voor Cloud Computing Problemen & uitdagingen Sebastiaan Monsieurs Academiejaar UNIVERSITEIT ANTWERPEN

Transcriptie

1 Academiejaar UNIVERSITEIT ANTWERPEN FACULTEIT TOEGEPASTE ECONOMISCHE WETENSCHAPPEN Problemen & uitdagingen voor Cloud Computing Sebastiaan Monsieurs Scriptie voorgedragen tot het bekomen van de graad van: Master in de Toegepaste Economische Wetenschappen Handelsingenieur in de Beleidsinformatica Promotor: Prof. dr. Wim Van Grembergen

2

3 Academiejaar UNIVERSITEIT ANTWERPEN FACULTEIT TOEGEPASTE ECONOMISCHE WETENSCHAPPEN Problemen & uitdagingen voor Cloud Computing Sebastiaan Monsieurs Scriptie voorgedragen tot het bekomen van de graad van: Master in de Toegepaste Economische Wetenschappen Handelsingenieur in de Beleidsinformatica Promotor: Prof. dr. Wim Van Grembergen

4 Voorwoord Graag zou ik de mensen willen bedanken die hebben geholpen bij de realisatie van deze thesis. Eerst en vooral zou ik mijn promotor, Prof. dr. Van Grembergen, en assistent Peter De Bruyn willen bedanken voor hun begeleiding langsheen het traject. Verder zou ik graag de correspondenten willen bedanken voor hun tijd en medewerking: Alex Van Breedam (Tri-Vizor), David Bellens (Microsoft), Filip Bormans (RealDolmen), Stein Van Stichel (Stone IS) en Tom De Bondt (AS Adventure). Daarnaast zou ik mijn ouders willen bedanken daar zij mij de mogelijkheid hebben gegeven om te studeren aan de Universiteit Antwerpen. Ten slotte zou ik ook mijn vriendin willen bedanken voor haar steun en begrip, alsook mijn vrienden bij wie ik steeds mijn verhaal kwijt kon. Augustus 2012, Sebastiaan Monsieurs i

5 Executive summary THESIS: Problems and Challenges for Cloud Computing The goal of this dissertation is twofold: first of all the identification of the most important problems and challenges for Cloud Computing and secondly the determination how enterprises in the Cloud are coping with these challenges. As Cloud Computing is a relatively new paradigm, a concise literature research was carried out in order to provide the reader with a general insight on Cloud Computing, documented in the first chapter. In the second chapter a thorough analysis was performed in order to identify the most important problems and challenges for Cloud Computing. Through this analysis eight problems and challenges were identified: security, compliance, interoperability, economic concerns, availability, performance, data management and governance. An empirical investigation was carried out, focusing on the challenges distinguished in chapter 2. A questionnaire was developed based on the Control Objectives for Information and related Technology (COBIT) framework and the Cloud Computing Management Audit/Assurance Program (CCMAP). Using this questionnaire, five interviews were performed involving providers as well as users of Cloud Computing. The information acquired was used to develop five case studies (Microsoft, RealDolmen, Stone IS, AS Adventure and Tri-Vizor). The fourth chapter answers the main research question of this dissertation: How are enterprises coping with the problems and challenges in the Cloud?. To answer this question the data of the empirical investigation was analyzed, resulting in a set of 12 conclusions (table ES.1): Tabel ES.1: Conclusions dissertation CONCLUSI ONS CONCLUSION 1: Users are not aware of the problems and challenges for Cloud Computing CONCLUSION 2: Providers have a good understanding of the problems and challenges in the Cloud CONCLUSION 3: Small providers do not prove to be inferior to the big players on the market CONCLUSION 4: Best addressed problems: 'Interoperability' and ' Availability' CONCLUSION 5: Worst addressed problems: 'Economic concerns' and 'Data mangement' CONCLUSION 6: Data in the Cloud not encrypted (Security) CONCLUSION 7: Identity and Access Management available in the Cloud (Security) CONCLUSION 8: The location of the data is defined (Compliance) CONCLUSION 9: Big players hinder interoperability (Interoperability) CONCLUSION 10: ROI is not calculated (Economic concerns) CONCLUSION 11: Performance is monitored by the provider (Performance) CONCLUSION 12: No distinction is made between public and confidential data (Data management) Source: translation of table 4.4 (conclusies thesisonderzoek) ii

6 Inhoudsopgave Voorwoord... i Executive summary... ii Inhoudsopgave... iii Lijst van figuren en tabellen... viii Figuren... viii Tabellen... viii Lijst met afkortingen... x Algemene inleiding Cloud Computing Definitie Kenmerkende eigenschappen On-demand self-service Broad network access Resource pooling Rapid elasticity Measured service Cloud omgeving Cloud architectuur Rollen Service delivery modellen Software as a Service (SaaS) Platform as a Service (PaaS) Infrastructure as a Service (IaaS) Cloud deployment modellen Private Cloud Community Cloud Public Cloud Hybrid Cloud iii

7 1.5.5 Virtual Private Cloud (VPC) Verwante technologieën en concepten Virtualisatie Grid Computing Utility Computing Autonomic Computing Multi-tenancy Voordelen Geen zware up-front investeringen en kortere time to market Vermindering van de operationele kosten Reduceren van het business risico en de onderhoudskosten Wendbaarheid Problemen en uitdagingen Een analyse naar de belangrijkste problemen en uitdagingen Technologische problemen en uitdagingen Security Interoperability Availability Performance Data Management Niet-technologische problemen en uitdagingen Compliance Economic concerns Governance Bevindingen: Problemen en uitdagingen voor Cloud Computing Empirisch onderzoek: Case studies Interview vragenlijst: COBIT en CCMAP COBIT (Control Objectives for Information and related Technology) CCMAP (Cloud Computing Management Audit/Assurance Program) Interview vragenlijst iv

8 3.2 CASE STUDY A: Microsoft (Provider) Security Compliance Interoperability Economic concerns Availability Performance Data Management Governance CASE STUDY B: RealDolmen (Provider) Security Compliance Interoperability Economic concerns Availability Performance Data Management Governance CASE STUDY C: Stone IS (Provider) Security Compliance Interoperability Economic concerns Availability Performance Data Management Governance CASE STUDY D: AS Adventure (Gebruiker) Security Compliance v

9 3.5.3 Interoperability Economic concerns Availability Performance Data Management Governance CASE STUDY E: Tri-Vizor (Gebruiker) Security Compliance Interoperability Economic concerns Availability Performance Data Management Governance Bevindingen: Case studies Conclusies Conclusies op het niveau van de cases CONCLUSIE 1: Gebruikers niet op de hoogte van de problematiek van Cloud Computing CONCLUSIE 2: Providers relatief goed op de hoogte van de problematiek van Cloud Computing CONCLUSIE 3: Kleine providers moeten niet onderdoen voor grotere spelers Conclusies op het niveau van de problemen en uitdagingen CONCLUSIE 4: Best geadresseerde problemen: Interoperability en Availability CONCLUSIE 5: Slechtst geadresseerde problemen: Economic concerns en Data mangement Conclusies binnen probleem of uitdaging CONCLUSIE 6: Data op de Cloud wordt niet geëncrypteerd (Security) CONCLUSIE 7: Identity & Access Management (IAM) wordt ook voorzien in de Cloud (Security) CONCLUSIE 8: Data locatie wordt transparant overeengekomen (Compliance) CONCLUSIE 9: Grote spelers gaan interoperabiliteit actief tegen (Interoperability) CONCLUSIE 10: ROI wordt niet bepaald (Economic concerns) vi

10 4.3.6 CONCLUSIE 11: Performantie degelijk opgevolgd door providers (Performance) CONCLUSIE 12: Geen onderscheid publieke en vertrouwelijke informatie (Data management) Bevindingen: Conclusies thesisonderzoek Algemeen besluit Bibliografie Bijlagen Bijlage I: Interview Microsoft Bijlage II: Interview RealDolmen Bijlage III: Interview Stone IS Bijlage IV: Interview AS Adventure Bijlage V: Interview Tri-Vizor Bijlage VI: Verklaring op woord van eer vii

11 Lijst van figuren en tabellen Figuren Figuur AI.1: Overzicht thesisonderzoek... 2 Figuur 1.1: Cloud architectuur... 6 Figuur 1.2: Rollen in een Cloud omgeving... 7 Figuur 1.3: Niveau van controle bij verschillende types Cloud services... 9 Figuur 1.4: Cloud deployment modellen Figuur 2.1: CIA triade Figuur 3.1: COBIT raamwerk Figuur 3.2: Voorbeeld uit template van het Cloud Computing Management Audit/Assurance Program Tabellen Table ES.1: Conclusions dissertation... ii Tabel 2.1: Resultaten International Data Corporation Tabel 2.2: Resultaten World Economic Forum Tabel 2.3: Resultaten Europese Commissie Tabel 2.4: Resultaten CIO Customer Solutions Group Tabel 2.5: Resultaten Colt Tabel 2.6: Resultaten Deloitte Tabel 2.7: Resultaten ISACA... ii Tabel 2.8: Resultaten KPMG... ii Tabel 2.9: Belangrijkste problemen en uitdagingen voor Cloud Computing Tabel 2.10: Belangrijkste problemen en uitdagingen voor Cloud Computing (opgedeeld) Tabel 3.1: Overzicht participerende ondernemingen Tabel 3.2: Uitdagingen voor Cloud Computing volgens ISACA Tabel 3.3: Vragenlijst met referenties naar CCMAP en COBIT Tabel 3.4: Algemene informatie Microsoft Tabel 3.5: Algemene informatie RealDolmen Tabel 3.6: Algemene informatie Stone Internet Services Tabel 3.7: Algemene informatie AS Adventure Tabel 3.8: Algemene informatie Tri-Vizor Tabel 3.9: Bevindingen met betrekking tot security Tabel 3.10: Bevindingen met betrekking tot compliance Tabel 3.11: Bevindingen met betrekking tot interoperability Tabel 3.12: Bevindingen met betrekking tot economic concerns viii

12 Tabel 3.13: Bevindingen met betrekking tot availability Tabel 3.14: Bevindingen met betrekking tot performance Tabel 3.15: Bevindingen met betrekking tot data management Tabel 3.16: Bevindingen met betrekking tot governance Tabel 4.1: Algemeen overzicht bevindingen (deel 1) Tabel 4.2: Algemeen overzicht bevindingen (deel 2) Tabel 4.3: Variatie tussen kleine providers en grotere spelers Tabel 4.4: Conclusies thesisonderzoek Tabel 5.1: Conclusies thesisonderzoek (herhaling) ix

13 Lijst met afkortingen - 3CM2 = Cloud Computing Challenges Maturity Model - AD = Active Directory - API = Application Programming Interface - BDM = Business Development Manager - CCCMAP = Cloud Computing Management Audit/Assurance Program - CIA = Confidentiality, Integrity and Availability - COBIT = Control Objectives for Information and related Technology - CSP(s) = Cloud Service Provider(s) - DDoS = Distributed Denial of Service - Disk I/O = Disk Input/Output - EC2 = Elastic Compute Cloud (Amazon) - EU = Europese Unie - GHz = Giga Hertz - HTTPS = Hypertext Transfer Protocol Secure - IaaS = Infrastructure as a Service - IAM = Identity & Access Management - ICT = Information and Communication Technology - ISACA = Information Systems Audit and Control Association - IT = Information Technology (Informatie Technolgie) - MB = Megabyte - NIST = National Institute of Standards and Technology - PaaS = Platform as a Service - RFP = Request For Proposal - RMS = Rights Management Services - SaaS = Software as a Service - SDP = Service Delivery Plan - SLA(s) = Service Level Agreement(s) - SPOC = Single Point Of Contact - SPOF = Single Point Of Failure - SSL = Secure Sockets Layer - TB = Terrabyte - TLS = Transport Layer Security - VPN = Virtual Private Network x

14 Algemene inleiding Cloud Computing is een nieuw opkomend paradigma waarbij men IT resources gaat aanbieden in de vorm van diensten over het internet. Op deze manier kunnen ondernemingen verschillende voordelen bekomen zoals het vermijden van aanzienlijke up-front investeringen, een kortere time to market, een vermindering van de operationele kosten en andere. Echter bevindt het concept zich nog in zijn groeifase, waardoor een aantal problemen en uitdagingen nog niet volledig zijn geadresseerd. Dit heeft tot gevolg dat bedrijven weigerachtig staan tegenover Cloud Computing en gaat een verdere adoptie dus tegen. Het doel van deze thesis is tweeledig. Eerst en vooral het identificeren van de belangrijkste problemen en uitdagingen voor Cloud Computing en vervolgens analyseren hoe ondernemingen in de Cloud omgaan met deze problematiek. Hierbij wordt de problematiek zowel aanschouwd langs de kant van de provider als langs de kant van de gebruiker. De structuur van de thesis is opgebouwd als volgt: HOOFDSTUK 1: Daar Cloud Computing een relatief nieuw concept betreft, wordt er aangevat met een inleidend hoofdstuk over Cloud Computing. In dit eerste hoofdstuk wordt een algemene definitie aangehaald, alsook een beschrijving gegeven van de meest kenmerkende eigenschappen, de Cloud omgeving, de verschillende service- en Cloud modellen, verwante concepten en de belangrijkste voordelen. HOOFDSTUK 2: In het tweede hoofdstuk wordt getracht om de belangrijkste problemen en uitdagingen voor Cloud Computing te identificeren. Hiervoor wordt een analyse uitgevoerd waarbij een reeks bestaande onderzoeken vergeleken worden. Deze analyse resulteert in een lijst met de acht belangrijkste problemen en uitdagingen, welke vervolgens ook worden beschreven binnen het hoofdstuk. HOOFDSTUK 3: Het eigenlijke onderzoek van deze thesis zit vervat in het derde hoofdstuk. Het doel van dit onderzoek is om na te gaan hoe bedrijven vandaag de dag omgaan met deze problemen en uitdagingen. In het eerste deel van dit hoofdstuk wordt de opbouw van de vragenlijst besproken, welke de basis vormt voor het empirische onderzoek. Verder wordt de gecapteerde informatie uit de interviews beschreven in vijf case studies (Microsoft, RealDolmen, Stone IS, AS Adventure en Tri-Vizor). Het hoofdstuk wordt afgesloten met een gedetailleerde weergave van de bevindingen. HOOFDSTUK 4: In het vierde hoofdstuk wordt er getracht een antwoord te bieden op de hoofdonderzoeksvraag, zijnde: Hoe gaan ondernemingen om met de problemen en uitdagingen van Cloud Computing?. Dit antwoord wordt geformuleerd in de vorm van een aantal conclusies. Om tot deze conclusies te komen wordt de informatie uit het empirische onderzoek geanalyseerd. Hierbij wordt er op zoek gegaan naar regelmatigheden waaruit conclusies geëxtraheerd kunnen worden. Om een zo gedetailleerd mogelijk beeld te geven worden de conclusies beschreven op drie verschillende niveaus: op het niveau van de cases, op 1

15 het niveau van de problemen en uitdagingen en binnen de problemen en uitdagingen. Deze analyse resulteert in een lijst met 12 conclusies. HOOFDSTUK 5: De thesis wordt afgesloten met een algemeen besluit waarbij er wordt teruggeblikt op het thesisonderzoek, alsook de belangrijkste bevindingen. Een grafische voorstelling van het thesisonderzoek wordt weergegeven in onderstaande figuur (figuur AI.1): Figuur AI.1: Overzicht thesisonderzoek ONDERZOEKSMETHODE THESISONDERZOEK H1 ONDERZOEKSVRAAG Inleiding Cloud Computing Wat is Cloud Computing? Literatuuronderzoek Definiëren Cloud Computing problemen en uitdagingen H2 Wat zijn de problemen en uitdagingen voor Cloud Computing? Empirisch onderzoek (interviews) Opstellen case studies H3 Microsoft RealDolmen Stone IS AS Adventure Hoe gaan bedrijven om met deze problemen en uitdagingen? Tri-Vizor H4 Conclusies H5 Algemeen besluit Bron: eigen samenstelling 2

16 1. Cloud Computing Het doel van dit eerste hoofdstuk is om een duidelijk beeld te geven van wat het concept Cloud Computing juist inhoudt. Het hoofdstuk start met een algemene definitie van Cloud Computing, gevolgd door een beschrijving van de meest kenmerkende eigenschappen. Verder wordt er een beknopt overzicht gegeven van een Cloud omgeving, de services die kunnen aangeboden worden en de verschillende Cloud modellen die er vandaag de dag bestaan. Het hoofdstuk wordt besloten met een beschrijving van enkele verwante technologieën en de belangrijkste voordelen van Cloud Computing. 1.1 Definitie Cloud Computing beschrijft geen nieuwe technologie, maar een paradigma dat verder bouwt op een verzameling van bestaande technologieën en concepten (deze worden beschreven in sectie 1.7). Het ontstaan van Cloud Computing werd gedreven door de bedrijfswereld die een oplossing zocht voor de toenemende IT kosten en de groeiende complexiteit van de IT infrastructuur binnen een onderneming. Dit is tevens ook de oorzaak waarom er anno 2012 verschillende ideeën bestaan over wat het begrip juist inhoudt. Het begrip wordt namelijk te pas en te onpas gebruikt als marketing term voor het aanleveren van IT resources als flexibele diensten. (Zhang et al., 2010; Schubert et al., 2010; Marston et al., 2011) Recentelijk heeft men getracht een standaarddefinitie van Cloud Computing naar voren te schuiven. Eén van deze initiatieven ging uit van het National Institute of Standards and Technology (NIST). Het NIST definieert Cloud Computing als volgt: Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. 1 (NIST, 2011) Deze definitie zal ook worden gehanteerd bij de uitwerking van dit thesisonderzoek. Verder beschrijft het NIST vijf kenmerkende eigenschappen van Cloud Computing, deze worden besproken in de volgende sectie. (NIST, 2011) 1 Eigen vertaling: Cloud computing is een model dat toegang biedt tot een alomtegenwoordige, handige en ondemand beschikbare verzameling van configureerbare computing resources (bv. netwerken, servers, opslagcapaciteit, applicaties en diensten) die snel kan worden opgebouwd alsook afgebouwd met een minimum aan effort of interactie met de service provider. 3

17 1.2 Kenmerkende eigenschappen Hoewel er vele eigenschappen kunnen worden toegeschreven aan Cloud Computing, zijn er ook enkele eigenschappen die typerend zijn voor het concept. Het NIST identificeert vijf kenmerkende, namelijk: ondemand self-service, broad network access, resource pooling, rapid elasticity en measured service. Deze eigenschappen zullen hier kort worden toegelicht. (Subashini & Kavitha, 2010; Badger et al., 2011) On-demand self-service Een klant heeft relatief gemakkelijk toegang tot de resources van de Cloud provider. Daar de meeste services toegankelijk zijn via het Web, kan de klant zelf bijkomende resources opvragen indien hij dit nodig acht. Een verdere tussenkomst van de Cloud provider is hierbij niet nodig, wat een zekere flexibiliteit biedt voor de klant. (NIST, 2011; Zhang et al., 2010) Broad network access Alle IT resources in de Cloud zijn beschikbaar als services via het Internet. Dit wil zeggen dat elk toestel met een internetverbinding hierover kan beschikken. Men is hierin dus niet beperkt tot computers, maar ook smartphones en tablets kunnen worden gebruikt om toegang te krijgen tot deze services. De enige vereiste is dat ze in verbinding staan met het internet. (NIST, 2011; Zhang et al., 2010) Resource pooling De Cloud provider beschikt over een verzameling van resources. Deze resources kunnen op een dynamische manier worden toegewezen aan de verschillende klanten van de provider. Een belangrijk concept hierbij is virtualisatie, waarbij men fysieke resources gaat omvormen tot virtuele resources (het concept van virtualisatie wordt verder beschreven in sectie 1.6). Bij het toewijzen van resources zijn het immers de virtuele resources die worden toegewezen en niet de fysieke. Zo kan men bijvoorbeeld een resource zoals opslagcapaciteit gaan toewijzen aan een klant, terwijl deze eigenlijk is opgebouwd uit een verzameling van opslagplaatsen die zich op verschillende fysieke locaties bevinden. Waar de gegevens exact zijn opgeslagen, weet de klant niet. (NIST, 2011; Staten, 2009) Rapid elasticity Met elasticiteit of schaalbaarheid bedoelt men het vermogen om de IT resources aan te passen aan de noden van de klant. In tegenstelling tot de traditionele modellen van resource voorziening, waarbij men enkel bijkomende resources kan toewijzen bij een stijgende vraag, is het bij Cloud Computing ook 4

18 mogelijk om resources weg te nemen bij een dalende vraag. Op deze manier kunnen de resources perfect worden afgestemd op de vraag van de klant, wat een positieve impact heeft op zijn operationele kosten. Voor de klant lijkt het of deze beschikt over een verzameling van oneindige resources. (NIST, 2011; Zhang et al., 2010; Plummer et al., 2008) Met betrekking tot schaalbaarheid maakt men het onderscheid tussen horizontale en verticale schaalbaarheid. Hierbij verwijst horizontale schaalbaarheid naar het aantal instanties en verticale schaalbaarheid naar de grootte van de instanties. Om dit met een voorbeeld te verduidelijken: als men servers horizontaal gaat schalen, dan wijzigt het aantal servers. Als men de servers verticaal gaat schalen, dan wordt de rekenkracht van de servers aangepast. (Schubert et al., 2010) Measured service Kosten worden enkel aangerekend voor de gebruikte IT resources. Hoe dit gebruik zal worden gemeten is afhankelijk van de resource die wordt gebruikt. Neem bijvoorbeeld software voor het verwerken van online aankopen. In plaats van een (hoge) vaste kost aan te rekenen aan de klant, kan men bij Cloud Computing een kost aanrekenen op basis van het aantal verwerkte transacties. Dit heeft wederom een positieve impact op de operationele kosten van de klant. (NIST, 2011; Schubert et al, 2010) 1.3 Cloud omgeving In deze sectie wordt een algemeen beeld gegeven van een Cloud omgeving. Meer bepaald wordt er dieper ingegaan op hoe een Cloud is opgebouwd en de voornaamste rollen die aanwezig zijn binnen een Cloud omgeving Cloud architectuur Een Cloud is typisch opgebouwd uit vier lagen. Deze lagen komen overeen met de verschillende type services die worden aangeboden via de Cloud (de verschillende type services worden besproken in sectie 1.4). Een overzicht van deze Cloud architectuur kan worden teruggevonden in figuur 1.3. De vier lagen worden in het artikel van Zhang et al. beschreven als volgt: 1. Hardware laag: Op het niveau van de hardware kan men alle fysieke resources van de Cloud terugvinden, zoals servers, routers en switches. Deze fysieke resources worden meestal ondergebracht in datacenters, eventueel verspreid over verschillende fysieke locaties. 5

19 2. Infrastructuur laag: De infrastructuur laag bestaat uit een verzameling van virtuele resources die kunnen worden verworven door de gebruiker. Men noemt deze laag ook wel eens de virtualisatie laag omdat men hier de fysieke resources gaat omvormen tot virtuele resources. Deze laag is essentieel voor een Cloud architectuur. 3. Platform laag: Op de platform laag kunnen voornamelijk operating systems worden teruggevonden, alsook resources voor het ontwikkelen en hosten van applicaties. 4. Applicatie laag: Zoals de naam het zelf zegt, kan men op de applicatie laag verschillende Cloud applicaties terugvinden. Deze applicaties hebben als voordeel dat ze gebruik kunnen maken van alle resources die worden voorzien door de onderliggende lagen. Het is duidelijk dat de vier lagen sterk verbonden zijn, doch ook een zekere onafhankelijkheid dragen. De Cloud architectuur vertoont een zogenaamde prosument -structuur. Elke laag is immers zowel een producent van resources voor de bovenliggende lagen, als een consument van de resources van de onderliggende lagen. (Schubert et al., 2010) Figuur 1.1: Cloud architectuur Bron: herwerkte figuur op basis van Zhang et al., (2010) Rollen In een Cloud omgeving kunnen verschillende rollen worden teruggevonden. Hoewel deze rollen in grote mate overeen komen met andere service georiënteerde omgevingen, is het definiëren van deze rollen noodzakelijk om misinterpretaties te voorkomen. 6

20 Cloud Service Provider (CSP): De Cloud Service Provider levert IT resources aan de gebruiker via de Cloud. De soort van provider is afhankelijk van de IT resources die hij aanlevert. Zo kan er het onderscheid worden gemaakt tussen een infrastructure provider, een platform provider en een service provider. Deze providers leveren respectievelijk hardware resources, platformen voor het ontwikkelen van applicaties en eigenlijke applicaties aan. Uiteraard kan een provider een combinatie van deze resources aanbieden. (Marston et al., 2011; Schubert et al., 2010) Cloud reseller / aggregator: Een reseller of aggregator gaat de resources van meerdere Cloud providers samenbrengen om op deze manier een grotere pool van resources te kunnen aanbieden aan zijn klanten. De reseller of aggregator zal hiervoor een aangepaste interface moeten voorzien. (Schubert et al., 2010) Cloud consumer: Deze maakt gebruik van IT resources via de Cloud om op deze manier bepaalde voordelen te bekomen, zoals aangehaald in sectie 1.2. (Marston et al., 2011) Cloud enabler: Enablers leveren zelf geen services aan via de Cloud, maar voorzien producten en services om de Cloud te ondersteunen. Voor providers kunnen zij bijvoorbeeld tools aanleveren met betrekking tot de virtualisatie of software voor het monitoren de Cloud. Langs de kant van de gebruiker kunnen enablers helpen met het opstellen van een hybride Cloud (het hybride Cloud model wordt beschreven in sectie 1.5). (Marston et al., 2011; Schubert et al., 2010) Een voorstelling van deze rollen binnen de Cloud omgeving wordt gegeven in figuur 1.2. Figuur 1.2: Rollen in een Cloud omgeving Bron: eigen afbeelding op basis van Zhang et al., (2010); Marston et al., (2011); Schubert et al., (2010) 7

