Cloud Computing Risico’s en risicoreductie

november 24, 2010 at 11:11 am (Achtergrond, Beleid, Cloud computing, Oplossingen, Privacy, Problemen) (, , , , , , , , , , )

Inleiding

In dit overzicht staan de verschillende aandachtspunten rond Cloud Computing gegroepeerd rond het thema risico’s en risicoreductie. Doel van het overzicht is helderheid te verschaffen over de punten waar een organisatie aan moet denken als die structureel gebruik gaat maken van Cloud Computing.

Bronnen

Bronnen voor dit overzicht zijn onder meer informatie uit documentatie van ENISA, Berkely University en de Cloud Security Alliance.

Cloud Computing

In dit overzicht gebruik ik de volgende definitie van Cloud Computing.

De Cloud scheidt applicatie en informatiebronnen van de onderliggende structuur en de mechanismen om ze te leveren. Deze definitie beperkt zich hier tot Software as a Service (SaaS). Andere XaaS Cloud Computing vormen zijn hiermee uitgesloten van de beschouwingen in dit overzicht.

De overgang naar Cloud Computing gaat gepaard met emotie. Een organisatie geeft zijn data ‘weg’ aan een externe partij en wat overblijft is een gevoel van verlies van controle. Control wil zeggen dat er deugdelijke controles aanwezig zijn en dat hun effectiviteit bewezen is. De rationele component bij een overgang naar Cloud Computing regelt dat er contracten zijn met mantelovereenkomsten en SLA’s, dat de beveiliging ingebouwd is en dat verantwoordelijkheden worden overgedragen.

Business belangen

Cloud Computing komt niet uit de lucht vallen en het is geen IT speeltje maar de business belangen spelen een grote rol. Toch moet goed worden beoordeeld in hoeverre de business belangen niet worden belemmerd door de overgang naar de Cloud. Dat kan door de verschillende bedrijfsprocessen en de daarmee gepaard gaande informatie te beoordelen op geschiktheid voor Cloud Computing. Ruwweg zijn er drie vormen mogelijk: geschikt, na aanpassing geschikt en ongeschikt. Verder zijn er verschillende vormen van Cloud Computing mogelijk tussen de beide uitersten Private Cloud en Public Cloud, denk hierbij aan Private Cloud (intern of on site), Private Cloud (extern, inclusief dedicated of gedeelde infrastructuur), Hybride omgevingen, Community en Public Cloud. De organisatie moet eerst per bedrijfsproces of -applicatie bepalen of dit geschikt is voor de Cloud. Daarna volgt de vaststelling welk type Cloud het meest geschikt is.

Voor het bepalen in hoeverre een bedrijfsproces of –applicatie geschikt is voor de Cloud, is de beantwoording van de volgende vragen essentieel.

Lees de rest van dit artikel »

Advertenties

Permalink Geef een reactie

CBP-SIOD: 1-0

juni 25, 2010 at 10:12 am (Achtergrond, Columns, Privacy) (, , , )

In 2009 heeft het College Bescherming Persoonsgegevens (CBP) een onderzoek verricht bij de Sociale Inlichtingen en Opsporings Dienst (SIOD), onderdeel van het ministerie van SZW. De SIOD doet onderzoek naar fraude onder uitkeringsgerechtigden en maakt hierbij gebruik van gekoppelde bestanden met persoonsgegevens. Bij het onderzoek van het CBP werd de nadruk gelegd op een aantal aspecten uit de Wet bescherming persoonsgegevens (Wbp). Het rapport is leesbaar en bevat relevante informatie over de wijze waarop het CBP het onderzoek heeft uitgevoerd. Datzelfde rapport laat enkele vragen onbeantwoord. Vandaar dat ik wat dieper inga op de onderzoekswijze en op zoek ga naar onbeantwoorde vragen.

Toen de SIOD begon met het inrichten van een organisatie en het opstellen van een onderzoeksmethode om uitkeringsfraude te herkennen hebben zij het CBP hierbij betrokken. Dit wekt de indruk dat de onderzoeksmethode de initiële goedkeuring heeft van het CBP.

