Herbert van der Kooij

Maat: px
Weergave met pagina beginnen:

Download "Herbert van der Kooij"

Transcriptie

1 Herbert van der Kooij De onderzoeksvraag is kan de IT auditor assurance verstrekken in een Cloud Computing omgeving. Hierbij zijn de verschillende aspecten van Cloud Computing onderzocht. Vervolgens zijn de voorwaarden van assurance-opdrachten afgezet tegen deze verschillende Cloud Computing aspecten. Hoofdconclusie is dat het geven van redelijke mate van zekerheid zeer lastig is gezien de complexiteit van de verschillende aspecten van Cloud Computing. Vrije Universiteit Amsterdam Postgraduate IT Audit Opleiding Referaat juli 2012 Versie 1.0

2 De IT Auditor in de wolken Liberalisatie van IT geeft de afnemer nieuwe mogelijkheden en de IT Auditor nieuwe uitdagingen.

3 Voorwoord Dit referaat is geschreven als afstudeeropdracht van de Postgraduate IT Audit opleiding aan de Vrije Universiteit van Amsterdam. In het referaat dient een actueel vraagstuk uit de IT Audit wereld op een academisch verantwoorde wijze behandelt te worden. Dit referaat heeft als onderwerp Assurance in the Cloud. De toename van IT diensten in de Cloud leidt tot een grote vraag naar zekerheid omtrent deze diensten. Dit brengt voor de IT Auditor grote vraagstukken en uitdagingen met zich mee. Het referaat heeft als doelstelling om inzicht te geven in welke mate een IT Auditor zekerheid kan geven over Cloud diensten en welke middelen hij daarbij ter beschikking heeft. Om hier antwoord op te geven ligt een literatuurstudie ten grondslag van Cloud Computing en assurance - opdrachten. Daarnaast zijn er interviews afgenomen met verschillende professionals die bij hun dagelijkse werkzaamheden direct betrokken zijn bij Cloud oplossingen. Via deze weg wil ik mijn afstudeerbegeleider dr. A. (Abbas) Shahim RE bedanken voor de prettige en interessante conversaties en het vakkundige inzicht welke tot een verdere verdieping en verrijking van dit referaat heeft geleid. juli 2012 Herbert van der Kooij

4 Inhoudsopgave Inleiding Achtergrond Onderzoeksvraag Subvragen Scope van het referaat Aanpak, indeling en structuur onderzoek Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen? Waaraan moet een Assurance-opdracht voldoen? Welke instrumenten heeft de IT Auditor tot zijn beschikking bij het geven van Assurance binnen een Cloud omgeving Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen? Inleiding Wat is Cloud Computing? Definitie traditionele IT oplossing (hosting / ASP omgeving) Definitie en essentiële aspecten van Cloud Computing Definitie Cloud Computing: Service modellen van Cloud Computing Delivery modellen van Cloud Computing Vijf kenmerken van Cloud Computing Verschillen Cloud Computing ten opzichte van hosting en ASP De techniek virtualisatie Definitie en aanbieders Complexe technieken van virtualisatie Wat betekent virtualisatie voor de IT Auditor Business model Inleiding Verschillende partijen in de Cloud Van kopen naar huren Wet en regelgeving Nederlandse regelgeving Amerikaanse wetgeving Betekenis privacy wetgeving voor de IT Auditor Overige risico s De invloed op de Cloud diensten van de afnemer is beperkt Right to audit is randvoorwaarde Afhankelijkheid van de aanbieder (Vendor lock-in) Verschillende afnemers in dezelfde Cloud... 24

5 2.6.5 Exitstrategie Conclusie verschillen tussen Cloud Computing en traditionele IT oplossingen Waaraan moeten assurance-opdrachten voldoen? Inleiding Definitie en doelstelling van een assurance-opdracht Soorten assurance-opdrachten Type en vormen van assurance-opdrachten Type assurance-opdrachten Audit domeinen Vormen van assurance-opdrachten Service Organization Control (SOC) Rapport SOC SOC SOC De vijf elementen van een assurance-opdracht Drie partijen Object van onderzoek Toetsingsnormen Geschikte informatie Het assurance rapport Conclusie waaraan moeten assurance opdrachten voldoen en de invloed voor assurance van Cloud Computing Instrumenten van de IT Auditor bij Cloud Computing opdrachten Inleiding Niet Cloud dienst specifieke standaarden Cloud dienst specifieke standaarden Tools Externe deskundigen Conclusie instrumenten van de IT Auditor bij Cloud Computing opdrachten Conclusie Literatuurlijst Bijlage Bijlage Bijlage Bijlage

6 Inleiding 1.1 Achtergrond Hoe kan de IT Auditor in een wereld met toenemende virtualisatie en Cloud computing assurance verstrekken? De IT Auditor verstrekt tot op heden diverse vormen van zekerheid / assurance in een veelal nog traditionele 1 IT wereld. De IT Auditor wordt in twee rollen geconfronteerd met cloud computing: als IT Auditor van gebruikers van cloud computing (al dan als onderdeel van een audit team van een externe financial Auditor); als IT Auditor van een aanbieder van cloud computing (die dan eventueel weer gebruik maakt van onderaannemers). Figuur 1 - Actoren model Assurance in de Cloud In figuur 1 zijn vier betrokken partijen van een assurance-opdracht ten aanzien van een Cloud dienst weergegeven. De Cloud afnemer betreft de afnemer van de Cloud dienst. Vanuit deze partij komt de vraag naar zekerheid omtrent de geoutsourcete IT omgeving. De Cloud service provider verstrekt een opdracht aan onafhankelijke derde partij, te weten de External IT Auditor. De External IT Auditor zal onderzoek verrichten naar de IT omgeving van de Cloud service provider, waarbij hij gebruik maakt waar mogelijk van de werkzaamheden en bevindingen van de Internal IT Auditor. Onder de Cloud Service Provider wordt de aanbieder van de Cloud dienst bedoelt inclusief eventuele subcontracters (Housing, Iaas, Paas dienstverleners). Dit maakt de audit werkzaamheden complex, een nadere toelichting wordt gegeven in paragraaf verschillende partijen 1 Met traditionele IT omgeving worden IT omgevingen bedoeld die geen gebruik maken van virtualisatie of Cloud diensten. Pagina 6 van 54

7 in de Cloud. Nadat de External IT Auditor het onderzoek heeft afgerond wordt een rapport met een oordeel over de Cloud dienst van de Cloud Service Provider afgegeven aan de Service Organisation. Deze verstrekt het assurance rapport aan de Cloud afnemer en indien gewenst verstrekt de gebruikers organisatie het assurance rapport aan de user auditor. De vraag is of de IT Auditor in een wereld met IT virtualisatie en cloud computing, welke onzichtbaar zijn voor de gebruiker ook kan verstrekken en welke middelen hij hierbij kan hanteren. Vanuit het onderwerp Cloud Computing en Assurance is dan ook de volgende onderzoeksvraag gedefinieerd: 1.2 Onderzoeksvraag Op welke wijze en met welke instrumenten kan de IT Auditor Assurance verstrekken in een Cloud Computing omgeving? Subvragen Om antwoord te kunnen geven op de hoofdvraag is de aanpak gekozen om de hoofdvraag onder te verdelen in drie subvragen. 1. Wat zijn de verschillen tussen Cloud Computing en traditionele IT omgeving? 2. Waaraan moet een Assurance-opdracht voldoen? 3. Welke instrumenten heeft de IT Auditor tot zijn beschikking om Assurance te verschaffen in een Cloud omgeving? Deze subvragen, relevante deelaspecten en de aanpak zijn schematisch weergegeven in figuur 2. Per subvraag wordt in paragraaf t/m een verkorte toelichting gegeven en benoemd in welk hoofdstuk de onderwerpen worden behandeld. Dit alles samengevat beschrijft de gehele aanpak van het onderzoek Scope van het referaat Dit referaat richt zich op Assurance-opdrachten welke betrekking hebben op de Cloud omgevingen waarbij Multi-tenancy (door meerdere partijen gedeelde infrastructurele componenten) van toepassing is, dus de Public Cloud. De Private Cloud, Community Cloud en Hybrid Cloud vallen derhalve buiten beschouwing. In paragraaf worden de verschillende service modellen van Cloud Computing toegelicht. De onderzoeksvraag gaat in op de mogelijkheid voor een IT Auditor om Assurance te geven ten aanzien van Cloud diensten. Daarom worden opdrachten welke een IT Auditor kan uitvoeren ten aanzien van Cloud diensten waarbij geen Assurance wordt gegeven buiten scope gelaten. Het onderzoek heeft zich alleen gericht op de risico s, processen en beheersmaatregelen bij de Cloud service provider. De beheersmaatregelen welke de Cloud afnemer dient te treffen, ten einde voldoende controle te houden over zijn uitbestede systemen en gegevens, zijn buiten scope. Daarnaast gaat het onderzoek voornamelijk in op infrastructuur- en applicatie- Cloud diensten. Het outsourcen van een geheel business proces (Business As A Service) is eveneens buiten scope. Pagina 7 van 54

8 1.3 Aanpak, indeling en structuur onderzoek Het begin van het onderzoek heeft vooral betrekking gehad op het vinden van relevante theorie. Door middel van een intensieve literatuurstudie is voldoende informatie gevonden om een beeld te krijgen over de verschillende aspecten van Cloud Computing en de vereisten van assurance-opdrachten. Tevens is gesproken met auditors, juristen en zijn eigen ervaringen bij klanten meegenomen. De drie subvragen zoals benoemd in paragraaf zijn opgenomen in de onderzoeksaanpak, waarbij per deelvraag relevante deelaspecten zijn gedefinieerd. Vervolgens wordt per deelvraag een conclusie en samenvatting gegeven welke als input dienen voor de eindconclusie. Hoofdstuk 2 Hoofdstuk 3 Hoofdstuk 4 Hoofdstuk 5 Figuur 2: Schematisch onderzoeksaanpak Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen? In hoofdstuk 2 wordt de hoofdvraag Wat is Cloud Computing? beschreven. Hierbij zijn sub onderwerpen vastgesteld die relevant zijn voor dit referaat. Om de verschillen van Cloud computing ten opzichte van traditionele IT omgevingen inzichtelijk te maken wordt in hoofdstuk 2 eerst de traditionele IT omgeving kort getypeerd. Daarna volgt een verkenning van het begrip Cloud Computing. Vervolgens wordt de techniek van virtualisatie behandeld. Deze techniek is elementair om Cloud diensten aan te kunnen bieden. Het Business model in paragraaf 2.4 nader toegelicht waarbij de rollen die de verschillende partijen binnen Cloud Computing spelen worden behandeld en in paragraaf 2.5 wordt in gegaan op wet- en regelgeving en juridische bedrijfsbelangen. Tot slot zal antwoord gegeven worden op de vraag waarin Cloud Computing verschilt van traditionele IT omgevingen. Pagina 8 van 54

9 Op basis van de bovenstaande paragrafen, waarbij de aspecten van Cloud Computing zijn beschreven, worden de elementaire verschillen ten opzichte van een traditionele IT omgeving in paragraaf 2.7 weergegeven Waaraan moet een Assurance-opdracht voldoen? In hoofdstuk 3 wordt de definitie en de vereisten van een Assurance-opdracht beschreven. Bij het beschrijven van de definitie en de vereisten van een Assuranceopdracht zijn de volgende paragrafen opgesteld: Definitie en doelstelling van een Assurance-opdracht; Soorten Assurance-opdrachten; Type en soorten van Assurance-opdrachten; De vijf elementen van een Assurance-opdracht; Cloud Computing normenkaders. Op basis van de vastgestelde vereisten en kenmerken van een Assurance-opdracht wordt in paragraaf 2.7 de beschreven aspecten van Cloud Computing hiertegen afgezet, waarbij vervolgens een conclusie wordt gegeven Welke instrumenten heeft de IT Auditor tot zijn beschikking bij het geven van Assurance binnen een Cloud omgeving In hoofdstuk 4 worden de tools beschreven welke een IT Auditor tot zijn beschikking heeft bij het geven van Assurance binnen een Cloud omgeving. De volgende onderverdeling wordt behandeld; Niet Cloud dienst specifieke standaarden Cloud dienst specifieke standaarden Tools Externe deskundigen Waarna een conclusie wordt gevormd over de middelen van de IT auditor bij Cloud Computing opdrachten. Na het beantwoorden van de drie subvragen wordt in hoofstuk 5 een mening gevormd ten aanzien van de hoofdvraag Kan de IT Auditor zekerheid verschaffen in een Cloud omgeving. Pagina 9 van 54

10 2. Wat zijn de verschillen tussen Cloud Computing en traditionele IT oplossingen? 2.1 Inleiding Bij het zoeken naar de definitie van Cloud Computing worden in artikelen verschillende definities weergegeven. De aspecten van Cloud Computing die generiek wordt beschreven in de verschillende artikelen zijn de service modellen, de delivery modellen en de specifieke kenmerken van Cloud Computing. Hieronder zijn de verschillende modellen en kenmerken van cloud computing schematisch weergegeven. Vervolgens wordt in paragraaf 2.2 de onderdelen van figuur 3 toegelicht. Vervolgens worden in paragraaf 2.3 t/m 2.6 andere belangrijke aspecten van cloud computing nader toegelicht. Tot slot wordt in paragraaf 2.7 een conclusie gegeven op de eerste subvraag, wat de verschillen tussen een traditionele IT omgeving en een cloud omgeving. Figuur 3 - Cloud Computing 2.2 Wat is Cloud Computing? Definitie traditionele IT oplossing (hosting / ASP omgeving) De traditionele IT omgeving waarbij in dit referaat wordt uitgegaan is een omgeving waarbij de IT omgeving in eigendom is van de eigen organisatie, intern beheerd wordt en vooral IT diensten levert aan de eigen organisatie. Daarnaast zijn deze IT oplossingen beperkt flexibel en schaalbaar omdat o.a. virtualisatie niet of beperkt wordt toegepast Definitie en essentiële aspecten van Cloud Computing Bij het zoeken naar de definitie van Cloud Computing in artikelen worden veel verschillende definities weergegeven. Onderstaande definitie bevat de verschillende essentiële aspecten van Cloud Computing zoals weergegeven in figuur 3. Pagina 10 van 54

11 2.2.3 Definitie Cloud Computing: Cloud Computing is een IT service model, gebaseerd op virtualisatie, waarbij de diensten in de vorm van infrastructuur, data en applicaties via het internet worden aangeboden als een gedistribueerde service via één of meerdere service providers. Deze diensten worden door verschillende afnemers gedeeld, zijn eenvoudig schaalbaar en wordt betaald per gebruikte eenheid. gebaseerd op: [Böhm10] en [NIST11] De verschillende aspecten van deze definitie bevatten: de verschillende service modellen van Cloud Computing die via internet worden aangeboden; de verschillende delivery modellen waarop diensten worden aangeboden; de kenmerken van Cloud Computing (afhankelijk van het service model). Hieronder worden deze onderwerpen verder toegelicht. Het aspect dat de service via één of meerdere service providers wordt aangeboden wordt verder toegelicht bij het hoofdstuk business model (paragraaf 2.4) Service modellen van Cloud Computing Er worden vier verschillende service modellen onderkend bij Cloud Computing [Soge10] : Private cloud Een private cloud is een cloud infrastructuur die uitsluitend wordt geëxploiteerd voor een bepaalde organisatie. Een private cloud kan worden beheerd door de organisatie zelf of door een derde partij, waarbij de organisatie zelf of de derde partijen de eigenaar van de middelen kunnen zijn. Community Cloud Eén Cloud Infrastructuur wordt gedeeld door verschillende organisaties uit een specifieke gemeenschap of met dezelfde belangen. Deze vorm heeft vergelijkbare eigenschappen als een Private Cloud. Public Cloud De Cloud Infrastructuur is algemeen beschikbaar voor de hele wereld. Deze infrastructuur is eigendom van de leverancier en de afnemers van de dienst zijn geen eigenaar van de middelen. Hybrid Cloud Een hybride model, ontstaat zodra twee of meer van bovenstaande cloud infrastructuren (private, community, public) worden gekoppeld. De scheiding tussen de verschillende service modellen is niet altijd zo scherp als hierboven beschreven en van sommige vormen, zoals private cloud, kan worden afgevraagd of het nog wel een Cloud model is. Tegenwoordig als iets via internet wordt aangeboden noemt men dit al snel Cloud. Daarom is het belangrijk om de verschillende kenmerken duidelijk tegen de geboden diensten aan te houden om te bepalen of het wel een Cloud dienst is Delivery modellen van Cloud Computing Er zijn drie belangrijke delivery modellen [Böhm10] van Cloud Computing te onderscheiden. Deze drie modellen, IAAS, PAAS en SAAS kunnen worden samengevat als de lagen van Pagina 11 van 54