21 1.4 Service delivery modellen Zoals aangehaald in de vorige sectie kunnen Cloud providers verschillende soorten services aanleveren. Men maakt hierbij een onderscheid tussen drie types services: Software as a Service (SaaS), Platform as a Service (PaaS) en Infrastructure as a Service (IaaS). Deze types services komen overeen met de verschillende lagen van de Cloud architectuur (behandeld in sectie 1.3) Software as a Service (SaaS) Met SaaS krijgt een gebruiker toegang tot bepaalde software van de Cloud provider. De applicatie draait volledig in de Cloud en de gebruiker dient dus niets te installeren op zijn toestel. Gebruikers krijgen gewoonlijk toegang tot de applicatie via een thin client interface, zoals een webbrowser. (Ryan & Loeffler, 2010; NIST, 2011) Voorbeelden van SaaS zijn: Google Docs, Salesforce.com en SAP Business ByDesign Platform as a Service (PaaS) Via PaaS krijgt de gebruiker toegang tot een platform met de nodige resources voor het ontwikkelen en hosten van applicaties. Door middel van een Application Programming Interface (API) krijgen gebruikers toegang tot deze resources. Elke Cloud provider voorziet zo zijn eigen API, waardoor het voor de gebruiker moeilijk is om nadien over te schakelen naar een andere Cloud provider. Men loopt hierbij dus het gevaar op een vendor lock-in. Deze problematiek heeft betrekking op de interoperabiliteit tussen Clouds en zal verder worden besproken in hoofdstuk 2. (Schubert et al., 2010) Voorbeelden van PaaS zijn: Google App Engine, Microsoft Windows Azure en Force.com Infrastructure as a Service (IaaS) Door middel van IaaS krijgt een gebruiker toegang tot IT resources zoals rekenkracht, opslagcapaciteit en netwerken. Deze resources kunnen worden gebruikt en toegewezen naar de wensen van de klant. Zo kan deze infrastructuur bijvoorbeeld gebruikt worden voor het draaien van een Operating System (OS) of kan de rekenkracht worden toegewezen aan specifieke applicaties. Zoals aangehaald bij de bespreking van de infrastructuur laag in 1.4.1, gaat het hier over de virtuele resources en niet de fysieke. De benaming Virtual Machine (VM) wordt eveneens gebruikt om een virtuele server aan te duiden. (Shivakumar & Raju, 2010) Voorbeelden van IaaS zijn: Amazon EC2, Microsoft SQL Azure en GoGrid. 8

22 Bij elk type service is het niveau van controle tussen gebruiker en provider ook anders verdeeld. Figuur 1.3 geeft weer hoe de controle juist verdeeld is bij de verschillende types services. Figuur 1.3: Niveau van controle bij verschillende types Cloud services Bron: herwerkte afbeelding van Fullerton, (2012) 1.5 Cloud deployment modellen Clouds kunnen op verschillende manieren worden geïmplementeerd. Het NIST definieert vier verschillende Cloud modellen: de private Cloud, public Cloud, community Cloud en hybrid Cloud. Bijkomend zal ook de Virtual Private Cloud (VPC) worden besproken. Deze worden op het einde van deze sectie eveneens weergegeven in figuur Private Cloud Bij een private Cloud worden al de resources van de Cloud exclusief toegewezen aan één onderneming. Private Clouds worden typisch beheerd door de onderneming zelf, maar kunnen ook worden voorzien door een externe partij. Door middel van een private Cloud heeft een onderneming een betere controle over de gehele Cloud infrastructuur. (Schubert et al., 2010; Zhang et al., 2010; Staten, 2009) 9

23 1.5.2 Community Cloud Via een community Cloud krijgt een bepaalde groep van ondernemingen of gebruikers exclusieve toegang tot de resources van de Cloud. Deze groep van gebruikers delen meestal eenzelfde doel, missie of interesse. De Cloud kan beheerd worden door (een deel van) de gebruikers of door een externe partij. (Mell & Grance, 2010; Schubert et al., 2010) Public Cloud Door middel van een publieke Cloud biedt een Cloud provider services aan aan het brede publiek. Een publieke Cloud wordt beheerd door de Cloud Provider. Deze kan zowel een overheidsinstantie, als een academische instelling of een privéonderneming zijn. De controle van de gebruiker over de Cloud infrastructuur is veeleer beperkt. (Ryan & Loeffler, 2010; Mell & Grance, 2010) Hybrid Cloud Een hybrid Cloud is een combinatie van één of meerdere van bovenstaande Cloud modellen. De individuele Cloud modellen blijven onafhankelijk, maar door middel van standaarden of bepaalde software zal het mogelijk zijn om data en applicaties over te brengen van het ene Cloud model naar het andere. Hierbij is het belangrijk om te bepalen welke data juist op welk Cloud model mag staan. Zo is het bijvoorbeeld niet wenselijk dat geheime bedrijfsinformatie zich op een publieke Cloud bevindt. (Zhang et al., 2010; Mell & Grance, 2010) Virtual Private Cloud (VPC) Bij een Virtual Private Cloud (VPC) gaat men een bijkomende layer leggen over een public Cloud. Het concept kan vergeleken worden met een Virtual Private Network (VPN). De resources worden aangeleverd binnen een virtueel netwerk dat exclusief toegankelijk is voor de gebruiker. Op deze manier krijgt de gebruiker toch meer controle over de Cloud, zoals onder meer met betrekking tot de beveiliging. (Dillon et al., 2010) 10

24 Figuur 1.4: Cloud deployment modellen Bron: eigen afbeelding op basis van Schubert et al., (2010); Zhang et al., (2010); Staten, (2009); Mell & Grance, (2010); Ryan & Loeffler, (2010); Dillon et al., (2010) 1.6 Verwante technologieën en concepten Zoals aangehaald in sectie 1.1 beschrijft Cloud Computing geen nieuwe technologie, maar louter een concept dat verder bouwt op een verzameling van bestaande technologieën en concepten. Deze zullen hier verder worden beschreven, waarbij er ook wordt gekeken hoe deze juist passen binnen het kader van Cloud Computing Virtualisatie Virtualisatie is een technologie waarbij men de fysieke hoedanigheid van de resources tracht weg te nemen. De technologische complexiteit wordt verborgen voor de gebruiker, waardoor men ruimte creëert voor flexibiliteit. Op deze manier zijn virtuele resources gemakkelijker configureerbaar en is het geheel beter te managen. Verder zijn deze virtuele resources locatieonafhankelijk en eenvoudiger te herproduceren door middel van zogenaamde images. (Schubert et al., 2010) Virtualisatie vormt een essentieel onderdeel van Cloud Computing en kan worden teruggevonden op de infrastructuur laag binnen de Cloud architectuur. Het is immers door middel van deze virtualisatie technologie dat men over de flexibiliteit beschikt om resources dynamisch te gaan toewijzen. (Zhang et al., 2010) 11

25 1.6.2 Grid Computing Grid Computing is een concept waarbij men verschillende bronnen van IT resources, verbonden door middel van een netwerk, gaat coördineren voor het behalen van een bepaald objectief. Dit concept kan wordt gebruikt door verschillende ondernemingen die eenzelfde missie delen of binnen eenzelfde organisatie waarbij men onbenutte resources van andere sites gaat inzetten voor het verwerken van complexe berekeningen. (Plummer et al., 2008) Cloud Computing bouwt verder op het concept van grid Computing daar er tevens gebruik wordt gemaakt van een verzameling van resources die zich op verschillende fysieke locaties kunnen bevinden. Het domein van Cloud Computing is echter veel breder dan dit van grid Computing. Zo kan men via de Cloud niet alleen beschikken over resources zoals rekenkracht en opslagcapaciteit, maar ook over applicaties en heelder platformen voor het ontwikkelen en hosten van software. (Zhang et al., 2010) Utility Computing Utility Computing is een concept waarbij gebruikers toegang hebben tot een verzameling van IT resources, maar waarbij men enkel betaalt voor hetgeen men gebruikt. Men kan het dus vergelijken met eender welke andere nutsvoorziening zoals water, gas of elektriciteit. De gebruiker dient voorafgaand geen significante investeringen te doen op vlak van infrastructuur. (Plummer et al., 2008) Cloud Computing is eigenlijk een pure realisatie van utility Computing. De drijfveer bij Cloud Computing was het drukken van de kosten met betrekking tot IT door enkel kosten aan te rekenen op basis van het gebruik en de gebruiker de zware investeringen met betrekking tot de infrastructuur te besparen. (Zhang et al., 2010) Autonomic Computing Autonomic Computing is een concept waarbij men tracht om systemen te bouwen die in staat zijn om zichzelf te beheren zonder enige menselijke tussenkomst. Hiermee zouden de systemen gepast moeten kunnen reageren op interne wijzigingen en observaties uit de omgeving van het systeem. Door middel van dit concept wil men de complexiteit van het beheren van deze hedendaagse informatiesystemen wegnemen. (Zhang et al., 2010) Bij Cloud Computing kan men enkele elementen van Autonomic Computing herkennen, zoals het automatisch toewijzen van resources. Desalniettemin is het belangrijk te beseffen dat de belangrijkste beweegreden van Cloud Computing verschillend is, namelijk het verlagen van de kosten. (Zhang et al., 2010) 12

26 1.6.5 Multi-tenancy Multi-tenancy is een principe binnen software architectuur waarbij verschillende gebruikers toegang hebben tot eenzelfde applicatie. Elke gebruiker werkt hierbij met een eigen aangepaste versie van de oorspronkelijke applicatie. Dit vormt voornamelijk een uitdaging voor het ontwikkelen van dergelijke applicaties, waarbij het mogelijk moet zijn om meerdere aangepaste instanties te creëren van dezelfde applicatie. (Dillon et al., 2010) Bij Cloud Computing spreekt men van mutli-tenancy daar dezelfde Cloud diensten worden afgenomen door meerdere gebruikers, met uitzondering van de (virtual) private Cloud. Hoewel men gebruik maakt van verschillende virtuele resources, is het mogelijk dat gebruikers met dezelfde fysieke resources werken. Zo kunnen klanten A en B bijvoorbeeld data opslag afnemen van provider X. Hoewel klanten A en B verschillende virtuele resources zullen aanspreken voor het opslagen van hun data, is het mogelijk dat de data van beide op dezelfde fysieke layer wordt opgeslagen. Dit heeft voornamelijk een impact naar security toe, zoals zal worden toegelicht in het volgende hoofdstuk. (Dillon et al., 2010; Cattedu & Hogben, 2009) 1.7 Voordelen Cloud Computing is voornamelijk ontstaan vanuit het objectief om de kosten met betrekking tot IT te reduceren. Echter is het belangrijk om te beseffen dat Cloud Computing daarbuiten eveneens waarde kan bieden voor de business. Men zou kunnen stellen dat Cloud Computing inspeelt op twee grote trends die vandaag kunnen worden teruggevonden binnen het IT landschap. Eerst en vooral de trend van IT efficiëntie, waarbij men tracht IT resources zo efficiënt mogelijk in te zetten en zo weinig mogelijk capaciteit onbenut te laten. Ten tweede speelt Cloud Computing ook in op de trend van de wendbare onderneming, waarbij IT een competitief voordeel kan vormen door snel en gepast te kunnen reageren op wijzigingen in de omgeving van de onderneming. In het artikel van Shivakumar & Raju spreekt men ook wel van Cloud Computing als een business enabler. (Marston et al., 2011) Het begrijpen van de voordelen van Cloud Computing geeft een inzicht in de drijfveren van organisaties voor het gebruiken van Cloud Computing. De belangrijkste voordelen zullen in deze sectie worden beschreven Geen zware up-front investeringen en kortere time to market Als klant dient men geen zware investeringen te doen op vlak van IT infrastructuur. Men dient in principe louter te beschikken over een verbinding met het internet. Het uitsparen van deze zware kost is voornamelijk een voordeel voor de kleinere ondernemingen. Door middel van Cloud Computing kunnen deze bedrijven dus ook relatief goedkoop beschikken over IT resources, waardoor ze onder meer hun producten sneller op de markt kunnen brengen. (Zhang et al., 2010; Marston et al., 2011) 13

27 1.7.2 Vermindering van de operationele kosten Een recent onderzoek bij zes in-house datacenters heeft aangetoond dat veel van de IT investeringen zwaar onderbenut blijven. Zo bleek dat servers gemiddeld slechts 10 tot 30 procent van hun rekenvermogen gebruikten en dat desktops gemiddeld slechts vijf procent van hun totale capaciteit benutten. Door middel van Cloud Computing kan men de operationele kosten doen afnemen omdat men de resources beter kan afstellen op de vraag, waardoor kosten van onbenutte resources kunnen worden vermeden. (Zhang et al., 2010; Marston et al., 2011) Reduceren van het business risico en de onderhoudskosten Als klant maakt men gebruik van de IT resources van de Cloud provider. Dikwijls bezit deze Cloud provider een zeer goede kennis over deze resources, waardoor de risico s beter kunnen worden gemanaged en opgevangen. Denk hierbij bijvoorbeeld aan het verliezen van data wegens een defect van de hardware. Verder dient de klant geen kosten te maken op vlak van onderhoudskosten, dit wordt immers voorzien door de Cloud provider. (Zhang et al., 2010) Wendbaarheid In de wereld van vandaag is IT alomtegenwoordig en van vitaal belang voor verschillende ondernemingen. Om te kunnen overleven als bedrijf dien je tijdig en gepast te kunnen reageren op wijzigingen in je omgeving. Men spreekt in dit geval van de wendbare onderneming. Cloud Computing kan hierbij een belangrijke rol spelen omwille van de eenvoudige en snelle toegang tot IT resources. Ondernemingen kunnen op deze manier hun IT resources uitbreiden of nieuwe resources aanwerven om opportuniteiten in de markt te benutten. (Mannaert & Verelst, 2009; Schubert et al., 2010) 14

28 2. Problemen en uitdagingen Hoewel Cloud Computing vele voordelen kan bieden aan een onderneming, is het eveneens belangrijk dat men beseft dat er ook nog vele problemen en uitdagingen spelen die men dient te overkomen. Dit is ook de reden waarom bedrijven soms weigerachtig staan ten opzichte van de Cloud. De problematiek zorgt als het ware voor een soort barrière die een verdere adoptie van Cloud Computing tegenhoudt. Het doel van dit tweede hoofdstuk is te achterhalen waar deze problematiek juist kan worden gesitueerd. Met andere woorden: Wat zijn de belangrijkste problemen en uitdagingen voor Cloud Computing?. De analyse naar deze problematiek is gebaseerd op een reeks bestaande onderzoeken en wordt beschreven in het eerste deel van dit hoofdstuk. Uit deze analyse werd een lijst geëxtraheerd met de acht belangrijkste problemen en uitdagingen, welke beschreven zullen worden in het tweede (technologische problemen en uitdagingen) en derde deel (niet-technologische problemen en uitdagingen) van dit hoofdstuk. Het betreft een algemene beschrijving, waarbij er niet dieper zal worden ingegaan op eventuele verschillen tussen Cloud deployment modellen (private, community, public, hybrid, VPC). Echter volledig genoeg om een beeld te kunnen vormen van de aangehaalde problematiek. Het hoofdstuk wordt afgesloten met een korte beschrijving van de belangrijkste bevindingen. 2.1 Een analyse naar de belangrijkste problemen en uitdagingen Voor het bepalen van de belangrijkste problemen en uitdagingen wordt er vertrokken vanuit enkele recente onderzoeken ( ). Het betreft voornamelijk bedrijfsgerichte onderzoeken die de belangrijkste uitdagingen voor de Cloud trachten te achterhalen. De bijdrage vanuit de academische literatuur in dit onderzoeksdomein is momenteel relatief beperkt. Een mogelijke verklaring hiervoor is dat Cloud Computing veeleer is ontstaan vanuit een business dan wel een academische of wetenschappelijke achtergrond, zoals ook werd aangehaald in het eerste hoofdstuk (sectie 1.1). Elk van de vooropgestelde onderzoeken draagt een lijst naar voren met problemen en uitdagingen voor de Cloud. Hoewel de bekomen resultaten verschillen, is het eveneens mogelijk om overeenkomsten te identificeren. Door deze overeenkomsten te bepalen over de verschillende onderzoeken heen, wordt getracht een consistente lijst op te stellen met de belangrijkste problemen en uitdagingen voor Cloud Computing. De onderzoeken die gebruikt worden voor deze analyse, betreffen onderzoeken van de volgende organisaties: International Data Corporation (2008) World Economic Forum (in samenwerking met Accenture) (2009) Europese Commissie (2010) CIO Customer Solutions Group (2011) Colt (2011) 15

29 Deloitte (2011) Information Systems Audit and Control Association (ISACA) (2011) KPMG (2011) De resultaten van deze onderzoeken worden weergegeven in tabellen 2.1 tot en met 2.8. Om een duidelijk beeld te kunnen schetsen, worden de overeenkomsten aangegeven in eenzelfde kleur. Elementen die in minstens de helft van de onderzoeken (vier van de acht) zijn aangehaald, worden opgenomen in de lijst. Deze analyse heeft geleid tot de volgende lijst met de acht belangrijkste problemen en uitdagingen voor Cloud Computing (zie ook tabel 2.9): 1. Security 2. Compliance 3. Interoperability 4. Economic concerns 5. Availability 6. Performance 7. Data management 8. Governance De uitdagingen in deze lijst kunnen worden gecategoriseerd als zijnde technologisch (security, interoperability, availability, performance en data management) en niet-technologisch (compliance, economic concerns en governance). Een voorstelling van deze opdeling kan worden teruggevonden in tabel Deze problemen en uitdagingen zullen worden beschreven in de volgende twee secties van dit hoofdstuk. Tabel 2.1: Resultaten International Data Corporation I NTERNATI ONAL DATA CORPORATI ON (2008) Security Performance Availability Hard to integrate with in-house IT Not enough ability to customize Worried Cloud computing will cost more Bringing back in-house may be difficult Regulatory requirements prohibit cloud Not enough major suppliers yet Tabel 2.2: Resultaten World Economic Forum WORLD ECONOMIC FORUM (2009) Security Privacy Governance Fear of vendor lock-in Compliance Enterprise/User intertia Business continuity Loss of IT Control/Ownership Uncertainty around ROI Bron: Kuyoro et al., (2011) Bron: World Economic Forum, (2010) 16

30 Tabel 2.3: Resultaten Europese Commissie EUROPESE COMMI SSI E (2010) Manageability Data Management Security & Privacy Interoperability Virtualisation, Elasticity & Adaptability API's, Programming Models & Resource Control Legislation, Government & Policies Economic Concerns Tabel 2.4: Resultaten CIO Customer Solutions Group CI O CUSTOMER SOLUTI ONS GROUP (2011) Security Integration with existing systems Loss of control over data Availability concerns Performance issues IT governance issues Regulatory/Compliance concerns Dissatisfaction with vendor offerings/pricing Ability to bring systems back in-house Lack of customization opportunities Measuring ROI Other Bron: Schubert et al., (2010) Bron: Stroud, (2010) Tabel 2.5: Resultaten Colt COLT (2011) Security Integration with internal applications Performance/Reliability Regulatory & Compliance Lock-in Transparency of cost Geographic location Tabel 2.6: Resultaten Deloitte DELOI TTE (2011) Insufficient data security/availability Open compliance or legal issues Risk of losing governance or control Doubts regarding a long-term availability of the offering Risk of a vendor lock-in No financial benefit Unclear licensing Other Bron: Colt, (2011) Bron: Deloitte, (2011) Tabel 2.7: Resultaten ISACA ISACA (2011) Data location Commingled data (multi-tenancy) Cloud security policy/procedure transaparency Cloud data ownership Lock-in with CSP's proprietary API's CSP business viability Record protection for forensic audits Identity and Access Management (IAM) Penetration detection Screening of other Cloud Computing clients Compliance requirements Public Cloud server owner's due diligence Data erasure for current Saas or Paas applications Disaster recovery Tabel 2.8: Resultaten KPMG KPMG (2011) Security Performance Difficulty integrating Cloud with existing systems IT Governance Loss of control over data (with respect to customers) Availability Measuring ROI Regulatory compliance Response time Lack of confidence in ability of Cloud vendors to perform Not sure the promise of a Cloud environment can be realized Difficulty making a business case for adopting Cloud environment Lack of customization opportunities Dissatisfaction with offerings/pricings by vendors Other Bron: ISACA, (2011) Bron: KPMG, (2011) 17

31 Tabel 2.9: Belangrijkste problemen en uitdagingen voor Cloud Computing PROBLEMEN & UITDAGINGEN PROBLEEM / UITDAGING # RAPPORTEN % Security 8 100,00% Compliance 8 100,00% Interoperability 7 87,50% Economic concerns 7 87,50% Availability 6 75,00% Performance 4 50,00% Data Management 4 50,00% Governance 4 50,00% Bron: eigen samenstelling op basis van tabellen 2.1 tot en met 2.8 Tabel 2.10: Belangrijkste problemen en uitdagingen voor Cloud Computing (opgedeeld) PROBLEMEN & UITDAGINGEN TECHNOLOGISCH Security Interoperability Availability Performance Data Management NIET-TECHNOLOGISCH Compliance Economic concerns Governance Bron: eigen samenstelling op basis van tabel Technologische problemen en uitdagingen Security Het grootste struikelblok voor Cloud Computing is security. Dit kan duidelijk worden afgeleid uit de verschillende onderzoeken, waar security telkens bovenaan de lijst terug te vinden is als één van de belangrijkste problemen voor Cloud Computing. Ter verduidelijking vangt deze subsectie aan met een beknopte beschrijving van wat security juist inhoudt en waarom dit zo een groot probleem vormt binnen Cloud Computing. Het National Institute of Standards and Technology definieert (computer) security als volgt: 18

32 The protection afforded to an automated information system in order to attain the applicable objective of preserving the integrity, availability and confidentiality of information system resources (includes hardware, software, firmware, information/data and telecommunications). 2 (NIST, 1995) Uit deze definitie kan men één van de basisprincipes met betrekking tot security afleiden, namelijk de CIA-triade. Hierbij staat CIA voor Confidentiality, Integrity en Availability en kan worden beschreven als volgt: Confidentiality: de vereiste dat vertrouwelijke informatie niet beschikbaar is voor partijen die hier niet toe geautoriseerd zijn. Confidentiality is dus ook sterk gerelateerd met authenticatie, waarbij men nagaat of een gebruiker rechtmatig toegang heeft tot de resources. (NIST, 1995; Zissis & Lekkas, 2011) Integrity: doelt op de vereiste dat resources enkel kunnen worden gewijzigd door partijen of gebruikers die hiertoe geautoriseerd zijn. (NIST, 1995; Zissis & Lekkas, 2011) Availability: duidt op de vereiste dat resources steeds beschikbaar moeten zijn wanneer deze worden opgevraagd door geautoriseerde gebruikers. (het probleem met betrekking tot availability zal verder worden besproken in subsectie 2.1.3)(NIST, 1995; Zissis & Lekkas, 2011) Figuur 2.1: CIA triade Bron: op basis van NIST, (1995) en Zissis & Lekkas, (2011) Twee concepten die worden gebruikt voor het realiseren van deze CIA-triade, zijn encryptie en Identity & Access Management (IAM). Echter, het gebruik van deze concepten ligt niet voor de hand in een Cloud omgeving. 2 Eigen vertaling: De beveiliging die wordt toegepast binnen geautomatiseerd informatiesysteem om ervoor te zorgen dat de integriteit, beschikbaarheid en vertrouwelijkheid van de resources wordt gevrijwaard (inclusief hardware, software, fimware, data en telecommunicatie). 19

33 _ Encryptie: Encryptie wordt gezien als het ultieme middel op vlak van security. Het probleem met encryptie in een Cloud omgeving heeft voornamelijk te maken met het feit dat de (geëncrypteerde) data wordt opgeslagen in de Cloud. Echter is het onmogelijk om bewerkingen uit te voeren op geëncrypteerde data en dient een gebruiker dus achtereenvolgens de data te downloaden, lokaal te decrypteren, de nodige bewerkingen te doen, te encrypteren en terug op de Cloud te plaatsen. Niet alleen is het gehele proces uiterst omslachtig en inefficiënt, maar brengt het ook hoge communicatie- en verwerkingskosten met zich mee. (Hauck et al., 2010; Anthes, 2010) In 2009 werd een nieuwe veelbelovende encryptietechniek ontwikkeld, namelijk fully homomorphic encryption, waarmee men bewerkingen zou kunnen verrichten op geëncrypteerde data. Jammer genoeg bleek uit onderzoek dat de verwerkingskosten nog steeds relatief hoog lagen en het dus nog wel enkele jaren zal duren alvorens deze nieuwe encryptietechniek zou kunnen worden gebruikt in de praktijk. (Hauck et al., 2010; Anthes, 2010) Identity & Access Management (IAM): Het doel van IAM is het identificeren en autoriseren van gebruikers, zodat enkel geautoriseerde gebruikers toegang hebben tot beschermde resources en dat kan worden nagegaan welke gebruiker bepaalde handelingen heeft uitgevoerd. Echter blijkt dat vele Cloud providers dit niet voorzien, waardoor het voor een onderneming onmogelijk is om zijn gebruikers te controleren (monitoren). De nood aan IAM zal alleen maar toenemen naarmate volledige organisaties, alsook klanten en partners van deze organisaties, gebruik gaan maken van resources in de Cloud. (Zissis & Lekkas, 2011; ISACA, 2011; McAfee, 2011) Verder kunnen ook nog enkele bijkomende beveiligingsrisico s worden beschreven die voortkomen uit specifieke eigenschappen van Cloud Computing: _ Virtualisatie: Zoals reeds aangehaald in het eerste hoofdstuk, is virtualisatie een essentieel onderdeel van Cloud Computing. Door middel van virtualisatie worden virtuele resources gecreëerd waartoe gebruikers toegang hebben. Zo kan een virtuele resource zijn opgebouwd uit meerdere fysieke resources of zo kan het ook slechts een deel zijn van een fysieke resource. Dit laatste maakt dat verschillende gebruikers van verschillende virtuele resources zich op dezelfde fysieke resource bevinden. Niet alleen is het een hele uitdaging om virtuele resources gescheiden te houden wanneer deze zich op dezelfde fysieke resource bevinden, er bestaat ook het risico dat een hacker zich voordoet als gewone gebruiker om op deze manier ongeautoriseerde toegang te krijgen tot resources van andere gebruikers. Door zich voor te doen als gewone gebruiker krijgt een hacker immers toegang tot de resources die als een soort van testomgeving kan dienen waarin hij op zoek kan gaan naar zwakke punten. (Subashini & Kavitha, 2011; Zissis & Lekkas, 2011) Een belangrijk concept hierbij is het zogenaamde image van een virtuele resource. Je kunt een image zien als een soort van template van een virtuele resource. Hierbij is het dus van belang dat 20

