In het algemeen kunnen we over de Cloud zeggen dat de eigen software en data niet op eigen machines staan. Ze zijn bereikbaar via de webbrowser van de gebruiker. Maar de Cloud kent vele verschijningsvormen. Zo is er de private cloud. Die is eigendom van organisaties, vaak in gebruik als intranet en dus niet voor iedereen toegankelijk. De public cloud is daarentegen wel voor iedereen bestemd en valt verder onder te verdelen in SaaS (Software as a service), PaaS (Platform as a service) en IaaS (Infrastructure as a service):
- SAAS: applicatiesoftware geleverd of in licentie verstrekt
- PAAS: het platform waarop applicaties draaien (infrastructuur en software om applicaties toegankelijk te maken, Social networks bijvoorbeeld
- IAAS: de infrastructuur wordt virtueel aangeboden en de hardware zijn eigendom van de provider
Goede keuze
Een SaaS-leverancier kan gebruikmaken van de diensten van een PaaS en/of IaaS provider. De kern van de controllersrol en die van andere spelers is in ieder geval helder: gezamenlijk de beste provider selecteren en een keuze maken die de data van de organisatie waarborgt. Maar voor welke provider en welke software moet je kiezen? Hiervoor is de onderstaande, aangevulde, checklist te gebruiken.
De Cloud provider
1. moet uitleggen wat ISAE 3402 (voorheen SAS 70 II), SSAE 16 en ISO 27001 zijn en wat de meerwaarde van deze standaarden is in het kader van beveiliging
2. past procedures toe die voldoen aan deze standaarden. Deze procedures zijn recent ge-audit (maximaal drie maanden geleden) en de resultaten hiervan zijn na de uitvoering zichtbaar gemaakt op de website van de provider. Hij kan die resultaten daarnaast beschikbaar maken voor een select publiek, dat daar een NDA (non-disclosure agreement) voor moet tekenen.
3. moet zorgen dat deze informatie eenvoudig toegankelijk is op zijn website. Bij voorkeur onder dezelfde noemer van bijvoorbeeld Cloud security. En bij voorkeur in PDF-formaat, zodat de informatie eenvoudig te verspreiden is naar collegas.
4. moet zichtbaar maken dat de transfer van data van en naar de Cloud encrypted (gecodeerd) plaatsvindt
5. moet aangeven op welke wijze hij de toegang tot de Cloud heeft beveiligd
6. moet aangeven bij welk datacenter de data zich bevindt en of het center gecertificeerd is volgens de bovenstaande eisen. Dit geldt natuurlijk alleen als de provider niet over een eigen center beschikt.
7. moet aangeven op welke wijze de klant zijn data terug kan krijgen bij beëindiging van de overeenkomst. En op welke wijze hij de data verwijdert, ook als die op meerdere fysieke servers heeft gestaan.
8. moet aangeven dat de data per klant is afgescheiden.
9. moet aangeven hoe de data door de klant kan worden bereikt, in geval van faillissement van de provider. Het gaat om vragen als: Is de data elders opgeslagen? Is er dan een verzekeringsovereenkomst afgesloten, waarmee de kosten worden gedekt om de toegangskosten te betalen? Enzovoort.
10. moet al deze zaken op zijn website vermelden, zodat klant voorafgaande aan zijn keuze in staat is de informatie te verifiëren. Net als dat nu kan met fysieke goederen.
11. moet al de zaken die hij zegt aan te bieden vastleggen in de overeenkomst met de klant (de SLA, Service level agreement) .
12. moet nastreven om in de toekomst uitsluitend tweewegauthenticatie (toegang op afstand) door klanten toe te laten passen. Denk hierbij aan de wijze waarop je toegang tot je bankrekening krijgt met een token.
Aan de hand van deze checklist kan een klant een Cloud provider beoordelen voordat hij de dienst in de Cloud gaat afnemen. Hij kan hiervoor natuurlijk altijd ruggenspraak houden met zijn accountant, die voor hem bijvoorbeeld de uitkomsten van de audit kan opvragen.