12 IT. Figuur 4 is onderverdeeld door middel van een stippellijn in twee segmenten. Aan de linkerzijde wordt de samenhang weergegeven tussen de verschillende vormen van Cloud Computing en de daarbij behorende componenten. Aan de rechterzijde is de mate van invloed op de componenten weergegeven in relatie tot het delivery model. Hoe minder invloed de afnemer heeft op de dienst, des temeer is de afnemer afhankelijk van de Cloud dienst aanbieder. Intrastructure as a Service (IaaS) IaaS is een dienst waarbij IT-infrastructuurvoorzieningen gevirtualiseerd worden aangeboden via het internet. De hardware laag die onder meer servers, netwerkapparatuur en de storageapparatuur bevat, is eigendom van de service provider. De afnemer geeft vaak zelf aan over hoeveel geheugen, processor capaciteit en dataopslag hij wil beschikken en welk besturingssysteem hierop moet draaien. Vervolgens wordt deze configuratie gevirtualiseerd aangeboden. Het opschalen van recources is, doordat de recources gevirtualiseerd zijn, eenvoudig en meestal geheel automatisch (zonder tussenkomst van de service provider) te realiseren. Platform as a Service (PaaS) PaaS is een dienst bovenop de infrastructuur laag waarbij via applicatiehosting voorzieningen als platform wordt aangeboden via het internet. Als toevoeging op IaaS worden zaken als databases, portals en Enterprise Service Bus (ESB) vooraf geconfigureerd door de service provider. Vaak gebruiken de afnemers de PaaS diensten voor ontwikkel en testwerkzaamheden. Tevens wordt PaaS toegepast voor Hybrid omgevingen waarbij de afnemer over integratiefaciliteiten beschikt voor het koppelen van een eigen omgeving aan de Cloud omgeving. Software as a service (SaaS) SaaS is een dienst waarbij applicatiefunctionaliteit wordt aangeboden via het internet. Deze laag draait boven op de IAAS en PAAS laag. Deze lagen zijn niet altijd ondergebracht bij één service provider. Het kan voorkomen dat de SaaS aanbieder onderliggende lagen afneemt bij andere providers (bijvoorbeeld Amazon VPC). De invloed van de afnemer zoals weergegeven in figuur 4, is bij Cloud Computing diensten beperkt. De service provider investeert, levert de dienst, voert beheertaken uit en ontwikkelt de dienst. De klant heeft bij de IaaS dienst meer invloed dan bij de SaaS dienst, omdat de klant bij IaaS zelf verantwoordelijk is voor het beheren en ontwikkelen van de applicaties. Elke organisatie heeft zijn eigen definities van Cloud Computing en de scheiding van IaaS, PaaS en SaaS delivery modellen. Wat bij het ene bedrijf wordt aangeboden als IaaS dienst is bij het andere bedrijf al een PaaS dienst. Hierbij bestaat het risico dat appels met peren worden vergeleken. Niet alleen voor de afnemers, maar ook voor de IT Auditor is het van belang om de objecten van onderzoek duidelijk in beeld te krijgen en vast te stellen uit welke onderdelen de definitie bestaat. Pagina 12 van 54

13 Figuur 4 - Delivery model Cloud Computing gebaseerd op [CSAv2.1 09] Vijf kenmerken van Cloud Computing Afhankelijk van het service model zijn onderstaande vijf kenmerken in meer of mindere mate van toepassing op Cloud Computing services. Bij het Public Cloud service model zijn ze allen van toepassing. [Clou09] Gebaseerd op diensten De Cloud oplossingen worden als diensten geleverd (as a Service). Klant- en leverancier zijn van elkaar gescheiden via een service interface'. Die interface verbergt de implementatiedetails en maakt een geautomatiseerde respons mogelijk. Figuur 5 - Schaalbaarheid Cloud Computing [Chun10] Schaalbaar en elastisch De capaciteit van de dienst kan op verzoek van de klant geautomatiseerd omhoog of Pagina 13 van 54

14 omlaag worden bijgesteld. Een Cloud Computing service is daardoor schaalbaar en elastisch. Schaalbaarheid: Dit is een kenmerk van de onderliggende infrastructuur en softwareplatformen. Doordat Cloud Computing als een dienst wordt geleverd kan onderscheid gemaakt worden tussen functionaliteit en techniek. De klant ziet de functionaliteit en de aanbieder bepaalt de techniek. Door deze scheiding is de aanbieder in staat om standaardisatie verder door te voeren. De virtualisatie software zorgt ervoor dat er eenvoudig virtuele hardware componenten aan de infrastructuur kunnen worden toegevoegd, zodat de klant on-demand meer resources tot zijn beschikking krijgt. Door het te delen met meerdere afnemers wordt de overcapaciteit of tekorten met de gehele groep van afnemers gedeeld. De verschillende tijdszones zorgen ervoor dat de kantoortijdpieken niet gelijk vallen. Door de steeds grotere bandbreedtes kan de aanbiedlocatie steeds verder worden gedeeld waardoor steeds meer afnemers wereldwijd gebruik kunnen maken van Cloud Computing diensten. Elasticiteit: Dit is een kenmerk van het economische model: het betekent dat het er niet of nauwelijks economische sancties staan op het veranderen van de hoeveelheid capaciteit die wordt afgenomen. Gedeeld met meerdere afnemers Diensten delen een verzameling hard- en softwarebronnen voor meerdere afnemers. ICT middelen kunnen daardoor efficiënt worden benut, waardoor Cloud diensten relatief goedkoop kunnen worden aangeboden door Cloud providers. De hardware wordt bij elk delivery model gedeeld. Bij PAAS en SAAS diensten wordt ook de middleware laag en respectievelijk de applicatie gedeeld. Betalen per gebruikseenheid Het gebruik van de Cloud diensten wordt geautomatiseerd bijgehouden om verschillende betalingsmodellen mogelijk te maken. Deze modellen zijn gebaseerd op gebruik in termen van bijvoorbeeld tijdseenheden of datahoeveelheden, niet op de kosten van de apparatuur. Internettechnologie De dienst wordt geleverd via breedband gebruik makend van internetformaten en - protocollen, zoals http en IP. De Cloud diensten zijn niet gebonden aan een apparaat of locatie. Bij sommige Cloud diensten wordt de dienst vanaf meerdere locaties (elke locatie een deel van de service of roulerend) geleverd Verschillen Cloud Computing ten opzichte van hosting en ASP Er kan een nuance worden aangebracht waarin Cloud diensten zich onderscheiden van hosting en web applicaties (ASP). De invloed op en de controle over de IT omgeving wordt sterk verminderd wanneer men kiest om dit in de cloud te plaatsen. Dit komt voornamelijk doordat cloud diensten voor gedefinieerde samenstellingen zijn van hardware en/of software welke door meerdere klanten worden afgenomen. De security instellingen, updatebeleid, etc. worden bepaald door de cloud aanbieder. De klant heeft hier zonder vooraf gemaakte afspraken geen tot zeer beperkte invloed op. Dit wordt weergegeven in tabel 1 waarbij de kenmerken van Cloud computing afgezet worden tegen de traditionele hosting en ASP omgeving. De invulling is op basis van generieke Pagina 14 van 54

15 / gebruik Locatie Gedeeld / gebruik Locatie Gedeeld / gebruik Locatie Gedeeld Vrije Universiteit Amsterdam - Postgraduate IT Audit Opleiding H. van der Kooij dienst eigenschappen. De verschillende oplossingen worden in de praktijk soms ook anders aangeboden. Bij de kolom gedeeld van tabel 1 wordt aangegeven dat de inrichting van de dienst generiek is voor alle klanten. Bijvoorbeeld wanneer nieuwe ontwikkelingen (functionaliteit, patches, etc.) worden doorgevoerd ten aanzien van een applicatie, die als SaaS dienst wordt aangeboden, worden deze wijzigingen direct voor alle afnemers van deze SaaS dienst in één keer doorgevoerd. Alleen de data en de inrichting van de applicatie is gescheiden opgeslagen. Deze scheiding kan zijn aangebracht in verschillende databases of in verschillende tabellen van de database. IT component / laag Hosting ASP Cloud Legenda Gedeeld Klant specifiek Gedeeld / Multi-tenancy soms Applicatie Middleware Besturingssysteem Virtuele infrastructuur Fysieke Tabel 1 - Cloud verschillen ten opzichte vant.o.v ASP en Hosting Locatie onafhankelijk 1 locatie meerdere locaties soms Betalen per gebruikseenheid ja nee soms n.v.t. 2.3 De techniek virtualisatie Definitie en aanbieders Virtualisatie kent net als Cloud Computing vele definities. Een definitie van virtualisatie is: Virtualisatie is de simulatie van software en/of hardware waarop andere software draait. [NIST11] Door het toevoegen van deze extra laag kunnen meerdere virtuele systemen op één fysiek systeem draaien. Hierdoor worden de genoemde eigenschappen van cloud computing (multi-tenancy, schaalbaarheid) behaald. Daarom is virtualisatie de enabler van cloud diensten. De scheiding tussen operating system en onderliggende hardware laag betreft niet alleen server virtualisatie maar ook onderstaande soorten van virtualisatie: Soorten virtualisatie Netwerk virtualisatie; Applicatie virtualisatie; Operating System virtualisatie; Storage virtualisatie. Binnen virtualisatie wordt onderscheid gemaakt tussen het host systeem waarop de virtuele systemen komen te draaien en de gevirtualiseerde systemen zelf (de "guest"). Pagina 15 van 54

16 De bekendste aanbieders van virtualisatie producten zijn: Figuur 6 - VMware placed in the leaders quadrant of Gartner Complexe technieken van virtualisatie Op basis van in figuur 6 weergegeven virtualisatie producten wordt hieronder van boven naar beneneden kort de werking van virtualisatie producten van VMware toegelicht, welke onder andere gebruikt worden om cloud diensten te kunnen aanbieden. Hieruit blijkt de technische complexiteit elke direct impact heeft op de kennis van de IT Auditor. Figuur 7 - VMware producten Pagina 16 van 54

17 Gevirtualiseerd applicaties Momenteel biedt VMware een omgeving aan waar software ontwikkelaars applicaties kunnen ontwikkelen voor SaaS applicaties. Daarnaast worden er standaard bedrijfsapplicaties aangeboden in samenwerking met bekende leveranciers waaronder: Exchange, SQL, SharePoint, Oracle en SAP. Vmware vshield Manager Dit is een nieuwe dienst waarin VMware enkele beveiligingscomponenten virtualiseert en de verschillende virtuele datacenter (vshere) segmenteert (Post groep isolation). De gevirtualiseerde componenten bestaan onder andere uit Firewall, VPN, Load balancing. Daarnaast biedt deze dienst functionaliteit om op de virtualisatie laag antivirus en antimalware diensten te draaien. Door ook de beveiligingscomponenten te virtualiseren pretendeert VMware dat policy s en security rules van de verschillende Virtuele omgevingen beter zijn te integreren en te monitoren. VMware Center Suite Deze dienst is de management laag van VMware vsphere waarin de verschillende virtuele clusters kunnen worden ingericht (o.a. templates) en gemonitord. De diensten zoals vmotion, HA, SRM, DRS, etc. worden hier ingericht en beheerd. Met VMware VMotion kunnen virtuele machines zonder onderbreking verhuizen naar een andere ESX server. Dit kan overigens niet over de datacenters heen. Met VMware HA worden bij uitval van een ESX server alle virtuele machines die hierdoor geraakt worden automatisch weer opgestart op een andere ESX server. Met VMware DRS worden de virtuele machines op basis van de benodigde systeemresources automatisch verdeeld over de beschikbare ESX systemen binnen een cluster en met VMware SRM kunnen virtuele machines verhuisd worden naar een tweede datacenter. Hierbij wordt de onderliggende storage meeverhuisd. Een andere dienst van VMware is de VMware Compliance Checker for vsphere waarbij een overzicht wordt gegeven van de inrichting van policy en security. VMware vsphere Dit is de virtualisatie laag die de fysieke resources (computing, storage, network) virtueel aanbiedt aan de bovenlaag. Door middel van VMcenter kunnen de daarbij beschreven functionaliteiten c.q. diensten worden toegevoegd. Fysieke laag In de onderste laag van figuur 7 is de fysieke hardware symbolisch weergegeven. Dienst voor de Cloud Momenteel richt VMware zich ook op cloud inrichtingen, waarbij o.a. complete omgevingen van private Cloud naar public Cloud omgevingen kunnen worden getransporteerd. Daarnaast kunnen virtuele datacenters worden ingericht waarbij verschillende levels van dienstverlening virtueel kan worden gesegmenteerd. Hierbij is bijvoorbeeld de performance, security en policy s en beschikbaarheid per virtuele datacenter ingericht. Pagina 17 van 54

18 2.3.3 Wat betekent virtualisatie voor de IT Auditor Uit bovenstaande beschreven diensten en producten van een gevirtualiseerde omgeving blijkt duidelijk de complexiteit van deze techniek. Met een muisklik kunnen hele omgevingen worden verplaatst, gekopieerd of verwijderd. Afhankelijk van de beschikbaarheid van de recources worden automatisch servers verplaatst van het ene naar het andere cluster of van het ene datacenter naar het andere datacenter. Vragen als: waar staat mijn data; waar wordt mijn data uitgevoerd; wie kunnen bij mijn data? worden moeilijke vragen om te beantwoorden, zowel voor de IT Auditor als voor de beheer partijen. Google kiest er bijvoorbeeld bewust voor om met klanten geen afspraken te maken over de locatie van de data. De data wordt meerdere malen op verschillende plaatsen wereldwijd opgeslagen en op basis van de beschikbare capaciteit wordt de data vanuit een bepaalde plek (land, datacenter) aangeboden. Een onder meer technisch fenomeen, is de toewijzing van geheugen aan de diverse guest OS's. Die toewijzing moet er overigens niet toe leiden dat data van de ene guest door een andere guest kunnen worden gelezen als gevolg van het delen van geheugenadressen zoals genoemd door Michael Hoesing [HOES06]. De genoemde diensten van VMware om inzage te krijgen in compliance van beveiligingsbeleid en de beschikbaarheid en monitoring functies van alle virtuele platvormen zijn goede ontwikkelingen. Daarnaast komen steeds meer virtuele platformen (servers en componenten) beschikbaar op basis van best practices. Echter door gebruik te maken van voorgeïnstalleerde VM s om nieuwe klantomgevingen in te richten bestaat het risico dat exploits direct op alle omgevingen binnen de Cloud omgeving effect hebben. Dit kan onder andere tot gevolg hebben dat systemen van alle klanten niet meer beschikbaar zijn of dat ongeautoriseerde toegang verkregen kan worden tot de data van alle klanten. Door de toenemende complexiteit bestaat steeds meer de behoefte assurance te krijgen over de data in de Cloud. Voor de IT Auditor betekent virtualisatie een samensmelting van de verschillende audit domeinen (tabel 3) en een complexe techniek welke specialisme vergt van virtualisatie. Door de snel veranderende technieken en omgevingen zal de verstandige opdrachtgever de IT Auditor vaker vragen om zich te richten op het vaststellen van het CMM level (Capability Maturity Model) van de IT organisatie (aanbieder dienst) en de beheersprocessen meer geënt op de virtuele laag dan op de point in time situatie. Het vaststellen of de omgeving gedurende een bepaalde periode heeft voldaan aan de gestelde normen is immers lastiger te bepalen omdat de IT omgeving met virtualisatie zeer dynamisch is ingericht. Belangrijk voor de IT Auditor is om de IT omgeving van zowel fysieke als virtuele objecten goed inzichtelijk te hebben. Voor de virtuele objecten geldt dat de IT Auditor over voldoende kennis binnen zijn team moet beschikken of deskundige moet betrekken. Welke objecten van onderzoek binnen de opdracht vallen kan bijvoorbeeld worden bepaald met een risico analyse (ISO 27005). Vervolgens kan opzet en bestaan worden onderzocht tegen het te toetsen normenkader, dit eventueel in combinatie van het onderzochte CMM level van de aanbieder geeft de beoogde gebruiker meer zekerheid ook naar de toekomst, iets wat IT Auditors momenteel nog niet doen. Pagina 18 van 54