34 men images creëert die voldoende security garanderen, zonder dit volledig bloot te geven. Als een hacker een image zou kunnen kraken, heeft deze immers toegang tot alle (virtuele) resources die gebaseerd zijn op hetzelfde image. (Subashini & Kavitha, 2011; Zissis & Lekkas, 2011) Multi-tenancy: Een andere eigenschap is multi-tenancy, waarbij men duidt op het feit dat verschillende gebruikers toegang hebben tot dezelfde verzameling van resources. Zoals reeds beschreven, brengt dit verschillende risico s met zich mee vanuit het virtualiseren van resources. Door middel van multi-tenancy wordt de informatie van verschillende gebruikers opgeslagen op dezelfde locatie binnen de Cloud. Indien een hacker de beveiliging zou kunnen kraken, heeft hij dus toegang tot alle data van de verschillende gebruikers. Dit maakt een Cloud dus een zeer waardevol doelwit voor een hacker. Voorts heb je met meerdere gebruikers ook meerdere toegangspunten of meerder mogelijkheden om een zwak punt te vinden in de schakel. (Dillon et al., 2010; Cattedu & Hogben, 2009) Bij Cloud Computing is het dus belangrijk dat security wordt voorzien op alle verschillende lagen van de Cloud architectuur. Dit houdt dus in: hardware, infrastructuur (virtualistatie), platform en applicatie. Bijkomend dient ook voldoende aandacht te worden besteed aan de beveiliging van het netwerk, omdat alle communicatie met de Cloud immers over het Internet verloopt. Een laatste opmerking betreft een korte schets van de focus van security binnen Cloud Computing. Momenteel wordt er relatief veel aandacht besteed aan het beveiligen van de Cloud tegen aanvallen van buitenaf, maar onderschat men het risico van kwaadwillige insiders. Hierover valt immers bitter weinig terug te vinden in de literatuur en is het verwaarlozen van een degelijk Identity & Accountmanagement een duidelijk voorbeeld Interoperability In het Cloud landschap van vandaag de dag heeft elke Cloud provider een eigen manier bepaald waarop er gecommuniceerd en gewerkt wordt binnen zijn Cloud. Een duidelijk voorbeeld hiervan zijn de gepatenteerde of bedrijfseigen Application Programming Interfaces (APIs). Door deze verschillende manieren van werken en communiceren is het probleem van interoperabiliteit ontstaan. Deze problematiek heeft zowel een impact op de relatie tussen verschillende Clouds als op de relatie tussen een Cloud en de gebruiker. (Dillon et al., 2010) Impact op de relatie tussen Clouds: Communicatie tussen verschillende Clouds is onmogelijk, waardoor een gebruiker dus verplicht is om alle services van eenzelfde provider af te nemen. Op deze manier kan een gebruiker dus geen beroep doen op services van verschillende providers om op deze manier een optimaal portfolio van Cloud services samen te stellen. Verder is het ook 21

35 onbegonnen werk om data of software over te zetten van de ene Cloud naar de andere. Indien een gebruiker zou willen veranderen van provider (bv. omwille van kostenvoordelen) dient alle data te worden geconverteerd en alle software geherstructureerd naar de functionaliteiten van de nieuwe provider. Een belangrijk gevolg hiervan is de vendor lock-in, deze stelt dat het voor een huidige gebruiker nagenoeg onmogelijk is om over te schakelen naar een andere Cloud provider. (IT Industry Innovation Council, 2011; Ambrust et al., 2010) Impact op de relatie tussen Cloud en gebruiker: Door de specifieke manier van werken binnen een Cloud is het ook moeilijk om Cloud resources te integreren met in-house resources. Zo is het bijvoorbeeld onmogelijk dat er data vanuit het in-house datacenter zou worden gecommuniceerd naar de Cloud om daar verder te verwerken. (Dillon et al., 2010) In het extreme geval zou een onderneming dus eigenlijk al zijn resources in de Cloud moeten zetten en dan nog eens bij dezelfde Cloud provider om op een efficiënte manier te kunnen werken. Dit maakt duidelijk dat het interoperabiliteitsprobleem een grote hindernis vormt voor Cloud Computing en ondernemingen ervan weerhoudt om de sprong te maken naar de Cloud. Een mooie beschrijving van dit punt in de evolutie van Cloud Computing kan worden teruggevonden in het artikel Building an Open Cloud van Nelson (2009). Volgens Nelson zijn er vanuit de huidige situatie drie scenario s mogelijk. Eerst en vooral heb je de Many Clouds, waarbij bedrijven blijven werken met hun bedrijfseigen standaarden, er dus geen samenwerking tussen verschillende Clouds mogelijk is en bijgevolg heel wat potentieel van Cloud Computing verloren gaat. Een tweede scenario is de Hazy Skies, waarbij het Cloud landschap wordt gedomineerd door enkele grote spelers die elk gebruik maken van bedrijfsspecifieke standaarden. Hierbij zou de samenwerking tussen Clouds beperkt blijven tot het uitwisselen van data. Het laatste scenario is de Open Cloud, waarbij alle Cloud providers gebruik maken van open standaarden. Op deze manier zouden verschillende Clouds kunnen samenwerken en Cloud resources worden geïntegreerd met in-house resources. Het Cloud landschap zou een netwerk van netwerken worden, te vergelijken met het Internet. (Nelson, 2009) Availability Availability of beschikbaarheid is de mate waarin een systeem operationeel is. Hierbij dient het systeem dus te kunnen reageren op een request van een geautoriseerde gebruiker. Dikwijls wordt de beschikbaarheid uitgedrukt in hoeveel procent van de tijd een systeem operationeel dient te zijn of in de maximale tijdspanne die mag verstrijken alvorens het systeem reageert op een request. Binnen een Cloud omgeving handelt availability voornamelijk over de beschikbaarheid van data, software en hardware. (Hauck et al., 2010; Zissis & Lekkas, 2011) 22

36 De reden waarom ondernemingen availability nu eigenlijk als een groot probleem aanschouwen bij Cloud Computing, kan worden beschreven aan de hand van de volgende vier elementen: de nood aan een internetverbinding, DDoS aanvallen op Cloud omgevingen, fate-sharing onder Cloud gebruikers en het Single Point Of Failure (SPOF) concept. (Choo, 2010; Ambrus et al, 2010) Nood aan een internetverbinding: Een internetverbinding is noodzakelijk om gebruik te kunnen maken van Cloud services. Deze afhankelijkheid van een internetverbinding om toegang te hebben tot de nodige data en applicaties maakt dat ondernemingen weigerachtig staan tegenover de Cloud. (Choo, 2010) DDoS aanvallen op Cloud omgevingen: Zoals aangehaald in de inleiding van hoofdstuk 1 is Cloud Computing een nieuw fenomeen en wekt dit dus ook de interesse op van hackers. Zoals beschreven door Choo (2010) zijn er al verschillende meldingen geweest van DDoS aanvallen op Cloud omgevingen. Een voorbeeld hiervan is hoe de onderneming Bitbucket offline ging door een DDoS aanval op zijn Cloud provider Amazon. Het probleem met DDoS aanvallen is dat er relatief weinig aan gedaan kan worden, omdat het moeilijk is om een onderscheid te maken tussen goede requests en slechte requests die deel uitmaken van een DDoS aanval. (Metz, 2009) Fate-sharing onder Cloud gebruikers: Gebruikers die zich op dezelfde fysieke resource bevinden, delen hetzelfde noodlot. Een duidelijk voorbeeld hiervan is de inbeslagname van hardware in functie van een gerechtelijk onderzoek. Gebruikers die hun data of software op dezelfde server hebben staan, zullen dus tijdelijk hun toegang tot deze resources verliezen. Voor een onderneming is dit dus onmogelijk. (Choo, 2010) Single Point Of Failure (SPOF) concept: Een belangrijk concept met betrekking tot availability is het SPOF concept. Een Single Point of Failure is elk punt in een proces dat bij defect alle operaties stil legt. Binnen een Cloud omgeving zijn er wel meerdere van deze SPOFs, zoals de internetverbinding die reeds werd beschreven. Een SPOF dat nog van groter belang is, is de Cloud in zijn geheel. Stel bijvoorbeeld dat een Cloud provider failliet gaat. Een oplossing die wordt geopperd door Ambrust et al. is het afsluiten van contracten met meerdere Cloud providers. Echter, zoals aangehaald in subsectie rond interoperabiliteit, is deze oplossing toch niet zo eenvoudig te realiseren zoals ze wordt voorgesteld. (Ambrust et al., 2010) Enige zekerheid over de beschikbaarheid van een Cloud service kan men krijgen via zogenaamde Service Level Agreements (SLAs). Dit zijn overeenkomsten tussen de Cloud provider en de gebruiker aangaande de kwaliteit van de geleverde service. Een voorbeeld van een dergelijke overeenkomst kan worden teruggevonden in de SLA voor Amazon EC2 (Amazon Elastic Compute Cloud). Hierin verklaart Amazon een compensatie te voorzien indien de resources niet voor 99,95% van de tijd beschikbaar zijn. (Iosun et al., 2011) Ondanks dat deze SLAs een gevoel van zekerheid kunnen bieden, is het geen oplossing voor het probleem betreffende de beschikbaarheid van de Cloud service. 23

37 2.2.4 Performance Als je als onderneming gebruik maakt van een service dan verwacht je een zekere performantie of prestatie van deze service. Het probleem bij Cloud Computing is dat de performantie relatief moeilijk te meten valt en ook een grote variabiliteit vertoont. (Hauck et al, 2010; Iosun et al, 2011) De oorzaak van dit probleem is te wijten aan de toename in complexiteit en dynamiek binnen de Cloud. Enerzijds is er dus een toename in complexiteit door virtualisatie, waardoor het moeilijker wordt om de onderliggende fysieke resources te beheren. Anderzijds is er een toename in dynamiek door de complexe interacties van applicaties die gebruik maken van dezelfde onderliggende fysieke resources. (Hauck et al., 2010) Het doel van Cloud Computing is om een hogere graad van efficiëntie te bewerkstelligen, wat hand in hand gaat met een hogere gebruiksgraad van de resources. Men mag hierbij niet vergeten dat een toename in gebruik de kans vergroot op fouten en dus een impact heeft op de performantie. (Hauck et al., 2010) Om verder in te gaan op de grote variabiliteit op vlak van performantie kan men verwijzen naar het artikel van Ambrust et al. (2010), waarin men de performantie analyse van Amazone EC2 beschrijft. Zo wordt bijvoorbeeld de grote variantie in performantie voor het wegschrijven van data aangehaald: data wordt gemiddeld weggeschreven tegen 55MB/sec, met een standaardafwijking van meer dan 16%. Ook betreffende performantie zou men een overeenkomst kunnen treffen in een Service Level Agreement (SLA), echter zal dit, zoals reeds besproken, enkel een gevoel van zekerheid kunnen bieden en geen oplossing voor het probleem Data Management Een laatste technologisch probleem betreft data management. Het probleem met data management is dat dit nagenoeg onbestaande is in de Cloud. Als je als gebruiker data in de Cloud zet, vertrouw je deze informatie toe aan de Cloud provider en verlies je in grote mate de controle over jouw data. De mate waarin je je data kunt beheren wordt dus veelal beperkt en wordt duidelijk als men gaat kijken naar data security, data locatie, data flow en het verwijderen van data. (Stettner, 2011; Schubert et al, 2010) Data security: Zoals beschreven in subsectie 2.2.1, is één van de belangrijkste principes betreffende security de CIA-triade (Confidentiality, Integrity en Availability). Dit geldt evenzeer voor data. Het probleem met betrekking tot het beheer van data is dat het beveiligen quasi volledig wordt voorzien door de Cloud provider en de gebruiker hier een minimale inspraak in 24

38 heeft. Verder wordt het beveiligen van data in Service Level Agreements (SLAs) dikwijls beschreven op een best effort basis en worden er dus geen garanties gegeven. (Hauck et al., 2010) Data locatie: De exacte locatie waar de data is opgeslagen, is in vele gevallen onbekend voor de gebruiker. Het staat ergens in de Cloud. Dit vormt voornamelijk een probleem met betrekking tot het nakomen van de regulering, zoals zal worden besproken in subsectie Zo is het in verschillende Europese landen verboden dat bepaalde types informatie het land verlaten (bv. medische informatie). (Subashini & Kavitha, 2011) Data flow: Verder is er ook weinig transparantie over de doorstroom van de data. Als je als onderneming informatie op de Cloud zet, wil je niet alleen weten waar deze informatie wordt opgeslagen, maar ook wanneer bepaalde informatie de Cloud verlaat en naar waar juist. Het is vandaag de dag niet mogelijk om dit te achterhalen. (Hauck et al., 2010; Schubert et al., 2010) Verwijderen van data: Een ander belangrijk element met betrekking tot het beheren van data, is het verwijderen ervan. In welke mate kan een gebruiker er zeker van zijn dat als hij data wilt verwijderen van de Cloud, deze data ook werkelijk volledig verwijderd wordt. Men zou het kunnen vergelijken met het verwijderen van een bestand op een lokale computer: bij het verwijderen van een bestand komt dit eerst in de prullenmand en zelfs indien het bestand hieruit wordt verwijderd is het nog steeds mogelijk om met allerlei hulpmiddelen dit bestand te reconstrueren. (Cattedu & Hogben, 2009) Men zou kunnen denken een oplossing te hebben gevonden door het louter scheiden van publieke en vertrouwelijke informatie. Men zou hierbij enkel de publieke informatie op de Cloud kunnen zetten, terwijl de vertrouwelijke informatie binnen de organisatie blijft. Deze oplossing wordt echter gehinderd door het interoperabiliteitsprobleem (zie subsectie 2.2.2), waardoor het onmogelijk is om resources van de Cloud met in-house resources te integreren. 2.3 Niet-technologische problemen en uitdagingen Compliance Compliance is het naleven van de wetgeving en het voldoen aan vooropgestelde standaarden en normen (bv. industriestandaarden). Het probleem met compliance komt voort uit het feit dat verschillende landen en industrieën verschillende regels en vereisten opleggen met betrekking tot data en software. Zo kan een Cloud provider een service aanbieden die in lijn ligt met de regelgeving van zijn land, maar niet noodzakelijk met de regelgeving van potentiële gebruikers in andere landen. Gebruikers dienen dus eerst na te gaan of de service die wordt aangeboden ook overeenstemt met hun eigen wetgeving. Echter ontbreekt dikwijls de nodige transparantie om dit te kunnen beoordelen, zowel langs de kant van de Cloud provider als langs de kant van de regulator. (Jansen & Grance, 2011; Cattedu & Hogben, 2009) 25

39 Een veelvoorkomend probleem is de locatie van data. Zoals aangehaald in subsectie is het niet mogelijk om de exacte locatie van de data te achterhalen. Desalniettemin zijn er ook wetgevingen die beperkingen opleggen betreffende de locatie van data. Zo is het binnen de Europese Unie bijvoorbeeld verboden om persoonlijke informatie op te slaan buiten de EU zonder voorafgaande goedkeuring van de betrokken persoon. (McAfee, 2011) Een ander aspect waarmee men rekening moet houden zijn wijzigingen in de wetgeving. In welke mate is de Cloud provider bereid om zijn service aan te passen aan dergelijke veranderingen? Het is belangrijk dat een onderneming dit in het achterhoofd houdt. Zo zou een onderneming een plan kunnen ontwikkelen om de Cloud services terug in-house te halen, met alle nodige gevolgen en kosten. (Ryan & Loeffler, 2010) Economic concerns Voordelen van Cloud Computing zijn onder meer het vermijden van zware up-front investeringen en een vermindering van de operationele kosten door pay-per-use services. Echter, er bestaat heel wat onzekerheid over het ware kostenvoordeel van Cloud Computing ten opzichte van het insourcen van de resources. Zo worden in het artikel van McAfee (2011) twee onderzoeken aangehaald, waarbij het ene onderzoek aantoont dat Cloud Computing een duidelijk kostenvoordeel inhoudt en het andere onderzoek juist wijst op een toename van de kosten. Dit zorgt voor verwarring en onzekerheid bij potentiële gebruikers. Een veelgebruikte maatstaf die wordt gebruikt bij het evalueren van een project is de Return On Investment (ROI). Hierbij zet men het verschil uiteen tussen de opbrengsten en de kosten ten opzichte van de totale kosten van het project. Cloud Computing is echter een nieuw concept, waardoor het moeilijk is om te gaan bepalen waar Cloud Computing juist waarde kan creëren voor een bedrijf en welke kosten het allemaal met zich meebrengt. Dit maakt dat het (momenteel) dus niet zo eenvoudig is om de ROI van een project met betrekking tot Cloud Computing te gaan bepalen. (Sheth, 2012) Het is hierbij belangrijk dat potentiële gebruikers zich niet blindstaren op louter de voordelen, maar zich ook bewust zijn van de bijkomende kosten die worden gecreëerd door het gebruik van Cloud Computing. Een voorbeeld hiervan is de toename in communicatie- of netwerkkosten. Ten gevolge van het opslaan van data op de Cloud, bekomt men een hogere netwerkkost daar alle data verstuurd dient te worden over het internet alvorens men de data kan gebruiken. (Ambrust et al., 2010; Dillon et al., 2010) 26

40 2.3.3 Governance Een duidelijke omschrijving van wat (IT) governance juist inhoudt, kan worden afgeleid uit de definitie van Van Grembergen & De Haes (2009): Enterprise Governance of IT is an integral part of corporate governance and addresses the definition and implementation of processes, structures and relational mechanisms in the organization that enable both the business and IT people to execute their responsibilities in support of business/it 3 alignment and the creation of business value from IT-enabled business investments. Governance kan dus gezien worden als een raamwerk van regels en principes voor het beheren van IT investeringen met als ultieme doel waarde te creëren langs de kant van de business. Dit raamwerk zal verschillen van onderneming tot onderneming en handelt onder meer over de implementatie en het monitoren van IT-gerelateerde processen, rekening houdend met de geldende wetgeving en industriestandaarden. (Van Grembergen & De Haes, 2009) Het probleem bij Cloud Computing is dat een onderneming in zekere zin de controle verliest over de IT resources in de Cloud. Het governance raamwerk van de onderneming heeft immers geen impact op de resources van de Cloud provider. Deze vallen onder de governance van de Cloud provider. Dit zou voor allerlei problemen kunnen zorgen op vlakken als security, compliance en performance, zoals beschreven in voorgaande secties. Het is hierbij dus noodzakelijk dat er duidelijke afspraken worden gemaakt tussen provider en gebruiker. Echter, deze problematiek kan veeleer worden verbonden aan outsourcen in het algemeen, dan aan Cloud Computing in het bijzonder. (Jansen & Grance, 2011) Zoals reeds verschillende malen aangehaald in voorgaande secties, zou een Service Level Agreement (SLA) voor een gevoel van zekerheid kunnen bieden, doch is het geen oplossing voor het probleem. 2.4 Bevindingen: Problemen en uitdagingen voor Cloud Computing Het doel van dit tweede hoofdstuk was om de belangrijkste problemen en uitdagingen voor Cloud Computing te identificeren. Dit werd gedaan aan de hand van een analyse van een reeks bestaande onderzoeken en resulteerde in een lijst met de acht belangrijkste problemen en uitdagingen voor Cloud Computing, namelijk: security, compliance, interoperability, economic concerns, availability, performance, data management en governance. Deze werden beschreven in dit hoofdstuk en zullen in het volgende hoofdstuk dienen als startpunt voor het empirische onderzoek. 3 Eigen vertaling: Enterprise Governance of IT maakt integraal deel uit van het beleid van een onderneming en adresseert de implementatie van processen, structuren en relationele mechanismen die zowel de business mensen als de IT mensen staat stellen om hun verantwoordelijkheden uit te voeren ter ondersteuning van de business/it alignering en het creëren van bedrijfswaarde uit IT-enablede investeringen. 27

41 3. Empirisch onderzoek: Case studies In het vorige hoofdstuk werden de acht belangrijkste problemen en uitdagingen voor Cloud Computing bepaald. Het doel van dit derde hoofdstuk is om na te gaan hoe ondernemingen vandaag de dag omgaan met deze problematiek. Voor dit empirisch onderzoek werd een vragenlijst opgesteld op basis van het Control Objectives for Information and related Technology (COBIT) raamwerk en het Cloud Computing Management Audit/Assurance Program (CCMAP). Door middel van interviews werd er getracht om de huidige situatie binnen verschillende ondernemingen te capteren, dit zowel bij providers als bij gebruikers van Cloud diensten. Een overzicht van de ondernemingen die hebben geparticipeerd aan het onderzoek kan worden teruggevonden in tabel 3.1. De verkregen informatie uit de interviews werd vervolgens vervat in case studies (de uitgeschreven interviews kunnen worden teruggevonden in bijlages I tot en met V). De opbouw van dit derde hoofdstuk loopt volledig analoog aan het onderzoek. Zo wordt in de eerste sectie de vragenlijst van het interview besproken, waarbij ook COBIT en CCMAP kort zullen worden toegelicht. De rest van het hoofdstuk is toegewijd aan de beschrijving van de case studies. Bij elke case studie zullen de verschillende problemen en uitdagingen worden aangehaald en wordt er beschreven hoe de ondernemingen hiermee omgaan. Het hoofdstuk wordt afgesloten met een overzicht van de belangrijkste bevindingen. Tabel 3.1: Overzicht participerende ondernemingen CASE ONDERNEMING SECTOR ROL A. Microsoft IT provider B. RealDolmen IT provider C. Stone IS IT provider D. AS Adventure Vrije tijd gebruiker E. Tri-Vizor Logistiek gebruiker CONTACTPERSOON David Bellens Filip Bormans Stein Van Stichel Tom De Bondt Alex Van Breedam FUNCTIE Consultant Business Development Manager CEO CTO CEO Bron: eigen samenstelling op basis van interviews (Bellens, persoonlijke communicatie, 06/08/2012; Bormans, persoonlijke communicatie, 31/07/2012; Van Stichel, persoonlijke communicatie, 02/08/2012; De Bondt, persoonlijke communicatie, 27/07/2012; Van Breedam, persoonlijke communicatie, 03/08/2012) 28

42 3.1 Interview vragenlijst: COBIT en CCMAP Als onderzoeksmethode voor het empirische onderzoek werd er gekozen voor het interview. Om dit interview op een zo uniform mogelijke manier te laten verlopen over de verschillende bedrijven heen, werd er een vragenlijst opgesteld. De vragenlijst focust op de problemen en uitdagingen die werden aangehaald in het voorgaande hoofdstuk en is gebaseerd op het Control Objectives for Information and related Technology (COBIT) raamwerk, alsook het Cloud Computing Management Audit/Assurance Program (CCMAP). Eerst en vooral zullen COBIT en CCMAP kort worden toegelicht, waarna er een overzicht wordt gegeven van de vragenlijst en de relatie met COBIT en CCMAP COBIT (Control Objectives for Information and related Technology) Control Objectives for Information and related Technology (COBIT) is een raamwerk dat werd ontwikkeld door de Information Systems Audit and Control Association (ISACA). Oorspronkelijk werd COBIT ontwikkeld als raamwerk voor IT audits, maar doorheen de tijd groeide COBIT uit tot een algemeen aanvaard raamwerk voor Enterprise Governance of IT. Het raamwerk is eigenlijk een verzameling van tools en hulpmiddelen die gebruikt kunnen worden in de beweging naar het aligneren van de business en IT. Men tracht hierbij investeringen die mogelijk worden gemaakt door IT ( ITenabled investments ) te optimaliseren, opdat IT waarde kan creëren voor de business. Hierbij spreekt men ook wel eens van IT als enabler voor de business. Een algemeen overzicht van het COBIT raamwerk kan worden teruggevonden in Figuur 3.1. (ISACA, 2007a; Van Grembergen & De Haes, 2009) De verschillende componenten van COBIT kunnen worden beschreven als volgt: Framework: het raamwerk geeft een overzicht van 34 IT processen, opgedeeld in vier procesdomeinen (Planning & Organisation, Acquisition & Implementation, Delivery & Support en Monitor & Evaluate). Men tracht deze IT processen te verbinden met de business vereisten door middel van zeven informatie criteria (Effectiveness, Efficiency, Confidentiality, Integrity, Availability, Compliance en Reliability). Ook vermeld men per proces de relevante IT resources (Information, Applications, Infrastructure en People). Voor elk van deze 34 IT processen definieert COBIT control objectives, management guidelines en een maturity model. (Van Grembergen & De Haes, 2009) Control objectives: de control objectives vormen een verzameling van vereisten die kunnen worden gebruikt voor het implementeren van een management- en controlesysteem voor de IT processen. Voor elk IT proces voorziet COBIT één high-level control objective en meerdere gedetailleerde control objectives. Zo definieert men binnen COBIT (4.1) 34 high-level control objectives en 210 gedetailleerde control objectives. Voor elk control objective voorziet COBIT ook 29

43 een aantal control practices voor het implementeren van het control objective. (Van Grembergen & De Haes, 2009) Management guidelines: de management guidelines geven informatie voor het organisaren, meten en controleren van een specifiek IT proces. Voor elk van de 34 IT processen voorziet COBIT management guidelines in de vorm van input/output tabellen (om relaties tussen verschillende IT processen weer te geven), een RACI chart (rollen en verantwoordelijkheden) en een overzicht van doelen en metrieken (op IT niveau, IT proces niveau en IT activiteit niveau). (Van Grembergen & De Haes, 2009) Maturity models: per IT proces wordt er een maturity model voorzien dat gebruikt kan worden voor het evalueren van een IT proces. Binnen elk maturity model worden er zes niveaus voorzien, gaande van nul (non-existent) tot vijf (optimized). Door middel van het maturity model kan een onderneming gaps gaan identificeren tussen de huidige (as-is) situatie en de gewenste (to-be) situatie. Verder geeft het maturity model ook weer welke stappen ondernomen dienen te worden om een gap tussen de as-is en to-be situatie te overkomen. (Van Grembergen & De Haes, 2009) Het grote voordeel van COBIT is dat het een generiek en zeer flexibel raamwerk betreft, waardoor het eigenlijk gekneed kan worden naar de noden of intenties van de gebruiker. Je zou het simpelweg kunnen vergelijken met een gereedschapskist, waaruit men de tools kan halen die men nodig heeft. Zo werd voor het opstellen van de vragenlijst gebruik gemaakt van de control objectives en de bijhorende control practices. (ISACA, 2007a) 30

44 Figuur 3.1: COBIT raamwerk Bron: ISACA, (2007a) 31

45 3.1.2 CCMAP (Cloud Computing Management Audit/Assurance Program) Het Cloud Computing Management Audit/Assurance Program (CCMAP) werd ontwikkeld door ISACA als tool binnen het IT Assurance Framework (ITAF). CCMAP is een soort van template van vragen die gebruikt kan worden voor het uitvoeren van een IT audit of assurance. Zoals de naam het zelf zegt is de tool specifiek gericht op Cloud Computing, waarbij CCMAP is ontworpen rond de uitdagingen voor Cloud Computing volgens ISACA (een overzicht van deze problemen en uitdagingen kan worden teruggevonden in tabel 3.2). Verder ligt CCMAP ook volledig in lijn met COBIT. Dit kan duidelijk worden afgeleid uit de template, waarbij er steeds wordt verwezen naar de gerelateerde control objectives van COBIT (een voorbeeld uit de CCMAP template wordt weergegeven in figuur 3.2). (ISACA, 2011; ISACA, 2010) Bij het opstellen van de vragenlijst werd er ook steeds vertrokken vanuit de assurance steps van het Cloud Computing Management Audit/Assurence Program (CCMAP). Tabel 3.2: Uitdagingen voor Cloud Computing volgens ISACA Uitdagingen voor Cloud Computing (ISACA) Data location Commingled data Cloud security policy/procedure transaparency Cloud data ownership Lock-in with CSP's proprietary API's CSP business viability Record protection for forensic audits Identity and Access Management (IAM) Penetration detection Screening of other Cloud Computing clients Compliance requirements Public Cloud server owner's due diligence Data erasure for current Saas or Paas applications Disaster recovery Bron: eigen samenstelling op basis van ISACA, (2011) 32

