Assurance verstrekking bij Cloud computing

Transcriptie

1 Assurance verstrekking bij Cloud computing leveranciers en klanten In Control Ing. Anneke Zuidberg, IT Auditor

2 Gegevens auteur: Ing. Anneke Zuidberg, IT Auditor Univé. Telefoonnummer werk : Mail werk : Anneke.Zuidberg@unive.nl Gegevens afstudeerbegeleider Vrije Universiteit Amsterdam : Dr. Wiekram Tewarie RE, docent Vrije Universiteit Amsterdam Mail: wiekram.tewarie@uwv.nl Dr. René Matthijsse RE, hoofddocent Vrije Universiteit Amsterdam Mail: matthijsse.rene@gmail.com Gegevens bedrijfsbegeleider Univé : Alexander Sluiter RE, senior IT Auditor Univé. Mail: a.sluiter@unive.nl Referentienummer VU : 2007 Assurance verstrekking bij voor Cloud computing leveranciers en klanten In Control 1 april Versie 1.0

3 Voorwoord Deze scriptie is het resultaat van een onderzoek naar de mogelijkheid om alternatieven te bieden voor het verstrekken van assurance voor Cloud computing op een manier die voldoet aan de behoeften van zowel klanten als leveranciers. Zelf ben ik geïnteresseerd in de effecten van een nieuwe technologie op de manier waarop we als auditors assurance kunnen verlenen. Daarnaast vind ik het belangrijk om klantgericht en effectief werkzaamheden te kunnen uitvoeren. Deze twee interesses komen samen in het onderzoek dat ik heb uitgevoerd. Met deze scriptie rond ik mijn postgraduate opleiding IT Audit aan de Vrije Universiteit Amsterdam af. De doelgroep van dit onderzoek zijn de klanten en leveranciers van Cloud computing diensten. Terugkijkend op het onderzoek merk ik dat ik veel geleerd heb tijdens het onderzoekstraject. Met name dat het laten rijpen van ideeën en zoeken van nieuwe invalshoeken tot inspirerende inzichten kan leiden. Dit onderzoek had ik niet uit kunnen voeren zonder de steun van een aantal mensen om mij heen. Graag wil ik van deze gelegenheid gebruik maken om deze mensen te bedanken. Mijn academische begeleider Wiekram Tewarie wil ik bedanken voor hun luisterend oor, het reviewen van mijn stukken en het meedenken over het resultaat. Mijn interne begeleider van Univé, Alexander Sluiter, wil ik bedanken voor de begeleiding en steun op zowel inhoudelijk als procesmatig vlak. Hij maakte, ondanks drukte, altijd tijd voor me vrij. Mijn werkgever heeft me gesteund door tijd vrij te geven om me volledig op de scriptie te kunnen concentreren. Mede daardoor heb ik de door mezelf gestelde deadline kunnen halen. Ook wil ik mijn respondenten bedanken voor de tijd die ze in het interview en de review hiervan hebben gestoken, en de openheid waarmee ze hun professionele mening met me hebben gedeeld. Tenslotte wil ik graag mijn gezin bedanken voor alle steun die ik tijdens mijn studie en het schrijven van mijn scriptie heb ontvangen. Zonder hun onvoorwaardelijke steun en positieve inbreng was het studietraject aanzienlijk moeilijk te volbrengen geweest. Vries, 30 maart 2014 Anneke Zuidberg 1 april Versie 1.0

