CLOUD COMPUTING RISK FRAMEWORK

Transcriptie

1 Informatiemanagement: CLOUD COMPUTING RISK FRAMEWORK Ligt u, controller, wel eens wakker van de risico s die gepaard gaan met cloud computing, terwijl u zich ook realiseert dat dit een niet te stoppen ontwikkeling is? Of gaat uw organisatie vanwege de voordelen en laagdrempeligheid erg gemakkelijk en snel mee in de cloud, terwijl u of uw bestuurder kritische vragen heeft die niet altijd beantwoord kunnen worden? Dit artikel gaat in op deze vragen en werkt toe naar een Cloud Computing Risk Framework, maar stelt ook kritische vragen bij deze ontwikkeling. Uit onderzoek blijkt namelijk dat cloud computing niet zoveel anders is als IT-dienstverlening van voorheen. Bert Schellekens: Ontwikkelingen en innovaties op het gebied van IT gaan erg snel en de meeste IT-outsourcingcontracten hebben een looptijd van vijf jaar waarbij de dienstverlener geen belang heeft bij het doorvoeren van innovaties. Volgens Minke (2010) is de IT-afdeling de regie kwijt, is het als (grote) organisatie hierdoor moeilijk om up-to-date te blijven en lopen de meeste IT-afdelingen zelfs drie tot vier jaar achter op de eigen eindgebruikers. Deze eindgebruikers gaan door de vele hulpmiddelen (laptops, smartphones, tablets e.d.) wel gemakkelijk mee in de nieuwe ontwikkelingen. Cloud computing biedt de IT-afdeling de mogelijkheid om beter in te springen op deze ontwikkelingen en innovaties. Daarnaast kent cloud computing andere (potentiële) voordelen die in de economische crisis met forse bezuinigingen voor organisaties een belangrijke reden kunnen zijn om over te stappen, namelijk (Cloud Security Alliance, 2011; Hendriks e.a., 2012): ~ een hoge mate van flexibiliteit met betrekking tot de afname, en betaling, van IT; ~ verschuiving van investerings- (CAPEX) naar exploitatiekosten (OPEX); ~ snelle ontwikkeling van nieuwe dienstverlening (innovatie) en minder risico ten aanzien van nieuwe investeringen in IT; ~ lagere kosten; ~ verlaging van de beheerinspanning. Echter, met name de beveiliging van de data en persoonsgegevens roept kritische vragen op. Daarom wordt in dit artikel ingezoomd op de risico s die gepaard gaan met deze populaire ontwikkeling. Na een korte introductie van het begrip cloud computing wordt de totstandkoming van het Cloud Computing Risk Framework toegelicht. Cloud computing: een korte introductie In de literatuur zijn vele definities beschreven die alle dezelfde kenmerken bevatten en daardoor goed vergelijkbaar zijn (Sultan, 2010). In dit artikel is gekozen voor onderstaande definitie. Cloud computing is het leveren/gebruiken van schaalbare en elastische diensten via internet. Het betreft standaarddiensten, die door de gebruiker zelf in te richten zijn en waarvoor wordt betaald naar gebruik. Er zijn verschillende soorten clouddiensten. Van kant-en-klare applicaties die de eindgebruiker direct kan gebruiken tot platforms waarmee de gebruiker zelf applicaties kan ontwikkelen of samenstellen (Berchum e.a., 2010). De kracht van cloud computing zit vooral in het aanbieden van standaarddiensten waardoor de kosten structureel laag gehouden kunnen worden. Het is dus geen maatwerk per organisatie, maar een organisatie kiest welke standaarddiensten worden gebruikt. Alle diensten vanuit de cloud zijn schaalbaar en elastisch wat betekent dat de dienst meebeweegt met het feitelijke gebruik. Dit zorgt voor de meest efficiënte inzet van IT-diensten. De cloud kent een pay-as-you-go kostenstructuur wat betekent dat een organisatie betaalt voor het feitelijke gebruik. Clouddiensten zijn benaderbaar via internet, vrijwel altijd via de standaardwebbrowser. Hierdoor zijn ze altijd en overal benaderbaar en sluiten perfect aan bij principes als bring-your-owndevice. 24 MCA: oktober 2013, nummer 5