46 Figuur 3.2: Voorbeeld uit template van het Cloud Computing Management Audit/Assurance Program Bron: ISACA, (2011) Interview vragenlijst Voor het empirisch onderzoek werd een vragenlijst opgesteld opdat de interviews zo uniform mogelijk zouden verlopen. De vragen uit de vragenlijst zijn gericht op de problemen en uitdagingen zoals besproken in hoofdstuk 2 en zijn gebaseerd op CCMAP en COBIT. Bij het opstellen van de vragenlijst werd er bij elk probleem steeds vertrokken vanuit de assurance stappen van CCMAP, daar dit specifiek is ontworpen voor Cloud Computing. Vervolgens werd er ook gekeken naar de control objectives en control practices van COBIT. Dit proces werd zo voor elke uitdaging herhaald, opdat de vragen de beschreven problematiek uit hoofdstuk 2 zouden aftoetsen. De vragen werden in die hoedanigheid opgesteld dat ze zowel van toepassing konden zijn op de gebruiker als op de provider. De vragenlijst met de bijhorende referenties naar CCMAP en COBIT kan worden teruggevonden in tabel

47 Tabel 3.3: Vragenlijst met referenties naar CCMAP en COBIT 1 SECURITY Hoe wordt de data geëncypteerd bij het transfereren van data naar/van de Cloud? Hoe wordt de data geëncrypteerd op de Coud? Wordt er een degelijk Identity & Access Management (IAM) voorzien door de Cloud provider? Beschikt de gebruiker over de mogelijkheid om de toegang van gebruikers te controleren? CCMAP assurance step assurance step assurence step COBIT DS5.11 DS11.6 DS11.2 DS11.6 DS5.3 DS Wordt er een gap analyse uitgevoerd naar de security van de Cloud provider en de security vereisten van de gebruiker? assurance step DS5.1 DS Worden er afspraken gemaakt tussen provider en gebruiker in verband met het communiceren van een security breach? Worden deze ook eenduidig gedocumenteerd? assurance step DS2.2 DS Worden er testen uitgevoerd om de security te testen? Zoja, worden deze testen uitgevoerd door interne medewerkers of externe partners? Op regelmatige basis? / DS Is er een beveiligingsbeleid? Is dit gedocumenteerd en is Cloud hier ook in geïntegreerd? / DS5.2 2 COMPLIANCE 2.1 Heeft de Cloud provider een overzicht aan welke wetgevingen en standaarden hij voldoet? Is dit ook gedocumenteerd en heeft de gebruiker hier ook inzage toe? CCMAP assurance step COBIT ME3.1 ME Zijn overeenkomsten betreffende het nakomen van wetgeving en standaarden opgenomen in het contract? assurance step ME Is er een procedure voor het behandelen van wijzigingen in de wetgeving of industriestandaarden? / ME3.1 ME Worden processen op regelmatige basis geëvalueerd opdat deze in lijn liggen met de geldende regelgeving? assurance step ME Is er een procedure voorzien indien de Cloud provider niet langer aan de nodige standaarden kan voldoen? / AI5.2 ME3.1 ME Worden er afspraken gemaakt omtrent de data locatie? assurance step ME3.1 34

48 3 INTEROPERABILITY In welke mate is het mogelijk om services van de huidige Cloud provider te integreren met services van een andere Cloud provider? Is het mogelijk om Cloud services te integreren met in-house resources (bv. data)? Is hiervoor enige conversie noodzakelijk? Is er per Cloud Computing initiatief een lijst gedefinieerd met alle hardware- en software vereisten? Welke kosten zou dit allemaal meebrengen mocht een gebruiker van Cloud provider willen veranderen? (bv. conversie van data) Werd er reeds getest of het mogelijk is om services te transfereren naar een andere Cloud provider? 4 ECONOMIC CONCERNS Wordt er een kostenanalyse uitgevoerd alvorens de gebruiker de beslissing maakt om al dan niet over te stappen naar de Cloud? Heeft de gebruiker een goed overzicht van alle nieuwe bijkomende kosten ten gevolge van Cloud Computing? Heeft men wel eens getracht om de Return On Investment te bereken van een Cloud service voor de gebruiker? Worden de kosten met betrekking tot Cloud Computing opgevolgd en op regelmatige tijdstippen besproken met de provider? Worden kosten gerapporteerd door middel van verschillende kostenposten en heeft de gebruiker hier een overzicht van? 5 AVAILABILITY Zijn er overeenkomsten aangaande de beschikbaarheid in de Service Level Agreements (SLAs)? Is er een IT continuiteitsplan (zodanig dat men continue service kan garanderen)(back-up, recovery, )? Worden er afspreken getroffen tussen Cloud provider en gebruiker omtrent de procedure bij non-availability van de service? Zijn er overeenkomsten aangaande een definitieve stopzetting van de service? (bv. faillissement provider) Wordt er een voorafbepaalde procedure overeengekomen tussen gebruiker en provider over eventuele software updates? CCMAP assurance step COBIT / PO2.1 / assurance step PO2.1 PO4.5 PO2.1 / AI6.2 CCMAP / / / / PO2.1 PO4.5 COBIT DS6.1 DS6.2 / DS6.2 CCMAP / assurance step / assurance step / DS6.2 DS6.4 DS6.3 COBIT DS1.3 DS4.2 AI5.2 DS4.2 AI5.2 AI2.6 AI6.3 AI Is er een disaster recovery plan? Zoja, is dit gedocumenteerd en werd dit ook getest? assurance step DS4.2 DS4.5 35

49 6 PERFORMANCE Zijn er overeenkomsten aangaande de performantie vastgelegd in de Service Level Agreements (SLAs)? Zijn er metrieken gedefinieerd die worden gebruikt om de performantie te meten? Zoja, welke? CCMAP assurance step COBIT / DS1.3 DS2.2 DS2.4 ME Wordt de performantie op regelmatige tijdstippen geanalyseerd en gecommuniceerd naar de gebruiker? assurance step DS1.6 DS2.2 DS Worden de Service Level Agreements op een regelmatige basis herzien? / DS Hoe wordt de performantie afgesteld op een wijziging in de vereisten van de gebruiker? 7 DATA MANAGEMENT Beschikt de gebruiker over data mangement tools in de Cloud? (bv. toegangscontrole, data flow, data locatie) Wordt in het contract beschreven welke verantwoordelijkheden bij de Cloud provider liggen en welke bij de gebruiker betreffende het beheer van de data? / CCMAP DS3.1 DS3.3 COBIT / DS11.2 assurance step DS2.2 DS Wordt er een onderscheid gemaakt tussen gevoelige/vertrouwelijke informatie en publieke informatie? Is integratie van in-house data en data op de Cloud mogelijk? assurance step DS Zijn er procedures voor het permanent verwijderen van data op de Cloud? / DS Beschikt de gebruiker over een lijst met alle data in de Cloud? Zijn er procedures aanwezig voor het nemen van backups van data op regelmatige basis? 8 GOVERNANCE Wordt er een analyse uitgevoerd naar hoe het beleid van de provider en de gebruiker te integeren? Wordt in het contract de verantwoordelijkheden en verplichtingen van beide partijen (provider en gebruiker) beschreven? assurance step CCMAP DS11.3 DS11.5 COBIT / ME4.1 assurance step DS Worden er afspraken gemaakt tussen de Cloud provider en de gebruiker over het wederzijds rapporteren? Zijn deze afspraken gedocumenteerd en liggen deze in lijn met de verantwoordelijkheden van de governance processen van beide organisaties? assurance step DS Worden de overeenkomsten van de Service Level Agreements (SLAs) gemonitord aan de hand van metrieken? Heeft de gebruiker hiertoe ook inzage? assurance step DS1.3 DS1.5 DS Wordt de Cloud provider op regelmatige basis geëvalueerd door externen en wordt dit ook gecommuniceerd naar de gebruiker(s)? assurance step DS2.2 ME2.6 Bron: eigen samenstelling op basis van ISACA, (2007) en ISACA, (2011) 36

50 3.2 CASE STUDY A: Microsoft (Provider) De Amerikaanse multinational Microsoft werd opgericht in 1975 door Bill Gates en Paul Allen. De core business van Microsoft was oorspronkelijk het ontwikkelen van software, maar dit werd over de jaren sterk uitgebreid. Vandaag de dag voorziet Microsoft niet alleen op vlak van software, maar ook op vlak van hardware (bv. XBOX, Surface tablet) en een verzameling van IT gerelateerde diensten (bv. Skype, Windows Live, Business Solutions). Met betrekking tot de Cloud was Microsoft mede één van de drijvende krachten achter het concept. De visie van Microsoft houdt in dat alles staat of valt met het technische platform dat de Cloud diensten moet ondersteunen. Vanuit deze visie werd bijgevolg het Microsoft Azure platform ontwikkeld. Op gebied van Cloud diensten voorziet Microsoft op alle vlakken: zowel op infrastructuur (IaaS) (bv. Windows server), als platform (PaaS) (bv. Microsoft Azure), als software (SaaS) (bv. Microsoft 365). (Algemene informatie met betrekking tot Microsoft kan worden teruggevonden in tabel 3.4) (Microsoft, 2011; Bellens, persoonlijke communicatie, (06/08/2012) Tabel 3.4: Algemene informatie Microsoft Bedrijfsinformatie MICROSOFT NAAM SECTOR CEO OMZET CLOUD OPBRENGSTEN 30% GEM # WERKNEMERS 329 Microsoft (Belgium) Informatietechnologie (IT) Philippe Rogge 117 miljoen Geïnterv iewde NAAM FUNCTIE David Bellens Consultant Bron: eigen samenstelling op basis van Bel-First database (2012), Microsoft (2012a) en Bellens, persoonlijke communicatie, (06/08/2012) Security Voor het beveiligen van de communicatie van data, van en naar de Cloud, voorziet Microsoft verschillende mogelijkheden zoals HTTPS (Hypertext Transfer Protocol Secure), SSL (Secure Sockets Layer) en TLS (Transport Layer Security) encryptie. De data zelf wordt standaard niet geëncrypteerd, maar de klant beschikt wel over de optie om deze te laten encrypteren door gebruik te maken van RMS (Rights Management Services) technologie. Hierbuiten beschikt Microsoft over een hele reeks 37

51 andere maatregelen om de data te beveiligen in de Microsoft datacenters. Dit zijn zowel fysieke als logische veiligheidsmaatregelen. De security wordt tevens op regelmatige basis getest, zowel intern als door derden, opdat Microsoft de verworven certificaten blijft behouden. (Bellens, persoonlijke communicatie, 06/08/2012) De beveiliging van de Cloud diensten valt volledig onder de verantwoordelijkheid van Microsoft en maakt dus ook integraal deel uit van het beveiligingsbeleid. Afspraken over het communiceren van security breaches zijn er echter niet, aangezien men er bij Microsoft vanuit gaat dat dit gewoon niet mag voorkomen. (Bellens, persoonlijke communicatie, 06/08/2012) Indien een klant wenst te migreren naar de Cloud met behulp van Microsoft, dan zal er ook steeds een gap analyse worden uitgevoerd naar security van Microsoft en de vereisten van de klant. Hiervoor voorziet Microsoft een aantal standaard voorstellen. Indien een klant louter en dienst aankoopt en zelf alles beheert, ligt deze verantwoordelijkheid bij de klant. (Bellens, persoonlijke communicatie, 06/08/2012) Verder voorziet Microsoft ook enkele mogelijkheden op vlak van Identity & Acces Management (IAM). Zo kan een klant ervoor opteren om het bestaande in-house IAM te linken aan de Cloud diensten van Microsoft ofwel kan men ervoor opteren om het IAM volledig in de Cloud te draaien. (Bellens, persoonlijke communicatie, 06/08/2012) Compliance Op het gebied van compliance voorziet Microsoft een duidelijk overzicht van de standaarden en wetgevingen waaraan men voldoet. Deze informatie kan worden geraadpleegd door potentiële klanten en gebruikers via de site van Microsoft. (Bellens, persoonlijke communicatie, 06/08/2012) Overeenkomsten met betrekking tot het nakomen van wetgevingen en standaarden worden ook steeds opgenomen in het contract en worden duidelijk gespecifieerd bij de desbetreffende Cloud diensten. Vanuit Microsoft tracht men steeds om compliant te blijven met de belangrijkste wetgevingen en standaarden. Om dit te realiseren worden de processen die betrekking hebben op de Cloud op regelmatige basis geëvalueerd en worden er continu investeringen gedaan om compliant te blijven. Een procedure voor indien men niet langer aan bepaalde standaarden zou kunnen voldoen, wordt vanuit dit standpunt ook niet voorzien door Microsoft. (Bellens, persoonlijke communicatie, 06/08/2012) Met betrekking tot de datalocatie is Microsoft zeer transparant in het communiceren van de locatie van de verschillende datacenters. Deze informatie kan ook steeds worden geraadpleegd via de website van Microsoft. Afspraken betreffende de datalocatie maken ook steeds deel uit van het contract. (Bellens, persoonlijke communicatie, 06/08/2012) 38

52 3.2.3 Interoperability Vanuit Microsoft is het niet de bedoeling om de Cloud diensten van Microsoft te gaan integreren met Cloud diensten van de concurrentie. Het is echter wel mogelijk om technologie van derden te draaien, zoals Linux servers of php web servers. Verder is de klant uiteraard steeds vrij om Cloud diensten af te nemen bij verschillende providers. Het integreren van de Cloud diensten met de in-house resources van de klant is mogelijk via een hybride oplossing. (Bellens, persoonlijke communicatie, 06/08/2012) Het transfereren van Cloud diensten van Microsoft naar een andere Cloud Service Provider (CSP) wordt niet voorzien door Microsoft. Indien een klant wenst over te schakelen naar een andere provider, dan kan de deze tot 90 dagen na de laatste betaling zijn data afladen. Microsoft veronderstelt dat er verder geen bijkomende kosten worden gegenereerd indien een klant wenst over te schakelen. (Bellens, persoonlijke communicatie, 06/08/2012) Per Cloud initiatief voorziet Microsoft een overzicht met alle vereisten langs de kant van de gebruiker (bv. browser versie, OS versie, Office versie). (Bellens, persoonlijke communicatie, 06/08/2012) Economic concerns Op vraag van de klant kan er steeds een kostenanalyse worden uitgevoerd. Microsoft zorgt er ook voor dat de klant een goed overzicht krijgt van de bijkomende kosten die worden gegenereerd door het gebruik van Cloud Computing. Deze staan namelijk vermeld in de overeenkomst die de gebruiker dient te accepteren alvorens men gebruik kan maken van de Cloud diensten van Microsoft. Verder voorziet Microsoft ook online simulatietools die de (potentiële) klant een beeld kunnen geven van hoeveel de Cloud dienst hem juist gaat kosten (bv. simulatie Windows Azure). (Bellens, persoonlijke communicatie, 06/08/2012) Bij wijzigingen in de kostprijs wordt de klant steeds geïnformeerd. Tot op heden zijn de prijzen van Microsoft steeds gedaald. De klant krijgt dit dan ook te zien op de factuur. Deze factuur kan maandelijks worden opgevraagd en geeft een overzicht van de verschillende kosten. Om af te leiden waar de oorsprong van deze kosten juist ligt, kan een gebruiker in het online Cloud portaal opvragen hoeveel gebruikers hij heeft en welke diensten deze allemaal afnemen. Verder worden de kosten niet opgevolgd vanuit Microsoft, noch besproken met de klant. (Bellens, persoonlijke communicatie, 06/08/2012) Het berekenen van de Return On Investment (ROI) van een Cloud initiatief doet men niet vanuit Microsoft, dit laat men vrijblijvend over aan de klant. (Bellens, persoonlijke communicatie, 06/08/2012) 39

53 3.2.5 Availability Microsoft garandeert een beschikbaarheid van 99,9% voor al zijn Cloud diensten. De Cloud diensten mogen met andere woorden niet meer dan 8 uur per jaar plat liggen. Deze garantie wordt ook steeds opgenomen in de Service Level Agreements (SLAs). Verder voorziet Microsoft ook steeds een procedure tot terugbetaling indien de overeengekomen downtime zou worden overschreven. Deze staan nauwkeurig beschreven bij elke Cloud dienst. Afspraken aangaande een definitieve stopzetting van de service worden niet opgenomen binnen het contract. (Bellens, persoonlijke communicatie, 06/08/2012) Software updates en onderhoud op de Cloud worden op voorhand gecommuniceerd naar de klant, zodanig dat de gebruiker op de hoogte is. Indien gewenst, kan de klant deze informatie ook steeds opvragen via het Cloud portaal. (Bellens, persoonlijke communicatie, 06/08/2012) Microsoft beschikt over een IT continuïteitsplan omdat men ervan uitgaat dat men een continue service wil bieden. Echter is men ook realistisch, vandaar dat er in de SLAs slechts een beschikbaarheid van 99,9% wordt gegarandeerd in plaats van 100%. Ook beschikt men over een disaster recovery plan opdat men continu in de dienstverlening kan blijven voorzien. Zo staan er bijvoorbeeld een datacenters in Dublin en in Amsterdam die als back-up van elkaar dienen. (Bellens, persoonlijke communicatie, 06/08/2012) Performance Afspraken met betrekking tot de performantie worden steeds opgenomen in de SLAs en worden nauwkeurig beschreven per Cloud dienst. Deze afspraken zijn voor alle klanten hetzelfde, zijnde de diensten die men aankoopt moeten vlot draaien. (Bellens, persoonlijke communicatie, 06/08/2012) De performantie van de Cloud diensten wordt op regelmatige tijdstippen geanalyseerd aan de hand metrieken. Echter zijn deze metrieken confidentieel en heeft de klant hier geen inzage in. De enige vorm van metrieken waartoe een klant inzage heeft, zijn de overeenkomsten uit de SLAs. Deze informatie kan ook worden opgevraagd via het Cloud portaal. Zo kan een klant bijvoorbeeld nagaan of er onderhoud wordt uitgevoerd en of dit een impact zal hebben op de performantie. De Service Level Agreements (SLAs) worden ook op regelmatige basis herzien opdat Microsoft steeds de beste Cloud service aanbiedt. (Bellens, persoonlijke communicatie, 06/08/2012) Data Management Standaard worden er geen data management tools voorzien door Microsoft voor het beheren van de data in de Cloud, maar deze kunnen wel bijkomend worden aangekocht. Het beheer van de data ligt 40

54 volledig in handen van de klant, Microsoft biedt louter de opslag van de data aan. Deze verantwoordelijkheden worden ook duidelijk beschreven in het contract. De SLA eindigt aan de poorten van het datacenter. Microsoft voorziet enkel de diensten, de data zelf valt onder de verantwoordelijkheid van de klant. (Bellens, persoonlijke communicatie, 06/08/2012) Op vlak van data wordt er door Microsoft geen onderscheid gemaakt tussen publieke of vertrouwelijke informatie. Alle data wordt behandeld volgens dezelfde beveiligingsprincipes. Indien een klant data permanent wenst te verwijderen, dan kan dit ofwel manueel ofwel via een automatische procedure die na een aantal dagen/weken/maanden de data zal verwijderen. (Bellens, persoonlijke communicatie, 06/08/2012) Vanuit Microsoft zal er ook steeds worden voorgesteld om een back-up te nemen van de data. De klant kan hierbij zelf de locatie van de back-up bepalen, te kiezen uit de Microsoft datacenters. De specifieke overeenkomsten hierover worden ook opgenomen binnen het contract. (Bellens, persoonlijke communicatie, 06/08/2012) Governance Alle Cloud diensten van Microsoft worden duidelijk gedefinieerd zodat de klant zich een goed beeld kan vormen van het beleid van Microsoft. Een echte analyse naar de integratie van het beleid van de Microsoft en de klant wordt er echter niet uitgevoerd en laat men over aan de gebruiker. Dit komt omdat de integratie van het beleid veeleer eenzijdig is. De Cloud diensten van Microsoft zijn immers standaard en gelijk voor iedereen. De klant dient zich dus te verzoenen met het beleid van Microsoft. (Bellens, persoonlijke communicatie, 06/08/2012) Binnen het contract worden ook steeds de verantwoordelijkheden en verplichtingen van beide partijen beschreven. Zoals aangehaald in subsectie zal bijvoorbeeld worden gedefinieerd dat de klant verantwoordelijk is voor het beheer van de data en Microsoft voor de opslag. Afspraken over het rapporteren betreffen de eenzijdige communicatie van Microsoft. Zo biedt Microsoft zijn status rapporten aan aan de klant en verwacht men niet dat de klant aan Microsoft rapporteert. (Bellens, persoonlijke communicatie, 06/08/2012) De overeenkomsten van de SLAs worden gemonitord aan de hand van de metrieken, echter zijn deze confidentieel en louter bestemd voor intern gebruik. Wel kan de klant steeds een rapport opvragen met betrekking tot de SLAs en de compliance regelgevingen. Microsoft zelf wordt ook op regelmatige basis geëvalueerd door derden, zoals bijvoorbeeld de compliance certificering. (Bellens, persoonlijke communicatie, 06/08/2012) 41

55 3.3 CASE STUDY B: RealDolmen (Provider) RealDolmen is een Belgisch ICT-bedrijf dat is ontstaan uit een fusie tussen Real Software en Dolmen, in De onderneming richt zich op het aanleveren van integrerende ICT-oplossingen, alsook de bijhorende services. Het voorzien van Cloud diensten was voornamelijk een strategische zet, waarmee men wilde inspelen op de heersende markttrend. Ook was het een logische stap, omdat de Cloud volledig past binnen de managed services en het single source model van RealDolmen. Voor het aanleveren van deze Cloud diensten heeft RealDolmen een eigen datacenter uitgebouwd bij Interxion. (Algemene informatie met betrekking tot RealDolmen kan worden teruggevonden in tabel 3.5) (Grommen, 2010; Bormans, persoonlijke communicatie, 31/07/2012) Tabel 3.5: Algemene informatie RealDolmen REALDOLMEN Bedrijfsinformatie NAAM SECTOR CEO OMZET CLOUD OPBRENGSTEN GEM # WERKNEMERS Geïnterv iewde NAAM FUNCTIE RealDolmen Informatietechnologie (IT) Bruno Segers 187,4 miljoen 10% (omzet) 1207 Filip Bormans BDM: Cloud Solutions & Managed Services Bron: eigen samenstelling op basis van Bel-First database (2012) en Bormans, persoonlijke communicatie, (31/07/2012) Security Op vlak van security wordt de data standaard niet geëncrypteerd, maar gaat men wel zien dat de communicatie van data steeds is beveiligd. Hiervoor maakt men gebruik van een VPN-verbinding en wordt er continu gemonitord wat er binnen en buiten gaat. Verder voorziet RealDolmen ook firewalls om ongeautoriseerde toegang te voorkomen. De mogelijkheid tot encryptie van data bestaat wel binnen RealDolmen, echter wordt dit standaard niet aangeboden omwille van de vertraging (latency) die het encryptie-proces met zich meebrengt. Om de vertraging te beperken zijn zeer zware Hardware Security Modules (HSMs) vereist, dewelke ook gepaard gaan met een extreem hoge kost. Encryptie is dus mogelijk op vraag van de klant, maar dit zal dan ook worden weerspiegeld in een veel hogere kost voor de Cloud service. (Bormans, persoonlijke communicatie, 31/07/2012) 42

56 Het testen van de beveiliging gebeurt op twee vlakken. Langs de ene kant is er de fysieke security van het datacenter, dewelke maandelijks wordt getest en waarvan RealDolmen ook een rapport ontvangt. Langs de andere kant worden de systemen van RealDolmen zelf ook continu gemonitord. In het geval van een security breach zijn er duidelijke procedures beschreven in de algemene voorwaarden, zowel langs kant van de provider als langs de kant van de gebruiker. (Bormans, persoonlijke communicatie, 31/07/2012) Vanuit RealDolmen zal men steeds voorstellen aan de klant om een studie uit te voeren naar de security. Men gaat dan analyseren wat de beste mogelijkheden zijn voor het aanleveren van de service en hoe men dit zo optimaal mogelijk kan beveiligen. De kosten voor deze studie worden gedragen door de klant en is bijgevolg ook volledig vrijblijvend. Indien een klant deze studie niet wenst uit te voeren, zal de migratie naar de Cloud gebeuren aan de hand van de standaard security regels van RealDolmen. (Bormans, persoonlijke communicatie, 31/07/2012) Men beschikt ook over een beveiligingsbeleid, waarin onder meer beschreven wordt wat wel en niet op de Cloud gezet mag worden, alsook de procedure bij een fysieke inbeslagname van hardware. Dit wordt ook steeds gecommuniceerd naar de klant. (Bormans, persoonlijke communicatie, 31/07/2012) Voor het beheren van de gebruikers wordt er een IAM voorzien dat volledig beheerd wordt door RealDolmen. Het is hierbij niet mogelijk om dit te integreren met het IAM van de klant. Indien men de toegangsrechten van een gebruiker wenst te wijzigen, dient RealDolmen dus steeds te worden gecontacteerd. Hiervoor voorziet RealDolmen een service desk die 24/7 wordt bemand. Als de klant toch zou eisen om het IAM zelf te beheren dan kan dit worden voorzien, maar dan worden er vanuit RealDolmen gaan SLAs gegarandeerd. (Bormans, persoonlijke communicatie, 31/07/2012) Compliance RealDolmen beschikt over een overzicht met alle standaarden en wetgevingen waarmee men compliant is. Op deze manier kan men bij een Request For Proposal (RFP) direct zien aan welke vereisten van de klant men kan voldoen. De klant zelf heeft niet direct inzage in dit overzicht. (Bormans, persoonlijke communicatie, 31/07/2012) Overeenkomsten aangaande compliance worden steeds opgenomen in het contract. Hierbij is het dan ook de verantwoordelijkheid van RealDolmen om compliant te blijven. Om dit te kunnen garanderen worden alle processen op regelmatige basis geëvalueerd. Dit gebeurt enerzijds door de legal department van RealDolmen zelf en langs de andere kant door middel van ITIL-audits. Bij wijzigen van wetgevingen of standaarden zal dit steeds worden gecommuniceerd naar de klant tijdens één van de overlegmomenten (wekelijks, maandelijks en driemaandelijks). Indien een wijziging ook aanpassingen vereist aan het systeem dan zal hiervoor een project worden opgestart. Afhankelijk van de grootte van 43

