Enterprise cloud governance

 
 
Enterprise cloud governance
Zal cloudcomputing duurzame economische opbrengsten genereren voor organisaties? Wat is het beste gebruik van clouddiensten en kunnen ze overgenomen worden op een manier die geen gevaar vormt voor het risicoprofiel van een organisatie?
Bovengenoemde vragen moeten in alle openheid en met feiten onderbouwd worden besproken en beslist in raden van bestuur. Eén ding is zeker: cloudcomputing oefent een enorme druk uit op de traditionele IT-processen om zich aan te passen. Bij besluitvorming hieromtrent zullen governance-en risicobeheerders nauw moeten samenwerken met alle afdelingen om de belangrijkste principes van cloudcomputing duidelijk, vertaalbaar en opvolgbaar te maken.
Cloudcomputing lijkt wel de internetversie te zijn van IT-outsourcing, maar dan wel met enkele fundamentele verschilpunten. De meest typische verschilpunten zijn:
• Flexibiliteit: Bij het gebruik van traditionele IT, hebben organisaties bijna volledige flexibiliteit ten aanzien van gebruik, omdat ze er zelf verantwoordelijk voor zijn. Bij cloudcomputing is de flexibiliteit beperkter door de manier waarop de diensten worden geleverd. Bijvoorbeeld, veel Platform as a Service (PaaS)-clouddiensten worden up-to-date gehouden met de meest recente versie van besturingssystemen. Wil een bedrijf opereren met een oudere versie, dan is dat soms niet mogelijk of zal er onderhandeld moeten worden over een meer op maat (en duurdere) service.
Sommige clouddiensten bieden flexibiteit. Echter het opzetten en in stand houden van de configu ratie kost meer inspanning en vaardigheid dan een out-of-the-box aanbieding. Wel is cloud weer veel flexibeler bij opschalen of verlagen van infrastructuur.
• Beveiliging: Met de traditionele IT zijn organisaties zelf verantwoordelijk voor de veiligheid, zij bepalen wie er toegang tot hun data heeft en wie er van hun faciliteiten gebruikmaakt. In de cloud regelt de dienstverlener deze aspecten. Cloudproviders kunnen dit doorgaans beter dan hun afnemers, maar die klant heeft niet altijd inzicht in het security-niveau van de service. In de cloud zullen klanten de faciliteiten waarschijnlijk delen met anderen zonder te weten wie dat zijn. Voor veel organisaties is dit een zeer belangrijk thema in verband met de beveiliging van hun data.
• Betrouwbaarheid en beschikbaarheid:
Betrouwbaarheid en beschikbaarheid zijn de twee belangrijkste redenen waardoor organisaties zich aangetrokken voelen tot de cloud. Maar hoewel de diensten (aantoonbaar) betrouwbaarder zijn, heeft een gebruiker bij problemen geen zicht op de aard van de storing. Dit vereist daarom een andere governance-aanpak.
• Real-time monitoring en meten: Alle betrok-ken partijen willen real-time weten wat er exact gebruikt/verbruikt wordt. Dit betekent dat klanten toegang hebben tot een online dashboard met zowel de technische monitoring alsook de kosten van gebruik/verbruik. Tegelijk wil de dienstenleverancier een real-time beeld hebben van het bedrag dat gefactureerd mag worden. In de praktijk zullen meestal maandelijkse tarieven gehanteerd worden in vorken van gebruik/verbruik. Toch blijft er onder gebruikers de wens om te weten hoe de cloudomgeving nu werkelijk wordt gebruikt, en vooral, wat de trends en ontwikkelingen zijn in gebruik/verbruik.
• Schaalbaarheid: Het grootste voordeel van cloudcomputing ten opzichte van traditionele IT is het vermogen om processingpower en opslagcapaciteit eenvoudig op te schalen of te verlagen zonder dat dit leidt tot grote veranderingen in de overheadkosten. Dit kan voor veel organisaties verlagingen van risico’s betekenen, maar het vergt wel nauwkeurige monitoring om hiervan te profiteren.
Zelf besturen of meerijden?
Als cloudcomputing zoveel voordelen biedt, waarom verplaatsen organisaties dan vandaag niet hun volledige IT-omgeving naar de cloud?
Deze vraag komt regelmatig terug, ook in directie-en bestuurdersvergaderingen. Het antwoord is minder eenvoudig dan het lijkt. Factoren als risicobeheer, compliance met wet-en regelgeving en informatieveiligheid moeten meegenomen worden in de besluitvorming. Daarom hangt het antwoord op de vraag “Moeten we als organisatie onze eigen cloud bouwen of gewoon meerijden op een bestaande cloudomgeving?”, sterk af van de aard van de IT-dienstverlening, de toekomstige groeiverwachtingen, de risicobereidheid, de juridische en wettelijke voorschriften, en het totale kostenplaatje end-to-end (vanaf de opstart en migratie tot het einde van het verhaal met overschakeling naar een andere leverancier of terug
internaliseren van de IT-oplossing). Organisaties moeten zeer goed nadenken over de kwaliteit van hun IT-diensten en een degelijke businesscase opstellen.
In figuur 1 enkele voorbeelden van scenario’s waarin cloudcomputing gebruikt wordt met de voornaamste voordelen en de belangrijkste risicooverwegingen.