Het CBP heeft de uitgangpunten in de documenten van de SIOD getoetst. Daarnaast heeft het CBP een of meer huisbezoeken afgelegd en medewerkers op verschillende locaties geïnterviewd. Het conceptrapport met de bevindingen is gedeeld met het ministerie van SZW en op basis van (toelichtende) antwoorden is de definitieve versie vastgesteld. Dit lijkt mij een correcte wijze van onderzoeken, waarbij ik er gemakshalve van uit ga dat het CBP zich netjes heeft gemeld bij de SIOD met een verzoek om interviews af te mogen nemen en niet in het geniep heeft gehandeld.

Bij het lezen van het rapport vroeg ik mij meteen af wat de aanleiding is geweest voor het onderzoek. Zelfs als dit is afgesproken in het voorgaande traject, dan zou je hier nog steeds een verwijzing naar deze afspraak verwachten.

De onderzoekers zijn diep in de door de SIOD toegepaste werkwijze gedoken. Wat ik niet aantrof is een beoordeling van de mate waarin het geoorloofd is dat bestanden (van uitkeringsgerechtigden, waterverbruik en kadastergegevens) worden gekoppeld. Tevens blijkt nergens dat er toestemming is van de in deze registraties opgenomen personen, of dat zij over de koppeling geïnformeerd zijn. In het rapport staat wel een bevinding dat men over de koppeling voor het SIOD onderzoek geïnformeerd had moeten worden. Mijn punt gaat echter over de bronbestanden, vóór de koppeling. Daar heeft het CBP een kans laten liggen.

Een andere vraag waar het CBP niet over schrijft heeft betrekking op de doelbinding, proportionaliteit en subsidiariteit. Is de schending van de privacy wel voldoende beperkt en waren er geen lichtere middelen mogelijk om kennelijke frauduleuze praktijken in beeld te brengen? Zelfs als dit in orde is dan nog was het een goed punt geweest van de onderzoekers van het CBP om dit mee te nemen in de rapportage.

Ik zie nieuwe mogelijkheden (en risico’s, afhankelijk van je standpunt) voor de “slimme” elektriciteitsmeters die op afstand kunnen worden uitgelezen. Wie zegt dat big brother SIOD niet meeleest?

Permalink Geef een reactie

Instant messaging in een bedrijfsomgeving

juni 14, 2010 at 6:39 pm (Beleid, Oplossingen, Privacy) (, , , , , , , , )

Veel grotere bedrijven, waaronder (delen van) de rijksoverheid maken gebruik van instant messaging (IM). Dat kan voor intern gebruik zijn, of om contacten te onderhouden met de buitenwereld. Er zijn verschillende aanbieders van enterprise oplossingen voor IM. Zij onderscheiden zich bijvoorbeeld door IM protocollen van andere leveranciers te ondersteunen, virusprotectie of beheer van accounts.

Logging
Een functionaliteit die veel van deze producten hebben is het loggen (registreren) van verbindingen. Dan kan zowel centraal (op de server) als lokaal (bij de client op de desktop) zijn ingesteld. Iemand die deze blog volgt voelt hem al aankomen, hier zit een privacy luchtje aan.

Van e-mail weten we dat er registratie plaatsvindt bij het verzenden en ontvangen van e-mailberichten. De mails zelf worden vastgelegd in de mailbox. Dat moet ook wel, anders heb je er niets aan. E-mail kan gebruikt worden als bewijsgevend materiaal. Voor IM, dat niet echt is ingeburgerd in het bedrijfsleven, zou je soortgelijke regels verwachten. Toch komen de meeste clients met een voorinstelling waarbij de logging uitstaat.

Accounts
Een bedrijf zal eveneens zelf het beheer van de IM accounts willen uitvoeren, om de professionele uitstraling te kunnen handhaven. Dit is natuurlijk vooral van belang bij externe contacten. Iemand met de alias ‘lekkerding88@hotmail.com’ komt net zo serieus over als ‘leethaxor@yahoo.com’. Gesteld dat een accountmanager een dergelijke IM account gebruikt bij zijn zakelijke contacten, dan zal dat de professionele uitstraling van de organisatie nadelig beïnvloeden.

Het controleren van de bedrijfspolicy met betrekking tot de naamgeving is een ding. Een organisatie zal het eveneens niet waarderen als een ex-medewerker de accountnaam ‘janssen-bedrijfsnaam@hotmail.com’ blijft hanteren na zijn vertrek. Centraal beheer van IM accounts is een belangrijk punt. Bij het selecteren van de enterprise oplossing voor IM moet beheer van accounts deel uitmaken van de oplossing.