57 de kost zal deze gedragen worden door RealDolmen (lage kost) of worden toegewezen aan de klant (hoge kost). Men voorziet geen procedure voor indien men niet langer zou kunnen voldoen aan bepaalde regelgevingen. (Bormans, persoonlijke communicatie, 31/07/2012) Wat de datalocatie betreft, beschikt RealDolmen op dit moment over één datacenter in Brussel. Er wordt ook nog een back-up center voorzien in een ondergrondse bunker in de regio Antwerpen. Indien gewenst kan de klant zeer gedetailleerd opvragen op welk rack zijn data juist wordt opgeslagen. (Bormans, persoonlijke communicatie, 31/07/2012) Interoperability Het integreren van de Cloud diensten van RealDolmen met deze van een andere provider is mogelijk, doch niet voor de hand liggend. Dit bleek onder meer uit een project waarbij de Cloud diensten van een andere CSP werden overgenomen door RealDolmen. Indien men diensten wenst te integreren, vereist men vanuit RealDolmen dat alles is gedocumenteerd zodanig dat men goed weet aan wat men begint. Indien dit niet het geval is, dan zal RealDolmen deze studie zelf uitvoeren. Het integreren van de Cloud diensten met in-house resources is zeker mogelijk en werd binnen RealDolmen ook uitgebreid bestudeerd. Doch erkent men wel dat niet alles 100% compatibel is. (Bormans, persoonlijke communicatie, 31/07/2012) Het transfereren van de Cloud diensten van RealDolmen naar een andere provider is mogelijk, maar werd nog niet getest. De kost die hierbij zou worden gegenereerd hangt af van de gemaakte afspraken voor het beëindigen van het contract. Hiervoor voorziet men binnen elk contract een specifieke clausule. Binnen deze clausule wordt bepaald wat RealDolmen juist dient op te leveren, alsook het formaat, bij het beëindigen van het contract. Echter denken klanten hier dikwijls niet aan en wordt dit dus niet gespecifieerd in het contract. Bij het aanleveren van een offerte geeft RealDolmen bij de verschillende scenario s een duidelijk overzicht met de bijhorende hardware- en software vereisten. Deze informatie kan worden gebruikt door de klant bij het transfereren naar een andere CSP. Dit laatste werd nog niet getest door RealDolmen. (Bormans, persoonlijke communicatie, 31/07/2012) Economic concerns Bij RealDolmen gaat men steeds trachten een beeld te schetsen van hoeveel een bepaalde Cloud oplossing hem gaat kosten. Hierbij wordt er geen vergelijkende analyse uitgevoerd met de huidige situatie van de klant, daar men ervan overtuigd is dat deze zelf niet op de hoogte is van hoeveel de huidige IT-oplossing hem juist kost. Het voordeel zit hem volgens RealDolmen ook niet echt in de kosten, maar eerder in de tijd die mensen verkrijgen doordat de klant zelf niet meer dient in te staan voor het beheer van de IT. Deze tijd kan men dan investeren in innovatievere zaken. Voor kleinere 44

58 projecten waarbij het bijvoorbeeld een enkele applicatie betreft, zal wel meestal een kostenanalyse worden uitgevoerd. (Bormans, persoonlijke communicatie, 31/07/2012) RealDolmen zal de klant steeds een zo gedetailleerd mogelijk overzicht trachten te geven van de kosten die worden gegenereerd door de Cloud oplossing. Zo worden alle acties die dagelijks, wekelijks en maandelijks worden ondernomen in functie van de Cloud gedocumenteerd. Verder worden de kosten op de facturen ook steeds gerapporteerd in verschillende kostenposten opdat de klant een goed overzicht krijgt. Zo wordt er bijvoorbeeld het onderscheid gemaakt tussen hardware, software en onderhoud. De kosten worden ook steeds besproken tijdens de overlegmomenten met de klant (wekelijks, maandelijks en driemaandelijks). (Bormans, persoonlijke communicatie, 31/07/2012) Men heeft nog nooit getracht om de ROI te berekenen van een Cloud dienst, omdat men ervan overtuigd is dat dit quasi onmogelijk is. (Bormans, persoonlijke communicatie, 31/07/2012) Availability Overeenkomsten aangaande de beschikbaarheid van de Cloud diensten worden steeds opgenomen in de SLAs. Deze worden zeer specifiek per Cloud dienst bepaald. Om deze overeenkomsten te kunnen respecteren beschikt RealDolmen over een IT continuïteitsplan en een disaster recovery plan. Elementen die in het continuïteitsplan aan bod komen zijn bijvoorbeeld de levensduur van de hardwarecomponenten en wanneer deze proactief vervangen dienen te worden. Het disaster recovery plan wordt opgesteld in samenspraak met de klant en wordt één tot twee keer per jaar getest. (Bormans, persoonlijke communicatie, 31/07/2012) RealDolmen voorziet ook een Service Delivery Plan (SDP) waarin procedures worden omschreven indien de service tijdelijk niet beschikbaar zou zijn. Zo beschikt de klant over een Single Point Of Contact (SPOC) dat 24/7 beschikbaar is. Een SPOC is steeds op de hoogte van de verschillende problemen die er zich kunnen voordoen en welke procedures er gevolgd dienen te worden om de dienst zo snel mogelijk terug draaiende te krijgen. Wanneer er zich een voorval van nietbeschikbaarheid heeft voorgedaan, zal dit steeds worden besproken op het eerstvolgende overlegmoment met de klant. (Bormans, persoonlijke communicatie, 31/07/2012) Ook voor een definitieve stopzetting van de service worden er bij RealDolmen overeenkomsten opgenomen in het contract. Zo wordt er onder meer afgesproken wat RealDolmen allemaal dient op te leveren. Naar eigen zeggen is RealDolmen één van de weinige ondernemingen die dit voorziet binnen een contract. (Bormans, persoonlijke communicatie, 31/07/2012) Aangaande updates worden er ook steeds afspraken gemaakt met de klant. Men tracht hierbij zoveel mogelijk de update-gewoonten van de klant over te nemen. Updates gebeuren ook steeds in samenspraak met de klant en worden vermeld in het Cloud portaal. Verder worden updates altijd 45

59 duidelijk gecommuniceerd tijdens de overlegmomenten met de klant. (Bormans, persoonlijke communicatie, 31/07/2012) Performance Overeenkomsten aangaande de performantie worden steeds beschreven binnen de SLAs. Voor het analyseren van de performantie, worden er binnen RealDolmen twee monitoring tools voorzien. Via het Cloud portaal kan een klant dit nauwgezet opvolgen. Verder worden de analyses ook besproken tijdens de overlegmomenten met de klant. (Bormans, persoonlijke communicatie, 31/07/2012) De overeenkomsten die zijn opgenomen in de SLAs liggen in principe vast voor de duur van het contract. Indien een klant toch aanpassingen wenst door te voeren tijdens de looptijd van het contract, dan zal hier steeds een bepaalde kost aan vasthangen. Voor het vernieuwen van het contract worden de SLAs steeds herzien in samenspraak met de klant. Indien de diensten goed draaien, wordt hier niet direct iets in aangepast. (Bormans, persoonlijke communicatie, 31/07/2012) Bij wijzigingen in de vereisten van de klant, zal eerst de bottleneck worden bepaald. Dit blijkt uit ervaring meestal de communicatielijn te zijn. Verder is het dan als provider belangrijk dat je voldoende aan provisioning doet om aan vraagpieken te kunnen beantwoorden. (Bormans, persoonlijke communicatie, 31/07/2012) Data Management Met betrekking tot het beheer van de data in de Cloud worden de verantwoordelijkheden van klant en provider beschreven in het contract. Tools voor het beheren van de data op de Cloud voorziet RealDolmen echter niet. Dit is volgens RealDolmen ook niet echt nodig, want klanten kunnen hun data beheren zoals op een gewone server. (Bormans, persoonlijke communicatie, 31/07/2012) Een onderscheid van de data van de klant (publieke en meer vertrouwelijke informatie), wordt er niet gemaakt vanuit RealDolmen. Alle data wordt op dezelfde manier behandeld, zijnde hoogst vertrouwelijk. (Bormans, persoonlijke communicatie, 31/07/2012) Back-ups van data worden op regelmatige basis genomen in samenspraak met de klant. Hierbij kan de klant dus zelf beslissen wat voor soort back-up men wenst te gebruiken. Vanuit RealDolmen voorziet men nagenoeg alle soorten van back-ups. (Bormans, persoonlijke communicatie, 31/07/2012) RealDolmen voorziet ook procedures voor indien een klant zijn data permanent wenst te verwijderen van de Cloud. Zo is het in het extreme geval zelfs mogelijk dat een klant de hardware opkoopt om deze eigenhandig te vernietigen. (Bormans, persoonlijke communicatie, 31/07/2012) 46

60 3.3.8 Governance Governance is volgens RealDolmen een kritische succesfactor en men legt er vanuit dit standpunt dus ook een grote nadruk op. Deze focus op governance komt voornamelijk voort uit de sterke ITILgeoriënteerde aanpak binnen RealDolmen. Men tracht de (potentiële) klant als het ware mee te nemen in een verhaal, waarbij men start met een grondige analyse van de governance. Binnen elke offerte wordt het governance aspect dus ook zeer gedetailleerd beschreven. (Bormans, persoonlijke communicatie, 31/07/2012) Afspraken met betrekking tot de verantwoordelijkheden van beide partijen, alsook over het wederzijds rapporteren maken steeds deel uit van het contract. Zo wordt er onder meer beschreven wat RealDolmen dient op te leveren en wat er allemaal besproken zal worden tijdens de overlegmomenten met de klant (wekelijks, maandelijks en driemaandelijks). De overeenkomsten die staan gedocumenteerd in de SLAs worden gemonitord aan de hand van twee monitoring tools (bv. NAGIOS). De klant kan deze informatie raadplegen via het Cloud portaal. (Bormans, persoonlijke communicatie, 31/07/2012) RealDolmen wordt jaarlijks geauditeerd via een extern onderzoek van EquaTerra (KPMG). Hierbij worden de klanten van RealDolmen gecontacteerd om een vragenlijst te overlopen met betrekking tot de kwaliteit van de provider. Verder voert RealDolmen zelf ook interne audits uit op basis van ITIL. (Bormans, persoonlijke communicatie, 31/07/2012) 3.4 CASE STUDY C: Stone IS (Provider) Stone Internet Services werd opgericht in 2003 en was voornamelijk gericht op het aanbieden van betaalbare webhosting. Over de tijd heen werd het gamma van diensten uitgebreid met andere hosting oplossingen (online back-up, , dedicated en managed services) en werd ook de focus verlegd van de particulier naar de professionele klant. In 2011 werd beslist dat de Cloud een belangrijke rol zou spelen in de groei van het bedrijf en startte men bijgevolg met een nieuw product Shift To The Cloud voor het aanbieden van betaalbare Cloud oplossingen. Als Cloud platform koos men voor OnApp, waarbij er gebruik wordt gemaakt van Xen in plaats van VMWare voor de virtualisatie van de resources. De Cloud bleek al snel een goed initiatief te zijn, want op minder dan een half jaar tijd werd meer dan de helft van de opbrengsten uit de Cloud gehaald. (Algemene informatie met betrekking tot Stone IS kan worden teruggevonden in tabel 3.6) (OnApp, 2012; Van Stichel, persoonlijke communicatie, 02/08/2012) 47

61 Tabel 3.6: Algemene informatie Stone Internet Services STONE INTERNET SERVICES Bedrijfsinformatie NAAM SECTOR CEO OMZET CLOUD OPBRENGSTEN GEM # WERKNEMERS Geïnterv iewde NAAM FUNCTIE Stone Internet Services Informatietechnologie (IT) Stein Van Stichel 1 miljoen 20% (omzet) 7 Stein Van Stichel CEO & CTO Bron: eigen samenstelling op basis van Bel-First database, (2012) en Van Stichel, persoonlijke communicatie, (02/08/2012) Security Vanuit Stone IS worden er geen standaardoplossingen aangereikt met betrekking tot security, maar werkt men volledig op maat van de klant. Het is mogelijk om de data, alsook de communicatie van data te encrypteren, maar dit is dus afhankelijk van klant tot klant. Meestal wordt de data niet geëncrypteerd omdat de performantie dan minder is. Voor het beveiligen van de communicatie van data, bestaat er onder meer de mogelijkheid om te werken met een VPN-verbinding. (Van Stichel, persoonlijke communicatie, 02/08/2012) Voor het uitwerken van een security oplossing vertrekt men vanuit het bestek van de klant waarin de security vereisten staan beschreven. Hierbij wordt er dan ook een analyse uitgevoerd door Stone IS, zodanig dat er een security oplossing wordt ontwikkeld die voldoet aan de vereisten van de klant. (Van Stichel, persoonlijke communicatie, 02/08/2012) De Cloud wordt continu gemonitord door Stone IS en men voorziet ook de verschillende mogelijkheden voor het testen van de security (zowel intern als extern). De overeenkomsten met betrekking tot het testen van de security worden steeds opgenomen in de SLA. Verder worden ook de afspraken met betrekking tot het communiceren van een security breach standaard opgenomen in de SLAs (Wat indien een incident zich voordoet? Wie wordt er ingelicht? Hoe wordt er ingelicht?). (Van Stichel, persoonlijke communicatie, 02/08/2012) 48

62 Binnen Stone IS is er een beveiligingsbeleid aanwezig, maar de Cloud is hier op dit moment nog niet in opgenomen. De reden hiervoor is dat de Cloud nog een relatief nieuw concept is voor de onderneming. Naar de toekomst toe is men wel van plan om de Cloud mee in dit beveiligingsbeleid te integreren. (Van Stichel, persoonlijke communicatie, 02/08/2012) Verder beschikt elke klant ook over een eigen control panel waarmee hij de toegang van gebruikers kan beheren. De toegang van gebruikers kan worden bepaald op basis van het IP-adres of door middel van een VPN-verbinding, steeds in combinatie met een gebruikersnaam en wachtwoord. De klant heeft ook de keuze of hij het beheer van gebruikers voor eigen rekening wenst te nemen of dit wilt overlaten aan Stone IS. (Van Stichel, persoonlijke communicatie, 02/08/2012) Compliance Met betrekking tot compliance beschikt men bij Stone IS over een goed overzicht van de verschillende certificaten waaraan men voldoet. Dit wordt ook regelmatig opgevraagd door potentiële klanten. Afspraken over het nakomen van wetgevingen en standaarden worden standaard opgenomen in het contract. Hierbij zal ook steeds een clausule worden voorzien voor het behandelen van wijzigingen in wetgevingen of standaarden. Zo verbind Stone IS er zich ertoe dat de opgeleverde oplossing steeds moet kunnen worden aangepast aan wijzigingen in de regelgeving. Echter wordt dit niet actief opgevolgd door Stone IS en legt men deze verantwoordelijkheid bij de klant. Buiten het datacenter dat jaarlijks geauditeerd wordt, gaat Stone IS zelf geen controle doen van de processen om na te gaan of deze in lijn liggen met de geldende regelgeving. Een clausule voor indien men niet langer zou kunnen voldoen aan bepaalde standaarden wordt niet opgenomen in het contract tenzij de klant hier expliciet achter zou vragen. (Van Stichel, persoonlijke communicatie, 02/08/2012) Momenteel bezit men slechts één datacenter waar de data wordt opgeslagen, namelijk in Brussel. Indien er naar de toekomst toe andere locaties zouden bijkomen dan zal de klant over de keuze beschikken van waar hij zijn data juist wilt plaatsen. Men is zich er bij Stone IS goed van bewust dat de datalocatie van groot belang is voor de klanten. (Van Stichel, persoonlijke communicatie, 02/08/2012) Interoperability Vanuit Stone IS tracht men zijn Cloud diensten zo open mogelijk te maken opdat de Cloud diensten zouden kunnen worden geïntegreerd met deze van andere Cloud Service Providers (CSPs). Men tracht de interoperabiliteit met andere CSPs te verbeteren door middel van twee initiatieven. Eerst en vooral door het aanleveren van een overzichtelijke API en een aantal handige tools die men kan gebruiken voor het aanspreken van het Cloud platform. Anderzijds, door deel uit te maken van de OnApp Cloud federatie, is het mogelijk om de Cloud diensten naadloos te integreren met andere providers die van 49

63 hetzelfde platform gebruik maken. Deze initiatieven blijken ook goed te werken, want zo zijn er reeds verschillende projecten geweest waarbij de diensten van Stone IS werden geïntegreerd met deze van Telenet. Verder is het ook mogelijk om de Cloud diensten te integreren met in-house services van klanten door middel van een hybride oplossing. Dit komt vandaag de dag ook zeer geregeld voor omwille van de relatief hoge kost van data opslag in de Cloud. Hiervoor werkt men dan een hybride oplossingen uit waarbij bijvoorbeeld de applicatie draait in de Cloud en de data in-house wordt opgeslagen. (Van Stichel, persoonlijke communicatie, 02/08/2012) Als gevolg is het dus ook relatief eenvoudig om Cloud diensten te transfereren van Stone IS naar een andere provider of omgekeerd. Hiervoor werden op voorhand ook specifieke scenario s uitgewerkt voor het transfereren van diensten van andere Cloud platformen naar het Cloud platform van Stone IS. Deze informatie kan ook worden gebruikt voor een transfer in de andere richting. Indien een klant wenst te veranderen naar een andere CSP, dan zal dit een kost meebrengen voor het exporteren en converteren van de data en de images. Men zorgt er dan voor dat alles in rauw formaat staat, zodanig dat men dit rechtstreeks kan worden geïmporteerd bij de nieuwe provider. (Van Stichel, persoonlijke communicatie, 02/08/2012) Verder beschikt Stone IS ook over een overzicht van de Cloud diensten die worden aangeboden met de bijhorende vereisten op vlak van hardware en software. Dit is namelijk mee ingebouwd in het Cloud platform. (Van Stichel, persoonlijke communicatie, 02/08/2012) Economic concerns Voor de aanvang van een project wordt er steeds een kostenanalyse uitgevoerd waarbij de Cloud oplossing wordt vergeleken met een dedicated oplossing. De belangrijkste factor binnen deze analyse is volgens Stone IS de hoeveelheid data die dient te worden opgeslagen buiten de onderneming. Data opslag is momenteel namelijk de duurste component binnen de Cloud. De ROI wordt niet berekend binnen Stone IS, omdat deze niet echt deel uitmaakt van de verkoopstrategie. Men focust zich eerder op het kostenverschil. (Van Stichel, persoonlijke communicatie, 02/08/2012) Vanuit Stone IS tracht men een zo gedetailleerd mogelijk beeld te geven van hoe de kost van een Cloud oplossing is opgebouwd. Dit doet men door de kosten weer te geven in eenheid per uur (bv. GHz/uur, TB/uur). Op deze manier krijgt de klant niet alleen een goed inzicht in de kosten van de Cloud, maar kan hij ook nagaan waar de Cloud hem voordeliger uitkomt en waar er bijkomende kosten worden gegenereerd. Zo zal een data-intensieve oplossing bijvoorbeeld een bijkomende kost genereren op vlak van opslag en communicatie. Ook bij het rapporteren van de kosten op de factuur behoudt men dezelfde opdeling van kostenposten. De klant kan deze informatie steeds raadplegen via het Cloud portaal, zodanig dat hij kan zien hoeveel de huidige Cloud oplossing hem juist kost. Verder beschikt de klant via het Cloud portaal ook over een simulatietool zodanig dat hij kan zien hoeveel een 50

64 toekomstige actie op de Cloud hem zou kosten (bv. een extra server nemen). (Van Stichel, persoonlijke communicatie, 02/08/2012) De kosten worden eenzijdig bepaald door Stone IS en zijn ook niet voor bespreking vatbaar. Wel gaat men een klant steeds de mogelijkheid bieden om over te schakelen naar een andere (variant van de) dienst, indien deze voordeliger zou uitkomen voor de klant. (Van Stichel, persoonlijke communicatie, 02/08/2012) Availability Op vlak van beschikbaarheid zijn er standaard overeenkomsten voorzien die worden opgenomen in de SLAs op het niveau van de infrastructuur (IaaS) en het platform (PaaS). Overeenkomsten op applicatieniveau (SaaS) worden case per case uitgewerkt daar het uitsluitend applicaties van derden betreft. De klant kan hierbuiten ook nog bijkomende overeenkomsten aanvragen, zoals het voorzien van een financiële vergoeding indien de overeengekomen downtime wordt overschreden. Dit zal dan ook worden gereflecteerd in een hogere kost voor de aangeleverde Cloud services. (Van Stichel, persoonlijke communicatie, 02/08/2012) Voor in het geval dat een Cloud dienst niet beschikbaar zou zijn, zijn er standaardprocedures voorzien die ook worden opgenomen in de SLAs. Binnen deze procedures staan er afspraken gedocumenteerd over het wederzijds inlichten, het inlichten buiten de kantooruren en de antwoordtijden. Indien vereist, kunnen deze ook worden aangepast naar de wensen van de klant. (Van Stichel, persoonlijke communicatie, 02/08/2012) Met betrekking tot het uitvoeren van sofware-updates heeft de klant de keuze om dit zelf te regelen of om dit te laten beheren door Stone IS. Indien het beheer wordt overgedragen aan Stone IS worden hier ook steeds duidelijke afspraken over gemaakt. Men voorziet vanuit Stone IS een standaardprocedure met betrekking tot updates, die wederom kan worden aangepast naar de wensen van de klant. Zo dient de klant bijvoorbeeld minstens 72 uur op voorhand ingelicht te worden. (Van Stichel, persoonlijke communicatie, 02/08/2012) Stone IS beschikt ook over een IT continuïteitsplan. Dit bestaat voornamelijk uit het nemen van backups. Indien deze standaard voorzieningen niet zouden voldoen aan de vereisten van de klant, dan kan men deze uitbreiden met bijkomende overeenkomsten over de regelmaat van de back-ups en concrete time-to-restore garanties. Een echt disaster recovery plan wordt er standaard niet voorzien, maar dit kan wel bijkomend worden ontwikkeld op maat van de klant. (Van Stichel, persoonlijke communicatie, 02/08/2012) Overeenkomsten aangaande een definitieve stopzetting van de service worden standaard niet gedefinieerd binnen het contract. Wel zal Stone IS er steeds voor zorgen dat de data ter beschikking 51

65 wordt gesteld van de klant. Indien gewenst, kan de klant hiervoor nog bijkomende clausules laten opnemen in het contract. (Van Stichel, persoonlijke communicatie, 02/08/2012) Performance Afspraken betreffende de performantie worden steeds opgenomen binnen de SLAs. Dit wordt ook continu gemonitord aan de hand van een reeks vooraf bepaalde metrieken (bv. CPU, bandbreedte, vrij geheugen, disk IO). De resultaten worden op regelmatige basis gelogd (om de x aantal minuten), zodanig dat men dit goed kan opvolgen. De klant kan deze informatie ook op elk gewenst moment raadplegen via het Cloud portaal. (Van Stichel, persoonlijke communicatie, 02/08/2012) De SLAs worden standaard niet herzien, maar men staat open voor input langs de kant van de klant. De reden hiervoor is dat de performantie zeer sterk varieert en evolueert, waardoor men de SLAs eigenlijk op jaarlijkse basis zou moeten herzien. (Van Stichel, persoonlijke communicatie, 02/08/2012) Wijzigingen in de vereisten van de gebruiker kunnen worden opgevangen door middel van een automatisch mechanisme of kunnen manueel worden geregeld door de gebruiker via het Cloud portaal. Een voorbeeld van dit automatisch mechanisme is dat een extra server zal worden ingeschakeld vanaf dat het huidige systeem voor meer dan 80% belast is. Langs de andere kant is het ook mogelijk om het verbruik te limiteren. (Van Stichel, persoonlijke communicatie, 02/08/2012) Data Management Binnen het contract worden steeds de verantwoordelijkheden van provider en gebruiker beschreven met betrekking tot het beheer van de data. Zo kan Stone IS bijvoorbeeld nooit verantwoordelijk worden gesteld voor een file die werd verwijderd door een medewerker van de klant. Langs de andere kant valt het verlies van data wel onder de verantwoordelijkheid van Stone IS. Tools voor het beheren van de data op de Cloud voorziet men niet voor de klant. (Van Stichel, persoonlijke communicatie, 02/08/2012) Vanuit Stone IS wordt er geen onderscheid gemaakt tussen vertrouwelijke of publieke informatie en alle data wordt dus bijgevolg op dezelfde manier behandeld. De klant beslist zelf welke informatie hij al dan niet op de Cloud wil zetten. Uiteraard is het wel steeds mogelijk om een hybride oplossing uit te werken voor een klant zodanig dat de publieke data wordt opgeslagen in de Cloud en de vertrouwelijke data in-house. (Van Stichel, persoonlijke communicatie, 02/08/2012) Een klant zal steeds zijn data op een veilige manier kunnen verwijderen opdat de data ook permanent verwijderd is van de Cloud. Men voorziet hiervoor een aantal softwarematige procedures die geïmplementeerd kunnen worden. Eén van deze procedures zal bijvoorbeeld de data na verwijdering 52

66 nog enkele malen overschrijven opdat de data werkelijk permanent verwijderd is. Indien een klant zijn contract zou beëindigen, dan zal er ook steeds een volledige swipe gebeuren van de data store alvorens men hier een andere klant op toelaat. (Van Stichel, persoonlijke communicatie, 02/08/2012) Back-ups van data worden standaard voorzien op het Cloud platform. Dit maakt ook deel uit van het IT-continuïteitsplan van Stone IS. De gebruikte methode voor back-ups, alsook de regelmaat kunnen worden aangepast aan de noden van de klant. Dit wordt ook steeds opgenomen in het contract. (Van Stichel, persoonlijke communicatie, 02/08/2012) Governance Men beschikt binnen Stone IS over een standaard SLA die het beleid van Stone IS weerspiegelt. Met deze standaard SLA stapt men dan naar de klant, waarop deze dan kan worden aangepast naar de vereisten van de klant. Op deze manier tracht men het beleid van Stone IS zo goed mogelijk te integreren met het beleid van de klant. (Van Stichel, persoonlijke communicatie, 02/08/2012) Binnen het contract worden steeds overeenkomsten gesloten aangaande de verantwoordelijkheden en verplichtingen van beide partijen, alsook over het wederzijds rapporteren. Men vertrekt hierbij vanuit een reeks standaardovereenkomsten die kunnen worden aangepast volgens de wensen van de klant. (Van Stichel, persoonlijke communicatie, 02/08/2012) Zoals reeds aangehaald in subsectie 3.4.6, worden de overeenkomsten uit de SLAs continu gemonitord aan de hand van metrieken. Via het Cloud portaal kan de klant deze informatie ook raadplegen. (Van Stichel, persoonlijke communicatie, 02/08/2012) Gezien de grootte van de onderneming wordt men momenteel niet geauditeerd. Uiteraard staat men hier steeds voor open, indien dit door de klant zou worden vereist. (Van Stichel, persoonlijke communicatie, 02/08/2012) 3.5 CASE STUDY D: AS Adventure (Gebruiker) Na een analyse van de hardware in 2011, bleek dat sommige systemen aan vervanging toe waren. Meer bepaald de mail- en documentenservers. Met Cloud Computing als nieuwe oplossing werd er een studie uitgevoerd waarbij de Cloud-oplossing werd vergeleken met de optie om de hardware te vernieuwen en alles in-house te blijven voorzien. Hoewel de kost van de Cloud oplossing hoger lag, werd er toch geopteerd voor de Cloud omwille van de voordelen op vlak van tijd, onderhoud en risico. AS Adventure koos voor Office 365 van Microsoft en maakte in samenwerking met partner Advantive de stap naar de Cloud. Men koos specifiek voor Microsoft als provider, daar men binnen AS Adventure reeds vertrouwd was met de producten en er dus bijgevolg geen nood was aan change management. (Algemene informatie met betrekking tot AS Adventure kan worden teruggevonden in tabel 3.7) (Microsoft, 2012b; De Bondt, persoonlijke communicatie, 27/07/2012) 53

