Werken in de cloud: welke afspraken zijn van belang?

  1. 21 okt 2014
  2. 0 reacties

De laatste jaren is het regelmatig onderwerp van gesprek: werken in de ‘cloud’, software en zelfs data opslaan in de ‘cloud’. Cloud computing biedt veel voordelen, maar wat zijn de risico’s? Is het wel veilig, komen privacy- en bedrijfsgevoelige data niet in verkeerde handen? En bij overstappen naar een andere hostingpartij, kan dat dan probleemloos? De media bericht vooral over lekken, onzorgvuldige opslag en data die gehackt wordt. Is dat te voorkomen?

In september 2012 is NEN begonnen aan het ontwikkelen van de Nederlandse praktijkrichtlijn (NPR) 5317 - Cloud computing. De praktijkrichtlijn is een handreiking voor gebruiker, consultant, auditor en betrokken leveranciers bij het specificeren, aanbieden, leveren en afnemen van een clouddienst.

NPR 5317 'Cloud computing'

NPR 5317 wordt gebaseerd op kennis uit bestaande standaarden en relevante publicaties uit de sector. Met modellen en voorbeelden van keuzes zal NPR 5317 belanghebbende partijen zoals opdrachtgevers, eigenaren en gebruikers op weg helpen bij het opstellen van een plan van aanpak, identificeren van risico’s, specificeren van eisen, opstellen van SLA’s en contracten. Verder wordt informatie gegeven over het betrekken en sturen van auditors, consultants en leveranciers en over het inschatten van risico’s en het bepalen van de geschikte beheersmaatregelen. Door te verwijzen naar NPR 5317 kunnen offertes, investeringen, kosten en prestaties van een clouddienst eenduidig met elkaar worden vergeleken.

Op 9 mei werd de workshop NPR 5317 ‘Cloud computing’ gehouden. Tijdens de workshop werd aan de deelnemers feedback gevraagd op de aanpak van de normcommissie, of het voldoet aan de behoefte van de markt en, of de inhoud van de NPR volstaat zoals de commissie die voor ogen heeft. De reacties van de deelnemers waren enthousiast. De leden van de normcommissie hebben dan ook groen licht gekregen om de Nederlandse praktijkrichtlijn verder te ontwikkelen.

Aanpak van de verdere uitwerking

De NPR wordt vanuit de afnemer, de eigenaar opgezet en heeft daardoor een praktische indeling. Om te beginnen wordt de waardevolle feedback van de deelnemers verwerkt in het huidige werkdocument. Het werkdocument heeft de volgende indeling:

  1. Onderwerp en toepassingsgebied
  2. Verwijzingen
  3. Termen en definities
  4. Introductie, functionele behoefte, leveringsmodellen
  5. Business Case en levensfasen
  6. Ordenen van risico’s en beheersmaatregelen (controls)
  7. Model voor programma van eisen:
  8. Legal, organisatorische en technische aspecten SLA’s en contracten voor een clouddiensten

De eerst volgende stappen richten zich op het verdere uitwerken voor het ondersteunen van de drie service-modellen (IaaS, PaaS en SaaS) en vier typen (‘private’, ‘community’, ‘public’ en ‘hybrid’) clouddienst.

130304NEN430-200x300 Ton van Bergeijk is werkzaam bij NEN als consultant ICT standaardisatie en is secretaris van de normcommissie ‘Cloud computing’. Hij vertelt over de ontwikkeling van de NPR 5317, het innovatieve karakter van het werken in de cloud en het polderen waarin Nederland meester is.

Als Nederland lopen we in de voorste gelederen als het gaat om ontwikkeling en toepassing van digitale communicatie.. Nederlanders kunnen heel goed samenwerken, snel ontwikkelen en zijn heel ondernemend. We behoren dan ook op dit nieuwe terrein tot de top van de wereld. Het ontwikkelen van een NPR begint altijd met een idee, een gevoel van ‘het is nu onduidelijk en we willen er iets mee’. De (markt)partijen die dit signaleerden, waren dan ook al vanaf het begin betrokken bij de ontwikkeling.

Ontzorgen en kostenreductie zijn de twee belangrijkste redenen om in de cloud te gaan werken. Een externe partij zorgt voor beheer en onderhoud van software en of data en levert voldoende capaciteit als het nodig is, het stukje ontzorgen. Kostenreductie wordt bereikt door het delen met elkaar en dus efficiënter werken.