4 Management samenvatting Cloud computing, is het een evolutie of revolutie? Hoe het ook zij, inmiddels is Cloud computing niet meer weg te denken uit zakelijk- en privégebruik. Redenen om op deze nieuwe technologie over te gaan zijn kostenbesparing, flexibiliteit en schaalbaarheid en beveiliging en licentiebeheer. Daardoor kan de klant zich richten op kernactiviteiten. Uit onderzoeksresultaten en verwachtingen in de ICTwereld blijkt dat het gebruik van cloud computing de komende jaren explosief zal toenemen. Zo voorspelt onderzoeksbureau Gartner dat de wereldwijde omzet uit Cloud computing dat in 2014 de wereldwijde omzet naar verwachting gegroeid zal zijn tot 148,8 miljard dollar. (Pring, 2010) Uitbesteden ontslaat de eigenaar niet van verplichtingen. Een eigenaar van de uitbestede dienst blijft eindverantwoordelijk en moet over de uitbestede dienst een assurance verklaring laten afgeven, bijvoorbeeld om te gebruiken als input voor de jaarrekening. Het verstrekken van assurance op de uitbestede IT gebeurt nu veelal op basis van TPM-verklaring, bijvoorbeeld in de vorm van een ISAE3402/SOC 1 verklaring. Bedrijven (zowel klanten als leveranciers) sturen steeds meer op het afgeven van ISAE3402 verklaringen die generiek zijn, herbruikbaar voor alle afnemers van een dienst. Standaard verklaringen zijn goedkoper en zouden onderling beter te vergelijken moeten zijn. De onderlinge vergelijkbaarheid is vaak nog niet gerealiseerd. Dat blijkt ook uit mijn scriptie. Onderzoek van het internationale management consultingbedrijf BOOZ toont aan dat van de 160 onderzochte industrie-overstijgende standaarden met een expliciete scope op Cloud computing slechts 3 bruikbaar en rijp genoeg zijn voor het afgeven van assurance op clouddiensten (Pütter, 2012). Het betreft de standaarden OAuth, OpenStack en OCCI. De hoofdvraag van mijn scriptie is: Welke tekortkomingen kent de huidige manier van assurance verlenen voor Cloud computing, welke oorzaken zijn hiervoor te benoemen en welke alternatieven zijn hiervoor te beschrijven? Doel van mijn onderzoek is inzicht te krijgen in een aantal vragen: 1. welke verklaringen en onderliggende normenkaders er gebruikt worden voor het verlenen van assurance; 2. waarom de huidige manier van auditen en afgeven van assurance voor IT in het tijdperk van Cloud computing niet voldoet aan de compliance eisen en de eisen/behoefte van leveranciers en de klant en 3. welke alternatieven kunnen worden beschreven voor het afgeven van een assurance verklaring die voldoet aan de eisen en behoeften van leveranciers en klanten. Als eerste heb ik en theoretisch kader ontwikkeld over hosting, outsourcing en Cloud computing, en de huidige normenkaders voor het verstrekken van assurance. Op basis van theorie van onder andere ISO en NIST heb ik onderzocht in hoeverre er assurance op Cloud computing kan worden verstrekt met behulp van de huidige normenkaders en verklaringen. Vervolgens heb ik een case study uitgevoerd bij drie bedrijven. Hierbij heb ik gekozen voor drie invalshoeken, te weten een klant en leverancier van Cloud computing, en een onafhankelijke non-profit organisatie die onder andere Cloud richtlijnen heeft ontwikkeld en een methodiek voor het certificeren van cloudleveranciers (EuroCloud Star audit). Op basis van de analyse van theorie en de case study heb ik de centrale vraag en de deelvragen beantwoord. Ik heb in de conclusie een aantal aanscherpingen aangedragen van onder meer het te hanteren normenkader waarmee assurance op Cloud computing kan worden 1 april Versie 1.0

5 verstrekt. Aanvullend heb ik de onderwerpen beschreven die een potentiële afnemer van Cloud computing zou kunnen doorlopen om de basis- en randvoorwaarden in te kunnen richten, die nodig zijn voor het afnemen van Cloud computing. De onderzochte normenkaders en standaarden voor deze scriptie heb ik geselecteerd op basis van een gedegen onderzoek van Booz en mijn eigen literatuuronderzoek. De kaders zijn naar mijn mening een goede basis voor een control framework ten behoeve van Cloud computing. Conclusie Niet alle momenteel gebruikte vormen van Assurance rapportage zijn geschikt voor het aantonen van de mate van beheersing van de IT-processen als gevolg van de verplichtingen over de scope van de rapportage. Een aantal op dit moment geaccepteerde risico s gerelateerd aan onderwerpen zoals data locatie en data retentie, complexe techniek en virtualisatie die nog niet (voldoende) kunnen worden aangetoond moeten expliciet buiten scope van de audit worden gehouden en deze uitsluiting van de scoping moet duidelijk benoemd zijn in de assurance rapportage. Ook is het op basis van standaard rapportages nog niet voldoende mogelijk om een uitgebreid onderzoek te doen naar de prestaties van onderaannemers. De vraag of het voor de uitbestedende partij wettelijk verplicht is om van de prestaties van onderaannemers kennis te hebben heb ik tijdens een kort literatuuronderzoek nog niet voldoende kunnen beantwoorden. Momenteel is er onvoldoende inzicht in de volledige (leveranciers)keten bij Cloud computing. Daarnaast is onvoldoende duidelijk in hoeverre het de verantwoordelijkheid van de uitbestedende klant is om dit inzicht te hebben. Het effect van de ondoorzichtige keten in combinatie met gebrek aan uniformiteit versterkt het risico cumulatief. Het is voor een klant niet meer voldoende om achteraf een assurance rapportage te ontvangen. De behoefte aan realtime rapportage en sturing is door de Cloud computing technologie en de compliance verplichtingen toegenomen. Door actueel inzicht in de prestaties van de afgenomen dienst kan door een organisatie worden bijgestuurd waardoor meer assurance kan worden verkregen. De mate waarin momenteel aan deze realtime rapportage en sturing invulling kan worden gegeven door klanten en leveranciers voldoet nog niet. Onder andere doordat: *de rapportages onvoldoende inzicht geven in prestaties van onderaannemers; *de rapportages nog geen inzicht geven in alle belangrijke issues zoals datalocatie en retentie, inzicht in de werking van de complexe Cloud computing techniek etc.; * de klanten de uitkomsten van rapportages begrijpen en kunnen vertalen naar hun organisatie, risico s en te nemen maatregelen ter bijsturing. Het is niet mogelijk geweest om in deze scriptie alternatieven te beschrijven voor het verstrekken van assurance als gevolg van de complexiteit van de Cloud computing techniek en het ontbreken van technologie om de locatie van data, dataretentie en de uitvoering van deze complexe techniek aan te tonen. In plaats van alternatieven heb ik op basis van mijn onderzoek kunnen vaststellen dat het mogelijk is assurance over Cloud computing te verstrekken door : 1. het aanscherpen van normenkaders en standaarden; 2. het bewust toepassen van (SOC) formats van assurance en 3. het volgen van een stappenplan om te komen tot een volwassen leveranciers- en klantorganisatie. 1 april Versie 1.0