2 Cloud computing kent drie algemene vormen van diensten die zijn weergegeven in tabel 1. Software as a Service (SaaS): Infrastructure as a Service (IaaS): Platform as a Service (PaaS): Bij deze vorm van dienstverlening gaat het om kant-en-klare applicaties of software die direct door de eindgebruiker gebruikt kunnen worden (bijvoorbeeld Google Apps, Hotmail en Exact Online) Dit betreft hardware gerelateerde online diensten, bijvoorbeeld rekenkracht ( processing ) voor het uitvoeren van wetenschappelijke berekeningen, opslagruimte voor de back-up, of netwerkcapaciteit voor het hosten van de website (bijvoorbeeld Dropbox, Google Drive en Amazon EC2) Hier neemt de gebruiker een dienst af om eigen applicaties te ontwikkelen of samen te stellen uit bouwstenen, bijvoorbeeld hardware, een besturingssysteem, middleware, een database of webserver (bijvoorbeeld Google Application Engine, Force.com, Amazon Web Services en Microsoft Azure) Tabel 1. Drie algemene vormen van clouddiensten (Berchum e.a., 2010; Hendriks e.a., 2012) Het implementeren van cloud computing heeft een grote impact op het beheer van IT-diensten. Alle clouddiensten worden gehost en beheerd door de leverancier (bijvoorbeeld Microsoft, Force.com of Google). Hierbinnen zijn diverse inkoopvormen mogelijk, namelijk: ~ publieke cloud: de meest ultieme vorm van cloud computing, waarbij de diensten voor algemeen gebruik zijn en met alle gebruikers worden gedeeld. Alles wordt ingericht en beheerd onder de voorwaarden van de leverancier; ~ private cloud: de tegenhanger van de publieke cloud, waarbij de infrastructuur wordt uitbesteed aan een derde, maar alleen wordt gebruikt binnen de specifieke context van een organisatie. De gebruiker heeft grote invloed op de gestelde voorwaarden aan het service level; ~ hybride cloud: een combinatie gemaakt van de twee andere vormen, publiek en privaat. Essentiële (vertrouwelijke) applicaties worden bijvoorbeeld in een private cloud gehangen, terwijl algemene applicaties (bijvoorbeeld mail) in een publieke cloud worden gehost en beheerd. Binnen deze drie vormen wordt vervolgens onderscheid gemaakt in individuele inkoop en gezamenlijke inkoop. Gezamenlijke inkoop vergroot de onderhandelingspositie van de gebruiker ten opzichte van de leverancier (Van der Harst, 2010). MCA: oktober 2013, nummer 5 25

3 Het enige veilige systeem is een computer, ingepakt in een laag van zes meter gewapend beton, die uitstaat (Van der Harst, 2010) Risicomanagementbenadering Cloud computing brengt naast de diverse voordelen ook potentiële risico s met zich mee. Dit blijkt ook uit onderzoek onder een groot aantal Chief Information Officers (Berchum e.a., 2010). Als belangrijkste aandachtspunten (ofwel risico s) worden de beveiliging, integratie van bestaande systemen, zeggenschap over gegevens, beschikbaarheid dienst en performance genoemd. Een goed risicomanagement is daarom van cruciaal belang en een uitvoerige en zorgvuldige risicoanalyse is een belangrijke eerste stap bij het gebruik van cloud computing (Data Protection Working Party, 2012). Dit wordt versterkt doordat het fenomeen cloud computing nog volop in ontwikkeling is en zich bevindt op de weg naar volwassenheid. Dit in combinatie met negatieve publiciteit over cloudincidenten (bijvoorbeeld de beveiligingsproblemen bij Dropbox) en al of niet terechte zorg over toegang tot informatie door andere overheden, heeft geleid tot een breed