19 2.4 Business model Inleiding Cloud computing kan dus worden beschouwd als een verdere doorontwikkeling van een reeks van vele reeds bestaande en goed onderzochte concepten zoals Grid computing, virtualisatie of Application Service Provider (ASP). Hoewel, veel van de concepten niet nieuw lijken te zijn, ligt de echte innovatie van cloud computing in de manier waarop het diensten levert aan de klant. Verschillende bedrijfsmodellen zijn geëvolueerd in de afgelopen tijd om op verschillende abstractie niveaus diensten te verlenen. Deze diensten omvatten softwaretoepassingen, programmeerplatforms, data-opslag of computing infrastructuurdiensten. Het business model bepaalt wat Cloud Computing is niet de techniek Het is niet ondenkbaar dat op termijn het verschil voor de afnemer in opslag, rekencapaciteit, connectiviteit en software verdwijnt. De ultieme vorm is dat een afnemer betaalt voor de hoeveelheid gebruik (ICT, inclusief hardware, software, diensten, etc.). De klant wordt afgerekend op daadwerkelijk gebruik, zoals een ieder afrekent met de watermaatschappij of de energiemaatschappij. De klant betaalt een voorschot en aan het einde van het jaar volgt de eindafrekening. ICT zoals het gebruik van water en elektra ofwel de liberalisatie van IT [ACCO10] Het business model bestaat uit een aantal aspecten waarbij in dit referaat wordt ingegaan op de verschillende partijen van Cloud Computing, de verschuiving van kopen naar huren, de invloed van de afnemer op de dienst, wet- en regelgeving en de risico s voortkomend uit het business model. Tot slot worden de verschillen ten opzichte van traditionele IT omgeving uiteengezet Verschillende partijen in de Cloud In de traditionele IT outsourcing had de afnemer meestal te maken met één provider die de hosting dienst of ASP dienst aanbood. Bij het Cloud Computing model is het een netwerk van verschillende service providers geworden waarbij de afnemer direct of indirect diensten afneemt. Figuur 8 - bron [BOHM10] Naast de partijen die in figuur 8 worden getoond zijn er meer partijen die in het Cloud Computing model kunnen worden onderkend. In onderstaande tabel worden de verschillende partijen weergegeven. Pagina 19 van 54

20 Tabel 2 - Partijen in de Cloud gebaseerd op [BOHM10 2] De afstemming tussen de actoren in de keten, de communicatie en de kennisoverdracht behoeven hierbij veel meer aandacht. In figuur 9 wordt een voorbeeld gegeven van meerdere partijen in de Cloud. De aggregator voegt twee diensten van aanbieder A en één dienst van aanbieder C samen tot één dienst. Aanbieder C neemt vervolgens weer diensten af voor aanbieder B. Daarbij kunnen alle aanbieders in verschillende landen zijn gevestigd en zaken zoals back-up omgevingen weer ergens anders hebben ondergebracht. Indien een IT Auditor assurance moet geven over bijvoorbeeld de vertrouwelijkheid van de gegevens aan de klanten van aanbieder D kan dit tot gevolg hebben dat alle partijen in scope zijn. Figuur 9 - verschillende partijen in de Cloud (bijlage 3) Pagina 20 van 54

21 Door de complexiteit zoals weergegeven in dit voorbeeld vormen de volgende elementen aandachtspunten voor de IT Auditor bij het uitvoeren van een assurance-opdracht binnen een dergelijke omgeving: Service Level Agreements (SLA) moeten op elkaar aansluiten (Sub contractors); Informatiebeveiliging van verschillende partijen moet consistent zijn en op elkaar zijn afgestemd (toegangsbeheer, policy s); Verschillende landen met verschillende wet- en regelgeving; Opdracht kan qua omvang zeer groot worden waardoor deze mogelijk niet meer economisch rendabel is; Bij de verschillende providers moet the right to audit door zelf onderzoek uit te mogen voeren zijn overeengekomen; Indien reeds verklaringen beschikbaar zijn bij verschillende aanbieders moeten deze volgens dezelfde standaarden zijn uitgevoerd of de een moet de ander qua scope afdekken; Afgesproken moet worden welke medewerkers van de verschillende providers toegang hebben tot de klantdata; Scheiding in of afstemming van taken en verantwoordelijkheden van de verschillende dienstverleners. Generiek kan gesteld worden dat de afstemming tussen de actoren in de keten, de communicatie en de kennisoverdracht hierbij veel meer aandacht behoeven, met volstrekte duidelijkheid over RACI aspecten. (Responsible, Accountable, Consulted, Informed) Bijzonder punt van aandacht vormt de scope en interpretatie van reeds afgegeven verklaringen, zoals bijvoorbeeld een ISAE 3000 heeft natuurlijk betrekking op een standaard verklaring. Maar ook als gevolg van het uitvoeren van een dergelijke audit opdracht door IT Auditors van verschillende landen kunnen verschillen ontstaan. De CISA zal een opdracht mogelijk anders uitvoeren dan een Nederlandse IT Auditor. Verschillen in opleiding en wijze van aanpak kunnen zich voordoen. Waarbij in aanmerking dient te worden genomen of een opdracht Risk based (NL) of rule based (US) is uitgevoerd. In andere landen verschillen de standaarden waarschijnlijk nog meer. Figuur 10 -land specifieke standaarden - [KPMG10] Pagina 21 van 54

22 2.4.3 Van kopen naar huren Bij het afnemen van Cloud Computing diensten verschuiven de ICT kosten van kopen naar huren. Waar de klant organisatie eerst moest investeren in faciliteiten (housing), hardware, software, licenties, opleidingen, etc. worden deze kosten nu als verbruik per eenheid doorberekend. Hierbij kan bijvoorbeeld betaald worden voor de verbruikte recources (CPU, storage, netwerkbandbreedte) of per ingelogde gebruiker. Dit brengt voor de klantorganisatie natuurlijk voordelen zoals: Geen initiële aanschaf kosten; Geen overcapaciteit of onder capaciteit dus allen betalen voor de benodigde ICT (zie figuur 5); Geen eigen beheerders met steeds meer specialistische kennis; Meeliften op ontwikkelingen van alle afnemers; Geen aanschaf en bijhouden van licenties; Veel specialistische kennis door schaalvoordeel en standaardisatie; Hoge standaardisatie op basis van best practices. Maar de diensten van Cloud Computing hebben ook weer nadelen: De invloed (change, security) op de Cloud diensten is beperkt; Afhankelijkheid van de aanbieder (Vendor lock-out); Verschillende afnemers in dezelfde Cloud; Roerige markt met nieuwe aanbieders; Verschillende wet- en regelgeving. Het punt wet- en regelgeving wordt in onderstaande paragraaf verder behandeld. De rest van bovenstaande punten worden in paragraaf 2.6 verder toegelicht. 2.5 Wet en regelgeving Als klantorganisatie blijf je zelf volledig verantwoordelijk om aan alle wettelijke bepalingen, die de wetgever oplegt, te voldoen. De IT kan worden geoutsourced in de Cloud, maar de verantwoordelijkheid hierover niet. Binnen Nederland zijn een aantal wetten van toepassing met betrekking tot ICT. Hieronder volgt een kort overzicht Nederlandse regelgeving Nederlandse grondwet Artikel 10 van de Nederlandse Grondwet geeft aan dat de persoonlijke levenssfeer aan regels gebonden is als het gaat om het vastleggen en verstrekken van persoonsgegevens. Artikel 13 van de Grondwet heeft betrekking op onschendbaarheid. Zowel het briefgeheim is in alle gevallen onschendbaar alsook het telefoon- en telegraafgeheim. Wet bescherming persoonsgegevens De wet bescherming persoonsgegevens gebaseerd op richtlijn 95/46/EG heeft als doel Pagina 22 van 54

23 het beschermen van persoonsgegevens welke geregistreerd worden (privacy wetgeving). Het CBP is het Europees toeziend orgaan op de uitvoering van deze wetgeving. Auteurswet De Auteurswet bevat artikelen over het auteursrecht. Telecommunicatiewet De Telecommunicatiewet heeft als doel het beschermen van de rechten van de burger betreffende elke vorm van digitale communicatie. Wet Computercriminaliteit Onder computercriminaliteit wordt vaak verstaan misdrijven die met een computer gepleegd worden waarbij het gebruik van ICT moet een wezenlijke rol spelen bij het misdrijf. Wet elektronische handtekeningen De WEH biedt de mogelijkheid om elektronisch te ondertekenen zodat men geen gebruik meer hoeft te maken van papier. Voor de meeste van bovenstaande wetten geldt dat deze alleen in Nederland van kracht zijn. De wetgeving bijvoorbeeld met betrekking tot elektronische handtekening is binnen Europa nog niet volledig op elkaar afgestemd. Alleen de wet met betrekking tot de Privacy richtlijn is in Europees verband vastgesteld. De Europese Unie heeft sinds oktober 1998 een Privacy richtlijn die het exporteren van persoonsgegevens naar landen buiten de EU verbiedt, tenzij het land in kwestie een minstens even strenge privacy wetgeving kent Amerikaanse wetgeving Dat de Europese privacy wetgeving zeer streng is blijkt wel uit het feit dat zelfs de VS niet aan de eisen van de EU voldoet. Dit heeft onder andere te maken met de Amerikaanse Patriot Act, ingevoerd na de aanslagen van 11 september. Deze Patriot Act geeft de Amerikaanse overheid vergaande bevoegdheden als het gaat om toegang tot elektronisch opgeslagen data. De afspraken met de leveranciers van Cloud diensten moeten dan ook op individuele basis worden gemaakt tussen afnemer en aanbieder. Door de keten van diensten in de Cloud is dit niet altijd even eenvoudig. Er worden een aantal zaken aangegeven waarop de afnemer van Cloud diensten kan letten. Allereerst is er de Safe Harbor Certificering (SHC). Dit raamwerk is ontwikkeld door het US Department of Commerce om de verschillen in privacy wetgeving tussen de EU en de VS te overbruggen, en is in 2000 goedgekeurd door de EU. Afspraken locatie datacenter Daarnaast kan bij sommige aanbieders van cloud computing diensten waaronder Microsoft en Amazon, bepaalt worden in welke regio (Europa, Azië, Noord Amerika) de applicaties en gegevens van de afnemer worden gehost. Dit is nog geen absolute zekerheid in juridische zin. Ketenafspraken Tenslotte kan de afnemer een contract sluiten met een cloud computing provider, waarbij de afspraken die met de Cloud dienst leverancier gemaakt wordt ook door hen contractueel kunnen worden afgedwongen bij leveranciers verderop in de keten. Pagina 23 van 54

24 Dataownership Naast de Privacy wetgeving zullen door de afnemer ook afspraken gemaakt moeten worden over het eigendom van data en op welke wijze deze data bij een geschil aangeleverd worden. De naleving van deze afspraken is natuurlijk sterk afhankelijk van het specifieke land waar de Cloud dienst leverancier gevestigd is. Wat legaal is in het ene land is mogelijk verboden in het andere land Betekenis privacy wetgeving voor de IT Auditor Kortom betekent dit voor de IT Auditor dat met name voor het kwaliteitsaspect vertrouwelijkheid de wetgeving voor privacy alleen binnen Europa geregeld is en op basis van SHC certificering de US hieraan ook voldoet. Met de overige landen zullen individuele afspraken moeten worden beoordeeld, hierbij zou de IT Auditor een deskundige moeten inschakelen. 2.6 Overige risico s De invloed op de Cloud diensten van de afnemer is beperkt Doordat Cloud diensten voor een groot aantal afnemers worden ingericht zijn de klant specifieke inrichtingseisen beperkt. Hierbij kunnen wensen ten aanzien van toegangsbeheer en policy s mogelijk niet conform intern geldende beveiligingseisen bij de service provider worden ingericht. Wijzigingen die worden doorgevoerd ten aanzien van IaaS, PaaS of SaaS diensten gelden vrijwel altijd voor alle afnemers. Dus bijvoorbeeld de invloed op het changemanagement proces is beperkt. Daarnaast wordt voor de keten van aanbieders identiteitsmanagement (IDM) steeds belangrijker. Single sign on is niet altijd te realiseren, losstaand van de verschillende informatiebeveiligingsstandaarden van de verschillende partijen in de keten Right to audit is randvoorwaarde Bij het uitvoeren van een assurance-opdracht waarbij meerdere partijen betrokken zijn moet het Right to audit mogelijk zijn Afhankelijkheid van de aanbieder (Vendor lock-in) Indien de afnemer eenmaal de (strategische) keuze heeft gemaakt voor Cloud Computing diensten, wordt de afhankelijkheid van de Cloud dienst leverancier erg groot. Een goede exit migratie strategie moet daarom vooraf worden opgesteld en vervolgens moet deze periodiek worden herzien. Enkele aandachtspunten hierbij zijn: welke data, gegevens, informatie kunnen worden meegenomen (contractuele afspraken) en wat kan de afnemer zelfstandig met deze gegevens. Voornamelijk bij SaaS diensten kan de inrichting erg specifiek zijn; Backsourcing is erg moeilijk omdat de middelen maar vooral de kennis en bemensing niet meer aanwezig is Verschillende afnemers in dezelfde Cloud Een Cloud dienst leverancier kan meerdere diensten aanbieden (IaaS, SaaS), daarbij is meestal het aantal afnemers omvangrijk. Door het groot aantal (wisselende) afnemers is de baseline voor de informatiebeveiliging lastig vast te stellen door de klant. De klant weet namelijk niet wie er in de Cloud zitten. Hieronder twee voorbeelden van afnemers bij een Cloud leverancier: a) 1000 handelsondernemingen van middelgrote omvang; Pagina 24 van 54

25 b) 900 handelsondernemingen van middelgrote omvang en de staatsloterij of een bank. Het risico profiel van Cloud omgeving a is natuurlijk heel anders dan van omgeving b. Daarnaast loopt een organisatie door de omvang van de Cloud omgeving (centralisatie van data) standaard al meer risico om doelwit te worden van aanvallen (virus, hacking, etc.) dan dat de klant de omgeving in eigen beheer heeft. Voor het uitvoeren van een audit zal dit risico van verschillende afnemers in dezelfde Cloud een belangrijke factor zijn om te bepalen wat de minimale baseline van de audit opdracht zal moeten zijn. Daarnaast zal de SLA belangrijke input geven aan welke voorwaarden voldaan moet worden door de aanbieder Exitstrategie Door het meeliften van ontwikkelingen van Cloud Computing diensten zal het risico van een vendor lock-in groter worden dan bij de huidige vormen van hosting. Het opstellen van een migratiestrategie vanuit de Cloud naar een andere omgeving, ofwel backsourcing ofwel naar een andere Coud omgeving, is derhalve een elementair onderdeel van de afweging door de beoogde gebruiker voordat een Cloud dienst afgenomen wordt. Het eenduidig vastleggen van deze opgestelde exit strategie en de maatregelen doorvoeren in de SLA welke met de cloud provider wordt overeengekomen is daarna de volgende uitdaging. Pagina 25 van 54