6 Er zijn een aantal onderwerpen waarvoor ten behoeve van het kunnen verstrekken van assurance voor Cloud computing meer aandacht nodig is, dan voor traditionele hosting of outsourcing. Dat komt door de voor Cloud computing onderkende risico s: * inrichting Corporate en IT Governance; * In Control systeem en volwassenheidsniveau; * kennis; * scope en diepgang beoordeling auditobject; * inzicht in de (leveranciers)keten; * mogelijkheid tot het uitvoeren van een assurance opdracht voor cloudcomputing. Wanneer wordt overwogen om data en/of een informatiesysteem onder te brengen in de Cloud wordt op basis van het uitgevoerde onderzoek geadviseerd aan de volgende onderwerpen aandacht te besteden: Stap 1. Beschrijven van Corporate en IT Governance Stap 2. Vaststellen en onderhouden van data classificatie Stap 3. Risico gebaseerde analyse van de mogelijke uitbesteding Stap 4. Inrichten Technische, Organisatorische en Procedurele (TOP) maatregelen Stap 5. Inrichten realtime rapportages op basis van geautomatiseerde SLA rapportages Zowel voor de klant als de leverancier zou er voldoende aandacht voor deze onderwerpen moeten zijn, om op deze manier een gelijkwaardige en volwassen relatie te kunnen aangaan. Als vervolgonderzoek heb ik drie onderwerpen aangedragen. Deze zijn de mogelijkheden voor het aantonen van de data locatie, de wettelijke verplichtingen t.a.v. inzicht in prestaties van onderaannemers voor de uitbestedende partij en de haalbaarheid van het opstellen van een Cloud computing Assurance kubus. 1 april Versie 1.0

7 Inhoud 1. Inleiding Onderwerp Aanleiding Doelstelling en Centrale vraagstelling Onderzoeksaanpak Normenkaders voor assurance op IT diensten Verklaringen en normenkaders voor assurance Corporate Governance en IT Governance De rol van data classificatie voor assurance Meningen over het verstrekken van assurance voor Cloud computing Samenvatting Uitbesteding van IT Hosting en traditionele outsourcing; definities, voor- en nadelen Uitbesteding IT in de vorm van Cloud computing Voor- en nadelen van Cloud computing Samenvatting hosting en outsourcing Samenvatting Cloud computing Risicobeheersing bij Cloud computing en assurance verstrekking Aanleiding van de analyse Beoordeling openstaande risico s Cloud computing van NIST Conclusie; de NIST risico s zijn op dit moment niet allemaal te auditen Case study Beschrijving omgeving case study Bevindingen case study Analyse case study Conclusie en aanbevelingen Conclusie Aanbevolen stappenplan voor Cloud computing Slotwoord april Versie 1.0