gedragen zorg rondom het vertrouwen in cloud computing. Hierbij is overigens ook gebleken dat percepties over vooren nadelen niet altijd overeenkomen met de feitelijke situatie (Hendriks e.a., 2012). Om het een en ander te relativeren is het enige veilige systeem een computer, ingepakt in een laag van zes meter gewapend beton, die uitstaat (Van der Harst, 2010). Het belang van risicomanagement is hierboven aangetoond en daarom is een Cloud Computing Risk Framework ontwikkeld waarvan het ontstaan hieronder wordt toegelicht. In het betreffende onderzoek zijn de risico s inzichtelijk gemaakt door een gedegen literatuuronderzoek. Om hierbij een goede structuur te kiezen zijn vanuit het vakgebied risicomanagement drie mogelijke raamwerken bekeken, namelijk: ~ Enterprise Risk Management (ERM) Integrated Framework van COSO (2004); ~ Cloud Security Alliance (2011), specifiek gericht op cloud computing; ~ Control Objectives for Information and related Technology versie 5 (COBIT 5) van ISACA (2012). Alle raamwerken bieden een goede structuur voor het uitwerken van een Cloud Computing Risk Framework. Aangezien het raamwerk van COSO een breder draagvlak heeft binnen de literatuur en de werking ervan meerdere malen is bewezen (onder andere door Gates e.a., 2012) is deze als leidende structuur gebruikt. Aspecten van het Cloud Security Alliance en COBIT 5 raamwerk zijn hierbij gebruikt als een checklist voor de volledigheid. Daarnaast is het literatuuronderzoek versterkt door een aantal diepte-interviews met deskundigen op het gebied van risicomanagement inzake cloud computing. De reden hiervan is dat cloud computing een nieuwe ontwikkeling is die de laatste jaren een sterke opmars kent. Dit blijkt ook uit het jonge karakter van de wetenschappelijke artikelen, waarvan de oudste artikelen gepubliceerd zijn in Door deze aanpak is het onderwerp vanuit meerdere perspectieven (literatuur en praktijk) bekeken, wat de betrouwbaarheid verhoogt. Cloud Computing Risk Framework Het COSO-raamwerk (figuur 1) bestaat uit vier categorieën doelstellingen (bovenkant kubus), acht componenten (voorkant kubus) en vier organisatieniveaus (zijkant kubus). Het Cloud Computing Risk Framework is gericht op het niveau van de totale organisatie (entity-level) wat het detailniveau aangeeft waarmee de categorieën en componenten zijn beschreven. Het bestaat uit vier onderdelen, namelijk: ~ interne omgeving & formuleren doelstellingen (internal environment & objective setting); ~ rapportage & compliance (reporting & compliance); ~ operationeel (operations); ~ strategisch (strategic). Vanwege de grote samenhang tussen rapportage & compliance zijn deze twee categorieën samengevoegd. Tevens zijn de componenten interne omgeving en formuleren van doelstellingen als afzonderlijk onderdeel opgenomen vanwege de grote overlap met alle categorieën doelstellingen. Binnen deze on- 26 MCA: oktober 2013, nummer 5

4 ook op de cultuur van de organisatie (bijvoorbeeld andere manier van werken en specifieke kennis). Internal Environment Objective Setting Event Identification Risk Assessment Risk Response Control Activities Information & Communication Monitoring Figuur 1. ERM Integrated Framework (COSO, 2004) derdelen van het Cloud Computing Risk Framework zijn diverse risicoclusters van cloud computing beschreven. Deze worden hieronder kort toegelicht. Interne omgeving & formuleren doelstellingen Voor de interne omgeving is het van belang om het risico op ongewenst gedrag binnen de organisatie zo veel mogelijk te verminderen. Een beheersingsactiviteit hiervoor is een gedegen management control