Beleid
IM berichten zijn vaak kort en informele krabbels, waarbij vastlegging – vanuit gebruikerstandpunt bezien – niet nodig of gewenst is. Voor bedrijven kan dat anders zijn, zeker als er contacten met externe partijen worden onderhouden met behulp van IM. Centrale logging van dat IM verkeer kan dan zeker gewenst zijn, bijvoorbeeld voor bewijsvoering. Meestal gaat hierbij de voorkeur naar het vastleggen van de gegevens bij de client software. Dat levert trouwens wel problemen op bij ontslag van een medewerker.

Voor mailboxen zijn vaak protocollen ingeregeld waarbij eisen zijn geformuleerd over de omstandigheden waaronder een mailbox wordt geopend, om de privacy van de medewerker te beschermen. Bij IM moet dit eveneens geregeld worden, de werkgever kan hier een belang hebben, zoals het nakomen van afspraken met derde partijen die door betrokken medewerker zijn gemaakt. Een methode om dit te borgen is het opstellen van voorwaarden voor het gebruik van IM. Daaronder kan het vastleggen van IM conversaties horen, net als richtlijnen voor het gebruik van de account.

Als dit proces goed is ingeregeld, zal het privacy luchtje niet gaan stinken.

Permalink Geef een reactie

Need to know – nice to know

april 4, 2010 at 9:45 pm (Achtergrond, Oplossingen) (, , , )

Lang niet alle informatie binnen een bedrijf of organisatie is voor iedereen bestemd. Denk aan de personeelsdossiers, R&D afdeling of de financiële gegevens. Binnen applicaties, zoals een management informatiesysteem, geldt hetzelfde. Lang niet alle gegevens mogen of hoeven voor iedereen beschikbaar te zijn. Meestal is daar wel iets voor geregeld en hebben gebruikers een account met daaraan gekoppeld de rollen die bepalen waar iemand inzage heeft. In een iets betere situatie is aan die account een wachtwoord gekoppeld, zodat een aanvaller net wat meer informatie nodig heeft voordat hij bij de vertrouwelijke gegevens van de organisatie kan komen.

Bedrijven en organisaties die wat langer hebben nagedacht over gegevens en toegang beschikken over een autorisatiematrix. Hierin staan rollen, rechten en functies aangegeven. Uit dit schema moet blijken dat een gebruiker geen conflicterende rechten heeft, zoals zowel goedkeuringsrechten als betaalrechten voor facturen.

Het komt veel voor dat de autorisatiematrix bestaat en van origine goed is ingeregeld. Dat er later bij een audit negatieve bevindingen worden afgegeven heeft alles te maken met onvoldoende of geen beheer van de autorisatiematrix. Vaak gaat dit al fout doordat de accounts van vertrokken of overgeplaatste medewerkers niet worden verwijderd. Mensen die hun carrière binnen het bedrijf hebben gemaakt verzamelen in de loop van de tijd veel aanvullende rechten. Regelmatig komt het voor dat een nieuwe medewerker een kopie van de rechtenverzameling van zijn voorganger krijgt, zodat hij in ieder geval genoeg rechten heeft om zijn werk te kunnen doen. Nadeel van deze werkwijze is dat er binnen de kortste keren geen overzicht meer is van de rechtenstructuur. De autorisatiematrix is nutteloos geworden en de organisatie loopt risico’s bij zijn informatiebeheer.

Om de zaak weer in de hand te krijgen moet een onevenredig grote inspanning worden verricht. Eerst moet worden bepaald aan welke functies welke rollen moeten zijn gekoppeld, daarna moeten de rechten per rol worden vastgesteld en tot slot moeten de rechten en rollen door de beheerders worden toegekend. Als klap op de vuurpijl moet het beheer worden ingeregeld.

Deze werkzaamheden kan een organisatie voorkomen door een goed beheer van de autorisatiematrix, het tijdig verwijderen van overbodige accounts en het intrekken van rechten bij functiewijzigingen.

Zo gaat een organisatie met zijn informatiebeheer van nice to know naar need to know.

Permalink 1 reactie

Clean desk voor beginners

maart 17, 2010 at 11:40 am (Columns, Oplossingen) (, , )

Alles na werktijd opgeruimd en achter slot en grendel, is de vaak gehoorde vertaling van een clean desk policy. “O, daar heb je die veldwachter weer, met zijn moeilijke praatjes” is de reactie van het grootste deel van de gebruikersgroep als er gele kaarten worden uitgedeeld. De werkelijkheid ligt zoals gewoonlijk ergens in het midden.