8 1. Inleiding 1.1. Onderwerp Mijn afstudeerscriptie gaat over het onderwerp Assurance verstrekking voor Cloud computing. In dit hoofdstuk worden de aanleiding, probleemstelling en de doelstelling behandeld Aanleiding Tijdens de oriënterende gesprekken met docenten over mijn afstudeeronderwerp kwam naar voren dat de momenteel gebruikte normenkaders zoals onder andere de ISAE3402/SOC 1 rapportage niet voldoet voor Cloud computing, evenals de manier van auditen. Oorzaken hiervoor zijn het tijdsbeslag die het opstellen van een rapportage vraagt van auditors en de geaudite organisatie, met bijbehorende kosten. Daarnaast geeft de verklaring inzicht achteraf terwijl er steeds meer behoefte ontstaat aan realtime inzicht. Een korte scan van de aanwezige literatuur onderschrijft dit. Zo toont onderzoek van het internationale management consultingbedrijf BOOZ aan dat van de 160 onderzochte standaarden slechts 3 bruikbaar en rijp genoeg zijn, voor het afgeven van assurance op Cloud computing, te weten OAuth, OpenStack en OCCI (Pütter, 2012). Het onderwerp van mijn afstudeerscriptie is dan ook Assurance verstrekken voor Cloud computing; leveranciers en klanten in Control. De onderwerpen hieronder schetsen het kader van waaruit de aanleiding is ontstaan. Groei in uitbesteding IT diensten Er heeft op IT gebied een forse verschuiving van hosting naar uitbesteding plaatsgevonden. Een volgende stap in de IT evolutie is de outsourcing naar diverse vormen van Cloud computing. Redenen om uit te besteden zijn kwaliteitsverbetering, innovatie en kostenbesparing (Zaal, 2012). In 2012 werden Cloud computing al door 50 procent van de ICT-bedrijven in Nederland geleverd. Eindverantwoordelijkheid uitbestede diensten Uitbesteden ontslaat de eigenaar niet van verplichtingen. Een eigenaar van de uitbestede dienst blijft eindverantwoordelijk en moet over de uitbestede dienst een assurance verklaring laten afgeven, bijvoorbeeld om te gebruiken als input voor de jaarrekening. Leveranciers sturen steeds meer op het afgeven van ISAE3402/SOC1 verklaringen die generiek zijn en daardoor herbruikbaar voor alle afnemers van een dienst. Standaard verklaringen zijn goedkoper en zouden onderling beter te vergelijken moeten zijn. De onderlinge vergelijkbaarheid is echter vaak nog niet gerealiseerd. Hosting of Cloud computing, en wat betekent dit voor het afgeven van assurance Bedrijven onderzoeken de mogelijkheden om over te gaan van traditionele hosting naar Cloud computing. Daardoor wordt de vraag actueel of, en op welke manier, assurance voor Cloud computing kan worden verstrekt actueel voor (onder andere) Internal Audit. Daniele Cattedu en Giles Hogben stellen in een paper van ENISA dat het vaststellen van cloud assurance een significant tijdsbeslag legt op interne resources van de business. Tevens geven cloud leveranciers aan dat door de verplichte onderzoeken die zijn uitgevoerd op basis van NIST documenten en het grote aantal audit-verzoeken van klanten, een zware belasting voor security medewerkers veroorzaken (Cattedu/Hogben, 2009). Naast de genoemde nadelen van kosten en belasting voor de organisatie ten behoeve van het afgeven van assurance geven de twee onderzoekers van de University of Memphis aan dat de sectoren die cloud services gebruiken, erg bezorgd zijn over hun data security (Dasgupta/Naseem, jaartal onbekend). Literatuur wijst uit dat er een constant spanningsveld tussen kostenreductie en kwaliteitseisen is voor Cloud computing (zichtbaarheid, compliance, controle en toekomstgerichtheid). 1 april Versie 1.0