systeem, zodat de neuzen in de organisatie dezelfde kant op wijzen. Hierbij dient een organisatie doelstellingen te formuleren om potentiële risico s te kunnen bepalen die invloed hebben op het behalen van deze doelstellingen. Deze moeten afgestemd zijn op de vastgestelde risicoacceptatiegraad. Dit laatste is bij cloud computing belangrijk en het creëren van een juiste IT-alignment is daarbij essentieel. De overgang naar cloud computing is namelijk een belangrijke strategische keuze met niet alleen een grote impact op IT, maar Rapportage & compliance Dit onderdeel is veel besproken binnen cloud computing en zorgt voor een grote hoeveelheid onzekerheid. Het bevat de volgende drie risicoclusters: 1. Informatie- en databeveiliging richt zich onder andere op de rollen en verantwoordelijkheden bij cloud computing, waarbij het van belang is dat de afnemer (controller) altijd een leverancier (processor) kiest die kan garanderen aan de wet- en regelgeving voor dataprotectie te voldoen. Daarnaast dienen risico s ten aanzien van toegankelijkheid, identiteit, toegangsbeheer en complexiteit beheerst te worden. Aangezien de persoonlijke data wordt beheerd door de leverancier is het van belang om goede afspraken te maken over de opslag van en controle over deze eigen gegevens. De afnemer is namelijk de exclusieve controle kwijt. Ten slotte is de transparantie van de leverancier een belangrijk aandachtspunt. Veel leveranciers geven namelijk vaak geen, of slechts in beperkte mate, inzicht in de beveiligingsmaatregelen die zijn genomen en de wijze waarop deze worden getest en gecontroleerd. Een right-to-audit geeft de afnemer hierbij het recht om een controle op de informatiebeveiliging uit te voeren. 2. Juridische afspraken (overeenkomsten) met de leverancier zijn belangrijk om risico s te ondervangen. Veel risico s zijn niet afgedekt in de standaardvoorwaarden, die overigens ook nog eens als sterk eenzijdig, niet onderhandelbaar en weinig transparant worden ervaren (Hendriks e.a., 2012). Duidelijke afspraken over dataprotectie, informatiebeveiliging, privacy en dienstverlening zorgen wel voor de juiste zekerheid. De overgang naar cloud computing is een belangrijke strategische keuze met niet alleen een grote impact op IT, maar ook op de cultuur van de organisatie MCA: oktober 2013, nummer 5 27

5 Operationeel Implementatie aanpak en beheer Ineffectieve en inefficiënte inzet van middelen t.b.v. implementatie Onjuiste inrichting beheerorganisatie Deskundigheid personeel (operationeel) Onvoldoende deskundigheid gebruikers Dataportabiliteit en interoperabiliteit (integratie en standaarden) Vendor lock-in door ontbreken open standaarden Strategisch Strategische randvoorwaarden Onzekerheid of weinig vertrouwen bij stakeholders Onvoldoende vakkundige aansturing externe leverancier Deskundigheid personeel (strategisch) Onvoldoende IT-deskundigheid (strategisch) Business continuïteit en prestatie Onvoldoende prestaties cruciale bedrijfsprocessen t.a.v. netwerkcapaciteit Dataverlies door stoppen of verdwijnen van clouddienst bij faillissement leverancier Dataverlies door afbouwen of wijzigen clouddienst vanwege economische redenen Business case Vooraf onvoldoende inzicht in (financiële) consequenties van overstap/keuze voor clouddienst Figuur 2. Cloud Computing Risk Framework Cloud Computing Risk Framework Rapportage & compliance Informatie- en databeveiliging Onduidelijkheid rollen en verantwoordelijkheden dataprotectie Misbruik systeem door onvoldoende identiteits- toegangsbeheer Onjuiste opslag van en controle over eigen gegevens Onvoldoende controle op