26 2.7 Conclusie verschillen tussen Cloud Computing en traditionele IT oplossingen. Op basis van de voorgaande paragrafen wordt hieronder per onderdeel een conclusie weergegeven waarin de traditionele IT omgeving verschilt van de cloud omgeving. Dit alles wordt overzichtelijk weergegeven en samengevat in tabel 3. Kenmerken cloud Een groot verschil zit in het dynamische karakter van de Cloud ICT omgeving door middel van virtualisatie. Dit brengt de grote voordelen van schaalbaarheid en beschikbaarheid met zich mee. Echter deze dynamische kant van Cloud Computing heeft ook nadelen. Dit kunnen nadelen zijn zoals de vermindering van invloed op de IT omgeving. Dit komt voornamelijk doordat cloud diensten voor gedefinieerde samenstellingen zijn van hardware en/of software welke door meerdere klanten worden afgenomen. De security instellingen, updatebeleid, etc. worden bepaald door de cloud aanbieder. De klant heeft hier zonder vooraf gemaakte afspraken geen tot zeer beperkte invloed op. Business model cloud In de traditionele omgevingen heeft de klant contacten en contracten met een aantal partijen ten aanzien van de ondersteuning van haar IT omgeving. Ten aanzien van cloud diensten zijn de betrokken partijen minder inzichtelijk voor de cloud afnemer. Om zekerheid te krijgen over de cloud dienst zal de klant maar ook de IT Auditor zich bewust moeten zijn van de verschillende partijen en gecombineerde delivery en service modellen van Cloud Computing. Bij het geven van assurance zal de scope van het onderzoek een belangrijk element spelen. Naast het feit dat de scope meerdere aanbieders (keten) kan betreffen zal door de vergaande technische complexiteit (virtualisatie) en de schaalgrote van de Cloud Computing aanbieders de omvang van de IT audit onderzoeken beduidend toenemen. Dit kan tot gevolg hebben dat IT assurance-opdrachten mogelijk economisch niet meer rendabel zijn. Goede communicatie over de complexiteit van de opdracht, waaronder de scope met de daarbij behorende objecten van onderzoek, naar opdrachtgever en aanbieders van de Cloud Computing diensten spelen hierbij een belangrijke rol. Virtualisatie Door de techniek van virtualisatie, wat de enabler is van cloud diensten, wordt de controleerbaarheid van de IT omgeving in de Cloud een stuk lastiger. Dit komt onder andere omdat hele IT omgevingen (server, opslag, netwerk) door middel van één muisklik verplaatst kunnen worden naar een ander datacenter in een ander land. Daarnaast kan op eenvoudige wijze de IT omgeving worden gekopieerd waarbij het lastig is om vast te stellen welke omgeving de juiste is. Daarnaast staan meerdere klantomgevingen in het data centrum en zijn door middel van virtualisatie van elkaar gescheiden. Deze omgevingen kunnen elkaar beïnvloeden of klanten kunnen elkaars data benaderen indien de scheiding niet goed is ingericht. Tevens is het risicoprofiel lastig vast te stellen omdat de klanten individueel verschillende risicoprofielen hebben. (bijv. handelsondernemer en staatsloterij). Dit is echter wel bepalend voor het informatiebeveiligingsbeleid van de Cloud provider. Kortom virtualisatie vergt specialistische kennis voor beheerders en IT Auditors. Pagina 26 van 54

27 Impact wet en regelgeving Daar waar in een traditionele IT omgeving de klant volledige controle heeft over waar de data wordt verwerkt zal met het oog op wet- en regelgeving contractuele afspraken gemaakt moeten worden voor cloud diensten. Hierbij zal worden moeten worden vastgelegd waar de data wordt verwerkt, opgeslagen en geback-upt. Daarnaast is de privacy wetgeving alleen binnen Europa en US (SHC) eenduidig vastgelegd. De IT Auditor zal door een deskundige moeten laten beoordelen of de contractuele afspraken voldoende zekerheid bieden van de afgenomen Cloud diensten in de keten. De privacy en het data eigendomsrecht van de klant is per land anders geregeld. Dit geldt met name als de data centra voor de Cloud Computing diensten buiten Europa zijn gevestigd. De standaarden voor privacywetgeving is onder de juristen een hot item maar een eenduidige oplossing laat nog wel even op zich wachten. Vraag Traditioneel Cloud Kenmerken Cloud IT omgeving schaalbaar en elastisch? nee ja Betalen per gebruikseenheid? nee ja Gebruik internettechnologie? beperkt ja Business model cloud Aantal partijen voor 1 dienst? 1 mogelijk 4 Risico profiel bekend? ja dynamisch Aanschafkosten? eenmalig nee Installatie kosten? eenmalig ja Beheerkosten? ja nee Invloed operationeel beheer? ja nee Audit standaard? (uitvoering en verklaring) ja nee (land afhankelijk) Virtualisatie Eenvoudige handelingen vergaande gevolgen? nee ja Standaard datalocatie? ja nee Meerdere partijen bij data? (service providers, externe beheerpartijen) nee ja Scheiding data van andere klanten? fysiek firewall virtueel Snel veranderende IT omgeving? nee ja Objecten van onderzoek assurance statisch dynamisch Wet en regelgeving Nederlandse wet en regelgeving? ja mogelijk meerdere landen Standaarden reeds opgesteld? ja nee Tabel 3 - traditionele IT omgeving versus Cloud Computing omgeving Pagina 27 van 54

28 3. Waaraan moeten assurance-opdrachten voldoen? 3.1 Inleiding Om vast te kunnen stellen of een IT Auditor assurance kan geven in Cloud Computing omgevingen moet worden vastgesteld waaraan assurance-opdrachten moeten voldoen. In dit hoofdstuk wordt op basis van de door de NOREA opgesteld raamwerk Raamwerk voor assurance-opdrachten door IT-Auditors [ASSU07] en in het EDP handboek van Kluwer vastgelegde hoofdstuk Assurance services [EDPH08] een uiteenzetting gegeven van de belangrijkste elementen waaraan een assurance-opdracht moet voldoen. Met het raamwerk voor assurance-opdrachten conformeren IT-Auditors zich aan het International Framework for Assurance Engagements' van de IFAC (International Federation of Accountants). Dit wordt ook onderstreept met het IFAC-lidmaatschap dat onlangs aan de NOREA is verleend. [NORE08] IT-Auditors die assurance-opdrachten uitvoeren zijn behalve aan dit Raamwerk en Richtlijnen voor Assurance-opdrachten ook gebonden aan het Reglement Gedragscode voor IT-Auditors ( Code of Ethics') waarin onderstaande fundamentele ethische uitgangspunten voor IT-Auditors zijn vastgelegd. Integriteit: duidelijk en eerlijk zijn in alle beroepsmatige en zakelijke relaties; Objectiviteit: geen beïnvloeding door vooroordelen, belangenverstrengeling of bovenmatige invloed van anderen bij de professionele en zakelijke oordeelsvorming, ofwel onafhankelijkheid; Deskundigheid en zorgvuldigheid: het op peil houden van vakkennis door middel van actuele ontwikkelingen in de praktijk, de wetgeving en de vaktechniek; Geheimhouding: het betrachten van geheimhouding ten aanzien van informatie die voortvloeit uit beroeps -matige en zakelijke relaties; Professioneel gedrag: naleven van relevante weten regelgeving en zich onthouden van handelingen die het beroep in diskrediet brengen. [RFIJ06] 3.2 Definitie en doelstelling van een assurance-opdracht Een "assurance-opdracht" is een opdracht waarbij een IT-Auditor een conclusie formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de evaluatie van of de toetsing van het object van onderzoek ten opzichte van de toetsingsnormen, te versterken. Daarnaast moet een assurance-opdracht onder andere voldoen aan onderstaande criteria: er zijn drie partijen (verschaffer van informatie, assurance provider en gebruiker); er is een geschikt object van onderzoek; er zijn criteria waaraan het object getoetst kan worden; er is voldoende en geschikte informatie beschikbaar; er wordt een schriftelijk assurance rapport opgeleverd. Bovenstaande vijf elementen van een assurance-opdracht worden verderop in dit hoofdstuk nader toegelicht. Pagina 28 van 54

29 3.3 Soorten assurance-opdrachten Op grond van het raamwerk voor assurance-opdrachten mogen twee soorten van assurance-opdrachten door een IT-Auditor worden uitgevoerd: 1. de assurance-opdracht tot het verkrijgen van een redelijke mate van zekerheid. De doelstelling van een assurance-opdracht tot het verkrijgen van een redelijke mate van zekerheid is het reduceren van het opdrachtrisico tot een aanvaardbaar laag niveau rekening houdend met de omstandigheden van de opdracht als basis voor een positief geformuleerde conclusie van de IT-Auditor; 2. de assurance-opdracht tot het verkrijgen van een beperkte mate van zekerheid. De doelstelling van een assurance-opdracht tot het verkrijgen van een beperkte mate van zekerheid is het reduceren van het opdrachtrisico tot een niveau dat aanvaardbaar is rekening houdend met de omstandigheden van de opdracht, maar waarbij het risico groter is dan voor een opdracht tot het verkrijgen van een redelijke mate van zekerheid, als basis voor een negatief geformuleerde conclusie van de IT-Auditor. Assurance-opdrachten kunnen op twee verschillende manieren, afhankelijk van de type opdracht, worden uitgevoerd als een assertion based-opdracht' of als een direct reporting-opdracht'. In figuur 12 wordt de soorten en uitvoeringen schematisch weergegeven. Figuur 12 - Soorten assurance-opdrachten Pagina 29 van 54

30 3.4 Type en vormen van assurance-opdrachten Type assurance-opdrachten Aan de NOREA-brochure 'IT-assure, Zekerheid over uw IT' [ITAS08] kan worden ontleend dat IT-Auditors de volgende type van IT-assurance-opdrachten onderkennen: Outsourcing assurance; Project assurance; IT-organisatie assurance; Applicatie assurance; IT Due Diligence; Privacy assurance; Web assurance; Revenue assurance; Licentie assurance. In het algemeen vallen de door de NOREA onderkende soorten van IT-assurance onderzoeken onder assurance-opdrachten ten behoeve van systemen en processen Audit domeinen Daarnaast worden door de NOREA [NORE98] zes auditdomeinen gehanteerd zoals weergegeven in onderstaande tabel 4: Pagina 30 van 54

31 Informatie management en IT-management Domeinen Onderwerp Objecten van onderzoek Informatiestrategie Doelstellingen, uitgangspunten en randvoorwaarden voor het omgaan van informatie voorziening Beleidvormingsprocessen, het beleid, informatieplan en informatiearchitectuur Informatiesystemen Technischesystemen Voorwaarden voor ontwikkeling, beheer, gebruik van geautomatiseerde systemen, alsmede de besturing van deze processen, zodat getoetst kan worden door management of aan de informatie strategie wordt voldaan. Geautomatiseerde processen die primair ontworpen zijn om de mens te voorzien van gegevens en de organisatie en hulpmiddelen die dienen voor het ontwikkelen en gebruik van informatiesystemen. Systemen die deel uit maken van de ITinfrastructuur en ontworpen zijn om geïmplementeerd te worden in hardware en systeemprogrammatuur met het doel de hardware en systeemprogrammatuur aan te sturen. Zoals hardware, besturingssystemen, systemen voor acces control, netwerken, database management systemen etc. Planning, organisatie, budgettering, bemanning, het besluitvormingsproces, coördinatie, rapportage, innovatie, communicatie, controle, besturing, motivaties en kennisvergaring. Applicaties, ontwikkelorganisaties, projectorganisatie, kwaliteitsfunctie, planning en control, project management, technische beheer, versiebeheer, distributie, tools, applicatie-architectuur, databases, operationeel gebruik en functioneel beheer. De systemen zelf, ontwikkelorganisatie, onderhoudsorganisatie kwaliteitscontrole van technisch beheer en ook beheersprocessen zoals configuratiebeheer, versiebeheer, capaciteitsbeheer, probleembeheer, beveiligingsbeheer etc. Processystemen Operationele automatiserings ondersteuning Systemen die ontworpen zijn om elektrische interfaces aan te sturen en daarmee apparaten zoals robots. Tevens horen tot dit domein alle organisaties met een primaire verantwoordelijkheid van deze systemen. activiteiten van organisaties gericht op het beheren en beschikbaar houden van de IT infrastructuur en de onder beheer zijnde processen conform de overeengekomen Service Level Agreements alsook de administratie hiervan. De operationele werkzaamheden bestaan uit installatie, beheer en onderhoud van automatiseringsmiddelen inclusief de geleverde programma's. ontwikkelorganisatie, onderhoudsorganisatie, kwaliteitscontrole van technisch beheer en ook beheersprocessen zoals configuratiebeheer, versiebeheer, capaciteitsbeheer, probleembeheer, etc. Operationeel beheer, interne controle, beveiliging, autorisatie, risicomanagement, en de overige beheersprocessen. Tabel 4 -De zes audit domeinen Vormen van assurance-opdrachten De vormen van IT assurance-opdrachten die op bovenstaande domeinen van toepassing kunnen zijn is een ISAE 3000 opdracht, certificeringen tegen ISO 27001, in bepaalde gevallen een accountantscontrole volgens COS 800 of een ISAE3402/SSAE 16 verklaring welke de opvolger is van de SAS 70 verklaring. Pagina 31 van 54

32 De ISAE 3402 standaard is primair bedoeld voor processen die relevant zijn voor de financiële verantwoording. Assurance over niet financiële onderdelen zoals continuïteit van de uitvoeringsorganisatie, de accuraatheid van de informatiestromen tussen uitvoerder en opdrachtgever en de vertrouwelijke omgang met data kunnen beter worden uitgevoerd volgens de ISAE 3000 standaard. De ISAE 3000 standaard biedt meer vrijheidsgraden en de mogelijkheden om ook processen die geen invloed hebben op de financiële verantwoording in de scope op te nemen. De standaard is vormvrij, zolang een aantal verplichte onderdelen maar wordt behandeld. Een kwaliteitscertificaat op basis van ISO zegt ook iets over de manier waarop processen worden beheerst, al gaat het om een geheel ander product aangezien er geen accountantscontrole plaatsvindt. Een accountantsverklaring bij historische financiële informatie op basis van ISA 800 kan in bepaalde gevallen ook voorzien in de assurance behoefte van een gebruiker. Zo n rapport stelt de informatie in een verantwoording centraal in plaats van de processen die leiden tot de financiële verantwoording. De IT Auditor maakt dan integraal deel uit van het controle team. [bovenstaande informatie is gebaseerd op KMPG10] Vergelijking 1 - standaarden voor assurance [KPMG10] Pagina 32 van 54

33 3.4.4 Service Organization Control (SOC) Rapport Naast de genoemde standaarden van paragraaf zijn er ook standaarden opgesteld door de American Institute for Certified Public Accountants. Zij geven zekerheid ten aanzien van service organisaties. Dit doen ze onder andere middels Service Organization Control (SOC) rapporten. SOC rapporten zijn interne controle rapporten ten aanzien van de diensten welke door (Cloud) dienstaanbieders worden aangeboden. Deze rapporten bieden belangrijke informatie voor eindgebruikers om risico s met betrekking tot een uitbestede dienst te onderkennen en te kunnen beheersen. De SOC rapporten zijn te onderkennen in drie varianten. Deze staan hieronder per variant toegelicht SOC 1 De SOC 1 rapportages zijn rapportages van audits die zijn uitgevoerd op service organisaties welke diensten aanbieden met betrekking tot financiële processen. De standaard die hiervoor gehanteerd wordt in de Verenigde Staten en Canada is de SSAE16, de standaard die hiervoor in Europa wordt gebruikt is de ISAE3402. De controls die hiervoor gehanteerd kunnen worden zijn niet voorgeschreven en zijn door de auditor op basis van de objecten van onderzoek vast te stellen. Bij een SSAE16 en een ISAE3402 opdracht wordt als uitgangspunt een verklaring van het management genomen. Op basis van deze verklaring wordt een audit uitgevoerd. Bij een SSAE16 en een ISAE3402 worden twee typen verklaringen onderkend, namelijk: Type 1 Deze verklaring heeft betrekking op de fairness of presentation en de suitability of design. Bij fairness of presentation stelt de auditor vast of de beschrijving helder is beschreven en of de scope toereikend is in relatie tot de verklaring van het management. Tevens wordt gekeken of de in opzet beschreven beheersmaatregelen voldoende zijn ingebed in de organisatie. Daarnaast stelt de auditor vast of met de opgestelde beheersingsmaatregelen een redelijke mate van zekerheid gehaald kan worden. Type 2 Bij een type 2 verklaring wordt gekeken naar de operating effectiveness. Hierbij stelt de auditor middels verschillende bewijsstukken vast of de beheersingsmaatregel in een bepaalde periode effectief hebben gefunctioneerd overeenkomstig met de in opzet beschreven beheersingsmaatregelen SOC 2 Soc 2 rapportages zijn bedoeld voor partijen die deskundig en bekend zijn met de dienstverlenende organisaties en informatie behoeven omtrent de beheersingsmaatregelen met betrekking tot beveiliging, beschikbaarheid, vertrouwelijkheid en integriteit ten aanzien van de systemen van de service organisatie. Anders dan de SOC 1 verklaring heeft deze rapportage geen betrekking op financiële processen. Derhalve worden hiervoor ook gestandaardiseerde normenkaders gehanteerd, te weten de Trust Services Principles en GAPP (Generally Accepted Privacy Principles). SOC 2 rapportages kunnen onder andere van belang zijn bij: Het inzicht verkrijgen in de organisatie; Leverancier selectie- en beoordelingstrajecten; Interne governance en risico management processen; Overheidstoezicht. Overeenkomstig met SOC 1 rapporten zijn er 2 typen SOC 2 rapportages te onderscheiden. Pagina 33 van 54

