Nederland loopt voorop met praktijkrichtlijn cloud computing

Share on linkedin
Share on facebook
Share on twitter
Share on whatsapp
Share on email

business_trendsBij BTG-leden bestaat nog veel onduidelijkheid over cloud computing. Maatregelen (‘controls’) voor het borgen van beschikbaarheid, integriteit en vertrouwelijkheid spelen hierbij een belangrijke rol. De CloudControls, een richtlijn voor cloud computing en mede ontwikkeld door cloud provider CloudVPS, dragen bij aan de ontwikkeling van de Nederlandse praktijkrichtlijn (NPR) 5317 Cloud Computing. Hier wordt aan gewerkt door NEN (het Nederlands Normalisatie-instituut). Volgens de normcommissie die zich bezig houdt met cloud computing vormen de risico’s en beheersmaatregelen (controls) van de CloudControls een van de basisconcepten voor de eerste Nederlandse praktijkrichtlijn voor clouddiensten.

Om de markt voor cloud computing in beweging te brengen door het standaardiseren, eenduidig vastleggen van definities, en specificeren van kwaliteitseisen aangaande beschikbaarheid, integriteit en vertrouwelijkheid, is NEN gestart met de ontwikkeling van de Nederlandse praktijkrichtlijn (NPR) 5317 Cloud computing. Het ontwikkelen van NPR 5317 wordt uitgevoerd door een in 2012 opgerichte normcommissie. CloudVPS is lid van deze normcommissie en vanaf het eerste uur betrokken bij de ontwikkeling van NPR 5317.

Commentaar

NEN nodigt partijen uit om hun ontwikkelde specificaties, zoals CloudControls, die CloudVPS in eerste instantie samen met KPMG heeft ontwikkeld volgens formele regels te normaliseren. De structuur en het grootste gedeelte van de CloudControls-specificatie kan met tekstuele aanpassingen direct in het ontwerp worden overgenomen. NEN is voornemens om het ontwerp NPR 5317 Cloud computing in 2014 op te leveren voor commentaar. Nederland loopt doorgaans voorop op het gebied van normontwikkeling, waardoor ons land vaak als voorbeeld worden genomen voor Europese en internationale normen, zoals de ontwikkeling van NPR 5313 Computerruimtes en datacenters en NEN-EN 50600.

Keurmerk

Lennard Zwart, ceo van CloudVPS, is de initiator van de CloudControls. Hij vond het de hoogste tijd voor een keurmerk zodat serieuze partijen zich sneller comfortabel kunnen voelen bij het uitbesteden naar de cloud. Volgens hem zijn de CloudControls een serie controlemaatregelen om de specifieke risico’s te mitigeren die samenhangen met het uitbesteden naar een cloudinfrastructuur. Denk hierbij aan garanties aangaande de informatievoorziening naar de klant of maatregelen die het veilig delen van infrastructuur (multi-tenancy) mogelijk maken. De controls kunnen door cloud providers worden geïmplementeerd, waardoor klanten op een eenvoudige manier kunnen zien dat de potentiële risico’s gemitigeerd zijn.

Publieke cloud

CloudVPS is in 2006 opgericht door een groepje pioniers dat software wilde maken om clusters van servers gemakkelijk aan te kunnen sturen. De zelfontwikkelde programmatuur bleek uitermate geschikt voor het aanbieden van clouddiensten. CloudVPS heeft een grote public cloud waar flexibel capaciteit kan worden afgenomen. Daarnaast heeft het bedrijf een groot aantal private clouds en maatwerk clusters geïmplementeerd. CloudVPS loopt volgens eigen zeggen voorop met betrekking tot cloudgerelateerde certificering en open source cloud technieken zoals OpenStack. Lennard Zwart heeft zichzelf tot missie gesteld de publieke cloud de basis van elke it-infrastructuur te maken. Cloud computing kan volgens hem net zo veilig zijn als de server in je eigen kelder en omdat CloudVPS zich aan strikte privacyrichtlijnen houdt, zal data nooit zomaar met derden worden gedeeld.

ISO 27002

De algemene beveiliging van de cloudinfrastructuur valt buiten de scope van de CloudControls, deze kan door standaard it-security-standaarden zoals ISO 27002 worden afgedekt. De CloudControls zijn dan ook ontworpen om naast een securitystandaard zoals ISO 27002 geïmplementeerd en ge-audit te worden. De eerste stap bij het ontwikkelen van de CloudControls was een risicoanalyse. Hierbij zijn 61 cloudspecifieke risico’s gedefinieerd. De 44 CloudControls dekken deze risico’s af. De controls en risico’s zijn nog in ontwikkeling en de CloudControls vormen dan ook een open standaard. CloudControls.org is een open community waarin iedereen feedback kan geven op de richtlijn. Hieronder staan een aantal voorbeelden van controls genoemd.