informatiebeveiliging door onvoldoende transparantie leverancier Juridische afspraken (contractering) Sterk eenzijdige, niet onderhandelbare en weinig transparante standaardvoorwaarden Onvoldoende zekerheid t.b.v. dataprotectie/informatiebeveiliging Onjuiste en/of onvolledige contractering leverancier, incl. afspraken over niveau dienstverlening en privacy Checklist cloud computing & privacy Checklist contractering (incl. niveau dienstverlening) Compliance/privacy Onjuist en onwettig (misbruik) van (privacygevoelige) gegevens Onwenselijk gebruik van (privacygevoelige) gegevens door locatie van data Interne omgeving & formuleren doelstellingen Ongewenst gedrag t.a.v. doelstellingen en risico s Onjuiste/onvolledige IT-alignment 3. Risico s ten aanzien van compliance/privacy en gegevensbescherming (dataprotectie) zijn wellicht het meest besproken bij cloud computing. In Nederland is de Wet bescherming persoonsgegevens (WBP) van belang en de locatie van de data speelt hierbij een belangrijke rol. Vanuit de WBP mogen persoonsgegevens in beginsel slechts naar landen buiten de EU worden doorgegeven indien dat land een passend beschermingsniveau kent. In de praktijk betreft dit landen die op de zogenoemde Witte lijst staan. Amerika staat hier bijvoorbeeld niet op en het College bescherming persoonsgegevens (2012) heeft hiervoor belangrijke aandachtspunten opgesteld. Deze gaan specifiek in op de naleving van de Safe Harbor Principles, het opvragen van een third party mededeling zoals ISAE 3402 en SSAE 16 en de rol van (sub)bewerkers. Operationeel Dit onderdeel is onderverdeeld in drie risicoclusters, namelijk: 1. Implementatieaanpak en beheer: de implementatieaanpak richt zich op het beschrijven van een volledig projectplan. Het beheer bij cloud computing is vooral gericht op de deelprocessen identiteits- en rechtenbeheer en portfolio- en contractmanagement (Manderveld e.a., 2011). Dit komt doordat de leverancier belangrijke beheertaken van applicatie- en technisch beheer volledig overneemt. 2. Risico s ten aanzien van deskundigheid personeel (operationeel) worden gemitigeerd door het meenemen en vooraf informeren van de gebruikers over het juiste gebruik van de clouddienst. Een mediaprotocol inclusief de consequenties van onverantwoord gedrag is hierbij een goed hulpmiddel. 3. Een goede dataportabiliteit en interoperabiliteit voorkomt het risico op een vendor lock-in. Hierbij zit de afnemer vast in de standaard van de betreffende leverancier, waarbij de data niet goed overplaatsbaar (dataportabiliteit) of uitwisselbaar (interoperabiliteit) zijn. Het is hiervoor van belang om vooraf goed zicht te krijgen op de openheid van de leverancier. Strategisch Het onderdeel strategisch is onderverdeeld in vier risicoclusters. 1. De strategische randvoorwaarden regieorganisatie, IT-strategie en -governance zijn een belangrijke basis om als organisatie de leverancier vakkundig te kunnen aansturen (Van der Harst, 2010). 2. Risico s ten aanzien van deskundigheid personeel (strategisch) hebben betrekking op de grote impact van cloud computing op de IT-afdeling. Het werken in een IT-omgeving binnen de cloud vraagt een andere deskundigheid dan de traditionele IT-omgeving. IT-medewerkers moeten bijvoorbeeld de juiste competenties bezitten voor het managen van een strategische relatie met de leveranciers van clouddiensten, alsmede het werken onder stringente contractuele afspraken met dezelfde leveranciers (Bristow e.a., 2010). 3. Ten behoeve van business continuïteit en presta- 28 MCA: oktober 2013, nummer 5