34 3.4.7 SOC 3 De beoogde gebruikers van de SOC 3 rapportages zijn partijen die zekerheid willen ten aanzien van de beheersingsmaatregelen die betrekking hebben op beveiliging, beschikbaarheid en integriteit van de systemen welke gebruikt worden door de service organisatie. Bij SOC 3 rapporten zijn de beoogde gebruikers onbekend. Deze rapporten mogen aan iedereen vrij beschikbaar worden gesteld. Derhalve worden deze rapportages onder andere voor marketing doeleinden van de service organisatie gebruikt. 3.5 De vijf elementen van een assurance-opdracht Drie partijen Bij een assurance-opdracht zijn drie afzonderlijke partijen betrokken: een IT-Auditor, een verantwoordelijke partij en beoogde gebruikers. Beroepsbeoefenaar De auditor kan worden gevraagd assurance-opdrachten uit te voeren in een breed scala van onderwerpen. Sommige objecten van onderzoek kunnen specialistische kennis en ervaring vergen die uitgaan boven hetgeen van een individuele IT-Auditor normaal mag worden verwacht. Zoals aangegeven in paragraaf 17(a) van het assurance raamwerk zal een IT-Auditor een opdracht slechts aanvaarden wanneer zij bij het voorbereidend onderzoek de opgedane kennis omtrent de omstandigheden van de opdracht erop wijst dat aan ethische normen met betrekking tot professionele deskundigheid wordt voldaan. In sommige gevallen kan aan deze eis worden voldaan doordat de IT-Auditor gebruikmaakt van de werkzaamheden van personen uit andere beroepsgroepen, aangeduid als deskundigen. Tevens is de IT Auditor bij het uitvoeren van een assurance-opdracht verantwoordelijk voor de aard, de tijdsfasering en de omvang van de werkzaamheden. De verantwoordelijke partij De verantwoordelijke partij is degene die bij een direct reporting-opdracht verantwoordelijk is voor het object van onderzoek en bij een assertion based-opdracht verantwoordelijk is voor de informatie omtrent het object van onderzoek en verantwoordelijk kan zijn voor het object van onderzoek. Beoogde gebruikers De beoogde gebruikers bestaan uit de persoon, de personen of de groep van personen voor wie de IT-Auditor het assurance-rapport opstelt (soms is de eindgebruiker nog niet bekend) Object van onderzoek Het object van onderzoek en de informatie omtrent het object van onderzoek van een assurance-opdracht kunnen veel vormen aannemen zoals weergegeven in tabel 5. Object van onderzoek Voorbeeld Informatie omtrent object van onderzoek Niet-financiële resultaten of posities prestaties van een entiteit indicatoren doelmatigheid en effectiviteit Fysieke kenmerken omvang van een beschikbare capaciteit gedetailleerde beschrijving kenmerken Systemen en processen interne beheersingsysteem of het geautomatiseerd systeem bewering effectiviteit Tabel 5 - Objecten van onderzoek Pagina 34 van 54

35 Een geschikt object van onderzoek: Identificeerbaar en kan op eenduidige wijze worden geëvalueerd of worden getoetst aan de vastgestelde toetsingsnormen; Is van zodanige aard dat de informatie daarover onderworpen kan worden aan procedures voor het verzamelen van toereikende informatie om een conclusie te onderbouwen Toetsingsnormen Toetsingsnormen zijn de benchmarks die worden gebruikt voor het evalueren of toetsen van het object van onderzoek. Toetsingsnormen bestaan uit een bestaand kader voor interne beheersingsmaatregelen of uit individuele doelstellingen voor beheersing die specifiek zijn ontwikkeld ten behoeve van de opdracht. Of toetsingsnormen generiek dan wel specifiek ontwikkeld zijn is van invloed op de werkzaamheden die de IT-Auditor zal uitvoeren om de toepasbaarheid van de toetsingsnormen voor een bepaalde opdracht te beoordelen. Bij het opstellen van normenstelsels geeft Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden [NORE02] handvatten. In dit rapport wordt onder andere aangegeven dat nieuwe normenstelsels relatie moeten hebben met relevante referentiekaders zoals COSO, Cobit, ISO 27001/2, ITIL, ISO. Toepasbare toetsingsnormen zijn noodzakelijk voor een redelijk consistente evaluatie of toetsing van het object van onderzoek binnen de context van vakkundige oordeelsvorming. Toepasbare toetsingsnormen vertonen de volgende kenmerken: Relevantie; Volledigheid; Betrouwbaarheid; Neutraliteit; Begrijpelijkheid; Toepasbaarheid. Toetsingsnormen zijn in één of meer van de volgende vormen toegankelijk voor de beoogde gebruikers: doordat ze openbaar zijn; door ze op duidelijke wijze op te nemen in de presentatie; door ze op duidelijke wijze op te nemen in het assurance-rapport; doordat ze algemeen bekend zijn Geschikte informatie Voor het goed kunnen uitvoeren van assurance-opdrachten is het verkrijgen van geschikte informatie onontbeerlijk. In het raamwerk worden de volgende richtlijnen gegeven voor het opstellen van een planning van een assuranceopdracht waarbij onder andere de omvang van de werkzaamheden en het verzamelen van toereikende informatie is opgenomen: De IT Auditor houdt rekening met het materieel belang en onjuistheden hiervan; Kwantiteit en de kwaliteit van de beschikbare informatie (voldoende en geschikt); Bij het verkrijgen van toereikende informatie is het in het algemeen moeilijker om zekerheid te verkrijgen over de informatie omtrent het object van onderzoek wanneer deze betrekking heeft op een periode (werking) dan wanneer deze betrekking heeft op een moment (opzet en bestaan); Pagina 35 van 54

36 De IT-Auditor maakt een afweging tussen de kosten voor het verkrijgen van informatie en het nut van de verkregen informatie. De volgende aandachtpunten worden gegeven voor het uitvoeren van een assuranceopdracht met een redelijke mate van zekerheid: Het verkrijgen van kennis omtrent het object van onderzoek en andere omstandigheden rond de opdracht waaronder, afhankelijk van het object van onderzoek, het verkrijgen van kennis omtrent de interne beheersingsmaatregelen; het op basis van deze kennis inschatten van de risico's dat de informatie over het object van onderzoek materiële onjuistheden vertoont; het inspelen op de ingeschatte risico's, waaronder het ontwikkelen van een algehele aanpak, en het bepalen van aard, tijdsfasering en omvang van overige werkzaamheden; het uitvoeren van overige werkzaamheden die duidelijk zijn gekoppeld aan de gesignaleerde risico's, waarbij gebruik wordt gemaakt van een combinatie van verificatie, waarnemingen ter plaatse, bevestiging, opnieuw uitvoeren, analyse en inwinnen van inlichtingen. Deze overige werkzaamheden omvatten gegevensgerichte werkzaamheden, waaronder het verkrijgen van bevestigende informatie vanuit bronnen die onafhankelijk zijn van de entiteit en afhankelijk van de aard van het object van onderzoek, het testen van de daadwerkelijke effectiviteit van de beheersingsmaatregelen; en het evalueren van de toereikendheid van de informatie. Wanneer de informatie omtrent het object van onderzoek bijvoorbeeld toekomstgericht is mag worden verwacht dat daarover minder objectieve informatie beschikbaar is dan wanneer het historische informatie betreft Het assurance rapport Een schriftelijk rapport met een conclusie die de zekerheid tot uitdrukking brengt welke is verkregen over de informatie omtrent het object van onderzoek. Richtlijnen voor Assurance-opdrachten schrijven basiselementen voor assurance-rapporten voor. Daarnaast overweegt de IT-Auditor of er andere verantwoordelijkheden bestaan met betrekking tot de rapportering, waaronder de communicatie met de organen belast met governance indien dit van toepassing is. Pagina 36 van 54

37 3.6 Conclusie waaraan moeten assurance opdrachten voldoen en de invloed voor assurance van Cloud Computing De uitvoering van de type assurance-opdrachten, zoals in tabel 7 is weergegeven, kan worden gedaan in het kader van een jaarrekeningcontrole (COS 800) opdracht, een TPM, een ISAE 3402 of middels een ISAE 3000 assurance-opdracht. Daarnaast zijn er ook buitenlandse standaarden waaronder de SOC audit opdrachten zoals beschreven in paragraaf Wat opvalt is dat veel van de type assurance-opdrachten zoals weergegeven in tabel 6 zijn te combineren tot één opdracht wanneer het een Cloud Computing dienst betreft. Bijvoorbeeld bij het uitvoeren van een assurance-opdracht waarbij het object van onderzoek een SaaS dienst zou betreffen kunnen de opdrachttypen outsource assurance, IT organisatie assurance, applicatie assurance en privacy assurance samengevoegd worden tot één assurance-opdracht. Type assurance opdrachten Traditioneel Cloud Outsourcing assurance n.v.t. Beoordelen IaaS, PaaS of SaaS Project assurance ERP implementatie migratie traject IT-organisatie assurance Beoordelen IT beheersprocessen Beoordelen beheerprocessen service Applicatie assurance Beoordelen application Comtrols provider Beoordelen SaaS dienst of beoordelen afreken applicatie dienst. IT Due Diligence Beoordelen IT omgeving Beoordelen SLA en inrichting. Privacy assurance Uitvoeren privacy audit afhankelijk partijen en locatie (landen). Web assurance Beoordelen e-commerce applicatie Beoordelen SaaS dienst + PaaS Revenue assurance Beoordeling self reporting inrichting. (registratie verkopen) Betaalmodule voor IaaS, PaaS of SaaS. (ISAE 3402) Licentie assurance Beoordelen licenties Als gebruiker van Cloud diensten niet meer verantwoordelijk. Tabel 6 - type assurance-opdrachten Dit komt doordat een Cloud dienst meerdere audit of assurance domeinen (tabel 4) bestrijken. Doordat een Cloud dienst betrekking heeft op meerdere audit domeinen heeft dit natuurlijk direct impact op de complexiteit van de opdracht. Hierbij is de communicatie met de opdrachtgever en kennis van de verschillende audit domeinen een aandachtspunt voor de auditor. Om vast te stellen in hoeverre het geven van assurance bij een cloud opdracht afwijkt ten aanzien van een asssurance opdracht bij een traditionele omgeving zijn de kenmerken van cloud computing beschreven in hoofdstuk 2 afgezet tegen de assurance voorwaarden zoals beschreven in hoofdstuk 3. Pagina 37 van 54

38 Figuur 13 - onderzoeksaanpak De uitkomsten hiervan worden per onderdeel toegelicht en zijn vervolgens overzichtelijk weergegeven in tabel 8. Soorten assurance-opdrachten Er zijn twee soorten assurance-opdrachten namelijk: 1. Een opdracht met redelijke mate van zekerheid Hierbij wordt de hoogste mate van zekerheid gegeven die een IT Auditor mag verstrekken. In een Cloud Computing omgeving kan deze mate van zekerheid gegeven worden, maar is wel afhankelijk van enkele belangrijke aspecten zoals complexiteit en omvang van de objecten van onderzoek (virtualisatie), de differentiatie van de verantwoordelijke partijen (Cloud keten), beschikbare toetsingsnormen en de eenduidigheid van afgegeven verklaringen bij subcontractors. 2. Een opdracht met beperkte mate van zekerheid. Gezien de complexiteit van de hierboven benoemde aspecten ligt het geven van een oordeel met beperkte mate van zekerheid voor de IT Auditor wellicht meer voor de hand. De vraag blijft echter of de klant/afnemer van de Cloud dienst hiermee voldoende zekerheid krijgt. Het gaat tenslotte wel om een geheel geoutsourcete omgeving waarop de afnemer maar zeer beperkt grip heeft. er drie partijen zijn (verschaffer van informatie, assurance provider en gebruiker); Zoals weergeven in figuur 1 zijn voor de Cloud Computing omgeving de drie partijen van een assurance-opdracht te definiëren. Voor de IT Auditor (hetzij van de gebruiker, hetzij van de aanbieder) geldt dat hij over voldoende kennis moet beschikken in persoon of in zijn auditteam om een audit in de Cloud te kunnen uitvoeren. Daarnaast kan de omvang van de opdracht zeer uitgebreid zijn doordat subcontractors binnen de scope van het onderzoek vallen en zoals eerder beschreven meerdere assurance domeinen binnen de opdracht vallen. Communicatie over scope, objecten van onderzoek en verantwoordelijke partijen is dan een zeer belangrijk aandachtspunt voor de IT Auditor, zowel naar de klant als ook naar de verschillende subcontractors. er een geschikt object van onderzoek is; De objecten van onderzoek kunnen met een cloud opdracht zeer omvangrijk (zie drie partijen) zijn. Daarnaast vergt de techniek van virtualisatie specifieke kennis. Zowel voor de verantwoordelijke partij(en) alsook voor de IT Auditor. Door de dynamische Pagina 38 van 54

39 kenmerken van virtualisatie bestaat de vraag of de werking wel in alle gevallen getoetst kan worden. De inrichting van beheersprocessen geënt op de virtuele omgeving is daarom ook een belangrijk aspect van een Cloud Computing audit. Daarnaast moeten Cloud diensten die door een combinatie van verschillende subcontractors (zie figuur bijlage 3) worden geleverd naast de diensten ook het informatiebeveiligingsbeleid, de verschillende beheersprocessen (Changemanagement, Identiteitsmanagement, etc.) voldoende op elkaar laten aansluiten. er criteria zijn waaraan het object getoetst kan worden; Normenkaders voor Cloud Computing worden ontwikkeld door verschillende partijen (tabel 5), echter deze ontwikkelde normenkaders gaan beperkt in op virtualisatie aspecten en daarnaast zijn de normenkaders nog niet geheel uitgekristalliseerd. Een ander aandachtspunt is dat de Cloud omgeving buiten Europa kan zijn gesitueerd, waardoor andere audit standaarden kunnen zijn toegepast en de wet en regelgeving per land verschild. Dit heeft invloed op de criteria welke de auditor (ander land) zal hanteren om de objecten tegen te toetsen. De SLA s zullen als belangrijk uitgangspunt dienen voor het vast stellen van de criteria waaraan het object van onderzoek getoetst kan worden. De kwaliteit van de overeengekomen SLA s en de eenduidigheid is derhalve van groot belang. Tevens is het risicoprofiel een belangrijk aandachtspunt om vast te stellen door de IT Auditor (paragraaf 2.6.4) met een dynamische omgeving met veel verschillende afnemers. er voldoende en geschikte informatie beschikbaar is; Het bepalen van of voldoende informatie van adequaat niveau is verzameld om een juist oordeel af te geven is op basis van bovenstaande aspecten een moeilijke opgave binnen dergelijke omvangrijke en complexe audit opdrachten. Mede door het aspect van de dynamische virtuele omgevingen is de vraag of alle benodigde informatie beschikbaar. De informatie ten aanzien van de beheersprocessen en met name het change managementproces van alle lagen (tabel 2) is hiervoor een essentieel aspect. er een schriftelijk assurance rapport is. Een aandachtpunt voor het opstellen van het rapport (en natuurlijk ook het uitvoeren van de audit) is dat vooraf niet altijd de beoogde gebruiker bekend is. Door de dynamische kenmerken van Cloud Computing kunnen afnemers ook alleen tijdelijk (voornamelijk IaaS en SaaS) diensten afnemen. Dit alles kort samengevat wordt nogmaals weergegeven in onderstaande tabel 7. Elementen assurance opdrachten Traditionele IT opdracht Cloud Computing kenmerken Soorten assurance opdrachten Redelijke mate van zekerheid Goed mogelijk Mogelijk maar afhankelijk van meerdere aspecten* Beperkte mate van zekerheid Goed mogelijk Mogelijk maar bied dit de afnemers de gewenste mate van zekerheid? Pagina 39 van 54