Is het wel nodig om alles op te bergen na werktijd? Een organisatie moet goed nadenken over de verwachte veiligheidsopbrengst van een maatregel en over de wijze waarop deze wordt ingevoerd en gecontroleerd. Voor veel bedrijven zal het bij de meeste afdelingen geen grote noodzaak zijn om alles op te bergen – er ligt gewoon geen interessante informatie. Pas als je op financiële afdelingen, de voorraadadministratie, rekenkamer, Research & Development afdelingen, personeelszaken of bij IT beheer komt kun je bijzondere informatie aantreffen. Mocht daar een deel van in handen komen van (sensatie) journalisten of concurrenten, dan kan dat behoorlijke schade aanrichten voor de organisatie als geheel. Op dit soort afdelingen is men zich vaak wel bewust van de aard van de gegevens en wordt daarnaar gehandeld.

Desondanks wordt de clean desk policy vaak alleen na werktijd toegepast, terwijl de afdeling verlaten is tijdens de lunchpauze, afdelingsvergaderingen of productpresentaties.

Voor een goed uitgevoerd clean desk beleid is het wenselijk dat betrokkenen zich realiseren dat het om het belang van de informatie voor de organisatie gaat en niet om het op afstand houden van de lokale veldwachter. Als het kwartje eenmaal gevallen is zal de vertrouwelijke informatie nog beter beschermd worden en ook bij tussentijdse afwezigheid worden opgeborgen. Door medewerkers persoonlijk verantwoordelijk te maken voor het afsluiten van kasten en ladenblokken wordt de betrokkenheid vergroot. Afdelingen onderling met elkaar laten strijden voor de minste gele kaarten is een van de manieren om het doel (clean desk) te bereiken.

Voor deze maatregel geldt dat zichtbare betrokkenheidvan het management (geen vertrouwelijke informatie laten liggen) noodzakelijk is voor het slagen van de invoering. Zoals het spreekwoord gaat: “Zo de ouden zongen, piepen de jongen”.

En populair gezegd: “Apie ziet – Apie doet”.

Permalink Geef een reactie

Wachtwoorden resetten op afstand

maart 13, 2010 at 4:10 pm (Oplossingen, Techniek) (, , , , )

Vroeg of laat lopen organisaties tegen het probleem aan van het resetten van wachtwoorden. Vaak worden er voordat het probleem zicht baar is allerlei constructies bedacht om de “vergeetfactor” te verkleinen. Het lijstje bij de secretaresse of ophangen aan de binnenkant van het koffiekastje zijn daar voorbeelden van.

In het formele proces moet er nog met de helpdesk gebeld worden, moet iemand zich legitimeren of moet iemand anders de melding doen. De gebruikersorganisatie heeft het liefst een snelle en gemakkelijke oplossing, terwijl de IT organisatie er weinig werk aan wil hebben en een goede ondersteuning van de informatiebeveiliging noodzakelijk is. Dit alles om te voorkomen dat een indringer zich toegang verschaft tot het netwerk.

Afhankelijk van de aard van de organisatie, de locatie van de medewerkers en het niveau van het beveiligingsbewustzijn, zijn er twee manieren voor het op afstand resetten van een wachtwoord. In een organisatie met een stabiele groep gebruikers kan gebruik worden gemaakt van het systeem met geheime vragen. Voorwaarde is wel dat men zich goed bewust is van de noodzaak van informatiebeveiliging. Bij deze werkwijze registreert de organisatie de antwoorden op vragen die alleen de originele persoon kan weten. Bij een wachtwoord reset aanvraag doen de goede antwoorden dienst als identificatiemiddel op afstand. Deze methode werkt alleen goed als de medewerkers zich realiseren dat de antwoorden op de geheime vragen inderdaad persoonlijk zijn en niet met elkaar gedeeld worden. Dit systeem van wachtwoord resetten komt veel voor bij organisatie met een relatief hoog niveau van beveiligingsbewustzijn of van de waarde van informatie. Denk aan banken, het verzekeringswezen of defensie. Daarnaast speelt de aard van het personeel een rol Als het verloop in een organisatie hoog is of als de klanten van de IT afdeling verspreid zitten of zelfs onbekend zijn, dan zijn er betere systemen te bedenken.