Figuur 1. Voorbeeldscenario’s cloudcomputing

 

Controle-opties

 

De potentiële voordelen van cloud worden door leveranciers zeer overtuigend uitgemeten, maar cloud brengt ook een aantal nieuwe risico’s met zich mee die nieuwe oplossingen vergen:
• Private cloud: Voor organisaties die bang zijn dat hun (kritische) toepassingen en al hun data op een publieke cloudserver direct naast ‘wie weet wat’ staan, kan een private cloud de oplossing zijn. Een private cloud is zoals reizen in een speciaal voor u gecharterd vliegtuig; men heeft de voordelen van het vliegen met de vliegtuigmaat-schappijen, maar met extra veiligheid en privacy.
Natuurlijk zal dit meer kosten, maar het is potentieel goedkoper dan een eigen vliegtuig aanschaffen, opereren en onderhouden. Private cloudomgevingen worden op twee manieren aangeboden: hetzij door het volledig afschermen van het systeem via een firewall, of door systemen af te scheiden van anderen via een gevalideerde en volledig versleutelde omgeving binnen een publieke cloudomgeving (beter bekend als ‘virtuele private cloud’).
• Voorbereiden op de terugkeer: Alle diensten ‘terug in huis nemen’ is wellicht één van de laatste zaken die men bij besprekingen van de cloudstrategie aan de orde stelt. Toch is het één van de meest belangrijke aspecten om op voorhand te overwegen. Sommige dienstenleveranciers lijken perfecte organisaties te zijn, maar kunnen zeer snel verdwijnen. Er is reeds een aantal gereputeerde cloudleveranciers verdwenen door massieve hacking of door financiële problemen. Dergelijke ontwikkelingen zijn moeilijk te voorspellen. Iedere organisatie moet zich altijd de vraag stellen wat ze concreet doen wanneer een cloudleverancier niet de gewenste kwaliteit levert of verdwijnt. Een ‘terugkeerstrategie’ is essentieel en moet onder andere omvatten: het behouden van kennis over alle kritische informatie en informatieverwerking in de cloud; het behouden van vaardigheden om de kritische systemen en diensten te kunnen repatriëren en terug op te starten; regelmatige uitvoering van back-up-en restore-oefeningen van kritische componenten/systemen/informatie (bij voorkeur onafhankelijk van de dienstenleverancier); regelmatige uitvoering van migratieoefeningen door het uitvoeren van diensten intern of bij een onafhankelijke leverancier (mogelijk bij een andere cloudleverancier).
Een terugkeerstrategie kost energie, tijd en geld, maar het is een relevant risico en vermijdt totale afhankelijkheid van één leverancier.
• Informatie continu beveiligen: Het is altijd belangrijk om gevoelige gegevens of intellectuele eigendom te beschermen. De bekendste manier is het gebruik van encryptie:
- Bescherming van opgeslagen data (‘in rust’) en verzonden data (‘in transmissie’) is relatief eenvoudig, maar de bescherming van data tijdens de verwerking is nog steeds problematisch. Organisaties die uiterst gevoelige data verwerken, worden daarom nog steeds geadviseerd om geen publiek cloudmodel te gebruiken, maar deze uiterst gevoelige data intern te houden.
- Encryptie is zo sterk als de beheerscontroles.
Organisaties hebben nog steeds moeite om solide processen te ontwikkelen en te onderhouden voor het creëren, verspreiden en vernieuwen van encryptiesleutels. Bij een move naar de cloud, waar de verspreiding van sleutels nog groter kan zijn, zijn deze controleprocessen nog belangrijker.
Rol van compliance
Wet-en regelgeving zijn een andere belangrijke uitdaging. Privacy en de bescherming van persoonlijke gegevens krijgen steeds meer aandacht.
Daarnaast duiken wereldwijd steeds meer sectorgebonden eisen op. Sommige zijn diametraal tegengesteld, afhankelijk van het land waarin de organisatie opereert. Dat maakt compliance uiterst delicaat. Bovendien zijn er veel grijze gebieden en ontbreekt in veel situaties nog jurisprudentie. De beste aanbeveling is hier om steeds degelijk juridisch advies in te winnen alvorens in de cloud te stappen. Vooral in zwaar gereguleerde sectoren, zoals financiële diensten of de gezond - heidszorg, of waar persoonlijk identificeerbare informatie (PII) verwerkt wordt, dienen organisaties rechtstreeks overleg te plegen met regelgevende instanties.