40 Pagina 40 van 54

41 Vrije Elementen Universiteit assurance Amsterdam opdrachten - Postgraduate IT Audit Traditionele Opleiding IT opdracht H. van der Kooij Cloud Computing kenmerken Beroepsbeoefenaar: specialistische IT auditor IT auditor met kennis van virtualisatie kennis en Cloud aspecten* er drie partijen zijn (verschaffer van informatie, assurance provider Aard, de tijdsfasering en de omvang Goed mogelijk Mogelijk lastig in te schatten door meerdere aspecten en gebruiker); De verantwoordelijke partij interne IT afdeling Service provider (IaaS, PaaS of SaaS) Beoogde gebruikers Financial Accountant Afnemer of Financial Accountant er een geschikt object van onderzoek is; Identificeerbaar Op eenduidige wijze worden geëvalueerd Statische objecten van onderzoek en bijbehorende beheersprocessen Virtuele objecten van onderzoek, dynamische samenstelling IT omgeving, beheersprocessen incl. virtualisatie. Vastgestelde toetsingsnormen Algemeen geaccepteerde standaarden.normenkaders Normenkaders niet geheel uitgekristalliseerd. Bestaand kader Meerdere bestaande kaders Enkele kaders, beperkt op beheersing virtuele omgevingen in de Cloud er criteria zijn waaraan het object getoetst kan worden; Specifiek ontwikkeld ten behoeve van de opdracht Consistente evaluatie of toetsing Vakkundige oordeelsvorming. Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden. Uitgevoerd op basis van NOREA standaarden Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden. (per land verschillend) Per land verschillend Relevantie; standaarden NOREA Subjectief, focus verschillend Volledigheid; Eenvoudiger vast te stellen Lastiger vast te stellen Betrouwbaarheid; Goed Afhankelijk van scope en uit te voeren audit partij Neutraliteit; Goed Afhankelijk van scope en uit te voeren audit partij Begrijpelijkheid; Goed Specifieke kennis nodig van business model en techniek Toepasbaarheid. Eenvoudiger Lastiger i.v.m. weging complexe factoren er voldoende en geschikte informatie beschikbaar is; Opstellen van een planning van een assurance-opdracht o.a. omvang van de werkzaamheden voor het verzamelen van toereikende informatie. De IT auditor houdt rekening met het materieel belang en onjuistheden hiervan. Vast stellen werking Meer ontwikkelde standaarden en minder complexe omgeving Eenvoudiger in te schatten statische omgeving eenvoudiger vast te stellen. Mogelijk teveel informatie nodig (meerdere partijen) waardoor economisch niet rendabel Lastiger vast te stellen of alle materieel zijnde elementen in kaart zijn gebracht. Dynamische omgeving lastiger vast te stellen. (inrichting omgeving mogelijk totaal verschillend, beheersprocessen en CMM level belangrijk) er een schriftelijk assurance rapport is. Een schriftelijk rapport met een Eenvoudiger op te stellen conclusie die de zekerheid tot uitdrukking brengt welke is verkregen over de informatie omtrent het object van onderzoek. Complexiteit afhankelijk van meerdere aspecten* *Meerdere aspecten zijn onder andere: partijen business model, wet en regelgeving, locatie datacenters, mate van dynamische omgeving. Tabel 7 - elementen assurance-opdracht versus Cloud Pagina 41 van 54

42 4. Instrumenten van de IT Auditor bij Cloud Computing opdrachten 4.1 Inleiding Zoals in paragraaf 3.4 en 3.5 is beschreven zijn er verschillende opdrachtvormen waarin een IT auditor zekerheid verstrekt. Hierbij heeft de IT Auditor verschillende hulpmiddelen of instrumenten tot zijn beschikking om hem of haar te ondersteunen bij het uitvoeren van een audit opdracht. Frameworks en best practices zijn hier een goed voorbeeld van. Het voordeel van frameworks en best practices is dat deze door de tijd heen ontwikkeld zijn door meerdere professionals en onderhevig zijn geweest aan peer reviews. Hierdoor wordt de kwaliteit van dergelijke hulpmiddelen beter gewaarborgd. Echter een risico van het gebruiken van best practices is dat het kopiëren kan leiden tot slechte werkprogramma s waarbij niet op de echte issues wordt ingegaan. Daarom dient de IT Auditor te allen tijde de toepasselijkheid van een framework of best practice te beoordelen in relatie tot de opdracht en de daarbij behorende onderzoeksobjecten. 4.2 Niet Cloud dienst specifieke standaarden Aangezien cloud diensten opgebouwd zijn uit elementen (figuur 9) die ook in de traditionele omgevingen worden gebruikt zijn onderstaande frameworks en best practices natuurlijk ook van toepassing bij het uitvoeren van een IT audit opdracht met betrekking tot een cloud computing dienst aangevuld met maatregelen die ingaan op de specifieke cloud dienst risico s. ISO (Information Security Management System ISMS) ; ISO ("Code voor Informatiebeveiliging") ; NEN-7510 (Informatiebeveiliging in de "zorg") ; BS ("Business Continuity Management") ; ISO-9001; ISO-20000; NIST , Risk Management Guide for Information Technology Systems , Security Controls and Assessment Procedures for Federal Information Systems and Organizations , Guide to Computer Security Log Management , Guide to Intrusion Detection Guidelines on Security and Privacy in Public Cloud Computing ITIL; Cobit; Coso; PCI DSS. Ten aanzien van ISO opdrachten geldt ook voor cloud computing diensten dat de IT beheersingsprocessen in control moeten zijn. Daarbij is het goed opzetten van een Information Security Management System essentieel. Ook de ISO normen ten aanzien van de kwaliteitssystemen voor de organisaties en de branche specifieke normen zoals de NEN 7510 zijn afhankelijk van de cloud dienst goed toepasbaar. De standaarden ontwikkeld door de National Institute of Standards and Technology (NIST) zijn zeker relevant voor cloud computing. Enkele voorbeelden van best practices van de NIST zijn in bovenstaande opsomming weergegeven. Om te komen tot een goed werkprogramma is het uitvoeren van een risico analyse op de cloud dienst een goed begin om de echte Pagina 42 van 54

43 issues inzichtelijk te krijgen om vervolgens de scope en de objecten van onderzoek vast te stellen. De andere normen van de NIST kunnen goed dienen als input van de verschillende onderdelen (domeinen) voor het werkprogramma. Naast deze standaarden zijn de bekende frameworks als Cobit en Coso een goede kapstok om de IT organisatie in te richten en vervolgens te toetsen. COBIT is vanaf 1992 ontwikkeld door het Information Systems Audit and Control Association (ISACA) en het IT Governance Institute (ITGI). Het benoemen van de doelen en deperformance indicatoren om te komen tot een gecontroleerde IT omgeving is natuurlijk ook van belang op cloud diensten. Het verschil van een cloud dienst ten opzichte van een traditionele omgeving is dat onderstaand schema moet worden ingericht op meerdere niveaus van de dienst met mogelijk meerdere onderaannemers. Dus zowel voor de housing als voor de infrastructuur (IAAS) en de overige lagen PAAS en SAAS. Figuur 14 Cobit 4.1 [Isaca09] Tot laatste wordt in voorgaande opsomming PCI Data Security Standard (PCI DSS) genoemd. Deze standaard gaat anders dan de voorgaande frameworks meer in detail in aan welke inrichtingseisen componenten vanbetalingssystemen moeten voldoen. Echter al deze reeds jaren bekende standaarden gaan niet specifiek in op de kenmerken van Cloud computing en de daar bijbehorende mogelijke risico s. In de volgende paragraaf wordt een overzicht gegeven van meer specifieke Cloud dienst standaarden. 4.3 Cloud dienst specifieke standaarden Ten aanzien van Cloud omgevingen zijn wereldwijd een aantal initiatieven voor het ontwikkelen van standaarden, dan wel werkgroepen opgezet om na te denken over de specifieke risico s omtrent cloud en middels welke maatregelen deze beheerst kunnen Pagina 43 van 54

44 worden. Voorbeelden van deze initiatieven zijn onder andere de Cloud Security Alliance (CSA), de Cloud Management Working Group (CMWG) en de Cloud Auditing Data Federation Working Group (CADFWG). Deze werkgroepen hebben een aantal cloud specifieke frameworks en best practices opgesteld welke zowel betrekking hebben op de implementatie van cloud omgevingen als het auditen hiervan. Daarnaast heeft ook de eerder genoemde organisatie National Institute of Standards and Technology (NIST) vrij recent een standaard opgesteld voor public cloud computing _NIST ). Deze Special Publication beschrijft voornamelijk aandachtspunten en risico s van cloud diensten maar bevat geen concrete normen. In tabel 8 wordt een overzicht gegeven van standaarden gericht op cloud computing. Per organisatie wordt de standaard weergegeven met daarbij welke methodiek als basis is gebruikt. Aangezien de techniek virtualisatie een belangrijke grondslag vormt voor cloud computing is ook de relevantie van de verschillende standaarden ten opzichte van virtualisatie opgenomen in de tabel. Vervolgens wordt in de laatste kolom de bruikbaarheid voor de verschillende service modellen weergegeven. Organisatie Naam normenkader / whitepaper Datum Gebruikte methodiek Virtualisatie Partijen Cloud Security Top Threats to Cloud Computing V ISO 27001/2 Beperkt verwijst naar IaaS, PaaS, SaaS, Alliance normenkader 8. tenant ENISA Benefits, risks and recommendations for information security ISO 27001/2 (42), (43) and BS25999 (44) standards. Beperkt (blz 55) IaaS, PaaS, SaaS, tenant Cloud Security Guidance for Application Security V ISO Beperkt (blz 22) IaaS, PaaS, SaaS Cloud Security Cloud Controls Matrix (CCM) IaaS, PaaS, SaaS, Alliance tenant Cloud Security Alliance Security Guidance for Critical Areas of Focus in Cloud Computing V COBIT 4.1, HIPAA / HITECH Act, ISO / IEC , NIST SP800-53, FedRAMP, PCI DSS v2.0, BITS Shared Assessments AUP v5.0 / SIG v6.0, GAPP (Aug 2009) Beperkt (high level zowel statisch als VM) ISO/IEC Beperkt (blz 68, 69) IaaS, PaaS, SaaS, tenant ISACA NIST NOREA Business Benefits With Security, Governance and Assurance Perspectives Guidelines on Security and Privacy in Public Cloud Computing 22/ 28 Studierapport Normen voor de beheersing van uitbestede ICT-beheerprocessen n.v.t. (white paper geen normen VM) IaaS, PaaS, SaaS, tenant n.v.t. Aandachtspunten IaaS, PaaS, SaaS, geen normen (blz 22 tenant t/m 28) ISO/IEC 27001:2005, Berperkt, Basisnormen Beveiliging en beheersprocessen Beheer ICT-infrastructuur Versie 1.0, CobiT 4.1, ISO/IEC 20000:2005, NIST Special Publication , Studierapport 3, Raamwerk voor ontwikkeling normenstelsels. n.v.t. Tabel 8 - Cloud computing normenkaders De hierboven genoemde normenkaders zijn veelal toekomst gericht, waarbij wordt aangegeven waaraan server providers moeten voldoen of waarop klanten moeten letten voordat de stap naar Cloud Computing diensten wordt genomen. Virtualisatie wordt bij enkele normenkaders genoemd, maar handvatten om de complexe technieken van virtualisatie te beoordelen (paragraaf 2.3.) worden nauwelijks of niet beschreven. De standaardisatie van de normenkaders waarbij de verschillende partijen en service modellen aan bod komen met voldoende aandacht voor virtualisatie moeten nog verder uitkristalliseren. Gestandaardiseerde werkprogramma s die op uniforme wijze worden uitgevoerd zijn essentieel voor cloud computingdiensten zodat de onderkende aanbieders Pagina 44 van 54

45 (paragraaf 2.3), IT auditors en klanten geen appels met peren gaan vergelijken. Daarnaast zijn cloud diensten erg dynamisch (techniek en business model) waarbij het voor de afnemer van de cloud dienst zeker van belang is dat de frequentie van de audit en de rapportage hoger wordt dan momenteel voor de meeste certificeringen en audit cycli vereist is. 4.4 Tools Bij het uitvoeren van de werkzaamheden kan de IT Auditor gebruik maken van tools. Wanneer dit geautomatiseerde tools zijn, worden deze ook wel CAAT s genoemd, dit staat voor Computer Assisted Auditing Techniques. Hierbij kan men denken aan dataanalyse software, zoals IDEA. Een groot voordeel van dergelijke tools is dat een IT Auditor relatief éénvoudig bepaalde analyses kan uitvoeren op complete data sets. Wanneer men dergelijke analyses zou willen doen zonder CAAT s dan zal de IT auditor enkele samples dienen te trekken en te beoordelen. Dit geeft minder zekerheid dan een totaal analyse op de volledige set van het object van onderzoek. In relatie tot cloud computing zou men hierbij kunnen denken aan analyses ten aanzien van logging bestanden, het uitlezen van logische toegangsbeveiliging systemen of CAAT s welke continious monitoring mogelijk maken. Bij het laatste voorbeeld zal de CAAT ervoor zorg dragen wanneer gegevens worden gewijzigd de CAAT tool automatisch hiervan een melding naar de verantwoordelijke functionaris zal sturen of naar de monitorings portal. Een voorbeeld van CAAT s gericht op cloud service is SureCloud tool waarbij vulnerabilities ten aanzien van operating systems, services en applicaties, firewalls, routers en switches worden gescand. Dit soort tools zouden door de cloud service provider kunnen worden ingericht waarbij de resultaten naar een dashboard worden gestuurd. Hierbij kunnen dan de operationeel verantwoordelijke de status monitoren maar ook de cloud afnemers en de auditors zouden toegang kunnen krijgen tot een dergelijk dashboard. Figuur 15 - dashboard vulnerability s surecloud Pagina 45 van 54

46 4.5 Externe deskundigen Wanneer de IT auditor bij een opdracht onderzoeksobjecten tegenkomt, waarvan hij onderkend dat hij ten aanzien daarvan over onvoldoende deskundigheid beschikt, is het mogelijk voor het de IT auditor om gebruik te maken van externe deskundigen. Bij het inhuren van externe deskundigen bij een opdracht dient de IT auditor zichzelf ervan te verwittigen dat de externe deskundige wel over voldoende kennis beschikt ten aanzien van het te onderzoeken object. Tevens dient de IT auditor deskundig genoeg te zijn om de werkzaamheden en de uitkomsten van de werkzaamheden van de externe deskundige te beoordelen. Een Cloud omgeving kan bestaan uit zeer veel en complexe componenten die allen van invloed kunnen zijn op de Continuity, Integrity, Availability en Auditability (CIAA) van de geautomatiseerde gegevensverwerking. Hierbij kan men denken aan de inrichting van SAN s, firewall s, VLAN s, virtualisatie, databases, verschillende operating systems. Het wordt voor de IT auditor steeds een grotere uitdaging om ten aanzien van al deze componenten over voldoende kennis te beschikken, met name bij Cloud omgevingen waar al deze technieken bij elkaar komen. Derhalve zal bij het auditen van een Cloud omgeving het inschakelen van een externe deskundige steeds vaker nodig en van grotere waarde zijn. 4.6 Conclusie instrumenten van de IT Auditor bij Cloud Computing opdrachten Voor de IT auditor zijn er veel standaarden en tools ter ondersteuning bij assurance opdrachten beschikbaar. Standaarden die al langer beschikbaar zijn en voornamelijk worden toegepast op traditionele omgevingen zijn ook voor cloud computing assurance opdrachten goed toepasbaar. Het opstellen van bijvoorbeeld beheersingsprocessen en de audit van traditionele It omgevingen toont grote overeenkomsten met cloud diensten. De voornaamste moeilijkheid voor assurance voor cloud computing is dat de dienst veelal opgebouwd is uit meerdere onderaannemers. Het wordt dan erg lastig om de performance indicatoren op eenduidige wijze vast te stellen en te monitoren over de ketens heen. Voeren bijvoorbeeld alle partijen op dezelfde manier changes door, of sluit security management wel voldoende op elkaar aan? Wordt identity management eenduidig uitgevoerd door alle partijen en worden credentials doorgegeven tussen de partijen? Is singel sign on wel mogelijk etc. Figuur 16 Cloud dienst door meerdere partijen Pagina 46 van 54

47 Naast deze vragen en de moeilijkheid van de meerdere betrokken partijen in de keten zijn er momenteel een beperkt aantal normenkaders en tools welke volledig uitgekristalliseerd zijn. Daarnaast moeten ook nog steeds meerdere normenkaders worden samengevoegd tot één werkprogramma. Pagina 47 van 54