67 Tabel 3.7: Algemene informatie AS Adventure AS ADVENTURE Bedrijfsinformatie NAAM SECTOR CEO OMZET CLOUD UITGAVEN GEM # WERKNEMERS Geïnterv iewde NAAM FUNCTIE AS Adventure (Belgium) Vrije tijd Dominique Motte 64,8 miljoen 0,2% (omzet) 470 Tom De Bondt CTO Bron: eigen samenstelling op basis van Bel-First database, (2012) en De Bondt, persoonlijke communicatie, (27/07/2012) Security Bij AS Adventure wordt de data op de Cloud niet geëncrypteerd, men vertrouwt hiervoor namelijk op de security van Microsoft. Alle communicatie van data van en naar de Cloud daarentegen wordt wel geëncrypteerd. Hiervoor maakt men gebruik van SSL encryptie, waarbij enkel geautoriseerde gebruikers met een certificaat toegang hebben tot de data op de Cloud. Voor het autoriseren van medewerkers op de Cloud werd het bestaande in-house IAM geïntegreerd met de Cloud dienst van Microsoft. Het betreft een eenvoudige Active Directory (AD) die elke twee uur gesynchroniseerd wordt met de Cloud. (De Bondt, persoonlijke communicatie, 27/07/2012) Een gap analyse naar de security van Microsoft werd er niet uitgevoerd, men had namelijk voldoende vertrouwen in Microsoft. De verantwoordelijkheid van het testen van de security ligt ook bij Microsoft en wordt dus niet actief getest vanuit AS Adventure. Afspraken in verband met een security breach werden eenzijdig opgesteld door Microsoft en kunnen worden geraadpleegd via het Cloud portaal. (De Bondt, persoonlijke communicatie, 27/07/2012) Een beveiligingsbeleid is momenteel niet aanwezig, maar men is volop bezig met het ontwikkelen hiervan. Het is hierbij ook de bedoeling om de Cloud hierin te integreren. Nederlandse collega s kunnen bijvoorbeeld hun mails op de Cloud checken vanop elke locatie, ook vanop het (onbeveiligde) netwerk thuis. Dit wil men gaan inperken tot het kantoor. (De Bondt, persoonlijke communicatie, 27/07/2012) 54

68 3.5.2 Compliance Vanuit AS Adventure is de focus op compliance veeleer beperkt. Zo weet men wel dat Microsoft beschikt over een overzicht van de standaarden en wetgevingen waarmee men compliant is, maar werden deze niet geanalyseerd. Verder heeft men ook geen idee of er overeenkomsten met betrekking tot het nakomen van wetgevingen en standaarden zijn opgenomen in het contract. (De Bondt, persoonlijke communicatie, 27/07/2012) De processen in de Cloud worden bijgevolg niet geëvalueerd vanuit AS Adventure om na te gaan of deze wel in lijn liggen met geldende wetgevingen en standaarden. Er zijn ook geen procedures voorzien voor het behandelen van wijzigingen in wetgevingen of standaarden, noch zijn er procedures voorzien indien de provider (in casu Microsoft) niet langer aan vereiste standaarden kan voldoen. (De Bondt, persoonlijke communicatie, 27/07/2012) Wat betreft de locatie van de data zijn er afspraken gemaakt dat de data wordt opgeslagen in Amsterdam en Dublin. (De Bondt, persoonlijke communicatie, 27/07/2012) Interoperability Op vlak van interoperabiliteit heeft men tot op heden nog geen hinder ondervonden. Als men kijkt naar de integratie van de Cloud en de in-house services is dit ook voor de hand liggend omdat men inhouse voornamelijk gebruik maakt van producten van Microsoft, zoals het Office pakket. Langs de andere kant heeft men ook de integratie met Cloud diensten van andere providers. Zo is AS Adventure momenteel op zoek naar een file server in de Cloud, te vergelijken met Dropbox. Op deze manier zou men alle documenten die worden opgeslagen op de computers van medewerkers willen gaan synchroniseren naar de Cloud. Hoewel een eerste analyse naar integratieproblemen geen moeilijkheden uitwees, kan men zich de vraag stellen in welke mate men hier daadwerkelijk kan spreken van het integreren van Cloud diensten. (De Bondt, persoonlijke communicatie, 27/07/2012) AS Adventure heeft verder nog niet getest of het mogelijk zou zijn om de Cloud diensten te transfereren van Microsoft naar een andere CSP. Over een overzicht met de vereisten van de huidige Cloud diensten beschikt men niet en men heeft ook geen flauw idee welke kosten hier juist bij zouden komen kijken. Wel beseft men dat het veel werk zal inhouden. (De Bondt, persoonlijke communicatie, 27/07/2012) 55

69 3.5.4 Economic concerns Voordat men de stap ging nemen naar de Cloud werd er een kostenanalyse uitgevoerd waarbij de Cloud oplossing werd vergeleken met de in-house oplossing. Hieruit bleek duidelijk dat de kost van de Cloud hoger lag dan de in-house oplossing. De hogere kost werd veroorzaakt door de licentiekost, die nu meer bedraagt omdat de service hier nu ook mee inbegrepen zit. Ondanks de hogere kost werd er vanuit AS Adventure toch gekozen voor de Cloud omwille van de voordelen op vlak van tijd, onderhoud en risico. Het berekenen van de ROI doet men echter liever niet. (De Bondt, persoonlijke communicatie, 27/07/2012) De kosten van de Cloud worden niet echt opgevolgd en worden ook niet besproken met Microsoft. De licentiekost wordt eenzijdig bepaald door Microsoft en wordt jaarlijks meegedeeld voor het verlengen van het contract. Op de facturen wordt er volgens AS Adventure geen verder onderscheid gemaakt dan de licentiekost, waarin alle andere kosten met betrekking tot de service zitten vervat. (De Bondt, persoonlijke communicatie, 27/07/2012) Availability AS Adventure heeft afspraken gemaakt met Microsoft met betrekking tot de beschikbaarheid van de verleende Cloud service. Zo garandeert Microsoft een beschikbaarheid van 99,9%, wat tevens gedocumenteerd staat in de SLAs. Echte procedures voor indien de service niet beschikbaar zou zijn, werden er volgens AS Adventure niet gedefinieerd. Indien de service niet beschikbaar zou zijn, dan kan de oorzaak hiervan wel worden gecontroleerd via het Cloud portaal. Binnen het Cloud portaal kan men ook een overzicht verkrijgen van de geplande updates en of hier eventueel downtime mee gepaard zou gaan. Updates worden normaal s nachts of tijdens het weekend gepland. Mocht dit niet het geval zijn dan staat dit uitdrukkelijk vermeld in het Cloud portaal. Of er procedures zijn overeengekomen met betrekking tot het uitvoeren van software updates, weet men niet. (De Bondt, persoonlijke communicatie, 27/07/2012) Overeenkomsten aangaande een definitieve stopzetting van de service werden er niet gemaakt, maar men heeft bij de selectieprocedure van de CSPs wel steeds gekeken naar ondernemingen waarbij de kans relatief klein is dat ze van vandaag op morgen failliet zouden gaan. (De Bondt, persoonlijke communicatie, 27/07/2012) AS Adventure beschikt momenteel noch over een IT continuïteitsplan, noch over een disaster recovery plan. Het nalaten van een IT continuïteitsplan komt voor uit de overtuiging dat deze verantwoordelijkheid bij Microsoft ligt. Het disaster recovery plan wordt momenteel ontwikkeld, maar de Cloud is hier nog niet in opgenomen. Verder werd het disaster recovery plan ook nog niet getest. (De Bondt, persoonlijke communicatie, 27/07/2012) 56

70 3.5.6 Performance Aangaande de performantie is men bij AS Adventure niet op de hoogte of hierover overeenkomsten zijn gesloten met Microsoft en of deze overeenkomsten opgenomen zouden zijn binnen de SLAs. Men veronderstelt van wel, maar men heeft hier dus niet echt kennis van. De informatie die men kan opvragen via het Cloud portaal in de vorm van metrieken is zeer beperkt. Hierover werden ook geen specifieke afspraken gemaakt met Microsoft. (De Bondt, persoonlijke communicatie, 27/07/2012) Of de performantie wordt geanalyseerd door Microsoft, weet men niet. Indien dit het geval zou zijn dan wordt dit toch niet gecommuniceerd naar de klant. Men heeft ook geen idee van hoe de performantie wordt afgesteld op wijzigingen in de vereisten van de gebruiker. Echter zijn deze twee voorgaande zaken niet echt belangrijk voor AS Adventure, zolang het allemaal maar vlot draait. Tot zover heeft men nog geen problemen gehad met de performantie. (De Bondt, persoonlijke communicatie, 27/07/2012) De SLAs worden jaarlijks herzien bij het vernieuwen van het contract, maar men heeft het gevoelen dat men hier niet echt inspraak in heeft. De overeenkomsten in de SLAs worden eerder eenzijdig opgelegd door Microsoft. (De Bondt, persoonlijke communicatie, 27/07/2012) Data Management Voor het beheer van de data beschikt men bij AS Adventure over SharePoint. Deze software van Microsoft voorziet de mogelijkheid om te werken met data versies, de data flow op te volgen, collaboraties op te starten, etc. Echter wordt SharePoint niet als handig ervaren en gaat men in de nabije toekomst alle data terug binnenhalen. Of de data dan ook permanent zal worden verwijderd van de Cloud weet men niet. Procedures voor het permanent verwijderen van data zijn er volgens AS Adventure niet. Expliciete afspraken hieromtrent werden ook niet gemaakt met Microsoft. (De Bondt, persoonlijke communicatie, 27/07/2012) Wel zijn er duidelijke afspraken gemaakt binnen het contract over de verantwoordelijkheden bij het beheer van de data. Hier heeft men vanuit AS Adventure ook expliciet op gelet bij het selecteren van een provider. Zo moest men bijvoorbeeld te allen tijde eigenaar blijven van de data. (De Bondt, persoonlijke communicatie, 27/07/2012) AS Adventure maakt geen onderscheid tussen publieke en vertrouwelijke informatie. Men heeft al het vertrouwen in Microsoft en men heeft er dus ook geen enkel probleem mee dat er vertrouwelijke informatie op de Cloud staat. Het belangrijkste aspect hierbij is volgens AS Adventure het vertrouwen in de provider. (De Bondt, persoonlijke communicatie, 27/07/2012) 57

71 Het nemen van back-ups van data wordt ook voorzien door Microsoft. Zo dienen de twee locaties Amsterdam en Dublin als back-up van elkaar. Dit werd ook zo expliciet overeengekomen met Microsoft. (De Bondt, persoonlijke communicatie, 27/07/2012) Governance Op vlak van governance heeft men het beleid van Microsoft wel eens bekeken, maar er is geen echte analyse gebeurd naar het beleid van Microsoft en hoe dit past binnen het beleid van AS Adventure. De verantwoordelijkheden en verplichtingen van beide partijen staan beschreven in het contract en dit kan ook worden geraadpleegd via het Cloud portaal. Afspraken met betrekking tot het wederzijds rapporteren zijn eerder beperkt. Zo wordt er niet actief gerapporteerd tussen klant en provider, maar kan AS Adventure wel in zeer beperkte mate rapporten opvragen. Verder werden er geen afspraken gemaakt over het opvolgen van de overeenkomsten uit de SLAs, noch werden er afspraken gemaakt over de specifieke metrieken die hiervoor zouden worden gebruikt. Of Microsoft op regelmatige basis geëvalueerd wordt en hoe dit eventueel zou gebeuren, weet men niet. Dit wordt ook niet actief gecommuniceerd naar de klant. (De Bondt, persoonlijke communicatie, 27/07/2012) 3.6 CASE STUDY E: Tri-Vizor (Gebruiker) Tri-Vizor is een onderneming die in 2008 ontstond als spin-off bedrijf van de Universiteit Antwerpen. Het doel van de onderneming was een platform te creëren voor het bundelen van goederenstromen over verschillende bedrijven heen. Op deze manier zouden bedrijven niet alleen kosten kunnen besparen, maar ook hun CO2- uitstoot sterk kunnen reduceren. (Microsoft, 2012b; Van Breedam, persoonlijke communicatie, 03/08/2012) Voor de technologische basis werd er een studie uitgevoerd waarbij de kosten voor in-house en de Cloud werden vergeleken. Hieruit bleek al snel dat het in-house voorzien van IT geen haalbare kaart was voor de jonge onderneming. Er werd dus gekozen voor een Cloud oplossing, die werd gerealiseerd in samenwerking met ICT-partner SelfNET. Zo ontwikkelde SelfNET de centrale Cloud applicatie op basis van Windows Azure (in.net), namelijk de Cross Supply Chain Cockpit. Verder maakt Tri-Vizor ook nog gebruik van andere Cloud diensten van Microsoft zoals Office 365 en SharePoint. (Algemene informatie met betrekking tot Tri-Vizor kan worden teruggevonden in tabel 3.5) (Microsoft, 2012c; Van Breedam, persoonlijke communicatie, 03/08/2012) 58

72 Tabel 3.8: Algemene informatie Tri-Vizor TRI-VIZOR Bedrijfsinformatie NAAM SECTOR CEO OMZET CLOUD UITGAVEN GEM # WERKNEMERS Geïnterv iewde NAAM FUNCTIE Tri-Vizor Logistiek Alex Van Breedam 0,7 miljoen 6% (omzet) 6 Alex Van Breedam CEO Bron: eigen samenstelling op basis van Bel-First database, (2012) en Van Breedam, persoonlijke communicatie, (03/08/2012) Security Hoewel men werkt met een community waarbij security één van de belangrijkste vereisten van de klanten is, is de kennis met betrekking tot security veeleer beperkt tot quasi onbestaande binnen Tri- Vizor. Zo heeft men geen idee van hoe de data wordt beveiligd op de Cloud, noch van hoe de communicatie wordt beveiligd tussen een gebruiker en de Cloud. Men draagt deze verantwoordelijkheid volledig over naar Microsoft en SelfNET en verwacht dat dit in orde is. Een voorafgaande analyse naar hoe de security van Microsoft past binnen de vereisten van Tri-Vizor werd echter niet uitgevoerd. (Van Breedam, persoonlijke communicatie, 03/08/2012) Deze beperkte kennis aangaande security kan ook worden teruggevonden in de afwezigheid van een beveiligingsbeleid. Verder werden er ook geen afspraken gemaakt over het testen van de security. Wel worden de systemen continu gemonitord door SelfNET en zijn er afspraken gemaakt over het communiceren van een security breach. (Van Breedam, persoonlijke communicatie, 03/08/2012) Voor het beheren van de toegang van zijn gebruikers beschikt Tri-Vizor over een IAM, wat volledig beheerd wordt door SelfNET. (Van Breedam, persoonlijke communicatie, 03/08/2012) 59

73 3.6.2 Compliance Wat betreft het compliant zijn met wetgevingen en (industrie)standaarden, vertrekt men bij Tri-Vizor steeds vanuit de klanten. Momenteel vereisen de klanten slechts twee zaken: eerst en vooral een goede security en verder moet de Cloud applicatie (de Cross Supply Chain Cockpit ) ook auditeerbaar zijn. Daar er op dit moment vanuit de klanten niet echt een vraag is naar specifieke standaarden, werd dit ook niet geanalyseerd door Tri-Vizor. Bijgevolg is er ook geen procedure voorzien voor het behandelen van wijzigingen in wetgevingen of standaarden, noch is er een procedure voorzien voor indien de provider (in casu Microsoft) niet langer aan vereiste standaarden zou kunnen voldoen. Men verwacht dat Microsoft en/of SelfNET steeds een oplossing zal kunnen voorzien voor wijzigingen in de vereisten met betrekking tot standaarden en wetgevingen. (Van Breedam, persoonlijke communicatie, 03/08/2012) Met betrekking tot de datalocatie zijn er wel afspraken gemaakt met Microsoft en deze zijn ook opgenomen in het contract. Zo draait alles in Dublin en wordt er een back-up voorzien in Amsterdam. (Van Breedam, persoonlijke communicatie, 03/08/2012) Interoperability Tri-Vizor maakt momenteel enkel gebruik van de Cloud diensten van Microsoft. Verder werd de centrale applicatie op maat ontwikkeld door SelfNET op basis van Windows Azure (in.net), namelijk de Cross Supply Chain Cockpit. Daar de applicatie specifiek ontwikkeld is voor het Cloud platform van Microsoft, is het transfereren van de applicatie naar een andere CSP geen actie die men van vandaag op morgen kan ondernemen en volgens ICT-partner SelfNET zelfs onmogelijk. Er zullen ongetwijfeld kosten bij komen kijken, maar men heeft geen flauw idee welke kosten juist. Verder kan men zich ook geen beeld vormen van hoe men dit juist zou realiseren. Deze piste werd nog niet onderzocht omdat ze dus als onmogelijk wordt bestempeld door SelfNET. (Van Breedam, persoonlijke communicatie, 03/08/2012) Verder maakt men ook gebruik van Cloud diensten van andere providers, zoals Dropbox, maar het is niet dat deze geïntegreerd worden met de diensten van Microsoft. Dropbox wordt namelijk enkel gebruikt voor de opslag van persoonlijke files van medewerkers. Daar integratie van beide Cloud diensten niet noodzakelijk is, heeft men ook nog nooit geanalyseerd of dit mogelijk zou zijn. (Van Breedam, persoonlijke communicatie, 03/08/2012) In-house maakt men momenteel enkel nog gebruik van het Office pakket van Microsoft. Dit maakt dus dat men op vlak van integratie met in-house resources ook geen problemen ondervindt. Naar de toekomst toe is men van plan om dit verder af te bouwen, zodanig dat alles in de Cloud draait en men volledig device-onafhankelijk kan werken. (Van Breedam, persoonlijke communicatie, 03/08/2012) 60

74 3.6.4 Economic concerns Alvorens de stap te nemen naar de Cloud werd er een uitgebreide kostenanalyse gevoerd waarbij inhouse werd vergeleken met de Cloud. Uit deze analyse bleek al snel dat de in-house oplossing financieel niet haalbaar was voor een jonge onderneming als Tri-Vizor. Men koos als gevolg voor de Cloud-oplossing van Microsoft. (Van Breedam, persoonlijke communicatie, 03/08/2012) De kosten van de Cloud services worden naar de mening van Tri-Vizor intransparant gerapporteerd. Met benamingen zoals terugkerende kosten is het als gebruiker moeilijk om de oorsprong van de kosten te achterhalen en te begrijpen. Bijgevolg kan men zich ook niet echt een beeld volgen van welke nieuwe bijkomende kosten er worden gegenereerd door het gebruik van Cloud Computing. De kosten worden niet opgevolgd en men heeft ook het gevoelen dat Microsoft deze onbespreekbaar maakt. Verder heeft men ook nog niet getracht om de ROI te bepalen van de Cloud-oplossing. (Van Breedam, persoonlijke communicatie, 03/08/2012) Availability Met betrekking tot de beschikbaarheid zijn er afspraken gemaakt binnen de Service Level Agreements (SLAs), zo garandeert Microsoft een beschikbaarheid van 99,9%. Voor indien de service niet beschikbaar zou zijn, werd er overeengekomen dat men per mail op de hoogte gesteld wordt door Microsoft met een vermelding van wanneer de service terug beschikbaar zal zijn. Indien de maximale downtime zou worden overschreden, bekomt men een financiële vergoeding vanwege Microsoft. Deze clausule is ook opgenomen in het contract. (Van Breedam, persoonlijke communicatie, 03/08/2012) Specifieke afspraken over het uitvoeren van software updates werden er niet gemaakt. De communicatie over updates verloopt namelijk tussen SelfNET en Microsoft. Tri-Vizor zal enkel op de hoogte worden gesteld indien updates plaatsvinden tijdens de werkuren en men hier mogelijks hinder van kan ondervinden. Men gaat ervan uit dat men altijd de laatste nieuwe versies draait, maar men legt deze verantwoordelijkheid bij Microsoft. Verder is men niet bekend met de afspraken met betrekking tot een definitieve stopzetting van de service. (Van Breedam, persoonlijke communicatie, 03/08/2012) Tri-Vizor beschikt zelf over een IT continuïteitsplan, alsook een disaster recovery plan om een continue service te kunnen garanderen aan zijn klanten. Voor het ontwikkelen hiervan is men aanvankelijk vertrokken vanuit de SLAs met Microsoft. (Van Breedam, persoonlijke communicatie, 03/08/2012) 61

75 3.6.6 Performance Over afspraken met betrekking tot de performantie van de Cloud service is men niet op de hoogte binnen Tri-Vizor, het systeem moet gewoon vlot draaien. Verder heeft men ook geen idee of er metrieken zijn gedefinieerd voor het meten van de performantie en of deze metrieken al dan niet worden opgevolgd. Men hoopt dat dit wordt voorzien door SelfNET, maar men is hier ook niet volledig zeker van. Tot op heden is hieromtrent nog niets gecommuniceerd daar er nog geen problemen zijn geweest. De SLAs worden vandaag de dag ook niet herzien. (Van Breedam, persoonlijke communicatie, 03/08/2012) Hoe de performantie wordt afgesteld op wijzigingen in de vereisten van de klant, weet men niet. Dit is volgens Tri-Vizor ook nog niet direct van belang omdat het aantal gebruikers op dit moment zeer beperkt is. Recent werd echter wel ervaren dat de Cloud traag draait wanneer alle gebruikers tegelijkertijd aanmelden. Men is momenteel aan het onderzoeken waar dit probleem zich juist bevindt. (Van Breedam, persoonlijke communicatie, 03/08/2012) Data Management Men beschikt bij Tri-Vizor niet over tools voor het beheren van de data op de Cloud. Er wordt ook geen onderscheid gemaakt tussen publieke informatie en meer vertrouwelijke informatie, alle data wordt op dezelfde manier behandeld. (Van Breedam, persoonlijke communicatie, 03/08/2012) Voor het permanent verwijderen van data op de Cloud zijn er geen specifieke afspraken gemaakt met Microsoft of SelfNET, volgens Tri-Vizor. Men heeft verder ook geen kennis van de exacte verantwoordelijkheden van klant en provider met betrekking tot de data op de Cloud en of deze zijn opgenomen in het contract. Men heeft louter een vermoeden dat dit wel het geval zal zijn. (Van Breedam, persoonlijke communicatie, 03/08/2012) Back-ups van de data worden voorzien in overeenkomst met Microsoft. Zo staat alles standaard in Dublin en wordt er een back-up voorzien in Amsterdam. (Van Breedam, persoonlijke communicatie, 03/08/2012) Governance Vanuit Tri-Vizor is er geen analyse uitgevoerd naar het beleid van Microsoft of hoe dit past binnen het beleid van Tri-Vizor. Men veronderstelt dat Microsoft dergelijke analyse wel heeft uitgevoerd. De kennis met betrekking tot governance is ook zeer beperkt bij Tri-Vizor. Zo is men niet op de hoogte van afspraken met betrekking tot verantwoordelijkheden en verplichtingen van beide partijen, noch van afspraken omtrent het opvolgen van de overeenkomsten uit de SLAs. Men vermoedt steeds dat deze 62

76 zullen zijn opgenomen in het contract, maar men is hier dus niet van op de hoogte. Verder werden er volgens Tri-Vizor ook geen afspraken gemaakt over het wederzijds rapporteren tussen gebruiker en provider. Enkel indien de geleverde service dramatisch slecht zou zijn, zal Tri-Vizor contact opnemen met Microsoft. Of Microsoft wordt geauditeerd door externen, weet men ook niet. (Van Breedam, persoonlijke communicatie, 03/08/2012) 3.7 Bevindingen: Case studies De bevindingen die uit de case studies werden gehaald, staan beknopt beschreven in de onderstaande tabellen (tabel 3.9 tot en met 3.16). Positieve bevindingen zijn weergegeven in het groen, negatieve bevindingen in het rood. Bevindingen die onbepaald zijn (noch positief, noch negatief), staan weergegeven in het grijs. Deze bevindingen zullen worden gebruikt voor het staven van de conclusies in het volgende hoofdstuk. 63

77 Tabel 3.9: Bevindingen met betrekking tot security 1 SECURITY ROL PROVIDER GEBRUIKER BEDRIJF Microsoft RealDolmen Stone IS AS Adventure Tri-Vizor + communicatie data beveiligd dmv SSL encryptie transfereren data + HTTPS, SSL en TLS voor encryptie communicatie van data + beveiliging communicatie data dmv VPNverbinding - beveiliging communicatie data standaard niet voorzien (wel mogelijk) - geen idee van de beveiliging van de communicatie van data data encryptie - data wordt standaard niet geëncrypteerd (wel mogelijk) - data wordt standaard niet geëncrypteerd (wel mogelijk) - data wordt standaard niet geëncrypteerd (wel mogelijk) - data zelf niet geëncrypteerd - geen idee van de security van data IAM + voorziet gebruik van IAM + IAM voorzien, beheerd door RealDolmen + voorziet gebruik van IAM via control panel + IAM voorzien dmv Active Directory (AD) + IAM voorzien, beheerd door partner SelfNET security gap analyse + standaard offerings voor gap analyse + men stelt steeds voor om een security analyse te doen + security analyse op basis van bestek van de klant - geen analyse uitgevoerd naar security - geen analyse uitgevoerd naar security communiceren van security breaches - geen afspraken over security breaches + afspraken ivm security breaches in algemene voorwaarden + afspraken ivm security breaches in SLAs + afspraken ivm security breaches gedocumenteerd + afspraken security breaches gedocumenteerd (met SelfNET) testen van security beveiligingsbeleid + security wordt op regelmatige basis getest + beveiligingsbeleid, Cloud geïntegreeerd + security wordt op regelmatige basis getest en systemen continu gemonitord + beveiligingsbeleid, Cloud geïntegreerd + security op regelmatige basis getest en beschreven in SLAs, de Cloud wordt continu gemonitord - Cloud niet opgenomen in beveiligingsbeleid - security wordt niet getest - geen beveiligingsbeleid - security wordt niet getest - geen beveiligingsbeleid Bron: eigen samenstelling op basis van case studies 64