Bij het bepalen van de inhoud van een NPR staat voorop dat het om toepassing gaat. Een NPR is geen norm. Vaak bestaan er al normen waar in de NPR naar verwezen kan worden. Het verwijzen naar normen ‘de conformiteit’ is een heel belangrijk aspect voor het toepassen van deze normen in een specifieke context. Als er een concept, product, dienst, of werkwijze moet worden beoordeeld, dan hoort het thuis in een norm. In een NPR staan richtlijnen hoe je iets kan aanpakken of kan toepassen binnen een specifieke context.

Bij de ontwikkeling van NPR 5317 zijn gebruikers, leveranciers, ontwikkelaars en auditors betrokken. Iedereen, ook de ontwikkelaars en leveranciers, realiseert zich dat open standaarden niet meer weg te denken zijn en dat afspraken hierover belangrijk zijn voor het opschalen van hun eigen software.

Tijdens de workshop hebben we de aanpak voorgelegd van het ontwikkelen van de NPR en de modellen en concepten die we willen opnemen. Ook hoe de risico’s kunnen worden vastgesteld, was een van de onderwerpen. We beginnen een presentatie over de cloud altijd met de twee belangrijkste uitgangspunten voor het werken in de cloud: ontzorgen en kostenreductie. Dit laatste is voor veel organisaties vaak de trigger. Als er gekozen is voor het werken in de cloud, zouden organisaties zich de vraag moeten stellen: ‘Welke risico’s loop ik dan?’ Dan moet je een beeld kunnen vormen. De risico’s zijn strek afhankelijk van de classificering van de gegevens. Privacy gevoelige informatie wil je niet op straat hebben liggen. Denk hierbij bijvoorbeeld aan gegevens die het ministerie van Justitie of het ministerie van Defensie beheren. Je moet dan in detail gaan specificeren wat voor maatregelen je moet gaan treffen; zijn dat technische of meer management maatregelen? En hoe houd je er toezicht op? Ook speelt de groep gebruikers een rol. Gaat het om een besloten groep, of heeft iedereen toegang tot de data. De risico’s kun je straks met behulp van de NPR, het model dat daarin wordt opgenomen, inzichtelijk maken. Op basis daarvan kan een organisatie de antwoorden formuleren en de benodigde maatregelen bepalen.

Picture1-300x203

Ook bij clouddiensten wil je als afnemer bepaalde regie houden. Je zet iets weg, maar je wilt er ook iets voor terug. Misschien wil je wel meekijken op het moment dat jij dat wilt. En je wilt zelf kunnen schakelen in capaciteit als je weet dat je meer gigabytes of bandbreedte nodig hebt. Meestal gaat een digitaal abonnement per maand, maar bij cloudcomputing praat je over een dynamische omgeving en wil je het misschien minimaal wekelijks kunnen bijstellen. Over dit soort zaken moet je ook nadenken en vastleggen in een SLA. De NPR geeft geen kant-en-klare SLA’s, maar wel richtlijnen voor hierin op te nemen clausules. Verder speelt de exit-strategie nog een belangrijke rol. Vaak niet iets waar je bij de start aan denkt, maar toch iets om al vooraf over na te denken en afspraken over te maken. Je wilt niet in een ‘lock-in’ situatie terechtkomen. Als je wilt overstappen naar een andere leverancier wil je natuurlijk wel al je data kunnen meenemen.

Als Nederland lopen we met de ontwikkeling van deze NPR dus voorop. Ook omdat Nederlandse bedrijven bereid zijn om te investeren. Zij zien het belang van duidelijkheid, vertrouwen, opschaling door standaardisatie, en bereiden zich voor op nieuwe zakelijke kansen.. Op Europees niveau zijn er wel normen voor bijvoorbeeld datacenters - waar Nederland ook voorop liep - en beveiliging van informatie, maar nog niet voor cloud computing. De subcommissie 38 die onder ISO/IEC JTC 1 valt, houdt zich sinds een aantal jaren bezig met cloud computing. Die volgen leden van de normcommissie al die tijd al. Deze subcommissie kijkt wat er op de markt is en wat zich op het web afspeelt. Ik denk dat Nederland voor het toepassen van de normen voor cloudcomputing een belangrijk rol gaat spelen. Wellicht dat de NPR als ‘Guide’ ook naar Europees niveau getild gaat worden.

 
Dossiers