6 Cloud computing is voor veel onderdelen niet uniek, maar oude wijn in nieuwe zakken ties ontstaan de volgende risico s door het gebrek aan controle over de hardware, omdat bij cloud computing de dienstverlening wordt uitbesteed: ~ slechtere prestaties door overbelasting van het netwerk/platform door de prikkel bij de leverancier om een zo hoog mogelijke financiële marge te behalen (Tisnovsky, 2010); ~ geen garantie voor de minimale bereikbaarheid ( uptime ) van de dienst tegen de gebruikelijke performance. Bij cruciale bedrijfsprocessen zorgt dit voor ongewenste risico s; ~ dataverlies bij het stoppen of verdwijnen van de clouddienst door bijvoorbeeld faillissement leverancier (Bristow, 2010; Tisnovsky, 2010) of afbouwen of wijzigen van de dienst vanwege economische redenen (Hendriks e.a., 2012). 4. Het beschrijven van een business case dwingt tot het maken van een zorgvuldige en strategische keuze om over te stappen naar een clouddienst. Volgens Manderveld e.a. (2011) bevat een business case de volgende aspecten: Dit onderzoek was onderdeel van mijn afstudeerscriptie voor de EMFC-opleiding bij Nyenrode Business Universiteit. De scriptie ging nog verder tot het niveau van mijn werkgever Fontys Hogescholen, met de hoofdvraag wat een goed Cloud Computing Risk Framework voor Fontys Hogescholen is. Het onderzoek bestond uit twee fasen, waarvan in dit artikel fase 1 is beschreven. Een totaaloverzicht van het afstudeeronderzoek is hieronder weergegeven. Het Cloud Computing Risk Framework (Fontys) wordt de komende tijd geïmplementeerd binnen Fontys Hogescholen. FASE 1.1 FASE 1.2 Cloud computing Risk Framework (Universeel) FASE 2.1 FASE 2.2 Fase 1 Fase 2 Onderzoeksfasering en -resultaten Cloud computing Risk Framework (Fontys) ~ kwalitatieve voor- en nadelen: een kwalitatieve beschrijving van voor- en nadelen; ~ kwantitatieve voor- en nadelen: meetbare eenheden, maar niet in geld uit te drukken; ~ financiële voor- en nadelen: in geld uit te drukken meetbare eenheden; ~ risico s: potentiële nadelen. Aangezien het reduceren van kosten een belangrijke reden is voor organisaties om over te stappen dient vooraf een goede financiële analyse gemaakt te worden. De systematiek total cost of ownership leent zich goed voor cloud computing, omdat hierbij ook minder zichtbare of verborgen kosten en opbrengsten inzichtelijk worden gemaakt. Bovenstaande leidt tot het Cloud Computing Risk Framework in figuur 2. Dit is een schermafdruk van een interactieve mindmap met gedetailleerde informatie per onderdeel. Hoe kan het worden gebruikt? Het Cloud Computing Risk Framework is universeel te gebruiken als checklist voor een risicoanalyse voor nieuwe of bestaande clouddiensten. Een uitvoerige en zorgvuldige risicoanalyse is van cruciaal belang bij het gebruik van cloud computing (Data Protection Working Party, 2012). Het kan als onderdeel van de business case worden opgenomen of met terugwerkende kracht worden doorlopen voor bestaande clouddiensten. Dit leidt dan tot een risicobeoordeling die wel of niet acceptabel wordt geacht, afhankelijk van de risicoacceptatiegraad van de organisatie. Ten slotte heeft het Cloud Computing Risk Framework vanwege de snelle ontwikkelingen en onvolwassenheid een beperkte geldigheidsduur. Met name ontwikkelingen op het gebied van informatiebeveiliging en wetgeving gaan snel. Bij de implementatie van het raamwerk dient het beheer van het risk framework dan ook goed belegd te worden. Conclusie In dit artikel is de totstandkoming van het Cloud Computing Risk Framework beschreven. Het raam- MCA: oktober 2013, nummer 5 29