9 Onderzoek naar geschikte vorm van assurance voor Cloud computing Het aanbieden van Cloud computing is een snelgroeiende markt. Doordat steeds meer bedrijven in allerlei vormen gebruik gaan maken van Cloud computing, is er ook steeds meer behoefte aan een vorm van assurance die past bij de door Cloud computing aangeboden vormen van dienstverlening (Olavsrud, 2012). In deze scriptie worden de factoren die kunnen bijdragen aan een betere assurance verklaring onderzocht, benoemd en beschreven, vanuit de optiek van zowel klant als leverancier Doelstelling en Centrale vraagstelling Doelstelling van mijn onderzoek is het beschrijven van een aantal alternatieven voor het afgeven van assurance voor Cloud computing op een dusdanige manier dat de assurance voldoet aan de eisen en behoefte van de leveranciers en klanten van Cloud computing. Om de doelstelling van het onderzoek te kunnen bereiken, heb ik de volgende Centrale vraag geformuleerd: Welke tekortkomingen kent de huidige manier van assurance verlenen voor Cloud computing, welke oorzaken zijn hiervoor te benoemen en welke alternatieven zijn hiervoor te beschrijven? De centrale vraagstelling bevat een beschrijvend en een adviserend gedeelte. In het beschrijvende deel maak ik een samenvatting van de problematiek over assurance voor Cloud computing beschreven zoals die nu in veel artikelen en scripties beschreven wordt, met de oorzaken zoals die in de artikelen worden aangegeven en/of zoals ik die zelf zie. Hierin komt ook aan bod waarom Cloud computing een wezenlijk ander object is om assurance over af te geven dan hosting. Bovendien vat ik samen welke onderzoeken er naar de geschiktheid van normenkaders op het gebied van assurance voor Cloud computing zijn uitgevoerd en wat de uitkomsten van deze onderzoeken zijn. Het beschrijvende deel is nodig als fundament voor de te kiezen alternatieven. In het adviserende deel worden de alternatieven beschreven die kunnen worden gekozen om assurance op Cloud computing te kunnen geven op een manier die aansluit bij de eisen en behoefte van de leverancier en de klant. Deelvragen 1. Welke huidige normenkaders worden er gebruikt voor het verlenen van assurance, en in hoeverre zijn deze geschikt voor het afgeven van assurance voor Cloud computing? (beschrijvend) 2. Waarom voldoet de huidige manier van auditen en afgeven van assurance voor IT in het tijdperk van Cloud computing niet aan de compliance eisen en de eisen/behoefte van leveranciers en de klant, en welke tekortkomingen liggen hieraan ten grondslag? (analyserend). 3. Welke alternatieven kunnen worden beschreven voor het afgeven van een assurance verklaring die voldoet aan de eisen en behoeften van leveranciers en klanten? (beschouwend/adviserend) 1.4. Onderzoeksaanpak Ik heb gekozen voor een praktijkonderzoek. Ik heb hiervoor theorieonderzoek uitgevoerd, een vergelijking van door NIST benoemde risico s met toonaangevende normenkaders en standaarden en een case study bij een leverancier en klant van Cloud computing en een (onder andere) certificerende stichting. 1 april Versie 1.0

10 2. Normenkaders voor assurance op IT diensten In dit eerste hoofdstuk behandel ik de rapportages en normenkaders die momenteel gebruikt worden ten behoeve van het verstrekken van assurance voor IT diensten in het algemeen en voor Cloud computing in het bijzonder. Om deze informatie in perspectief te kunnen plaatsen ten opzichte van assurance verstrekking voor traditionele IT, start dit hoofdstuk met de uitleg van de term assurance en de te gebruiken formats en normenkaders voor traditionele hosting en outsourcing. Aansluitend wordt aan de hand van publicaties van Booz en Qualys aangegeven welke zorgenpunten er nog zijn op het gebied van het verstrekken van assurance voor Cloud computing Verklaringen en normenkaders voor assurance Een assurance-opdracht is een opdracht waarbij een accountant een conclusie formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de evaluatie van, of de toetsing van het object ten opzichte van de criteria, te versterken. (NIVRA website). Belangrijke elementen uit deze definitie zijn de conclusie die voor de opdrachtgever aanvullende zekerheid over een onderwerp kunnen geven, en het feit dat er bij de opdracht 3 partijen betrokken zijn. Een assurance verklaring kan met een beperkte of redelijke mate van zekerheid worden afgegeven. Verder uitleg over assurance wordt gegeven in bijlage 1. Voor een assurance opdracht of verklaring wordt gebruik gemaakt van rapportageformats en van met de opdrachtgever afgesproken toetsings- of evaluatiecriteria, gevat in een normenkader. Hieronder wordt dieper in gegaan op mogelijke formats en normenkaders. Huidige formats voor de assurance verklaring Een assurance verklaring voor outsourcing wordt van oorsprong vaak afgegeven middels een Third Party Mededeling (TPM verklaring), bijvoorbeeld in de vorm van een ISAE-3402/SOC1 verklaring (voorheen SAS-70). Een veelgehoorde klacht van leveranciers die graag een generieke TPM verklaring willen opstellen, is het veelvoud aan normen dat door de klanten wordt aangeleverd ter toetsing van de kwaliteit van de geleverde dienstverlening door de leverancier. Door het verschil in scope en normenkaders van de verschillende klanten is het voor de leverancier niet mogelijk om een dergelijk generieke verklaring op te laten stellen voor alle klanten. Bij het verstrekken van assurance voor Cloud computing is dit nog steeds een veelgehoorde klacht. Door het gebrek aan eenduidige normenkaders is voor de traditionele hosting en outsourcing een assurance verklaring een kostbare aangelegenheid voor zowel klant als leverancier. Daarbij is de ISAE 3402 verklaring de meest vormvaste, eenduidige soort assurance verklaring die kan worden afgegeven. De kanttekening moet worden geplaatst dat ook onder de normen van de ISAE 3402 verklaring vaak een gedetailleerder control framework en/of ICS-kader ligt dat door de service organisatie wordt gebruikt. Deze kaders zijn niet vormvast en kunnen in scope en diepgang verschillen. Eén van de verschillen tussen een generieke TPM verklaring en een ISAE-3402/SOC1 rapport is dat het ISAE3402 rapport een vaste vorm heeft, met vaststaande kwaliteitsaspecten die moeten worden beoordeeld (collegemateriaal Han Boer, 11 oktober 2013). De door de auditor gekozen normen moet passen onder deze voorgeschreven kwaliteitsaspecten. Een TPM rapport is een leeg rapport waarbij 1 april Versie 1.0