Transparantie en vertrouwen
Governance is van groot belang bij de keuze van een leverancier van clouddiensten. Hoe kan de organisatie een zo objectief mogelijke correcte risico-evaluatie maken rond de visie, de procedures, de organisatie, het informatiebeheer, de volledige infrastructuur en fysieke locaties, inclusief controles? Hetzelfde geldt voor bedrijfscultuur en de competenties van de medewerkers en van de toeleveranciers van de cloudaanbieder. Deze aandachtgebieden moeten aan bod komen bij de risicobeoordeling en bij audits van een cloudaanbieder.
Een andere belangrijke factor is transparantie.
Cloudcomputing is zoveel meer dan het huren van hard-of software of diensten. Het gaat over het toevertrouwen van kritieke middelen en diensten aan een derde partij. Daarom zal het bieden van transparantie rond controles en beheer van informatie nog sterk aan belang toenemen en evolueren. Dankzij internationale standaarden zoals ISO27001, ISO27017 en ISAE3402 kan een organisatie enigszins een objectief beeld krijgen van de controle-omgeving en van de operationele effectiviteit van een cloudleverancier. Uiteraard wordt steeds aangeraden om te kijken naar de scope van deze rapporten of certificaten. Het is altijd belangrijk om het doel, de reikwijdte en alle belangrijke uitzonderingen te herzien, en om deze te beoordelen tegen compliance-vereisten, risicobeheer en de extra controlebehoeften van de organisatie.
Veiligheid
Clouddiensten worden dikwijls aangeboden als een utilitaire dienstverlening, zoals elektriciteit of water. Een organisatie kan makkelijk en snel inspelen op wisselende behoeften (meer nodig, meer kopen). Omdat het internet zo toegankelijk is binnen organisaties, kunnen individuele afdelingen hun eigen behoeften bepalen, onder-handelen en implementeren zonder de officiële aankoopprocedure te volgen. Flexibiliteit of ‘pay-as-you-go’ stelt een afdeling in staat om zelf de capaciteit te verhogen of te verlagen of om aanvullende diensten aan te vragen met een simpele muisklik. Maar de keerzijde is dat deze flexibiliteit ook kan leiden tot het omzeilen van controles, veranderingsprocessen, security-checks en tal van andere controleprocessen in de organisatie.
Het omzeilen van bestaande processen en het niet informeren van andere afdelingen of verantwoordelijken binnen de organisatie kunnen leiden tot een verhoogde potentiële blootstelling aan risico’s. Zonder enige controle en discipline kunnen kosten uit de pan rijzen als de clouddiensten niet tijdig worden uitgeschakeld als ze niet meer nodig zijn. Individueel aangekochte clouddiensten kunnen direct conflicteren met de bestaande tech nologie-en organisatie-strategie. Het gebruik van clouddiensten kan aanleiding geven tot ernstige problemen met de wet-en regelgeving.
Ultiem blijven directieleden en leden van de raad van bestuur verantwoordelijk voor de beslissingen in hun organisatie. Dus enige vorm van toezicht op diensten uit de cloud is vereist.
Besluiten
Cloudcomputing biedt talrijke voordelen, maar houdt ook een aantal relevante risico’s in. Het is essentieel dat directeuren en bestuurders op de hoogte zijn van de cloudinitiatieven in de organisatie en controlemaatregelen valideren en opvolgen. Immers, als clouddiensten blijven groeien en volwassen worden, zal er een aantal ontsporingen en problemen ontstaan.
Voor directeuren en bestuurders die de media volgen of flashy websites bekijken kan het cloud verhaal te positief overkomen. Tegelijk zijn er incidenten waardoor ze terecht vraagtekens zetten bij de volwassenheid, transparantie en risico’s van cloudcomputing. Dit biedt kansen voor risico-experts, informatieveiligheidsexperts en interne auditors om directeuren, bestuurders en afdelingshoofden op te leiden en te begeleiden om op een verstandige manier te profiteren van de cloud.
De eerste stap in goed beheer van cloudcomputing is gemeenschappelijk begrip van de te verwachte voordelen en risico’s in combinatie met de mechanismen om deze op te volgen en te meten. Kortom, er ligt nog veel werk in het wegwijs maken van directeuren en bestuurders in de wereld van cloudcomputing.
 