78 Tabel 3.10: Bevindingen met betrekking tot compliance 2 COMPLIANCE ROL PROVIDER GEBRUIKER BEDRIJF Microsoft RealDolmen Stone IS AS Adventure Tri-Vizor overzicht compliance + beschikt over overzicht met alle compliance + beschikt over overzicht met alle compliance + beschikt over overzicht met alle compliance + provider beschikt over duidelijk overzicht compliance + provider beschikt over duidelijk overzicht compliance afspraken compliance + compliance overeenkomsten gedocumenteerd + compliance overeenkomsten beschreven in contract + compliance overeenkomsten opgenomen in contract - geen afspraken over compliance - geen kennis van de afspraken mbt compliance procedure voor behandelen wijzigingen regelgeving + men zorgt ervoor dat men steeds compliant blijft + procedure voorzien voor wijzigingen in regelgeving + clausule voorzien voor wijzigingen in regelgeving - geen procedure - geen procedure voor wijzigingen in voor wijzigingen in regelgeving regelgeving evaluatie processen compliance procedure als provider niet meer compliant kan zijn data locatie + processen op regelmatige basis geëvalueerd - geen procedure voor indien men niet langer compliant kan zijn + transparante afspraken omtrent data locatie + processen op regelmatige basis geëvalueerd - geen procedure voor indien men niet langer compliant kan zijn + klant kan exacte locatie data opvragen - processen worden niet geëvalueerd - geen procedure voor indien provider niet langer compliant kan zijn + afspraken mbt data locatie voorzien - processen worden niet geëvalueerd - geen procedure voor indien provider niet langer compliant kan zijn + afspraken gemaakt over de data locatie - processen worden niet geëvalueerd - geen procedure voor indien provider niet langer compliant kan zijn + afspraken gemaakt over de data locatie Bron: eigen samenstelling op basis van case studies 65

79 Tabel 3.11: Bevindingen met betrekking tot interoperability 3 INTEROPERABILITY ROL PROVIDER GEBRUIKER BEDRIJF Microsoft RealDolmen Stone IS AS Adventure Tri-Vizor + integratie met + integratie met andere CSPs andere CSPs mogelijk mogelijk integreren met Cloud diensten andere CSPs - men stelt zijn Cloud diensten niet open voor integratie met andere CSPs momenteel integreert men geen Cloud diensten van verschillende CSPs momenteel integreert men geen Cloud diensten van verschillende CSPs integreren met in-house resources + integratie met in-house mogelijk dmv hybride oplossing + integratie met in-house mogelijk (op voorhand bestudeerd) + integratie met in-house mogelijk dmv hybride oplossing + integratie met in-house resources mogelijk + integratie met in-house resources mogelijk lijst met hardware- en software vereisten + per Cloud dienst lijst met vereisten voorzien + per Cloud scenario worden de vereisten gedocumenteerd + vereisten gedocumenteerd op niveau van Cloud images - geen overzicht met vereisten van Cloud diensten + per Cloud dienst lijst beschikbaar met vereisten - nog niet getest - nog niet getest getest of het of het mogelijk is of het mogelijk is mogelijk is om Cloud om Cloud om Cloud diensten te diensten te diensten te transfereren naar transfereren naar transfereren andere provider, andere provider naar andere wordt ook niet CSP voorzien door Microsoft Bron: eigen samenstelling op basis van case studies + op voorhand scenario's uitgewerkt van transfereren Cloud diensten van andere CSP naar Stone IS (en vice versa) - nog niet getest of het mogelijk is om Cloud diensten te transfereren naar andere provider - nog niet getest of het mogelijk is om Cloud diensten te transfereren naar andere provider en volgens SelfNET onmogelijk 66

80 Tabel 3.12: Bevindingen met betrekking tot economic concerns 4 ECONOMIC CONCERNS ROL PROVIDER GEBRUIKER BEDRIJF Microsoft RealDolmen Stone IS AS Adventure Tri-Vizor + vergelijkende kostenanalyse mogelijk vergelijkende kostenanalyse - er wordt geen vergelijkende kostenanalyse uitgevoerd + men voert steeds een vergelijkende kostenanalyse uit + er werd een vergelijkende kostenanalyse uitgevoerd + er werd een vergelijkende kostenanalyse uitgevoerd bijkomende kosten tgv Cloud Computing + overzicht kosten Cloud Computing beschreven in algemene voorwaarden. + klant krijgt gedetailleerd overzicht over de kosten van de Cloud diensten + zo gedetailleerd mogelijk weergeven hoe de kost is opgebouwd + gebruiker heeft goed inzicht in de bijkomende kosten van Cloud Computing - gebruiker heeft geen overzich van de bijkomende kosten van Cloud Computing ROI kosten Cloud opgevolgd en besproken kosten gerapporteerd in verschillende kostenposten - ROI wordt niet berekend - kosten worden niet opgevolgd of besproken, klant krijgt enkel informatie bij prijswijzigingen + kosten gerapporteerd aan de hand van de verschillende services die men afneemt. - ROI wordt niet berekend + kosten worden opgevolgd en besproken met de klant tijdens overlegmomenten + kosten worden gerapporteerd dmv verschillende kostenposten - ROI wordt niet berekend - kosten worden vast bepaald en worden niet opgevolgd of besproken met de klant + kosten worden gerapporteerd in eenheid per uur, klant kan in Cloud portaal nagaan hoeveel Cloud oplossing kost - ROI wordt niet berekend - kosten worden niet opgevolgd of besproken met de provider - kosten niet gerapporteerd dmv verschillende kostenposten, enkel een licentiekost - ROI wordt niet berekend - kosten worden niet opgevolgd of besproken met de provider - kosten worden intransparant gerapporteerd Bron: eigen samenstelling op basis van case studies 67

81 Tabel 3.13: Bevindingen met betrekking tot availability 5 AVAILABILITY ROL PROVIDER GEBRUIKER BEDRIJF Microsoft RealDolmen Stone IS AS Adventure Tri-Vizor + afspraken over + afspraken over + afspraken over + afspraken over + afspraken mbt availability availability availability steeds availability availability staan afspraken opgenomen in opgenomen in opgenomen in beschreven in beschreven in availability in SLAs SLAs, specifiek per SLAs SLAs SLAs SLAs Cloud service IT continuïteitsplan afspraken mbt nonavailability afspraken mbt definitieve stopzetting procedures mbt software updates + IT continuïteitsplan + procedures voor non-availability - geen afspraken omtrent een definitieve stopzetting van de Cloud service + software updates en onderhoud worden steeds gecommuniceerd naar de gebruiker + IT continuïteitsplan + procedures voor non-availability beschreven in SDP + afspraken voorzien omtrent een definitieve stopzetting van de Cloud service + afspraken over software updates en worden ook steeds gecommuniceerd naar de gebruiker + IT continuïteitsplan + procedures voor non-availability gedocumenteerd - afspraken omtrent definitieve stopzetting van de Cloud service standaard niet voorzien + afspraken over software updates en worden ook steeds gecommuniceerd naar de gebruiker - geen IT continuïteitsplan - geen afspraken over nonavailability - geen afspraken omtrent een definitieve stopzetting van de Cloud diensten - niet op de hoogte van overeenkomsten over software updates + IT continuïteitsplan + afspraken mbt non-availability gedocumenteerd - niet op de hoogte van afspraken omtrent een definitieve stopzetting van de Cloud diensten - niet op de hoogte van overeenkomsten over software updates disaster recovery plan + disaster recovery plan + disaster recovery plan, ook getest - geen disaster recovery plan voorzien - Disaster recovery plan momenteel in ontwikkeling, Cloud niet in opgenomen + disaster recovery plan Bron: eigen samenstelling op basis van case studies 68

82 Tabel 3.14: Bevindingen met betrekking tot performance 6 PERFORMANCE ROL PROVIDER GEBRUIKER BEDRIJF Microsoft RealDolmen Stone IS AS Adventure Tri-Vizor + afspraken mbt + afspraken mbt + afspraken mbt - men is niet op - men is niet op performantie performantie performantie de hoogte of er de hoogte of er afspraken beschreven in worden worden overeenkomsten overeenkomsten performantie SLAs, per Cloud vastgelegd in SLAs vastgelegd in SLAs zijn gesloten over zijn over de in SLAs service. de performantie performantie in in de SLAs de SLAs metrieken gedefinieerd om performantie te meten + metrieken gedefinieerd om de performantie te meten + afspraken uit SLAs gemonitord dmv twee monitoring tools + metrieken gedefinieerd, gecontroleerd dmv monitoring systeem - geen afspraken mbt het definiëren van metrieken, metrieken zijn zeer beperkt - men heeft geen idee of er metrieken zijn gedefinieerd en welke dit zouden zijn. performantie geanalyseerd en communicatie naar gebruiker SLAs op regelmatige basis herzien + performantie kan steeds worden nagegaan door de klant via het Cloud portaal + SLAs op regelmatige basis herzien om beste Cloud service te bieden + performantie wordt continu gemonitord dmv monitoring tools en worden besproken met de klant + SLAs herzien voor vernieuwing contract, tijdens contract aanpasbaar tegen een bepaalde kost + performantie wordt continu gemonitord en gelogd, klant heeft toegang tot deze informatie via Cloud portaal - SLAs worden standaard niet herzien, maar wel aanpassingen mogelijk op vraag van de klant - niet op de hoogte of performantie wordt geanalyseerd, ook niet gecommuniceerd naar gebruiker + SLAs worden op jaarlijkse basis herzien bij het vernieuwen van het contract. - men hoopt dat de performantie wordt geanalyseerd, maar men is hier niet van op de hoogte - de SLAS worden niet herzien performantie afstellen op vereisten gebruiker + klant kan eenvoudig nieuwe resources inschakelen. + performantie afstellen door bottleneck te gaan bepaalde en aan voldoende provisioning te doen + performantie kan worden aangepast op vereisten van klant via automatisch mechanisme of manueel - men is hier niet van op de hoogte - men is hier niet van op de hoogte Bron: eigen samenstelling op basis van case studies 69

83 Tabel 3.15: Bevindingen met betrekking tot data management 7 DATA MANAGEMENT ROL PROVIDER GEBRUIKER BEDRIJF Microsoft RealDolmen Stone IS AS Adventure Tri-Vizor - er worden geen - men voorziet data management geen data tools voorzien management voor de klant tools data management tools in contract verantwoord elijkheden beschreven mbt beheer van data onderscheid gemaakt tussen publieke en vertrouwelijke informatie procedures voor permanent verwijderen van data - standaard vooziet men geen data management tools voor de gebruiker, maar deze zijn wel optioneel verkrijgbaar + in het contract staan duidelijk de verantwoordelijkheden beschreven van provider en klant voor het beheer van de data - geen onderscheid tussen publieke en vertrouwelijke informatie, alles op dezelfde manier behandeld + de klant kan zelf beslissen om data permanent te verwijderen, automatisch of manueel + in het contract worden de verantwoordelijkheden van klant en provider beschreven - geen onderscheid tussen publieke en vertrouwelijke informatie, alles op dezelfde manier behandeld + er zijn procedures voorzien voor het permanent verwijderen van data + de verantwoordelijkheden van klant en provider worden beschreven binnen de SLAs - geen onderscheid tussen publieke en vertrouwelijke informatie, alles op dezelfde manier behandeld + er zijn procedures voorzien voor het permanent verwijderen van data - men beschikt over data management tools voor het beheren van data in de Cloud, nl. SharePoint, maar men gaat hiermee stoppen wegens niet handig + in het contract worden de verantwoordelijkheden van klant en provider beschreven - er wordt geen onderscheid gemaakt tussen publieke en vertrouwelijke informatie, alles op dezelfde manier behandeld - er zijn geen procedures voorzien voor het permanent verwijderen van data in de Cloud - men beschikt zelf niet over data management tools voor het beheren van data in de Cloud. - men heeft hier niet echt een idee van. - er wordt geen onderscheid gemaakt tussen publieke en vertrouwelijke informatie - er zijn geen procedures voorzien voor het permanent verwijderen van data in de Cloud back-up van data in de Cloud + men gaat steeds voorstellen om een back-up te nemen in de Cloud + back-ups worden op regelmatige basis genomen in samenspraak met de klant + standaard worden er backups voorzien op de Cloud, kan worden uitgebreid met specifieke vereisten van de klant + men neemt backups van de data in data in de Cloud, + back-up van de de Cloud, afgesproken met afgesproken met CSP CSP Bron: eigen samenstelling op basis van case studies 70

84 Tabel 3.16: Bevindingen met betrekking tot governance 8 GOVERNANCE ROL PROVIDER GEBRUIKER BEDRIJF Microsoft RealDolmen Stone IS AS Adventure Tri-Vizor - een echte governance analyse werd er niet uitgevoerd governance analyse verantwoord elijkheden en verplichtingen provider en klant in contract afspraken mbt wederzijds rapporteren SLAs gemonitord ahv metrieken Cloud provider geauditeerd door externen - Cloud diensten gedetailleerd beschreven, maar een echte governance analyse wordt niet uitgevoerd + in het contract worden de verplichtingen en verantwoordelijkheden van klant en provider steeds gedefinieerd + afspraken dat Microsoft eenzijdig rapporteert naar de klant + afspraken uit de SLAs worden gemonitord ahv metrieken, klant kan rapporten opvragen + de compliance certificering gebeurt door derden + men voert steeds een governance analyse uit, sterke nadruk op governance als kritische succesfactor + er wordt in het contract duidelijk beschreven wat er van beide partijen wordt verwacht + er worden afspraken gemaakt over wat er gerapporteerd wordt en hoe dit dient te worden gerapporteerd + afspraken uit de SLAs worden gemonitord ahv metrieken mbv twee monitoring tools + RealDolmen wordt zowel extern (jaarlijks) als intern geauditeerd Bron: eigen samenstelling op basis van case studies + men beschikt over een standaard SLA die beleid Stone IS weergeeft, deze wordt aangepast aan vereisten (beleid) van de klant + men ziet standaardgebruiksvoorwaarden waarin de verantwoordelijkheden van klant en provider staan beschreven + men beschikt over minimumvoorziening mbt het wederzijds rapporteren, kunnen worden aangepast aan de vereisten van klant + de Cloud diensten worden continu gemonitord, klant kan dit ook opvolgen via het Cloud portaal - men wordt niet geaudit, maar men staat hier wel voor open indien een klant hier achter zou vragen + in het contract worden de verplichtingen en verantwoordelijkheden van klant en provider steeds gedefinieerd - er zijn geen - er zijn geen afspraken afspraken gemaakt over het gemaakt over het wederzijds wederzijds rapporteren, men rapporteren kan wel rapporten opvragen (beperkt) - er zijn geen speciale overeenkomsten getroffen over metrieken of het monitoren van deze metrieken - of de provider wordt geaudit weet men niet, dit wordt ook niet gecommuniceerd - er werd geen governance analyse uitgevoerd, men veronderstelt dat Microsoft deze analyse heeft uitgevoerd - men is niet op de hoogte of de verplichtingen en verantwoordelijkheden van beide partijen zijn opgenomen in het contract - men is hier niet van op de hoogte, maar men hoopt dat ICT-partner SelfNET dit regelt - men is hier niet van op de hoogte 71

85 4. Conclusies In dit vierde hoofdstuk wordt er getracht een antwoord te bieden op de overkoepelende onderzoeksvraag van dit thesisonderzoek, met name Hoe gaan bedrijven om met de problemen en uitdagingen bij Cloud Computing?. Alvorens over te gaan tot het uiteenzetten van de conclusies, zal kort worden teruggeblikt op de weg die afgelegd werd naar dit hoofdstuk. In hoofdstuk 1 werd een algemene inleiding gegeven met betrekking tot Cloud Computing. Onder meer werd er een algemene definitie aangebracht en werden ook de belangrijkste voordelen aangehaald. In het tweede hoofdstuk werd de focus verlegd naar de problematiek die komt kijken bij het gebruik van Cloud Computing. Hierbij werd een analyse uitgevoerd die resulteerde in een lijst van de acht belangrijkste problemen en uitdagingen voor Cloud Computing. Deze werden tevens beschreven aan de hand van academische literatuur. In het derde hoofdstuk werd hierop verder gebouwd en werd het empirische onderzoek beschreven. Meer bepaald werd het opstellen van de vragenlijst toegelicht (COBIT en CCMPAP) en werd de gecapteerde informatie uit de interviews samengebracht in case studies. Op het einde van dit derde hoofdstuk werden de bevindingen samengevat in acht tabellen, welke overeenkomen met de acht belangrijkste problemen en uitdagingen. In dit vierde hoofdstuk wordt getracht om uit de bekomen inzichten conclusies te filteren door het identificeren van regelmatigheden. Indien mogelijk wordt er teruggekoppeld naar de (academische) literatuur, zoals aangehaald in hoofdstuk 2. Om een zo gedetailleerd mogelijk beeld te geven, zullen de conclusies worden beschreven op drie verschillende niveaus, namelijk: 1. Conclusies op het niveau van de cases 2. Conclusies op het niveau van de problemen en uitdagingen 3. Conclusies binnen het niveau de problemen en uitdagingen Als basis voor dit hoofdstuk werden de bevindingen uit hoofdstuk 3 samengevat in tabellen 4.1 en 4.2. Hierbij werd er gekeken naar de aard en het aantal van de bevindingen. Deze werden dan uitgezet in zowel absolute als relatieve termen. Tabellen 4.1 en 4.2 zullen worden gebruikt voor het formuleren van conclusies op niveau 1 (cases) en niveau 2 (problemen en uitdagingen). Voor het formuleren van conclusies op niveau 3 (binnen problemen en uitdagingen) zullen eveneens de tabellen 3.9 tot en met 3.16 worden gebruikt afkomstig uit het voorgaande hoofdstuk. Ter nuancering: De beschreven conclusies komen voort uit het gevoerde onderzoek en gelden tot zover ook enkel binnen dit kader. De conclusies zouden later eventueel kunnen worden afgetoetst binnen een grootschaliger empirisch onderzoek om tot meer algemeen geldende conclusies te komen. 72

86 Om de complexiteit te beperken werden er geen gewichten toegekend aan de vragen Alle bevindingen worden bijgevolg als evenwaardige beschouwd. Deze keuze kan worden verantwoord door de zorgvuldige selectie van vragen bij het opstellen van de vragenlijst. De bekomen cijfers in tabellen 4.1 en 4.2 dienen geïnterpreteerd te worden met de nodige portie gezond verstand. Zo zal een bedrijf met enkel positieve bevindingen een positieve score krijgen van 100%. Dit wil echter niet zeggen dat de desbetreffende uitdaging perfect wordt geadresseerd. Wel kan worden afgeleid dat de onderneming een goed begrip heeft van de problematiek en dat de nodige maatregelen werden genomen om de uitdaging op een degelijke manier te beheersen. 73

87 Tabel 4.1: Algemeen overzicht bevindingen (deel 1) ROL BEDRIJF 1. SECURITY 2. COMPLIANCE 3. INTEROPERABILITY 4. ECONOMIC CONCERNS 5. AVAILABILITY Microsoft ALGEMEEN OVERZICHT - BEVINDINGEN PROVIDER RealDolmen Stone IS # % # % # % # % # % ,43% 4 57,14% 3 42,86% 2 28,57% ,71% 28,57% ,29% 3 42,86% 4 57,14% 15 71,43% 35,71% ,43% 9 64,29% ,57% 57,14% ,86% ,33% 5 83,33% 4 66,67% 2 33,33% 2 33,33% ,67% ,67% 2 33,33% 4 66,67% 14 77,78% 33,33% ,67% ,67% ,22% ,00% 12 40,00% ,00% 3 75,00% 4 100,00% 1 33,33% 2 66,67% ,00% ,00% 0 0,00% 2 66,67% 9 75,00% ,33% ,00% 3 50,00% ,00% ,67% 6 33,33% ,00% 3 60,00% 3 60,00% 2 40,00% 1 20,00% ,00% ,00% 2 40,00% 3 60,00% 9 60,00% ,00% ,00% 7 70,00% ,00% 48,00% ,00% ,33% 6 100,00% 4 66,67% 1 16,67% 4 66,67% ,67% + 0 0,00% 2 33,33% 5 83,33% 15 83,33% ,33% ,67% 7 58,33% ,67% 66,67% ,33% - Bron: eigen samenstelling op basis van tabellen 2.9 tot en met 2.16 AS Adventure GEBRUIKER Tri-Vizor 74

88 Tabel 4.2: Algemeen overzicht bevindingen (deel 2) ROL BEDRIJF 6. PERFORMANCE 7. DATA MANAGEMENT 8. TOTAAL # % # % # % # % # % ,00% 5 100,00% 4 80,00% 1 20,00% 0 0,00% ,00% + 0 0,00% 1 20,00% 4 80,00% 14 93,33% 1 10,00% ,00% ,67% 9 90,00% ,00% 40,00% 2 40,00% 4 80,00% ,00% 3 60,00% ,00% ,00% ,00% 2 40,00% ,00% 3 60,00% 9 60,00% 30,00% ,00% 7 70,00% 12 48,00% ,00% ,00% 5 100,00% 4 80,00% 0 0,00% ,00% ,00% ,00% 0 0,00% 1 20,00% - 10,00% ,00% ,67% GOVERNANCE ,33% Microsoft ALGEMEEN OVERZICHT - BEVINDINGEN PROVIDER RealDolmen + - Stone IS Bron: eigen samenstelling op basis van tabellen 2.9 tot en met ,75% 42,25% 90,00% 14 56,00% 11 44,00% - 74,42% 30,95% 12 28,57% ,58% 13 30,23% 29 69,05% 30 71,43% ,72% 30 69,77% ,28% ,97% 25 29,76% ,24% ,03% AS Adventure GEBRUIKER Tri-Vizor 75

89 4.1 Conclusies op het niveau van de cases CONCLUSIE 1: Gebruikers niet op de hoogte van de problematiek van Cloud Computing Langs de kant van de gebruiker werden slechts 30% (29,76%) van de bevindingen uit het empirische onderzoek positief bevonden. Gebruikers zijn dus duidelijk niet op de hoogte van de problemen en uitdagingen die komen kijken bij het gebruik van Cloud Computing. Deze verantwoordelijkheid dragen ze namelijk over aan de Cloud Service Provider (CSP). De gebruikers verwachten of hopen dat alles in orde is. Een mooie beschrijving van deze conclusie kan worden opgebouwd uit de woorden van Filip Bormans (RealDolmen) (persoonlijke communicatie, 31/07/2012): Het is te vergelijken met een wagen: klanten willen niet weten wat er onder de motorkap zit, zolang dat het allemaal maar vlot draait. Echter, er dienen bijvoorbeeld ook veiligheidsmaatregelen te worden voorzien, om de veiligheid van de passagiers te waarborgen. Om dit terug te koppelen aan de situatie die gereflecteerd wordt in dit onderzoek: een klant zou anno 2012 gewoon instappen in een wagen die naar zijn mening goed draait en vertrekken zonder eerst na te gaan of er wel een veiligheidsgordel werd voorzien. Deze verantwoordelijkheid draagt hij over aan de producent van de wagen, in dit geval de Cloud Service Provider (CSP). (Bormans, persoonlijke communicatie, 31/07/2012) Een duidelijk voorbeeld dat deze conclusie weerspiegelt kan men terugvinden binnen de uitdaging performance. Vanuit de literatuur wordt duidelijk aangehaald dat de performantie een probleem vormt omdat deze een grote variabiliteit vertoont en bijkomend moeilijk te meten valt. Langs de kant van de gebruiker is men niet op de hoogte of hier overeenkomsten over gesloten zijn binnen de SLAs, noch of er metrieken zijn overeengekomen om deze performantie te gaan bepalen, noch of deze ook gebruikt worden om de performantie op regelmatige basis te gaan analyseren. (Ambrus et al., 2010; Hauck et al., 2010) CONCLUSIE 2: Providers relatief goed op de hoogte van de problematiek van Cloud Computing Een analyse van de bevindingen langs de kant van de provider toont aan dat 76% (75,97%) van de bevindingen positief zijn. Dit geeft een indicatie dat providers relatief goed op de hoogte zijn van de problematiek in de Cloud. Een voorbeeld hiervan betreft de uitdaging availability. Hoewel hier vanuit de literatuur verschillende valkuilen worden beschreven (internetverbinding, DDoS aanvallen, fate-sharing onder Cloud gebruikers en SPOF), duiden de bevindingen van deze studie aan dat providers dit probleem begrijpen, alsook gepaste acties ondernemen om dit probleem te beheersen. Eerst en vooral worden afspraken met betrekking tot availability steeds opgenomen in de SLAs. Verder zijn er procedures voorzien voor gevallen van non-availability van de Cloud diensten. Bovendien wordt er ook steeds gecommuniceerd 76

90 met de klant over software updates en onderhoud. Elke provider beschikt daarnaast over een ITcontinuïteitsplan. (Choo, 2010; Ambrus et al., 2010) CONCLUSIE 3: Kleine providers moeten niet onderdoen voor grotere spelers De gemiddelde score van de kleine provider (in casu: Stone IS) werd vergeleken met de gemiddelde score langs de kant van de providers (zie tabel 4.3). Deze analyse toonde aan dat deze gemiddelde scores slechts 5% (4,63%) verschilden. Dit resultaat geeft een eerste indicatie dat er geen significant verschil bestaat wat betreft de manier waarop kleine providers omgaan met de problematiek in de Cloud, in vergelijking met de grotere spelers op de markt. Om volledig conclusief te zijn, zou dit in toekomstig onderzoek kunnen worden nagegaan aan de hand van statistische proeven. Tabel 4.3: Variatie tussen kleine providers en grotere spelers PROBLEEM/UI TDAGI NG Stone I S 1. SECURITY 57,14% 2. COMPLIANCE 66,67% 3. INTEROPERABILITY 100,00% 4. ECO CONCERNS 60,00% 5. AVAILABILITY 66,67% 6. PERFORMANCE 80,00% 7. DATA MAN 60,00% 8. GOVERNANCE 80,00% prov iders 71,43% 77,78% 75,00% 60,00% 83,33% 93,33% 60,00% 86,67% GEMIDDELDE 71,31% 75,94% 4,63% Bron: eigen samenstelling op basis van tabellen 4.1 en 4.2 Het belangrijkste verschilpunt tussen de kleine provider en de grote provider bevindt zich voornamelijk op het vlak van interoperabiliteit (dit zal tevens worden besproken in subsectie 4.3.4). Waar grote spelers zoals Microsoft interoperabiliteit actief gaan tegengaan, gaan de kleine providers juist trachten om een zo hoog mogelijke interoperabiliteit te bekomen. Het meest duidelijke voorbeeld hiervan is dat men vanuit Stone IS de API zo open mogelijk maakt en de gebruiker zelf tools aanreikt om deze API op een zo eenvoudig mogelijke manier aan te spreken. 77