11 de auditor de vorm, kwaliteitsaspecten en normen zelf in overleg met de opdrachtgever op kan stellen. Een tweede en zeer belangrijk verschil is dat bij de TPM verklaring de auditor alleen een verklaring opstelt in het assurance rapport. Bij een ISAE-3402/SOC1verklaring stelt zowel de verantwoordelijke partij als de auditor (los van elkaar) een verklaring op in het assurance rapport. Voor het opstellen van de verklaring door de serviceorganisatie moet deze organisatie zelf ook inzicht in de opzet en werking en prestaties van de processen hebben, oftewel de serviceorganisatie moet daarvoor In Control zijn. Bij een TPM verklaring is dat voor de serviceorganisatie niet noodzakelijk (collegemateriaal Han Boer, 11 oktober 2013). Uitleg van de verschillende SOC verklaringen SOC staat voor Service Organisatie Control-rapport. De merknaam SOC is door het Amerikaans Instituut voor Accountants (AICPA) gelanceerd, in eerste instantie als alternatieve naam voor het ISAE-3402/SOC1rapport. De soorten SOC rapporten zijn te onderscheiden door een nummer. Een ISAE-3402/SOC1 rapport heeft uitsluitend betrekking op beheersmaatregelen die een (indirecte) relatie hebben met de financiële verslaglegging van de uitbestedende organisatie. De standaard geeft aan dat voor een assurance verklaring die niet gericht hoeft te zijn op financieel relevante beheersmaatregelen gebruik moet worden gemaakt van de Richtlijn 3000 (ook wel ISAE 3000 genoemd). (Boer en van Beek, 2013) De SOC 2 rapportage is gericht op een specifiek IT gerichte scope. De principles and criteria oftewel normen uit het rapport hebben betrekking op het beheersen van IT-infrastructuur, software, gegevens-/informatieopslag en de hierop betrekking hebbende handmatige en geautomatiseerde uitvoeringsprocedures. De principles en criteria betreffen een aantal kwaliteitsaspecten, te weten beveiliging, beschikbaarheid, integriteit van bewerking, vertrouwelijkheid en privacy. Daarmee is de rapportage breed toepasbaar voor het afgeven van assurance op IT-gerelateerde processen. Het rapport kan betrekking hebben op één of meer van de genoemde kwaliteitsaspecten, met als basisset de principles en criteria voor beveiliging. Wanneer er kwaliteitsaspecten niet worden beoordeeld, moet dit in het rapport worden gemotiveerd. Als laatste is er de SOC 3 rapportage die als focus dezelfde principles en criteria als de SOC 2 rapportage heeft. Het is echter een kort rapport, zonder de detailrapportage van SOC 2, en is geschikt voor brede publicatie. Wanneer het rapport op internet wordt gepubliceerd moet een verkort rapportagemodel worden gebruikt dat sterk lijkt op een certificaat. Door de vorm van deze rapportage en het ontbreken van de detailrapportage mag er geen uitsluiting van onderaannemers zijn toegepast (zogeheten carve out). Het doel van de rapportage, te weten het zekerheid bieden aan gebruikers van de naleving van principles en criteria door de service organisatie (en daarmee ook de eventuele onderaannemers) moet eenduidig uitlegbaar zijn en vergelijkbaar met SOC 3 rapportages van andere service organisaties. De onderlinge vergelijkbaarheid en verstrekte zekerheid zijn de redenen dat er geen carve out mag zijn toegepast. Verschillen tussen de ISAE 3402 verklaring en de (NOREA) Richtlijn 3000 Voor een assurance verklaring die niet gericht is op financieel relevante beheersmaatregelen kan gebruik worden gemaakt van SOC2/SOC3 of de Richtlijn Daar waar de ISAE 3402/SOC1 standaard gericht is op financieel relevante beheersmaatregelen, biedt de Richtlijn 3000 meer vrijheidsgraden. 1 april Versie 1.0