48 5. Conclusie De IT Auditor kan in een wereld met toenemende virtualisatie en Cloud computing zeker assurance verstrekken. Voor de leverancier van cloud diensten zal hij/zij op ISAE3402/SSA16 of op ISAE 3000-standaard gebaseerde onderzoeken, kunnen uitvoeren en daarover rapporteren. Voor afnemers van cloud diensten zal hij/zij de beschrijvingen van proces- en informatiestromen inclusief de application controls en general computer controls van geheel of gedeeltelijk op cloud diensten gebaseerde applicaties en infrastructuur (afhankelijk van het service model) kunnen beoordelen en toetsen, daarbij gebruik makend van door de leverancier verstrekte externe rapportages (bijv. ISAE3402) en/of the right to audit door zelf onderzoek uit te voeren. Of een opdracht in de praktijk economisch rendabel en of technisch uitvoerbaar is hangt onder meer af van de volgende aspecten: Aantal subcontractors; Verschillen in wet en regelgeving; Verschillen in informatiebeveiligingsbeleid subcontractors; Verschillende risicoprofielen van de afnemers; Volwassenheid (CMM level) van de service provider; De technische kennis van de auditors; Impact op objecten van onderzoek en reikwijdte van een opdracht. Hierover goede communicatie met de opdrachtgever en met de verschillende partijen (Cloud keten); Opgestelde kwaliteit van de SLA s; Techniek op basis van baseline ingericht; Verdere standaardisatie Cloud Computing Normenkaders. Kortom heel wat aspecten om rekening mee te houden alvorens een assurance-opdracht te aanvaarden in de Cloud. Voor de toekomst denk ik dat de Cloud Computing aanbieders zich kunnen onderscheiden door het kunnen aantonen van een goede interne controle van de essentiële beheersprocessen. Daarnaast initieert Cloud Computing een verdere uniformiteit van de werkzaamheden van IT Auditors wereldwijd en de verdere ontwikkelen van Cloud Computing assurance normenkaders. Door de vergaande dynamische IT omgevingen gebaseerd op virtualisatie wordt het steeds lastiger om de werking van bepaalde objecten van onderzoek vast te stellen. De focus van assurance-opdrachten zal daarom sterk gericht moeten zijn op de beheersprocessen waarbij het changemanagementproces zeer essentieel zal zijn. Daarnaast zal de volwassenheid (CMM level) van de organisatie een steeds belangrijkere rol gaan spelen bij het geven van assurance. Indien duidelijk is vast te stellen dat de service provider van Cloud Computing duidelijk in control is kan naar de gebruiker voldoende assurance worden afgegeven, waarbij deze assurance mogelijk ook meer toekomst gericht kan zijn. Pagina 48 van 54

49 Transparantie van de beheersprocessen de overeengekomen KPI s en beheersmaatregelen die door klanten realtime zijn te monitoren. Waardoor niet alleen assurance naar het verleden maar ook realtime zekerheid verkregen kan worden. (SekChek, Rechten en rollen tools, change aanvragen en verwerkingen, etc.) Daarnaast zijn er technische ontwikkelingen waardoor data van de eigenaar kan blijven zonder dat de provider bij de klant data kan. (Trend Micro, Deep defends). Uitdagingen genoeg voor de IT Auditor! Pagina 49 van 54

50 6. Literatuurlijst [BOHM10] Böhm, Leimeister, Riedl, Prof. Krcmar, Cloud Computing - Outsourcing 2.0 or a new Business Model for IT Provisioning?, Technische Universität München (TUM), (2009) [NIST11] Final Version of NIST Cloud Computing Definition Published [NIST11 2] Guide to security for full virtualization technologies [BOHM10 2] Böhm, Riedl, Towards a Cloud Computing Value Network, 2010 [ChUN10] Mike Chung, Assurance in the Cloud, Compact, maart [CSAC09] Glenn Brunette, Rich Mogull, Security Guidance for Critical Areas of Focus in Cloud Computing V2.1, Cloud Security Alliance,December 2009 [ASSU07] NOREA, Raamwerk voor assurance-opdrachten door IT-Auditors, december 2007 [EDPH08] Ronald Jonker, Handboek EDP-auditing Assurance services, 2010 [NORE08] [ITAS08] IT-assure zekerheid over uw IT, NOREA, 2008 [NORE02] Studierapport 3, Raamwerk voor ontwikkeling normenstelsels en standaarden, 2002 [NORE98] NOREA-geschrift no. 1, NOREA, 1998 [RFIJ06] Rob Fijneman, IT-Auditor is meer dan controleur van informatietechnologie, 2006 [SOGE10] Ewald Roodenrijs, Point of View: Testing on the Cloud, Sogeti, 2010 [ClOU09]http://www.computable.nl/artikel/ict_topics/cloud_computing/ / /gartner-herziet-definitie-van-cloud-computing.html [HOEC06] Michael Hoesing, Virtualization Usage, Risks and Audit Tools, ISACA, 2006 [ACCO10] Henk Aardom, Housing, hosting ASP en SaaS, 2010? [COMP10] van Beek, Francken, SAS 70 herzien, focus ISAE 3402 blijft op beheersingsmaatregelen financiële verantwoording, Compact, 2010 [KPMG10] Praktijkgids SAS 70 deel III, 2010 [Biene96] Margaret E. van Biene-Hershey, IT Auditing an object oriented approach, 1996 [Isaca09] ISACA COBIT Overview, 2009 Pagina 50 van 54

51 Gebruikte internet bronnen: https://www.pcisecuritystandards.org/security_standards/ Magazine.aspx https://cloudsecurityalliance.org/ Pagina 51 van 54

52 7. Bijlage 7.1 Bijlage 1 Pagina 52 van 54

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

Cloud Computing. Definitie. Cloud Computing

Cloud Computing. Definitie. Cloud Computing Cloud Computing Definitie In de recente literatuur rond Cloud Computing zijn enorm veel definities te vinden die het begrip allemaal op een verschillende manier omschrijven. Door deze diversiteit zijn

Nadere informatie

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN Inleiding CRM Resultants biedt aan haar klanten de keuze om Microsoft Dynamics CRM in huis te installeren, of om de

Nadere informatie

BRAIN FORCE THE JOURNEY TO THE CLOUD. Ron Vermeulen Enterprise Consultant

BRAIN FORCE THE JOURNEY TO THE CLOUD. Ron Vermeulen Enterprise Consultant BRAIN FORCE THE JOURNEY TO THE CLOUD Ron Vermeulen Enterprise Consultant BRAIN FORCE Europe Europese Professional Services Provider Consultancy, Projects & Solutions, Staffing Belangrijkste Partnerships

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

hoogwaardige IaaS Cloudoplossingen

hoogwaardige IaaS Cloudoplossingen hoogwaardige IaaS Cloudoplossingen Exclusieve partnership Cloudleverancier NaviSite is als onderdeel van mediaconglomeraat Time Warner Cable één van de grootste wereldwijde providers van enterprise class

Nadere informatie

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010 SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010 We staan aan de vooravond van de volgende Internetrevolutie De klassieke werkwijze van organisaties zal

Nadere informatie

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015. Opvallend betrokken, ongewoon goed

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015. Opvallend betrokken, ongewoon goed Cloud Computing -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november 2015 Opvallend betrokken, ongewoon goed Agenda Inleiding Mijn achtergrond Over Innvolve Cloud Computing Overwegingen Afsluiting

Nadere informatie

Gegevensbescherming & IT

Gegevensbescherming & IT Gegevensbescherming & IT Sil Kingma 2 november 2011 Gustav Mahlerplein 2 1082 MA Amsterdam Postbus 75510 1070 AM Amsterdam The Netherlands 36-38 Cornhill 6th Floor London EC3V 3ND United Kingdom T +31

Nadere informatie

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6 Inhoud Uitbesteden ICT: Wat, waarom, aan wie en hoe? 3 Relatie tussen ICT en 3 Outsourcen ICT: Wat? 3 Cloud Services 3 Service Level Agreement 3 Software

Nadere informatie

Een dag uit het leven van een Cloud consument Stefan Willems, Architect @ Platani Marcel Steenman, Consultant @ Platani

Een dag uit het leven van een Cloud consument Stefan Willems, Architect @ Platani Marcel Steenman, Consultant @ Platani Een dag uit het leven van een Cloud consument Stefan Willems, Architect @ Platani Marcel Steenman, Consultant @ Platani any any any online Cloud Het Nieuwe Werken Het Nieuwe Gezin biedt een

Nadere informatie

Intern (On-Premise) Co-Location Infrastructure-as-a-Service (IaaS) Platform-as-a-Service (PaaS)

Intern (On-Premise) Co-Location Infrastructure-as-a-Service (IaaS) Platform-as-a-Service (PaaS) Tot een aantal jaren geleden was het redelijk vanzelfsprekend om in een gebouw met een groot aantal werkplekken een eigen serverruimte te maken. Dit heeft nog steeds een aantal voordelen. Vandaag de dag

Nadere informatie

Meerdere clouds samensmeden tot één grote, hybride omgeving

Meerdere clouds samensmeden tot één grote, hybride omgeving Cloud of Clouds Meerdere clouds samensmeden tot één grote, hybride omgeving whitepaper CUSTOM 1 Bedrijven maken steeds vaker gebruik van meerdere clouddiensten, omdat ze aan iedereen in de organisatie

Nadere informatie

Vervang uw verouderde hardware

Vervang uw verouderde hardware Whitepaper Vervang uw verouderde hardware Dedicated of Cloud? Alles over virtualisatie. Wat is het, hoe werkt het en wat zijn de voordelen? INHOUD» Wat is virtualisatie?» Wat is een Virtual Server?» Besparen

Nadere informatie

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

Trends in de Campusinfrastuctuur. In samenwerking met Stratix Trends in de Campusinfrastuctuur In samenwerking met Stratix Agenda Workshop Trends in Campusinfrastructuur 30-4-2015 Agenda Introductie: SURFnet Automated Networks IaaS en SaaS Wireless Privacy en Security

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

SaaS / ASP PIANOo. 20 april 2009, Amsterdam. drs. Arne Smedema a.smedema@mitopics.nl

SaaS / ASP PIANOo. 20 april 2009, Amsterdam. drs. Arne Smedema a.smedema@mitopics.nl SaaS / ASP PIANOo 20 april 2009, Amsterdam drs. Arne Smedema a.smedema@mitopics.nl Onafhankelijk IT-advies vanuit de combinatie van technische, bedrijfskundige en juridische expertise Agenda Even voorstellen

Nadere informatie

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Voorbeeldexamen EXIN Cloud Computing Foundation Editie maart 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing

Nadere informatie

BeCloud. Belgacom. Cloud. Services.

BeCloud. Belgacom. Cloud. Services. Cloud Computing Webinar Unizo Steven Dewinter Steven.Dewinter@belgacom.be January 20 th, 2012 Agenda Agenda: Wat is nu precies Cloud Computing? Voordelen & Nadelen Hoe ga ik naar de Cloud? Belgacom Cloud

Nadere informatie

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. John Lieberwerth Agenda Even voorstellen Cloud Computing De tien Plagen Gebruikersorganisatie en ICT

Nadere informatie

Vergroening Kennisnet Cloud

Vergroening Kennisnet Cloud Vergroening Kennisnet Cloud Have your cake and eat it too Dirk Linden 30 januari 2014 Inleiding / Aanleiding Aanbesteding Kennisnet Housing en Hosting 2013 Nieuwbouw aangegrepen door Vancis en Kennisnet

Nadere informatie

Kijken, kiezen, maar wat te kopen?

Kijken, kiezen, maar wat te kopen? Kijken, kiezen, maar wat te kopen? 15 aandachtspunten bij overgang naar de cloud Cloud biedt voor veel organisaties de mogelijkheid om te innoveren zonder hoge investeringen. Zowel Telecom providers als

Nadere informatie

EIGENSCHAPPEN CONVERGED HARDWARE

EIGENSCHAPPEN CONVERGED HARDWARE EIGENSCHAPPEN CONVERGED HARDWARE Eigenschappen Converged Hardware 1 van 8 Document Informatie Versie Datum Omschrijving Auteur(s) 0.1 29-09-2015 Draft Remco Nijkamp 0.2 29-09-2015 Volgende Versie opgesteld

Nadere informatie

Mogen advocaten hun data in de Cloud bewaren?

Mogen advocaten hun data in de Cloud bewaren? Cloud Computing Traditioneel staat/stond de software waar kantoren gebruik van maken voor hun dossier en/of financiële administratie, op een server die zich fysiek op het advocatenkantoor bevond. Steeds

Nadere informatie

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE Blackboard Managed Hosting SURF Cloud Vendordag Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE 2 Agenda SURF Cloud strategie Blackboard Managed Hosting & Private Cloud Blackboard

Nadere informatie

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper Naar de cloud: drie praktische scenario s Zet een applicatiegerichte cloudinfrastructuur op whitepaper Naar de cloud: drie praktische scenario s Veel bedrijven maken of overwegen een transitie naar de

Nadere informatie

Three Ships CDS opschalingsdocument Overzicht server configuratie voor Three Ships CDS

Three Ships CDS opschalingsdocument Overzicht server configuratie voor Three Ships CDS CDS opschalingsdocument Overzicht server configuratie voor CDS 1. Algemeen Dit document geeft een overzicht van een aantal mogelijke hardware configuraties voor het inrichten van een serveromgeving voor

Nadere informatie

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken. Cloud computing Kennismaking Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken. Onze kennis, ervaring, methodieken en ons netwerk levert aantoonbare toegevoegde waarde en

Nadere informatie

Ubuntu Release Party welkom @ XTG 11/23/12 1

Ubuntu Release Party welkom @ XTG 11/23/12 1 Ubuntu Release Party welkom @ XTG 11/23/12 1 Welkom! Xpert in virtualization technology Kenniscentrum op gebied van virtualisatie: VMware, Citrix, Linux Microsoft... LPI Approved Training Partner Guru

Nadere informatie

Het gevaar van te grote afhankelijkheid bij Cloud Outsourcing

Het gevaar van te grote afhankelijkheid bij Cloud Outsourcing 1 of 6 Het gevaar van te grote afhankelijkheid bij Outsourcing BUILDING IT TOGETHER Introductie Nirvanix was één van de eerste grote leveranciers in Amerika en hostte na 7 jaar bestaan, een Petabyte aan

Nadere informatie

Implementatiemodellen online werken

Implementatiemodellen online werken Gerard Bottemanne, onderzoeksbureau GBNED www.ictaccountancy.nl Twee uitersten: 1. Software en gegevens lokaal 2. Software en gegevens bij ASP aanbieder Eerst begrippen voor de beeldvorming.. De begrippen

Nadere informatie

Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten. Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten

Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten. Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten 1 Cloudcomputing is populair, en niet zonder reden. Clouddiensten

Nadere informatie

PRIVACY EN CLOUD. Knelpunten:

PRIVACY EN CLOUD. Knelpunten: PRIVACY EN CLOUD Knelpunten: Wat is cloud? Soorten clouddiensten en de verschillen Wie is de verantwoordelijke? Wie heeft de beveiligingsverplichting? Is een bewerkersovereenkomst nodig? Waar staan de

Nadere informatie

Onverwachte voordelen van Server Virtualisatie

Onverwachte voordelen van Server Virtualisatie Onverwachte voordelen van Server Virtualisatie Ronald van Vugt NetWell ronald@netwell.info www.netwell.info Herkent u dit? Of u vandaag nog twee servers beschikbaar wilt stellen Geen goede testomgeving

Nadere informatie

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst?

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst? Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst? Louis Joosse Principal Consultant Alle intellectuele eigendomsrechten met betrekking tot de inhoud van of voortvloeiende uit dit document

Nadere informatie

Cloud werkplek anno 2014. Cloud werkplek anno 2014

Cloud werkplek anno 2014. Cloud werkplek anno 2014 Introductie Peter Klix Infrastructuurarchitect Specialisatie networking en desktop concepts Peter.klix@eic.nl Cloud desktop Introductie Desktop concepten door de jaren Infrastructuur Cloud concepten Focus

Nadere informatie

Visie op co-sourcing

Visie op co-sourcing Visie op co-sourcing Ed Holtzer Manager Managed Services Meerdere functies bij diverse IT- en adviesorganisaties. O.a. sales manager, (business) consultant, projectleider en programmamanager in profit

Nadere informatie

Fundaments, de IaaS experts

Fundaments, de IaaS experts 1 Fundaments, de IaaS experts Verwacht de absolute essentie INHOUD Introductie IaaS, het specialisme van Fundaments Voordelen van IaaS Is IaaS geschikt voor elk type onderneming? Businesscase Expro-IT

Nadere informatie

Waarom Cloud? Waarom nu? Marc Gruben April 2015

Waarom Cloud? Waarom nu? Marc Gruben April 2015 Waarom Cloud? Waarom nu? Marc Gruben April 2015 Waarom Daarom Cloud? Cloud! Waarom Daarom nu? nu! Marc Gruben April 2015 Wie ben ik? Informatie analist Project/development manager Developer/architect Wie

Nadere informatie

Vragenlijst. Voor uw potentiële Cloud Computing-leverancier

Vragenlijst. Voor uw potentiële Cloud Computing-leverancier Vragenlijst Voor uw potentiële Cloud Computing-leverancier Haarlem, 2011 Inleiding Terremark heeft sinds de opkomst van server virtualisatie in het begin van deze eeuw veel RFI s en RFP s beantwoord. Deze

Nadere informatie

Whitepaper Hybride Cloud Met z n allen naar de cloud.