Wat moeten directeuren en bestuurders weten over cloud?
Directeuren en bestuurders moeten zich ervan bewust zijn dat cloudcomputing geen IT-verhaal is, maar een organisatieverhaal. De volgende vragen helpen om te bepalen wat de strategische waarde van clouddiensten is, en welke impact cloudcomputing zou kunnen hebben op de middelen en de controles van de organisatie:
1) Bestaat er een concreet uitgewerkt plan voor cloudcomputing in de organisatie?
Cloudcomputing heeft vele strategische mogelijkheden. Vanuit een strategisch perspectief, kan cloudcomputing een manier zijn om: concurrentievoordeel te behouden/vergroten; nieuwe markten te betreden; bestaande producten en diensten te verbeteren; klantentevredenheid te verhogen; productiviteitswinsten te boeken; kosten te verminderen; nieuwe producten of diensten te ontwikkelen; geografische barrières te doorbreken.
2) Hoe ondersdteunen de huidige cloud plannen de missie van de organisatie?
Clouddiensten moeten de bedrijfsdoelstellingen ondersteunen. Cloudinitiatieven moeten een duidelijke en traceerbare link naar de organisatiestrategie hebben, zodat de verwachte waarde van clouddiensten duidelijk omschreven, aanvaard en meetbaar is. Deze link helpt ook om de prioriteit toegekend aan cloudinitiatieven te bepalen en ondersteunt de ontwikkeling van maatstaven om de resultaten af te zetten tegen de verwachtingen. De alignering tussen cloud-en organisatiedoelstellingen is van cruciaal belang voor een effectief risicobeheer en kostenbeheersing. De potentiële voordelen van clouddiensten kunnen verleidelijk zijn, maar met potentiële beloningen komen ook potentiële risico’s. De organisatie moet beslissen of het mogelijke risico binnen aanvaardbare grenzen ligt.
3) Is de organisatie klaar voor cloud-computing?
Drukpunten ontstaan wanneer: cloudimplementaties in strijd zijn met de bestaande organisatiecultuur; vaardigheden om cloudoplossingen te ondersteunen niet beschikbaar zijn in de organisatie; cloudgerelateerde processen conflicteren met andere processen; de organisatiestructuur een rem is voor de maximalisatie van effectiviteit of efficiëntie middels de cloud. Een systematische beoordeling van de cloud-diensten kan helpen bij het identificeren van extra kosten en risico’s die moeten worden meegewogen in de besluitvorming. Zo’n beoordeling moet het volgende omvatten:
• Beleid & procedures: nieuw beleid en procedures die de goedkeuring, het beheer en het juiste gebruik van cloudcomputing begeleiden, kan nodig zijn.
• Processen: Bestaande processen die gebruikmaken van traditionele IT-diensten moeten mogelijk worden aangepast, om nieuwe activiteiten op te nemen die verband houden met clouddiensten.
• Organisatiestructuur: Beheer van cloud kan nieuwe organisatorische capaciteiten of aanpassingen aan de organisatiestructuur vereisen, in het bijzonder in de IT-activiteiten en ondersteuning.
• Cultuur en gedrag: De organisatiecultuur en -gedrag kan van cruciaal belang voor de succesvolle invoering van cloudoplossingen.
• Vaardigheden en competenties: Aankoopdienst, juridische dienst, risicobeheer en interne audit zijn enkele voorbeelden van diensten die mogelijk bijkomende vaardigheden moeten ontwikkelen om clouddiensten te beheren, vanaf de evaluatie over implementatie en onderhoud tot beëindiging van de clouddienst.
4) Welke investeringen gaan verloren door cloud?