12 In het kort zijn er de volgende verschillen tussen de Richtlijn 3000 en de ISAE 3402 verklaring: Een ISAE3402 verklaring heeft betrekking op controls ten behoeve van de financiële verantwoording en heeft betrekking op een service organisatie. De opdrachtgever moet ook de serviceorganisatie zijn. Het object van een Richtlijn3000 assurance-rapport mag breder zijn. Voor een ISAE3402 verklaring is een management bewering van de serviceorganisatie verplicht, voor een richtlijn3000 rapport gewenst. Een ISAE3402-rapport heeft een voorgedefinieerde vorm met verplichte onderdelen. In een ISAE3402 rapport mogen geen beheersmaatregelen worden opgenomen die niet financieel van aard zijn. Een richtlijn3000 rapportage kent deze eisen aan vorm en scope niet. Er moeten alleen een aantal verplichte onderdelen worden behandeld. Daardoor kunnen ook processen worden opgenomen die geen invloed hebben op de financiële verantwoording. De voorgedefinieerde kwaliteitsaspecten van een ISAE3402 gaan over continuïteit (alleen in vorm van backup/recovery, geen uitwijk bijvoorbeeld), juistheid en tijdigheid. Een richtlijn3000 opdracht heeft geen voorgedefinieerde kwaliteitsaspecten. Te gebruiken normenkaders zoals het COBIT-framework, procesmodellen en ISO normen De te auditen IT processen/it objecten kunnen met behulp van modellen als ITIL (technisch beheer), ALS (applicatiebeheer) en BISL (functioneel beheer) worden beoordeeld. Ook Cobit is voor de beoordeling van processen geschikt om te gebruiken, of de standaard van Norea en het Platform voor Informatiebeveiliging Handreiking, normen voor de beheersing van uitbestede ICTbeheerprocessen (Norea, 2008) ISO specificeert 133 controles die gebruikt kunnen worden om beveiligingsrisico s te verkleinen. De normen van ISO kunnen worden gebruikt om de kwaliteit van de beheersmaatregelen ten behoeve van de beveiliging en continuïteit van diensten te beoordelen. Kortom, om een oordeel (met beperkte of redelijke mate van zekerheid) over IT diensten te kunnen geven, kan de IT-auditor gebruik maken van diverse assurance richtlijnen en -rapportages, normenkaders, modellen en procesbeschrijvingen. Van het object van onderzoek is de locatie bekend in het geval van hosting of outsourcing. Verder is het aantal partijen dat betrokken is bij het leveren van de dienst zeer klein en is de datalocatie ook bekend. Voor Cloud computing zijn deze kenmerken niet van toepassing. Daardoor zijn er extra eisen en aandachtspunten die moeten worden geadresseerd in het normenkader en de assurance verklaring. Daarnaast moet voor het afgeven van de assurance verklaring de scope van de assurance opdracht zorgvuldig worden afgewogen. In het geval van een op financiële verantwoording gerichte scope is een ISAE-3402/SOC1 rapportage een geschikt format. De SOC2/SOC3 rapportage is gericht op het verstrekken van assurance over de IT-gerelateerde processen. De ISAE3000 rapportage is vormvrij qua scope en kwaliteitsaspecten, en kan breder gebruikt worden. 1 april Versie 1.0

13 2.2. Corporate Governance en IT Governance Voordat ik verder ga wil ik benadrukken dat uitbestede diensten deel uitmaken van de IT Governance van een bedrijf. Het bedrijf is dan ook verantwoordelijk voor het vragen van assurance over de uitbestede diensten ten behoeve van het eigen In Control Programma van het uitbestedende bedrijf. Zowel beursvennootschappen als niet-beursgenoteerde vennootschappen en nonprofitorganisaties worden geconfronteerd met codes voor Corporate Governance 1. Voorbeelden zijn de Nederlandse Code voor Corporate Governance van de commissie Tabaksblad en de Amerikaanse Sarbanes-Oxley Act De essentie van Corporate Governance is het goed besturen van organisaties en het aantoonbaar maken dat dit ook zo gebeurt (Kennisgroep IT Governance Norea, 2004). In de codes worden onder andere eisen gesteld aan de beheersing van de bedrijfsprocessen zodat de betrouwbaarheid van verantwoordingen gewaarborgd en aantoonbaar wordt. Er wordt in de codes een onderscheid gemaakt naar de principle-based benadering op basis van algemene randvoorwaarden en best practices, en de rule-based benadering op basis van regulering, wetgeving en harde eisen. Voor de interne beheersing en afleggen van externe verantwoording moet een bedrijf ook rekening houden met branche-specifieke voorschriften, zoals de Solvency II richtlijnen voor verzekeringsmaatschappijen. De inzet van IT-toepassingen vormt een belangrijke schakel in de bedrijfsvoering en de realisatie van de organisatiedoelstellingen. De beheersing van de informatievoorziening vormt daarmee een integraal onderdeel van de beheersing van de organisatie. IT-Governance maakt daardoor onmiskenbaar onderdeel uit van Corporate Governance. Het gaat over besturen, beheersen, uitvoering, verantwoording afleggen over het toezicht op de informatievoorziening binnen een organisatie. (Kennisgroep IT Governance Norea, 2004) Vanuit de uitgangspunten van Corporate Governance zijn er drie aandachtsgebieden voor IT Governance in een organisatie: de beheersing van de informatievoorziening in de organisatie door het besturen, beheersen en uitvoeren van de informatievoorziening; het afleggen van verantwoording over de beheersing van IT naar buiten toe en het uitoefenen van toezicht op de IT-beheersing door bijvoorbeeld de Raad van Commissarissen binnen de organisatie en door toezicht van toezichthouders als bijvoorbeeld DNB. De 5 elementen die hierboven genoemd worden, zijn door Tewari 2 (2013) in een driehoek verband geplaatst, gebaseerd op het besturingsparadigma van De Leeuw (zie figuur 5). Binnen de huidige omgevingen wordt de beheersing van de bedrijfsprocessen mede bepaald door: de kwaliteit van de informatiesystemen, geprogrammeerde controles binnen systemen en gebruikerscontroles; de beheersing van IT-veranderingstrajecten; de beheersing van de IT-infrastructuur, waarop de systemen draaien; de beheersing van IT-risico s. 1 Governance voor een onderneming betreft onderwerpen als consistent management, samenhangend beleid, processen en beslissingsrechten voor een bepaalde bevoegdheid. 2 Collegemateriaal voor de Vrije Universiteit Amsterdam 1 april Versie 1.0

