Cloud Computing Risico’s en risicoreductie

november 24, 2010 at 11:11 am (Achtergrond, Beleid, Cloud computing, Oplossingen, Privacy, Problemen) (, , , , , , , , , , )

Inleiding

In dit overzicht staan de verschillende aandachtspunten rond Cloud Computing gegroepeerd rond het thema risico’s en risicoreductie. Doel van het overzicht is helderheid te verschaffen over de punten waar een organisatie aan moet denken als die structureel gebruik gaat maken van Cloud Computing.

Bronnen

Bronnen voor dit overzicht zijn onder meer informatie uit documentatie van ENISA, Berkely University en de Cloud Security Alliance.

Cloud Computing

In dit overzicht gebruik ik de volgende definitie van Cloud Computing.

De Cloud scheidt applicatie en informatiebronnen van de onderliggende structuur en de mechanismen om ze te leveren. Deze definitie beperkt zich hier tot Software as a Service (SaaS). Andere XaaS Cloud Computing vormen zijn hiermee uitgesloten van de beschouwingen in dit overzicht.

De overgang naar Cloud Computing gaat gepaard met emotie. Een organisatie geeft zijn data ‘weg’ aan een externe partij en wat overblijft is een gevoel van verlies van controle. Control wil zeggen dat er deugdelijke controles aanwezig zijn en dat hun effectiviteit bewezen is. De rationele component bij een overgang naar Cloud Computing regelt dat er contracten zijn met mantelovereenkomsten en SLA’s, dat de beveiliging ingebouwd is en dat verantwoordelijkheden worden overgedragen.

Business belangen

Cloud Computing komt niet uit de lucht vallen en het is geen IT speeltje maar de business belangen spelen een grote rol. Toch moet goed worden beoordeeld in hoeverre de business belangen niet worden belemmerd door de overgang naar de Cloud. Dat kan door de verschillende bedrijfsprocessen en de daarmee gepaard gaande informatie te beoordelen op geschiktheid voor Cloud Computing. Ruwweg zijn er drie vormen mogelijk: geschikt, na aanpassing geschikt en ongeschikt. Verder zijn er verschillende vormen van Cloud Computing mogelijk tussen de beide uitersten Private Cloud en Public Cloud, denk hierbij aan Private Cloud (intern of on site), Private Cloud (extern, inclusief dedicated of gedeelde infrastructuur), Hybride omgevingen, Community en Public Cloud. De organisatie moet eerst per bedrijfsproces of -applicatie bepalen of dit geschikt is voor de Cloud. Daarna volgt de vaststelling welk type Cloud het meest geschikt is.

Voor het bepalen in hoeverre een bedrijfsproces of –applicatie geschikt is voor de Cloud, is de beantwoording van de volgende vragen essentieel.

Lees de rest van dit artikel »

Permalink Geef een reactie

Security in cloud computing

februari 13, 2010 at 6:00 pm (Achtergrond, Problemen, Techniek) (, , , , )

Cloud computing is “in”. Alleen een afspraak of contract met je directe leverancier, misschien nog een contactpersoon in je organisatie en alle techniek de deur uit. De ideale oplossing voor al je beheerproblemen – als alles werkt. In de praktijk zijn er veel haken en ogen te vinden bij cloud computing of outsourcing van je applicaties. Want bij intern beheer weet je bijvoorbeeld wie er aan je spullen zit. Je weet zeker dat je grootste concurrent niet zijn databases in hetzelfde datacenter heeft draaien als jij. Of als je applicatie het niet doet, dan weet je de verantwoordelijke manager snel te vinden. Verder weet je zeker dat je gegevens niet in andere landen terecht komen, waar andere regels gelden voor geheimhouding of schending van privacy.

Bij cloud computing is dat een ander verhaal. De beheerpartij kan de apparatuur weer ergens anders hebben onder gebracht en ook de datalijnen kunnen elders zijn uitbesteedt. Zelf kan de technische partij die de apparatuur huisvest een parallel datacentrum hebben in een land hier ver vandaan – buiten de EU en de daaraan verbonden wetgeving. Ongewild en ongeweten kun je zo risico’s lopen met de vertrouwelijkheid van je gegevens. De Amerikaanse wetgeving gaat heel anders om met privacybescherming en datastromen dan de EU wetgeving.

Voordat je je bedrijfskritische applicaties onderbrengt in ‘the cloud’ moet je je er van bewust zijn dat ook deze dienstenleveranciers fouten maken en dat je daar last van kunt ondervinden. Denk aan de storing in 2009 bij Google, waardoor Google-docs enkele uren niet beschikbaar was. Bij eigen beheer of intern beheer heeft een organisatie de mogelijkheid prioriteiten te stellen die van invloed (kunnen) zijn op de oplossingssnelheid van incidenten. Bij cloud applicaties (SAAS) ben je een van de vele klanten in de rij en kun je alleen afwachten en hopen dat de dienst weer snel beschikbaar wordt.

Ook al loop je met je hoofd in de cloud, let ook op de aardse zaken.

Permalink Geef een reactie

Strooizout en calamiteitenkoffers

februari 4, 2010 at 11:31 am (Uncategorized) ()

Iedereen die goed is ingevoerd in Business Continuity Management (BCM) kent het fenomeen van de calamiteitenkoffer. Voor de niet-ingewijden, dat is een voorraadje spullen die je nodig hebt om je werkzaamheden rond de bestrijding van de calamiteit te vergemakkelijken. Je kunt het wel vergelijken met de voorraad eikels van een eekhoorn.