Whitepaper Hybride Cloud Met z n allen naar de cloud. Whitepaper Hybride Cloud Met z n allen naar de cloud. Inhoudstafel 1. Inleiding 2. Met z n allen naar de cloud? 3. Voordelen van een hybride cloud 4. In de praktijk: Template voor moderne manier van werken

Nadere informatie

Wat is de cloud? Cloud computing Cloud

Wat is de cloud? Cloud computing Cloud The Cloud Agenda Wat is de cloud? Ontwikkelingen en trends in de markt Bedrijfsstrategie Voordelen en vraagtekens Werken in de cloud: Hoe? Veiligheid & privacy Toepasbaarheid in breder verband Demo Borrel

Nadere informatie

IaaS als basis voor maatwerkoplossingen

IaaS als basis voor maatwerkoplossingen 1 IaaS als basis voor maatwerkoplossingen De specialisten van Fundaments: uw logische partner INHOUD Vooraf Terugblik Cloud De rol van de IaaS Provider IaaS maatwerkoplossingen in het onderwijs Conclusie

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

Whitepaper. Cloud Computing. Computication BV 2013. Alleen naar cloud bij gewenste flexibiliteit

Whitepaper. Cloud Computing. Computication BV 2013. Alleen naar cloud bij gewenste flexibiliteit Whitepaper Cloud Computing 1 Computication BV 2013 Nu we op de toppen van de hypecyclus van cloud computing zijn beland, lijkt iedereen te denken dat deze vorm van automatisering zaligmakend is. Het is

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Innervate: Januari 2011 WHITEPAPER CLOUD COMPUTING HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Lees hier in het kort hoe u zich het best kunt bewegen in de wereld van cloud computing

Nadere informatie

To cloud or not to cloud

To cloud or not to cloud Stad & OCMW Sint-Niklaas To cloud or not to cloud gebruik bij lokale besturen Ivan Stuer 25 juni 2015 Wat is cloud eigenlijk? Wat is cloud eigenlijk? Voordelen echte realisatie van 'on-demand' computing

Nadere informatie

End to End Virtualisation

End to End Virtualisation End to End Virtualisation Virtualisatie in een Citrix wereld Edwin van den Broek Valid ICT Uiteindelijk willen we allemaal hetzelfde De DSM visie Applicaties transparant aan gebruikers aanbieden, ongeacht

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Telefoon: 088 773 0 773 Email: Support@adoptiq.com Website: www.adoptiq.com Adres: Johan Huizingalaan 763a 1066 VH Amsterdam KvK nr: 61820725 BTW nr: NL.854503183.B01 IBAN

Nadere informatie

Cloud Computing. Broodje IT: Cloud Computing. Agenda:

Cloud Computing. Broodje IT: Cloud Computing. Agenda: Broodje IT: Cloud Computing Agenda: Welkomstwoord door Jan Mudde Breedband Drechtsteden door Wico Lunch Cloud Computing door William Geluk Cloud Computing Agenda Opening (Jan Mudde) Breedband Drechtsteden

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Fundaments, de IaaS experts

Fundaments, de IaaS experts 1 Fundaments, de IaaS experts Verwacht de absolute essentie INHOUD Introductie IaaS, het specialisme van Fundaments Voordelen van IaaS Is IaaS geschikt voor elk type onderneming? Businesscase Expro-IT

Nadere informatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Onderzoeksresultaten Cloud Computing in Nederland Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau

Nadere informatie

IaaS als basis voor maatwerkoplossingen

IaaS als basis voor maatwerkoplossingen 1 IaaS als basis voor maatwerkoplossingen De specialisten van Fundaments: uw logische partner INHOUD Vooraf Terugblik Cloud De rol van de IaaS Provider IaaS maatwerkoplossingen in het onderwijs Conclusie

Nadere informatie

Infrastructure as a Service: hoe bepaalt u uw strategie?

Infrastructure as a Service: hoe bepaalt u uw strategie? : hoe bepaalt u uw strategie? Het doel van dit artikel is u te helpen bij het bepalen van uw cloudstrategie met betrekking tot Infrastructure as a Service (IaaS). Eerst zetten we de verschillende oplossingen

Nadere informatie

ImtechCloud, het platform voor een Hybride cloud

ImtechCloud, het platform voor een Hybride cloud ImtechCloud, het platform voor een Hybride cloud Erik Scholten Solution Architect Agenda Introductie Waarom cloud-oplossingen en wat zijn de uitdagingen? Wat is ImtechCloud? Toepassingen van Hybride Cloud

Nadere informatie

Technologieverkenning

Technologieverkenning Technologieverkenning Videocontent in the cloud door de koppeling van MediaMosa installaties Versie 1.0 14 oktober 2010 Auteur: Herman van Dompseler SURFnet/Kennisnet Innovatieprogramma Het SURFnet/ Kennisnet

Nadere informatie

Onderzoeksbureau GBNED Cloud computing en pakketselectie. Door Gerard Bottemanne, GBNED. 29-11-2012 ICT Financials

Onderzoeksbureau GBNED Cloud computing en pakketselectie. Door Gerard Bottemanne, GBNED. 29-11-2012 ICT Financials Door Gerard Bottemanne, GBNED 29-11-2012 ICT Financials Soort pakket Stand alone > Best of Breed Losstaand (beste) financieel administratiesysteem Attentiepunten: - Meer leveranciers (systeembeheer) -

Nadere informatie

Viktor van den Berg. Xpert Training Group VMware Authorized Training Center Citrix Authorized Learning Center Microsoft CPLS Eigen datacenter

Viktor van den Berg. Xpert Training Group VMware Authorized Training Center Citrix Authorized Learning Center Microsoft CPLS Eigen datacenter VIRTUALISATIE IRTUALISATIE & C...EEN EEN INTRODUCTIE & CLOUD COMPUTING VIKTOR VAN DEN BERG (XTG) INTRODUCTIE Viktor van den Berg VMware Certified Instructor Product Manager VMware Trainingen Dutch VMUG

Nadere informatie

De public cloud: Het einde van de traditionele hosting providers?

De public cloud: Het einde van de traditionele hosting providers? De public cloud: Het einde van de traditionele hosting providers? Auteur: Reinout Dotinga Quality Assured Services B.V. Thorbeckestraat 53 2613 BV DELFT KvK 60679905 INHOUDSOPGAVE: 1. INLEIDING 3 2. VOOR

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

Door toenemende automatisering en slimmere tools verdwijnt het werk voor de klassieke IT beheerder

Door toenemende automatisering en slimmere tools verdwijnt het werk voor de klassieke IT beheerder IT beheerder als bedreigde diersoort: Door toenemende automatisering en slimmere tools verdwijnt het werk voor de klassieke IT beheerder Auteur: Reinout Dotinga Quality Assured Services B.V. Thorbeckestraat

Nadere informatie

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Wat en wie is Andarr? Wij zijn dé partner voor waardevaste ICT transities / migraties. Wij helpen organisaties om blijvend

Nadere informatie

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY Hans Breukhoven BlinkLane Consulting 18 September 2012 2 Wie ben ik? Partner bij BlinkLane Consulting Interim IT-manager & adviseur

Nadere informatie

Gevangen. in de Wolken. 25e sambo-ict conferentie Tilburg, 18 januari 2012. Fabrice Mous Fabrice.Mous@ictivity.nl +31 648585162

Gevangen. in de Wolken. 25e sambo-ict conferentie Tilburg, 18 januari 2012. Fabrice Mous Fabrice.Mous@ictivity.nl +31 648585162 Gevangen in de Wolken 25e sambo-ict conferentie Tilburg, 18 januari 2012 Fabrice Mous Fabrice.Mous@ictivity.nl +31 648585162 Fabrice Mous Directeur Outdare & adviseur voor Ictivity Veel kennis en ervaring

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Garandeer de continuïteit van uw dienstverlening

Garandeer de continuïteit van uw dienstverlening Whitepaper Garandeer de continuïteit van uw dienstverlening Hoe voorkomt u downtime? Hoe vermindert u de impact als het toch optreedt? Hoe bent u zo snel mogelijk weer online? INHOUD» Technische mogelijkheden»

Nadere informatie

Fors besparen op uw hostingkosten

Fors besparen op uw hostingkosten Whitepaper Fors besparen op uw hostingkosten Hoe kunt u een kostenvoordeel behalen zonder dat dat ten koste gaat van de kwaliteit van uw dienstverlening? INHOUD» De hostingmarkt» Cloud technologie» Uitbesteden

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

Privacy Compliance in een Cloud Omgeving

Privacy Compliance in een Cloud Omgeving Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau

Nadere informatie

Whitepaper Hybride Cloud

Whitepaper Hybride Cloud Whitepaper it starts here Whitepaper Inhoudsopgave 1. Inleiding...3 2. Wat is de cloud?...4 2.1 Typen clouds...4 2.2 Cloud service modellen...5 2.3 Uitdagingen voor de IT-professional...6 2.4 De gewijzigde

Nadere informatie

Partneren met een Cloud broker

Partneren met een Cloud broker Partneren met een Cloud broker Vijf redenen om als reseller te partneren met een Cloud broker Introductie Cloud broker, een term die je tegenwoordig vaak voorbij hoort komen. Maar wat is dat nu precies?

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

Factsheet Outsourcing

Factsheet Outsourcing Factsheet Outsourcing www.vxcompany.com U wilt er zeker van zijn dat de IT-infrastructuur van uw organisatie in goede handen is, zodat u uw aandacht volledig kunt richten op de core business. Wij beheren

Nadere informatie

Informatieavond 15 06 2011 Gent

Informatieavond 15 06 2011 Gent Informatieavond 15 06 2011 Sessie overzicht De weg naar Cloud Computing Wat is Cloud Computing? Welke toepassingen bestaan er? Is het geschikt voor de Bouwsector/KMO? Live demo Google Apps Q&A De weg naar

Nadere informatie

Cloud Services Uw routekaart naar heldere IT oplossingen

Cloud Services Uw routekaart naar heldere IT oplossingen Cloud Services Uw routekaart naar heldere IT oplossingen Uw IT schaalbaar, altijd vernieuwend en effectief beschikbaar > Het volledige gemak van de Cloud voor uw IT oplossingen > Goede schaalbaarheid en

Nadere informatie

5 CLOUD MYTHES ONTKRACHT

5 CLOUD MYTHES ONTKRACHT 5 CLOUD MYTHES ONTKRACHT Na enkele jaren ervaring met de cloud, realiseren zowel gebruikers als leveranciers zich dat enkele van de vaakst gehoorde mythes over cloud computing eenvoudigweg... niet waar

Nadere informatie

Juridische valkuilen bij cloud computing

Juridische valkuilen bij cloud computing Juridische valkuilen bij cloud computing De drie belangrijkste juridische risico s bij cloud computing Cloud computing is geen zelfstandige nieuwe technologie, maar eerder een service delivery framework

Nadere informatie

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 - cloud computing: het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens. - cloud: een netwerk van computers, waarbij

Nadere informatie

Werkplek anno 2013. De werkplek; maak jij de juiste keuze?

Werkplek anno 2013. De werkplek; maak jij de juiste keuze? Werkplek anno 2013 Welkom Agenda Bas van Dijk & Peter Klix (EIC) Pauze HP Converged infrastructuur Johan Benning Presales consultant HP Diner Wie is wie Bas van Dijk Infrastructuurarchitect Specialisatie

Nadere informatie

SERVICE LEVEL AGREEMENT

SERVICE LEVEL AGREEMENT SERVICE LEVEL AGREEMENT MijnASP Versie 04-01-2008 Pagina:1 1 DEFINITIES Beschikbaarheid CPE Gepland onderhoud Responstijd Elipstijd Kantooruren Klant apparatuur Non-performance penalty Onderhoudsvenster

Nadere informatie

Bring it To The Cloud

Bring it To The Cloud Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech-ict.nl/cs Imtech Voor organisaties is de keuze over hoe

Nadere informatie

Green Community Cloud voor Onderwijs en Onderzoek

Green Community Cloud voor Onderwijs en Onderzoek Green Community Cloud voor Onderwijs en Onderzoek Ir. Eric Heemskerk Vancis BV SARA en Vancis SARA BV heeft een nationale rol als Supercomputer en e-science Support Center voor Onderwijs en Wetenschap.

Nadere informatie

Cloud, cloud, cloud. Wolfgang Ververgaert Wiljan Oomen

Cloud, cloud, cloud. Wolfgang Ververgaert Wiljan Oomen Cloud, cloud, cloud Wolfgang Ververgaert Wiljan Oomen 1 Wat kunt u verwachten? Definitie van Cloud computing Welke modellen van Cloud Computing zijn er? Welke varianten zijn er dan? Waarom naar een Cloud

Nadere informatie

Oplossingen overzicht voor Traderouter > 02/11/2010

Oplossingen overzicht voor Traderouter > 02/11/2010 Oplossingen overzicht voor Traderouter > 02/11/2010 Netconnex is opgericht in 2004 (Gezeteld in Belgie maar het hoofd datacenter gelegen in Nederland [omgeving Amsterdam]). Zeer gestaag groeiende onderneming

Nadere informatie

Datacenters. Whitepaper. van een systeemgeoriënteerde naar een servicegeoriënteerde infrastructuur

Datacenters. Whitepaper. van een systeemgeoriënteerde naar een servicegeoriënteerde infrastructuur Whitepaper Datacenters van een systeemgeoriënteerde naar een servicegeoriënteerde infrastructuur T +31 10 447 76 00, info.cs@imtech.nl, www.imtech.nl/cs 1.0 Introductie Alleen organisaties die flexibel

Nadere informatie

Cloud Computing. Een glasheldere hemel. Door Kurt Glazemakers, CTO Europe

Cloud Computing. Een glasheldere hemel. Door Kurt Glazemakers, CTO Europe Cloud Computing Een glasheldere hemel Door Kurt Glazemakers, CTO Europe Haarlem, 2011 Inleiding De term cloud computing wordt inmiddels al zo n twee jaar gebezigd in de markt, maar stuit bij het publiek

Nadere informatie

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden; Cloud Computing Cloud computing, waarschijnlijk bent u de term de afgelopen jaren veelvuldig tegengekomen. De voor- en nadelen van cloud computing worden met enige regelmaat in de juridische literatuur

Nadere informatie

Desktop Delivery: een zakelijke afweging

Desktop Delivery: een zakelijke afweging Desktop Delivery: een zakelijke afweging Client - Server, SBC, virtuele desktops, virtuele applicaties of een virtueel besturingssysteem? Er zijn genoeg mogelijkheden om desktop functionaliteit aan de

Nadere informatie

VMWORLD 2011 US WRAP

VMWORLD 2011 US WRAP VMWORLD 2011 US WRAP UP VIKTOR VAN DEN BERG MARCEL VAN OS WELKOM ELKOM & A & AGENDA Viktor van den Berg, Dutch VMUG Leader Marcel van Os, Senior Technical Trainer @ XTG Agenda VMUG Update (Viktor) VMware

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties.

Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties. Droom of werkelijkheid? Integratie VMware NSX en F5 zorgt voor effectieve uitrol van applicaties. Ralph Wanders Datacenter Solutions Manager IT SECURITY IS TOPSPORT! Datacenter solutions componenten Orchestrate

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

Inleiding Voordelen van cloud computing Welke oplossingen biedt de markt aan?

Inleiding Voordelen van cloud computing Welke oplossingen biedt de markt aan? Inleiding Cloud computing is een belangrijk en actueel thema in de IT. Het virtualiseren van servers en het gebruik van de cloud kan uw organisatie veel voordelen bieden, mits er een goede strategie uitgestippeld

Nadere informatie