Op universiteiten kom je de ‘adidas methode’ nog wel tegen: melden bij de helpdesk en je legitimeren om een wachtwoord reset te krijgen.

Voor organisaties die om tal van redenen niet voor geheime vragen kiezen (bijvoorbeeld vanwege het onderhoud, of hoe om te gaan met vergeten antwoorden) is er een ander systeem. Hiermee wordt op geautomatiseerde wijze een sterk en eenmalig wachtwoord verzonden naar een tevoren geregistreerd e-mailadres of mobiel telefoonnummer. De gebruiker kan dan inloggen en zijn wachtwoord meteen wijzigen. Deze methode komt veel voor bij organisaties met een geografisch verspreide groep gebruikers. Webhosting bedrijven werken vaak op deze wijze.

Permalink Geef een reactie

Het waarom van wachtwoorden

maart 4, 2010 at 11:51 am (Achtergrond, Columns, Oplossingen) (, , , , )

Mensen zijn lui en houden niet van hindernissen. Wachtwoorden worden vaak beschouwd als een noodzakelijk kwaad. Je moet ze onthouden en als je ze vergeten bent moet je een procedure door om een nieuw wachtwoord te krijgen. Dat neemt niet weg dat wachtwoorden en gebruikersnamen (meestal komen ze samen voor) nuttig zijn bij het opwerpen van beveiligingsdrempels. Met een goed wachtwoordbeleid en voldoende begrip voor beveiliging bij de gebruikers is het mogelijk een serie drempels op te werken die onbekenden van buiten tegen kan houden.

Wachtwoorden dienen meerdere doelen. Samen met de gebruikersnaam geven ze een gebruiker van netwerkdiensten toegang tot diensten, zoals email, internet en (zakelijke) toepassingen. Wachtwoorden beschermen de waardevolle gegevens van een organisatie tegen pottenkijkers, of voorkomen dat iemand belangrijke gegevens aanpast.

Gebruikersnamen en wachtwoorden worden toegepast om medewerkers hun persoonlijke verantwoordelijkheid te laten nemen. Elke handeling in de ICT infrastructuur moet te koppelen zijn aan een account. Controle daarop maakt deel uit van het normale proces van in control zijn over de ICT omgeving en de daaraan verbonden informatiebeveiliging. Als het delen van accounts of wachtwoorden is toegestaan kunnen de medewerkers niet meer aansprakelijk worden gesteld. Het is immers niet meer helder wie verantwoordelijk is voor welke handelingen. Dat dit tot ongewenste situaties kan leiden mag duidelijk zijn.

Natuurlijk zijn er meer maatregelen te bedenken die vreemden de toegang tot het netwerk moeten ontzeggen. Deze vullen voornamelijk de hiaten, maar zijn geen vervanger voor het wachtwoord.

Permalink Geef een reactie

Alu-hoedje voor iPad

maart 2, 2010 at 9:50 pm (Columns, Techniek) (, )

Net wat ik altijd al niet wilde hebben, een tablet pc die niet in mijn zak past, op een iPhone lijkt en waar je niet mee kan bellen. Om hem veilig te maken tegen browser exploits en phishing activiteiten kun je hem voorzien van een echt iPad aluminium hoedje.

Kost een paar euro, maar dan heb je ook niks.

Permalink Geef een reactie

Wachtwoorden – nuttig?

februari 16, 2010 at 12:03 pm (Achtergrond, Oplossingen, Techniek) (, , , , , )

Amex, een van de amerikaanse creditcardmaatschappijen, verplicht zijn klanten om zwakke wachtwoorden te gebruiken. Ze mogen alleen letters (hoofd- en kleine letters) en cijfers toepassen. Dit verhoogt niet alleen de kans op het goed raden van wachtwoorden of de kans dat een woordenboekaanval slaagt, maar zo worden de kosten voor de creditcard gebruikers ook hoger. Jaarlijks betalen mensen met een creditcard een bedrag voor het gebruik. Daarbij inbegrepen is een soort verzekeringspremie tegen het misbruik. Winkeliers en bedrijven die creditcards accepteren betalen  een bedrag per transactie, maar ook om de kaart te mogen accepteren. Door nu wachtwoorden zwakker te maken zal de kans op misbruik stijgen. Dit betekent een stijging van verlieskosten voor de creditcard maatschappij. Zij moeten fraudeonderzoeken starten en de kosten verhalen. Hierdoor zullen de kosten voor de gebruikers, winkels en bedrijven stijgen.