Cloudcomputing zal niet onmiddellijke passen in het technologische portfolio van de
organisatie. De toepassing van een cloud-dienst kan er bijvoorbeeld voor zorgen dat technologische investeringen niet hun geplande einddatum bereiken. De beslissing over wanneer en hoe een organisatie dat pro-bleem zal oplossen, moet zorgvuldig worden overwogen met aandacht voor:
• Processen: De IT-organisatie kan nodig zijn om processen zoals aankopen en verande-ringsbeheer aan te passen.
• Cultuur en gedrag: Clouddiensten kun-nen een snellere doorlooptijd vragen van de IT-organisatie, die veranderingen in interne processen en hulpmiddelen met zich mee kunnen brengen.
• Diensten, infrastructuur en toepassin-gen: De organisatie moet mogelijk de datacenter(s), toepassingen, databanken, informatiesystemen en netwerkinfrastructuur bijwerken, wat kan leiden tot desinvestering.
• Vaardigheden en competenties. De IT-organisatie zal extra vaardigheden moeten ontwikkelen of aanschaffen ter ondersteuning van de clouddiensten.
5) Strategie voor het meten en opvolgen van rendement versus risico in de cloud?
De juiste rapporteringsmechanismen zijn essentieel om de waarde en risico’s van cloud-diensten te meten.

 

Marc Vael (marc.vael@smals.be) is directeur Interne Audit & Risicobeheer bij Smals, voorzitter ISACA Belgium en bestuurder bij SAI.

Tag

Onderwerp



Niet gevonden? Vraag het de redactie!

Heeft u het antwoord op uw vraag niet gevonden, of bent u op zoek naar specifieke informatie? Laat het ons weten! Dan zorgen we ervoor dat deze content zo snel mogelijk wordt toegevoegd, of persoonlijk aan u wordt geleverd!

Stel uw vraag