7 werk is gevoed vanuit de literatuur en de praktijk. De confrontatie tussen beide heeft geleid tot drie bevindingen. Ten eerste blijkt een grote tegenstrijdigheid tussen de literatuur en de praktijk ten aanzien van de definitie van cloud computing en de genoemde voordelen. Deskundigen betwisten namelijk het aspect van schaalbaarheid gekoppeld aan de pay-asyou-go kostenstructuur en de verlaging van kosten door invoering van cloud computing. Bij de meeste aangeboden clouddiensten betaalt de afnemer vaste licentiekosten en dus niet naar feitelijk gebruik. Wellicht kan dit alleen worden bereikt bij de ultieme vorm van cloud computing, een publieke cloud. Echter, grotere organisaties zullen niet snel overgaan tot een publieke cloud, want de afname van een hybride of private cloud ligt meer voor de hand. Ten tweede zijn veel beschreven risico s van cloud computing niet nieuw, want deze zijn er bij traditionele IT-dienstverlening ook. Volgens een van de deskundigen is cloud computing voor veel onderdelen niet uniek, maar oude wijn in nieuwe zakken. Het kan wel zijn dat de risicobeoordeling (kans x impact) verschilt. Ten derde en niet onbelangrijk komen de grootste risico s ten aanzien van cloud computing in de literatuur en de praktijk overeen. Dit richt zich vooral op de informatiebeveiliging, de privacy en dataverwerking, het identiteitsmanagement, het individuele gebruik van clouddiensten, de open standaarden en de dataportabiliteit. Al met al moeten de risico s van cloud computing, als onderdeel van de totale IT-dienstverlening, serieus worden genomen en een Cloud Computing Risk Framework is hierbij een belangrijk hulpmiddel. Literatuur ~ Berchum, M. van e.a. (2010), Cloud Computing in het Onderwijs, minder zorg om techniek, meer profijt van IT, SURFnet/Kennisnet, pp ~ Bristow, R. e.a. (2010), Cloud Computing and the Power to Choose, Educausereview, mei-juni 2010, pp ~ Cloud Security Alliance (2011), Security Guidance for Critical Areas of Focus in Cloud Computing v3.0, Cloud Security Alliance, versie 3.0, 2011 ~ College Bescherming Persoonsgegevens (2012), Zienswijze inzake de toepassing van de Wet bescherming persoonsgegevens bij een overeenkomst met betrekking tot cloud computing diensten van een Amerikaanse leverancier, Cbp, 10 september 2012, ~ COSO (2004), Enterprise Risk Management Integrated Framework (ERM), Management Summary, september ~ Data Protection Working Party (2012), Opinion 05/2012 on Cloud Computing, onafhankelijk Europees adviesorgaan voor data protectie en privacy, opgezet onder artikel 29 van Directive 95/46/EC, juli ~ Gates, S. e.a. (2012), Enterprise Risk Management: A Process for Enhanced Management and Improved Performance, Management Accounting Quarterly, Spring 2012, vol. 13, nr. 3, pp ~ Harst, G. van der (2010), Cloud Computing, checklist en de te stellen vragen, SURFnet, december ~ Hendriks, A., E.M. Meershoek e.a. (2012), Cloud Computing, Fundament op Orde, eindrapportage, Verdonck, Kloosters & Associates B.V., versie 1.1., projectnummer ~ ISACA (2012), COBIT 5, A Business Framework for the Governance and Management of Enterprise IT, ISBN ~ Manderveld, J. e.a. (2011), Cloud Computing, een kans voor het onderwijs, SURFnet/Kennisnet Innovatieprogramma, november ~ Minke, B. (2010), De cloud controller, Controllersmagazine, mei 2010, pp ~ Sultan, N. (2010), Cloud Computing for Education: A new dawn? International Journal of Information Management, vol. 30, pp ~ Tisnovski, R. (2010), Risk versus Value in Outsourced Cloud Computing, Financial Executive, November 2010, pp Bert Schellekens is als Manager Bedrijfsvoering werkzaam bij Fontys Sporthogeschool 30 MCA: oktober 2013, nummer 5