In Japan worden two-factor authentication systemen afgedaan als te zwak, terwijl in Europa hooguit sms authenticatie gebruikt wordt – terwijl het gsm protocol al gekraakt is. In het land van de rijzende zon gebruiken ze bloedvatfingerprints als biometrische eigenschap. Deze techniek is beter en betrouwbaarder dan de gummibeertjes vingerafdruk, de onsmakelijke oorscan of de enge irisican die met een foto is te misleiden.

Hier gebruiken we sterke wachtwoorden bij banken, met hoofd- en kleine letters, cijfers en leestekens. Alleen dat onthouden, daar  heb je een truukje voor nodig: tel ze bij elkaar op. Maak bijvoorbeeld gebruik van een vast getal (datum, geluksgetal, of iets dergelijks) en een steeds wisselend woord. Combineer dit met een vast patroon en voeg hier een leesteken aan toe.
Voorbeeld:
BakSteen + 05121954 = 05Bak12Steen1954?
Nog een voorbeeld:
WaterFles + 05121954 = 05Water12Fles1954?

Zo krijg je een wachtwoord dat zowel sterk is als goed te onthouden voor een mens.
In de top 10 van ergerlijke beveiligingsmaatregelen wordt het “onzinnige wisselen van wachtwoorden” genoemd. Ik vraag mij dan af wat daar onzinnig aan is. Het argument “als een wachtwoord niet geraden is hoef je het niet te wijzigen” vind ik zwak. Als wachtwoorden geraden kunnen worden zijn ze zwak en moeten ze regelmatig worden gewisseld om de periode waarin misbruik mogelijk is te beperken. Voor sterke wachtwoorden geldt hetzelfde, omdat ze waardevolle informatie beschermen.

Daarnaast wil het niet zeggen dat een wachtwoord niet is geraden als er geen misbruik van bekend is. Dat wil alleen maar zeggen dat het misbruik niet bekend is.

Permalink Geef een reactie

Security in cloud computing

februari 13, 2010 at 6:00 pm (Achtergrond, Problemen, Techniek) (, , , , )

Cloud computing is “in”. Alleen een afspraak of contract met je directe leverancier, misschien nog een contactpersoon in je organisatie en alle techniek de deur uit. De ideale oplossing voor al je beheerproblemen – als alles werkt. In de praktijk zijn er veel haken en ogen te vinden bij cloud computing of outsourcing van je applicaties. Want bij intern beheer weet je bijvoorbeeld wie er aan je spullen zit. Je weet zeker dat je grootste concurrent niet zijn databases in hetzelfde datacenter heeft draaien als jij. Of als je applicatie het niet doet, dan weet je de verantwoordelijke manager snel te vinden. Verder weet je zeker dat je gegevens niet in andere landen terecht komen, waar andere regels gelden voor geheimhouding of schending van privacy.

Bij cloud computing is dat een ander verhaal. De beheerpartij kan de apparatuur weer ergens anders hebben onder gebracht en ook de datalijnen kunnen elders zijn uitbesteedt. Zelf kan de technische partij die de apparatuur huisvest een parallel datacentrum hebben in een land hier ver vandaan – buiten de EU en de daaraan verbonden wetgeving. Ongewild en ongeweten kun je zo risico’s lopen met de vertrouwelijkheid van je gegevens. De Amerikaanse wetgeving gaat heel anders om met privacybescherming en datastromen dan de EU wetgeving.

Voordat je je bedrijfskritische applicaties onderbrengt in ‘the cloud’ moet je je er van bewust zijn dat ook deze dienstenleveranciers fouten maken en dat je daar last van kunt ondervinden. Denk aan de storing in 2009 bij Google, waardoor Google-docs enkele uren niet beschikbaar was. Bij eigen beheer of intern beheer heeft een organisatie de mogelijkheid prioriteiten te stellen die van invloed (kunnen) zijn op de oplossingssnelheid van incidenten. Bij cloud applicaties (SAAS) ben je een van de vele klanten in de rij en kun je alleen afwachten en hopen dat de dienst weer snel beschikbaar wordt.

Ook al loop je met je hoofd in de cloud, let ook op de aardse zaken.

Permalink Geef een reactie

Next page »