Een typische BCM koffer bevat wat schrijfgerei, snoepjes, limonade, communicatiespullen zoals mobiele telefoons (met lader!) en andere onmisbare zaken. Een probleem waar je met het beheer van je BCM plan en -koffer tegenaan loopt, is de vraag hoe je moet omgaan met de beperkt houdbare zaken, zoals de etenswaar en limonade in je koffer. Je kunt het als een voorraad beschouwen die je aanvult als je iets (of alles) hebt verbruikt. Je neemt dan het risico dat je voorraad is uitgeput als zich een calamiteit voordoet.

Vergelijk het met het strooizout-tekort in de winter van 2009-2010, dat zich voordeed op verschillende plaatsen in Nederland. Daar is het voorraadje zout verbruikt en niet op tijd aangevuld. Er zijn vast wel goede redenen voor te verzinnen (te duur, wanneer sneeuwt het nu in Nederland?, de aarde warmt toch op?) maar het is wel een beetje dom.

Je BCM koffer vul je daarom beter eerst aan en daarna maak je gebruik van de artikelen waarvan de verbruiksdatum bijna is verstreken.

Misschien had de gemeente wel strooizout in zijn koffer moeten hebben.

Permalink Geef een reactie

Als sleutels breken

januari 13, 2010 at 11:20 pm (Techniek) (, , , )

Laatst was het in het nieuws dat de RSA 768 bits encryptie is gebroken. Ooit als lang beschouwde sleutels, met een lange verwachte levensduur, worden voor het verstrijken van die verwachte levensduur al gekraakt. De sleutel van RSA is gebaseerd op een 232 cijferig priemgetal. Naar verwachting zal de eerstvolgende lange sleutel van RSA, met een lengte van 1024 bits, binnen 10 jaar gekraakt zijn. Maar gebruik na 2010 van een dergelijke ‘korte’ sleutel wordt al afgeraden. Respect voor de krakers, maar nu terug naar de business.

Wat voor gevolgen heeft dit voor de opslag van met deze sleutels beveiligd materiaal? Dat is afhankelijk van het belang van de data die je beschermt (broncode, patenten, geheimen, recepten, wat-dan-ook). Als jegeheim ná het verstrijken van de geadviseerde levensduur van de sleutels (of de toegepaste versleuteling) nog steeds geheim moet blijven, kun je twee dingen doen. Het originele bestand opnieuw versleutelen met een cryptografische methode of sleutel die aan de huidige en toekomstige eisen voldoen. Nadeel hiervan is dat het geheim kwetsbaar is op het moment dat het is gedecodeerd en opnieuw versleuteld moet worden. Dit is natuurlijk een zeer tijdelijke situatie.

Of je kunt je versleutelde geheim nog een keer versleutelen met de nieuwe methode. Nadeel hiervan is dat je twee sleutels moet beheren en beide decryptietechnieken beschikbaar moet houden, totdat de geheimhoudingsdatum is verstreken.

Aangezien Johnsons’ wet stelt dat Murphy een optimist was, gaat mijn uitgesproken voorkeur uit naar de eerste optie.

Permalink Geef een reactie

Mexicaanse griep (H1N1) en continuïteit

oktober 6, 2009 at 10:28 am (Columns, Oplossingen) (, , , )

Ja, mexicaanse griep. Waar maken wij ons eigenlijk druk om? Al die overheden die roepen dat we ons klaar moeten maken voor heel veel uitval door griep. Sommigen voorspellen dat wel de helft van je bedrijf plat gaat door een nieuw griepje. Het is rustig in de media, de hype is wel over nu er geen scholen dichtgaan of bedrijven moeten sluiten door gebrek aan werknemers. Ook de door de kranten voorspelde massasterfte blijft uit. Desondanks houdt het RIVM vol dat dit allemaal een normaal seizoensbeeld is.

Een griepgolf in september of oktober is uitzonderlijk. De mexicaanse griep zal pas in de winter echt op gang komen. Dat blijkt wel uit de jaarlijkse griepprik, die normaliter omstreeks november wordt verstrekt. Griepvirussen kunnen dan langer overleven, omdat ze niet meer worden uitgedroogd door zon en omdat de mensen dichter op elkaar leven in minder goed geventileerde ruimtes (Deur dicht! We stoken niet voor de meeuwen!).

Bedrijven die zich voor de zomer hebben voorbereid op de aanstaande griephype, vragen zich nu af waarvoor ze het hebben gedaan. Niet voor niets, want een continuïteitsplan is gewoon geen overbodige luxe. Voor een informatiebeveiliger die het moet hebben van hypes en incidenten komt de griep als geroepen. Dit is een gouden kans om de menselijke factor van de continuïteit van de bedrijfsvoering te borgen. Dankzij de griep weten we nu welke processen echt belangrijk zijn, wie de sleutelpersonen zijn, wie er mag thuiswerken en wie er absoluut aanwezig moet zijn. Natuurlijk hebben we allemaal een buddy die onze werkzaamheden kan overnemen. En iedereen heeft een ‘griepmap’ op de centrale server waarin hij zijn lopende dossiers heeft opgeslagen. Als je dan nog uitvalt hoeft je collega zich geen zorgen te maken over de overdracht (jij hebt dan andere dingen aan je hoofd). Toch?

Permalink 1 reactie