wordt bereikt door het delen met elkaar en dus efficiënter werken. Dit laatste is voor veel organisaties vaak de trigger. Als er gekozen is voor het werken in de cloud, zouden organisaties zich de vraag moeten stellen: ‘Welke risico’s loop ik dan?’ Dan moet je een beeld kunnen vormen. De risico’s zijn strek afhankelijk van de classificering van de gegevens. Privacygevoelige informatie wil je niet op straat hebben liggen. Denk hierbij bijvoorbeeld aan gegevens die het ministerie van Justitie of het ministerie van Defensie beheren. Je moet dan in detail gaan specificeren wat voor maatregelen je moet gaan treffen; zijn dat technische of meer managementmaatregelen? En hoe houd je er toezicht op? Ook speelt de groep gebruikers een rol. Gaat het om een besloten groep, of heeft iedereen toegang tot de data. Deze risico’s kun je straks met behulp van de NPR, het model dat daarin wordt opgenomen, inzichtelijk maken. Op basis daarvan kan een organisatie de antwoorden formuleren en de benodigde maatregelen bepalen.Modellen en voorbeelden maken het inzichtelijk
NPR 5317 wordt gebaseerd op kennis uit bestaande standaarden en relevante publicaties uit de sector. Met modellen en voorbeelden van keuzes zal NPR 5317 belanghebbende partijen zoals opdrachtgevers, eigenaren en gebruikers op weg helpen bij het opstellen van een plan van aanpak, identificeren van risico’s, specificeren van eisen, opstellen van SLA’s en contracten. Verder wordt informatie gegeven over het betrekken en sturen van auditors, consultants en leveranciers en over het inschatten van risico’s en het bepalen van de geschikte beheersmaatregelen. Door te verwijzen naar NPR 5317 kunnen offertes, investeringen, kosten en prestaties van een clouddienst eenduidig met elkaar worden vergeleken.

Feedback van markt
In het voorjaar werd de workshop NPR 5317 ‘Cloud computing’ gehouden. Tijdens de workshop werd aan de deelnemers feedback gevraagd op de aanpak van de normcommissie, of het voldoet aan de behoefte van de markt en, of de inhoud van de NPR volstaat zoals de commissie die voor ogen heeft. De reacties van de deelnemers waren enthousiast. De normcommissie gaat dan ook op de ingeslagen weg door om de Nederlandse praktijkrichtlijn verder te ontwikkelen.

Aanpak verdere uitwerking
De NPR wordt vanuit de afnemer, de eigenaar opgezet en heeft daardoor een praktische indeling. Om te beginnen wordt de waardevolle feedback van de deelnemers verwerkt in het huidige werkdocument. Het werkdocument heeft de volgende indeling:

1. Onderwerp en toepassingsgebied
2. Verwijzingen
3. Termen en definities
4. Introductie, functionele behoefte, leveringsmodellen
5. Business Case en levensfasen
6. Ordenen van risico’s en beheersmaatregelen (controls)
7. Model voor programma van eisen:
8. Legal, organisatorische en technische aspecten SLA’s en contracten voor een clouddiensten
De eerst volgende stappen richten zich op het verdere uitwerken voor het ondersteunen van de drie service-modellen (IaaS, PaaS en SaaS) en vier typen (‘private’, ‘community’, ‘public’ en ‘hybrid’) clouddienst.

Bij het bepalen van de inhoud van een NPR staat voorop dat het om toepassing gaat. Een NPR is geen norm. Vaak bestaan er al normen waar in de NPR naar verwezen kan worden. Het verwijzen naar normen ‘de conformiteit’ is een heel belangrijk aspect voor het toepassen van deze normen in een specifieke context. Als er een concept, product, dienst, of werkwijze moet worden beoordeeld, dan hoort het thuis in een norm. In een NPR staan richtlijnen hoe je iets kan aanpakken of kan toepassen binnen een specifieke context.

Ook bij clouddiensten wil je als afnemer bepaalde regie houden. Je zet iets weg, maar je wilt er ook iets voor terug. Misschien wil je wel meekijken op het moment dat jij dat wilt. En je wilt zelf kunnen schakelen in capaciteit als je weet dat je meer gigabytes of bandbreedte nodig hebt. Meestal gaat een digitaal abonnement per maand, maar bij cloud computing praat je over een dynamische omgeving en wil je het misschien minimaal wekelijks kunnen bijstellen. Over dit soort zaken moet je ook nadenken en vastleggen in een SLA. De NPR geeft geen kant-en-klare SLA’s, maar wel richtlijnen voor hierin op te nemen clausules. Verder speelt de exit-strategie nog een belangrijke rol. Vaak niet iets waar je bij de start aan denkt, maar toch iets om al vooraf over na te denken en afspraken over te maken. Je wilt niet in een ‘lock-in’ situatie terechtkomen. Als je wilt overstappen naar een andere leverancier wil je wel al je data kunnen meenemen.

Europese normen en richtlijnen
Als Nederland lopen we met de ontwikkeling van deze NPR dus voorop. Ook omdat Nederlandse bedrijven bereid zijn om te investeren. Zij zien het belang van duidelijkheid, vertrouwen, opschaling door standaardisatie, en bereiden zich voor op nieuwe zakelijke kansen. Op Europees niveau zijn er wel normen voor bijvoorbeeld datacenters – waar Nederland ook voorop liep – en beveiliging van informatie, maar nog niet voor cloud computing. De subcommissie 38 die onder ISO/IEC JTC 1 valt, houdt zich sinds een aantal jaren bezig met cloud computing. Leden van de normcommissie volgen die al die tijd al. Deze subcommissie kijkt wat er op de markt is en wat zich op het web afspeelt. Nederland kan voor het toepassen van de normen voor cloud computing een belangrijk rol gaat spelen. Wellicht dat de NPR als ‘Guide’ ook naar Europees niveau getild gaat worden.

Meer informatie
Voor meer informatie kunt u terecht bij: Ton van Bergeijk, NEN consultant standaardisatie en secreataris van de normcommissie 'Cloud computing'
Tel: (015) 2 690 126
E-mail: ton.vanbergeijk@nen.nl

Eerder door u bekeken