  • Locatie en jurisdictie van data. De klant kan de jurisdictie bepalen waar zijn data wordt opgeslagen. Er zal gecommuniceerd worden welke overheden en jurisdicties aanspraak kunnen maken op de data van een klant.
  • Delen van infrastructuur: Het risico van het falen van de isolatie in de virtualisatielaag en de storage wordt regelmatig beoordeeld en wordt tot een minimum beperkt.
  • Staken dienstverlening van de cloud provider. Er zal een systeem beschikbaar zijn om er voor te zorgen dat er toegang is tot data en activa in het geval de cloud provider onverwachts zijn activiteiten zou staken.
  • Vendor lock-ins. Kortetermijncontracten zijn mogelijk. Klantdata is exporteerbaar en transporteerbaar in een vorm die industrie-standaard is. Migraties naar andere cloud providers worden niet gehinderd.

Auditors

Drs. Mike Chung RE, bij KPMG, raakte betrokken bij de ontwikkeling van de CloudControls. Vanuit zijn positie bij de KPMG divisie IT-Audits merkte hij een aantal jaren terug dat cloud computing een enorme vlucht nam en er nog geen richtlijnen bestonden. Auditors hebben nu eenmaal richtlijnen nodig.

Gemeente Den Haag

Sinds twee maanden maakt de gemeente Den Haag gebruik van de CloudControls bij it-aanbestedingen.

Gerard van Lieshout, concernadviseur bij gemeente Den Haag en plaatsvervangend security officer:

‘Binnen de overheid is de clouddiscussie in alle hevigheid losgebarsten en security en integriteit zijn zeer gevoelige onderwerpen. Met deze richtlijnen gaan we het weer hebben over de inhoud van cloud computing en niet over de emotie er omheen. Hiermee kunnen we afspraken vastleggen en afstemmen welke maatregelen we wanneer moeten nemen. Zodat wij als gemeente onze it-infrastructuur juridisch kunnen verantwoorden en risico’s kunnen indekken.’

NPR 5317

Op 25 januari 2013 is het ‘onderwerp en toepassingsgebied’ vastgesteld door leden van de normcommissie 381038 Distributed Application Platforms and Services van wat de Nederlandse praktijkrichtlijn (NPR) 5317 ‘Cloud computing’ moet worden. Deze NPR moet een handreiking bieden voor het gebruik van normen en andere relevante publicaties, ter ondersteuning van de innovatie en de ontwikkeling van de cloudindustrie. Voor het gebruik van de NPR wordt gedacht aan de volgende doelgroepen; de inkoper / eigenaar (cloud service consumer), de broker (bedrijf dat in opdracht clouddiensten inkoopt en integreert), de leverancier (cloud service providers) en de auditor. NPR 5317 is te gebruiken voor:

  • hanteren van een gemeenschappelijke taal (dat geeft duidelijkheid en structuur voor het denken en voor samenwerken in de keten);
  • de besluitvorming om wel of niet over te stappen naar een clouddienst;
  • het inventariseren van de mogelijke impact van incidenten;
  • het eenduidig en uniform specificeren en classificeren van te stellen eisen van een in te kopen clouddienst;
  • het selecteren van een geschikt leveringsmodel voor een te leveren clouddienst;
  • het vergelijken en selecteren van een leverancier van een clouddienst;
  • het opstellen van een script/scenario voor de overstap naar- en het in gebruik nemen van een clouddienst;
  • voor het opstellen van afspraken (sla) over de te verwachten prestaties.

De ontwikkeling van NPR 5317 ontsluit kennis en ervaring, staat niet op zichzelf maar sluit aan en wordt afgestemd op nationaal, Europees en mondiaal niveau. BTG-leden kunnen het Cloud Control Framework (Controls, Risks and Customer Questions) downloaden in het Engels of in het Nederlands op de website van CloudControls. BTG is niet verantwoordelijk voor de spelfouten.

BTG: Verbinding, verbreding en verdieping

Branchevereniging ICT en Telecommunicatie Grootgebruikers (BTG) behartigt de belangen van Nederlandse bedrijven en instellingen door kennis over te dragen en ervaringen uit te wisselen o.a. tijdens events

BTG in beeld en geluid

Magazine

BTG in Business - Najaar 2019
Lees de allerlaatste editie

Meld je aan voor onze nieuwsbrief!

Op de hoogte blijven van evenementen en het laatste nieuws? Schrijf je dan nu in voor onze nieuwsbrief.
  • Dit veld is bedoeld voor validatiedoeleinden en moet niet worden gewijzigd.