91 4.2 Conclusies op het niveau van de problemen en uitdagingen CONCLUSIE 4: Best geadresseerde problemen: Interoperability en Availability De problemen die het best geadresseerd zijn binnen dit onderzoek zijn interoperability (66,76%) en availability (66,76%). De elementen die het meest doorslaggevend zijn voor deze positieve scores, zullen hier kort worden beschreven. Op vlak van interoperbality kan men twee belangrijke zaken opmerken: 1. Het integreren van de Cloud diensten met de in-house resources blijkt toch niet zo moeilijk te zijn zoals in de literatuur wordt beschreven. Vanuit de providers wordt gesteld dat dit perfect te realiseren valt door middel van een hybride oplossing. Echter werd er vanuit RealDolmen wel duidelijk gemaakt dat dit toch niet altijd 100% compatibel blijkt te zijn. Langs de kant van de gebruiker werden geen problemen bemerkt met betrekking tot het integreren van de Cloud diensten met de in-house resources. 2. Vanuit de kleine providers tracht men de interoperabiliteit zo veel mogelijk te bevorderen. Zoals aangehaald in sectie 4.1.3, tracht men dit vanuit Stone IS onder meer te doen door zijn API zoveel mogelijk open te stellen en door het aanleveren van tools om de API aan te spreken. Men tracht zich hiermee volledig af te zetten tegen de gepatenteerde APIs van de grotere spelers, zoals deze worden beschreven door Dillon et al. (2010). Met betrekking tot availability kan men de volgende twee zaken bemerken: 1. Binnen de SLAs worden er steeds overeenkomsten gesloten met betrekking tot de beschikbaarheid van de geleverde Cloud diensten. Zoals aangehaald in hoofdstuk 2 bieden deze SLAs geen oplossing voor het probleem, maar geven de gebruiker een zekere referentie en een gevoel van zekerheid. 2. Verder is de positieve score voornamelijk een gevolg van maatregelen die worden ondernomen door de providers. Op deze manier beschikken de providers over een IT-continuïteitsplan om een (quasi) continue service te kunnen voorzien. Daarnaast beschikken zij over procedures indien de Cloud service niet beschikbaar zou zijn CONCLUSIE 5: Slechtst geadresseerde problemen: Economic concerns en Data mangement De twee slechtst geadresseerde problemen zijn economic concerns en data management, beiden scoren slechts 48%. De belangrijkste factoren die bijdragen tot deze zwakke score, worden hier kort toegelicht: Betreffende de economic concerns kan men de volgende twee zaken bemerken: 78

92 1. De kosten met betrekking tot de Cloud worden niet opgevolgd, noch besproken tussen provider en gebruiker. Een uitzondering hierop is RealDolmen, waarbij een Service Delivery Manager (SDM) wordt aangesteld die wekelijks, maandelijks en driemaandelijks samenkomt met de klant om de Cloud service te bespreken, onder meer de kosten. 2. Zoals wordt aangegeven in de literatuur is het niet voor de hand liggend om de ROI van een Cloud initiatief te gaan bepalen. Hetzelfde blijkt ook uit dit onderzoek, want de ROI wordt noch bepaald door de provider, noch door de gebruiker. Dit zal verder worden besproken in subsectie Met betrekking tot data management kunnen volgende zaken worden opgemerkt: 1. Data management tools voor het beheren van data op de Cloud worden standaard niet voorzien door de provider. Langs de kant van de gebruiker wordt dit niet echt vereist, daar deze tools eerder als onhandig dan nuttig worden beschouwd. Dit ligt in lijn met wat wordt vooropgesteld in de literatuur, namelijk dat het beheer van data in de Cloud niet zo voor de hand liggend is en dus nagenoeg onbestaande in de Cloud. (Stettner, 2011; Schubert et al, 2010) 2. Een tweede bemerking betreft de data die op de Cloud wordt gezet. Hierbij wordt namelijk geen onderscheid gemaakt tussen publieke en vertrouwelijke informatie. Alle data wordt dus op dezelfde manier behandeld, ongeacht de inhoud. Door de gebruiker wordt dit gerechtvaardigd door het vertrouwen dat men heeft in de provider. 4.3 Conclusies binnen probleem of uitdaging CONCLUSIE 6: Data op de Cloud wordt niet geëncrypteerd (Security) Vanuit de literatuur wordt beschreven dat encryptie relatief moeilijk te realiseren is binnen de Cloud. Dit is voornamelijk te wijten aan het feit dat het momenteel nog niet mogelijk is om bewerkingen uit te voeren op geëncrypteerde data. Men zou de data eveneens kunnen afladen, decrypteren, bewerkingen uitvoeren, encrypteren en terug op de Cloud zetten, maar dit maakt het gehele proces veel te omslachtig en inefficiënt. (Hauck et al., 2010; Anthes, 2010) Dit wordt bevestigd in het empirische onderzoek. De data in de Cloud wordt niet geëncrypteerd. Langs de kant van de provider wordt wel de mogelijkheid voorzien om de data te encrypteren. Dit wordt echter afgeraden omdat dit een negatieve impact heeft op de performantie. 79

93 4.3.2 CONCLUSIE 7: Identity & Access Management (IAM) wordt ook voorzien in de Cloud (Security) Hoewel vanuit de literatuur wordt beweerd dat Cloud Service Providers (CSPs) niet voorzien in het aanleveren van IAM, toont deze studie toch anders aan. Zo wordt er door alle providers standaard IAM voorzien op de Cloud, waardoor klanten een zekere controle hebben over (de toegang van) hun gebruikers. De specifieke inrichting van het IAM kan wel verschillen van provider tot provider. Zo is men bij RealDolmen verplicht om het IAM te laten beheren door RealDolmen, tenminste indien de klant garanties wilt krijgen in de vorm van SLAs. Bij Stone IS heeft de klant dan weer de keuze om dit enerzijds zelf te controleren of anderzijds te laten beheren door Stone IS. Langs de kant van de gebruikers wordt hier ook steeds gebruik van gemaakt. (Zissis & Lekkas, 2011; ISACA, 2011; McAfee, 2011) CONCLUSIE 8: Data locatie wordt transparant overeengekomen (Compliance) Het meest besproken probleem met betrekking tot compliance is de locatie van de data. Zo is het niet altijd mogelijk om de exacte locatie van data te bepalen en staat de data ergens in de Cloud. Echter zijn er ook wetgevingen die hierbij beperkingen opleggen. Zo is het bijvoorbeeld verboden om persoonlijke data op te slaan buiten de Europese Unie zonder goedkeuring van de persoon in kwestie. (McAfee, 2011) Uit het onderzoek blijkt dat zowel gebruiker als provider hiervan goed op de hoogte zijn. Zo worden er steeds overeenkomsten gesloten over de exacte locatie van de data. Hoe exact deze locatie juist wordt bepaald is gerelateerd aan de grootte van de onderneming. Zo is het bij een gigant als Microsoft mogelijk om de stad te weten waar het datacenter zich bevindt en waar de data bijgevolg wordt opgeslagen. Bij RealDolmen gaat men hier nog een stap verder in en kan man het data rack gaan bepalen waar de data wordt opgeslagen. Een duidelijke blijk van begrip van het belang van de data locatie werd naar voren geschoven bij het interview met Stone IS. Op dit moment beschikt Stone IS over slechts één datacenter te Brussel, maar hier werd direct aan toegevoegd dat men bij een nieuwe locatie steeds de klant de keuze zal geven over waar hij zijn data wenst op te slagen. Langs de kant van de gebruiker werd dit begrip voornamelijk getoond door niet alleen te kunnen beamen dat er afspraken werden gemaakt over de data locatie, maar deze ook bij naam te kunnen benoemen. Zo wordt de data zowel bij AS Adventure als bij Tri-Vizor opgeslagen in Amsterdam en Dublin. 80

94 4.3.4 CONCLUSIE 9: Grote spelers gaan interoperabiliteit actief tegen (Interoperability) Zoals aangehaald in het tweede hoofdstuk, heeft het probleem met betrekking tot interoperabiliteit een impact op twee punten. Eerst en vooral op de relatie tussen verschillende Clouds en verder op de relatie tussen de Cloud en de gebruiker. (Ambrust et al., 2010; Dillon et al., 2010) Het onderzoek geeft duidelijk weer dat er op vlak van interoperabiliteit tussen Clouds twee strategieën spelen. Waar de kleine spelers trachten om de interoperabiliteit met andere Clouds te bevorderen (zoals aangehaald in subsectie 4.1.3), gaan grote spelers er juist alles aan doen om dit tegengaan. Zo zal Microsoft nooit zijn Cloud diensten open stellen om deze te integreren met deze van de concurrentie. Dit wordt bevestigd langs de kant van de gebruiker wanneer men kijkt naar het transfereren van Cloud diensten. Zo stelt de ICT-partner van Tri-Vizor, SelfNET, dat het onmogelijk is om de huidige Cloud diensten van Microsoft te transfereren naar een andere Cloud Service Provider (CSP). Terugverwijzend naar de tekst van Nelson (2009) lijkt de situatie die geschetst wordt door dit onderzoek de weg te leiden naar het Hazy Skies scenario. Binnen dit scenario wordt het Cloud landschap gedomineerd door enkele grote spelers die elk gebruik maken van hun bedrijfsspecifieke standaarden. Hierbij zou de samenwerking tussen verschillende Clouds beperkt blijven tot het uitwisselen van data CONCLUSIE 10: ROI wordt niet bepaald (Economic concerns) Een maatstaf die regelmatig gebruikt wordt voor het evalueren van een project, is de Return On Investment (ROI). Echter, dit blijkt niet eenvoudig te bepalen bij de Cloud. De reden hiervoor is dat men een beperkt inzicht heeft in waar de Cloud juist waarde genereert voor een onderneming en waar precies bijkomende kosten worden gegenereerd. (Sheth, 2012) Dit wordt bevestigd binnen deze scriptie. Noch langs de kant van de provider, noch langs de kant van de gebruiker werd de ROI van een Cloud initiatief berekend. Beide partijen wimpelen deze verantwoordelijkheid op elkaar af en de ROI blijft onbepaald. Verklaringen die worden gegeven waarom het bepalen van de ROI uitblijft, zijn enerzijds de angst voor het resultaat en anderzijds omdat dit geen deel uitmaakt van de verkoopstrategie. Men kan zich hierbij de vraag stellen of dit de echte reden is of men zich gewoonweg niet in de mogelijkheid bevindt om de ROI te bepalen, zoals wordt beschreven in de literatuur. (Sheth, 2012) 81

95 4.3.6 CONCLUSIE 11: Performantie degelijk opgevolgd door providers (Performance) Zoals aangehaald in subsectie 4.1.1, vormt performantie een probleem binnen de Cloud omdat het een grote variabiliteit vertoont en daarnaast moeilijk te meten valt. Hoewel het onderzoek uitwees dat dit probleem vanuit de gebruikers niet tot zeer beperkt geadresseerd werd (score 10%), blijkt het verhaal helemaal anders langs de kant van de provider (score 93,33%). (Ambrus et al., 2010; Hauck et al., 2010) De positieve score van 93% (93,33%) toont aan dat de providers goed op de hoogte zijn van de problemen met betrekking tot performantie. Acties die worden ondernomen vanuit de providers om dit probleem te managen zijn de volgende: eerst en vooral werden er metrieken gedefinieerd om de performantie te kunnen meten. Voorbeelden van dergelijke metrieken zijn CPU, bandbreedte, vrij geheugen en disk I/O. Verder beschikt men over monitoring tools waarbij deze metrieken worden gebruikt voor het analyseren van de performantie. Dit wordt steeds gecommuniceerd naar de gebruiker. Overeenkomsten met betrekking tot de performantie worden steeds opgenomen binnen de SLAs CONCLUSIE 12: Geen onderscheid publieke en vertrouwelijke informatie (Data management) Hoewel er in de literatuur wordt beschreven dat het beheren van de data op de Cloud niet voor de hand liggend is, wordt er door gebruikers geen onderscheid gemaakt tussen publieke en vertrouwelijke informatie. Langs de kant van de provider wordt hier eveneens geen onderscheid gemaakt daar de data van de klant black box is voor de provider. Als gevolg wordt alle data op de Cloud volgens dezelfde principes behandeld, zoals in het onderzoek werd aangegeven door de providers. Dit zou het volgende kunnen impliceren: ofwel wordt alle data behandeld naar de normen van vertrouwelijke informatie waarbij bijgevolg resources worden verspild aan de publieke informatie, ofwel wordt alle data behandeld naar de normen van de publieke informatie en wordt de vertrouwelijke informatie bijgevolg blootgesteld wordt aan beveiligingsrisico s. (Stettner, 2011; Schubert et al., 2010) 82

96 4.4 Bevindingen: Conclusies thesisonderzoek Binnen dit vierde hoofdstuk werd getracht een antwoord te bieden op de overkoepelende onderzoeksvraag van dit thesisonderzoek, namelijk Hoe gaan bedrijven om met de problemen en uitdagingen bij Cloud Computing?. Hierbij werd vertrokken vanuit de bevindingen van hoofdstuk 3 en werd getracht om conclusies te extraheren door het identificeren van regelmatigheden. Om een zo gedetailleerd mogelijk beeld te geven, werden de conclusies beschreven op drie verschillende niveaus (cases, problemen en uitdagingen, binnen problemen en uitdagingen). Dit resulteerde in een lijst met 12 conclusies, welke worden weergegeven in onderstaande tabel (4.4). Tabel 4.4: Conclusies thesisonderzoek NI VEAU 1. CASES 2. PROBLEMEN & UITDAGINGEN 3. BINNEN PROBLEMEN & UITDAGINGEN CONCLUSIE 1: CONCLUSIE 2: CONCLUSIE 3: CONCLUSIE 4: CONCLUSIE 5: CONCLUSIE 6: CONCLUSIE 7: CONCLUSIE 8: CONCLUSIE 9: CONCLUSIE 10: CONCLUSIE 11: CONCLUSIE 12: CONCLUSI E Gebruikers zijn niet op de hoogte van de problematiek van Cloud Computing Providers relatief goed op de hoogte van de problematiek van Cloud Computing Kleine providers moeten niet onderdoen voor grotere spelers Best geadresseerde problemen: 'Interoperability' en 'Availability' Slechtst geadresseerde problemen: 'Economic concerns' en 'Data management' Data op de Cloud wordt niet geëncrypteerd (Security) Identity & Access Management ook voorzien op de Cloud (Security) Data locatie wordt transparant overeengekomen (Compliance) Grote spelers gaan interoperabiliteit actief tegen (Interoperbility) ROI wordt niet bepaald (Economic concerns) Performantie degelijk opgevolgd door providers (Performance) Geen onderscheid publieke en vertrouwelijke informatie (Data management) Bron: eigen samenstelling 83

97 5. Algemeen besluit Het doel van deze thesis was tweeledig. Eerst en vooral het bepalen van de belangrijkste problemen en uitdagingen voor Cloud Computing en vervolgens nagaan hoe ondernemingen in de Cloud omgaan met deze problematiek. Omdat Cloud Computing een relatief nieuw concept betreft, werd het eerste hoofdstuk toegewijd aan een algemene inleiding tot Cloud Computing. Binnen dit hoofdstuk werd een algemeen kader geschetst waarbinnen het onderzoek zou plaatsvinden. Er werd een algemene definitie aangehaald, alsook een beschrijving gegeven van de meest kenmerkende eigenschappen, de Cloud omgeving, de verschillende service- en Cloud modellen, verwante concepten en de belangrijkste voordelen. In het tweede hoofdstuk werd de focus verlegd naar de problematiek bij het gebruik van Cloud Computing. Er werd een analyse uitgevoerd op basis van een reeks bestaande onderzoeken, waaruit een lijst werd geëxtraheerd met de acht belangrijkste problemen en uitdagingen voor Cloud Computing: security, compliance, interoperability, economic concerns, availabillity, performance, data management en governance. Het derde hoofdstuk werd toegewijd aan het empirische onderzoek. Binnen het eerste deel van dit hoofdstuk werd het opstellen van de vragenlijst toegelicht. Hierbij werd er gerefereerd naar COBIT en CCMAP die als basis dienden voor de vragenlijst, gericht op de problemen en uitdagingen bepaald in hoofdstuk 2. Vervolgens werd de gecapteerde informatie uit de interviews vervat in vijf case studies (Microsoft, RealDolmen, Stone IS, AS Adventure en Tri-Vizor) en werden de bevindingen gedetailleerd samengebracht in acht tabellen, overeenkomstig de acht belangrijkste problemen en uitdagingen voor Cloud Computing. In het vierde hoofdstuk werd getracht een antwoord te bieden op de overkoepelende onderzoeksvraag: Hoe gaan ondernemingen om met de problemen en uitdagingen van Cloud Computing?. Dit antwoord werd gegeven in de vorm van een reeks conclusies die werden afgeleid uit het empirische onderzoek. Om een gedetailleerd beeld te kunnen geven, werden conclusies beschreven op drie niveaus: op het niveau van de cases, op het niveau van de problemen en uitdagingen en binnen de problemen en uitdagingen. De conclusies werden steeds teruggekoppeld naar enerzijds de (academische) literatuur uit hoofdstuk en anderzijds het empirische onderzoek, ter verduidelijking. De conclusies werden samengevat in onderstaande tabel (5.1). 84

98 Tabel 5.1: Conclusies thesisonderzoek (herhaling) NI VEAU 1. CASES 2. PROBLEMEN & UITDAGINGEN 3. BINNEN PROBLEMEN & UITDAGINGEN CONCLUSIE 1: CONCLUSIE 2: CONCLUSIE 3: CONCLUSIE 4: CONCLUSIE 5: CONCLUSIE 6: CONCLUSIE 7: CONCLUSIE 8: CONCLUSIE 9: CONCLUSIE 10: CONCLUSIE 11: CONCLUSIE 12: CONCLUSI E Gebruikers niet op de hoogte van de problematiek van Cloud Computing Providers relatief goed op de hoogte van de problematiek van Cloud Computing Kleine providers moeten niet onderdoen voor grotere spelers Best geadresseerde problemen: 'Interoperability' en 'Availability' Slechtst geadresseerde problemen: 'Economic concerns' en 'Data management' Data op de Cloud wordt niet geëncrypteerd (Security) Identity & Access Management ook voorzien op de Cloud (Security) Data locatie wordt transparant overeengekomen (Compliance) Grote spelers gaan interoperabiliteit actief tegen (Interoperbility) ROI wordt niet bepaald (Economic concerns) Performantie degelijk opgevolgd door providers (Performance) Geen onderscheid publieke en vertrouwelijke informatie (Data management) Bron: eigen samenstelling 85

99 6. Bibliografie [1] Anthes, G. (2010). Security in the Cloud. Communications of the ACM, [2] Armbrust, M., Fox, A., Griffith, R., Joseph, D. A., Katz, R., Konwinski, A., et al. (2010). A View of Cloud Computing. Communications of the ACM, [3] Badger, L., Bernstein, D., Bohn, R., de Vaulx, F., Hogan, M., Mao, J., et al. (2011). US Government Cloud Computing Technology Roadmap: Volume I. Gaithersburg: National Institute of Standards and Technology (NIST). [4] Bel-First database. (2012). [5] Bellens, D. (2012), Hoe gaan ondernemingen om met de problemen en uitdagingen bij Cloud Computing. Interview met consultant van Microsoft Belgium, 06/08/2012, per mail. [6] Bormans, F. (2012), Hoe gaan ondernemingen om met de problemen en uitdagingen bij Cloud Computing. Interview met Business Development Manager (Cloud Solutions & Managed Services) van RealDolmen, 31/07/2012, RealDolmen (Kontich). [7] Catteddu, D., & Hogben, G. (2009). Cloud Computing: Benefits, risks and recommendations for information security. European Network and Information Security Agency (ENISA). [8] Choo, K.-K. (2010). Cloud Computing: Challenges and future directions. Trends & Issues in crime and criminal justice, 1-6. [9] Colt. (2011). European CIO Cloud Survey: Addressing security, risk and transition. Colt. [10] De Bondt, T. (2012), Hoe gaan ondernemingen om met de problemen en uitdagingen bij Cloud Computing. Interview met CTO van AS Adventure, 27/07/2012, AS Adventure (Hoboken). [11] Deloitte. (2011). Cloud Adoption Study: Cloud computing is gaining momentum. Diegem: Deloitte. [12] Dillon, T., Wu, C., & Chang, E. (2010). Cloud Computing: Issues and Challenges. 24th IEEE International Conference on Advanced Information Networking and Applications (pp ). Perth: IEEE Computer Society. [13] Fullerton, R. (2012, Mei). Cloud Services. CBC Sync. [14] Grommen, S. (2010, september 3). RealDolmen stort zich in clouddiensten. Opgehaald van Datanews: 86

100 [15] Hauck, M., Huber, M., Klems, M., Kounev, S., Müller-Quade, J., Pretschner, A., et al. (2010). Challenges and Opportunities of Cloud Computing: Trade-off Decisions in Cloud Computing Architecture. KIT - University of the State of Baden-Wuerttemberg and National Research Center of the Helmholtz Association. [16] Hurwitz, J., Bloor, R., Kaufman, M., & Halper, F. (2010). Cloud Computing for Dummies. Indianapolis: Wiley Publishin, Inc. [17] Iosup, A., Ostermann, S., Yigitbasi, N., Prodan, R., Fahringer, T., & Epema, D. (2011). Performance Analysis of Cloud Computing Services for Many-Tasks Scientific Computing. IEEE Transactions on Parallel and Distributed Systems, [18] ISACA. (2007a). IT Assurance Guide: Using Cobit (Version 4.1). Rolling Meadows: Information Systems Audit and Control Association (ISACA). [19] ISACA. (2007b). COBIT Control Practices: Guidance to Achieve Control Objectives for Succesful IT Governance (2nd Edition). Rolling Meadows: Information Systems Audit and Control Association (ISACA). [20] ISACA. (2010). Cloud Computing Management Audit/Assurance Program. Rolling Meadows: Information Systems Audit and Control Association (ISACA). [21] ISACA. (2011). IT Control Objectives for Cloud Computing: Controls and Assurance in the Cloud. Rolling Meadows: Information Systems Audit and Control Association (ISACA). [22] IT Industry Innovation Council. (2011). Cloud Computing: Opportunities and Challenges. IT Industry Innovation Council. [23] Jansen, W., & Grance, T. (2011). Guidelines on Security and Privacy in Public Cloud Computing. Gaithersburg: National Institute of Standards and Technology (NIST). [24] KPMG. (2011). Clarity in the Cloud: A global study of the business adoption of Cloud. KPMG. [25] KPMG. (2012). Modelling the Economic Impact of Cloud Computing. KPMG. [26] Kuyoro, S., Ibikunle, F., & Awodele, O. (2011). Cloud Computing Security Issues and Challenges. International Journal of Computer Networks (IJCN), [27] Mannaert, H., & Verelst, J. (2009). Normalized Systems: Re-creating Information Technology Based on Laws for Software Evolvability. Kermt: Koppa. [28] Marston, S., Li, Z., Bandyopadhyay, S., Zhang, J., & Ghalasi, A. (2011). Cloud Computing: The business perspective. Decision Support Systems,

101 [29] McAfee, A. (2011). What every CEO needs to know about the Cloud. Harvard Business Review, [30] Metz, C. (2009, Oktober 9). Bitbucket's Amazon DDoS: What went wrong. Opgehaald van The Register: [31] Microsoft. (2011, oktober 17). Our Commitment To Our Customers. Opgehaald van Microsoft: [32] Microsoft. (2012a). Microsoft Investor Relations - Press Releases. Opgehaald van Microsoft: Q4/default.aspx [33] Microsoft. (2012b). AS Adventure verlaagt IT-kost met ruim 30% dankzij overstap naar Office 365. Opgehaald van Microsoft: [34] Microsoft. (2012c). TRI-VIZOR bundelt transportstromen via cargo community in de cloud. Opgehaald van Microsoft: [35] Nelson, M. (2009). Building an Open Cloud. Science, [36] NIST. (1995, Oktober). An Introduction to Computer Security: The NIST Handbook. Opgehaald van [37] NIST. (2011). The NIST Definition of Cloud Computing. Gaithersburg: National Institute of Standards and Technology. [38] OnApp. (2012, juni 21). Customers on camera: Shift To The Cloud. Opgehaald van OnApp: [39] Plummer, D. C., Bittman, T. J., Austin, T., Cearley, D. W., & Smith, D. M. (2008). Cloud Computing: Defining and Describing an Emerging Phenomenon. Stamford: Gartner. [40] Ryan, M. W., & Loeffler, C. M. (2010). Insights into Cloud Computing. Intellectual Property & Technology Law Journal, [41] Schubert, L., Jeffery, K., & Neidecker-Lutz, B. (2010). The Future of Cloud Computing: Opportunities for European Cloud Computing beyond European Commission. [42] Sheth, A. (2012, Februari 2012). Demystifying Cloud ROI Analysis: Performing ROI Effectively & Avoiding Commong Pitfalls. Opgehaald van LiquidHub: 88

102 [43] Shivakumar, B., & Raju, T. (2010). Emerging Role of Cloud Computing in Redefining Business Operations. Global Management Review, [44] Staten, J. (2009). Which Cloud Computing Platform Is Right For You? Cambridge: Forrester. [45] Stettner, D. C. (2011). Be Bright about Cloud Computing: Getting benefits from offloading IT responsibilities requires you to understand what you may be giving up. Material Handling & Logistics, [46] Stroud, R. E. (2010). Governance, COBIT and the Cloud a match made in the sky! Opgehaald van [47] Subashini, S., & Kavitha, V. (2011). A survey on security issues in service delivery models of Cloud Computing. Journal of Network and Computer Applications, [48] Svantesson, D., & Clarke, R. (2010). Privacy and consumer risks in Cloud Computing. Computer Law & Security Review, [49] Van Breedam, A. (2012), Hoe gaan ondernemingen om met de problemen en uitdagingen bij Cloud Computing. Interview met CEO van Tri-Vizor, 03/08/2012, Tri-Vizor (Niel). [50] Van Stichel, S. (2012), Hoe gaan ondernemingen om met de problemen en uitdagingen bij Cloud Computing. Interview met CEO van Stone Internet Services, 02/08/2012, Stone Internet Services (Gent). [51] World Economic Forum. (2010). Exploring the Future of Cloud Computing: Riding the next wave of technology-driven transformation. Cologny: World Economic Forum. [52] Zhang, Q., Cheng, L., & Boutaba, R. (2010). Cloud Computing: State-of-the-art and research challenges. Journal of Internet Services and Applications, [53] Zissis, D., & Lekkas, D. (2011). Addressing Cloud Computing security issues. Future Generation Computer Systems,

103 7. Bijlagen 7.1 Bijlage I: Interview Microsoft 90

104 91

105 92

106 93

107 94

108 95

109 96

110 97

111 7.2 Bijlage II: Interview RealDolmen 98

112 99

113 100

114 101

115 102

116 103

117 104

118 105

119 106

120 7.3 Bijlage III: Interview Stone IS 107

121 108

122 109

123 110

124 111

125 112

126 113

127 7.4 Bijlage IV: Interview AS Adventure 114

128 115

129 116

130 117

131 118

132 119

133 120

134 121

135 7.5 Bijlage V: Interview Tri-Vizor 122

136 123

137 124

138 125

139 126

140 127

141 128

142 129