14 Figuur 1 Besturingsmodel voor IT Governance (Bron: Wiekram Tewari) Er zijn ten behoeve van de beheersing van de bedrijfsprocessen verschillende spelers en producten te benomen die bijdragen aan het behalen van doelen op alle domeinen. Wilders beschrijft in het artikel Marktwerking of marteltuig een aantal spelers die bij sturing en beheersing betrokken zijn en een aantal bijbehorende producten. De relaties tussen de spelers en de producten heb ik weergegeven in figuur 6 (Wilders, 2013). Figuur 2 Lines of defence die bijdragen aan sturing en beheersing van processen Er zijn in de loop der jaren verschillende IT Governance modellen opgesteld. Hoewel de modellen het begrip op een verschillende manier hebben uitgewerkt, is de rode draad het zodanig effectief en efficiënt organiseren van de IT-werkprocessen dat zij daarmee een bijdrage levert aan de business wensen, en daar rekenschap over aflegt. (Kennisgroep IT Governance Norea, 2004) In de praktijk wordt IT Governance door bedrijven op uiteenlopende manieren ingevuld. IT- Governance heeft vergaande impact op de rol, de werkzaamheden en de opleiding van IT-auditors. De IT-auditor kan voor organisaties een bijdrage leveren aan de beheersing van de 1 april Versie 1.0

15 informatievoorziening, bijvoorbeeld in een adviserende, controlerende, faciliterende en/of certificerende rol (zie ook figuur 6) De rol van data classificatie voor assurance Uit mijn onderzoek blijkt dat dataclassificatie een belangrijk element is voor de Cloud omgeving. Het geeft namelijk aan dat een basisvoorwaarde is voor een klant om te kunnen bepalen of data of een informatiesysteem geschikt is om in een cloud omgeving onder te brengen. Het vergt een bepaald volwassenheidsniveau van de organisatie van de klant om de dataclassificatie op te stellen en onderhouden, en het data-eigenaarschap in te kunnen vullen. Daarnaast vergt het een zelfde niveau van de leverancier om de beveiligingseisen en gewenste maatregelen toe te passen in een beheerste beheeromgeving. Met behulp van classificatieniveaus van data en informatiesystemen kan er een vereist beschermingsniveau worden bepaald. Op grond hiervan kan de data-eigenaar vaststellen welke beveiligingseisen van toepassing zijn en welke maatregelen moeten worden genomen. Basiselementen om te kunnen komen tot deze beslissingen zijn onder andere architectuurprincipes, beleidsuitgangspunten en beveiligingseisen. Informatiebeveiliging is het geheel van maatregelen en procedures om informatie te beschermen. (Informatie Beveiligings Dienst Gemeenten, 2013). Deze doelstelling wordt onder andere onderschreven door het Nationaal Cyber Security Center (NCSC) en de ISO Code voor Informatiebeveiliging ). Het heeft als doel het waarborgen van de continuïteit, integriteit en vertrouwelijkheid van informatie. Daarnaast het beperkten van gevolgen van eventuele beveiligingsincidenten. De mate waarin data moet worden beschermd wordt uitgedrukt in classificatieniveaus voor de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. De BIG 3 - classificatie wordt in veel bedrijven als uitgangspunt genomen, vandaar dat ik dit uitgangspunt voor mijn scriptie heb geselecteerd. De kwaliteitseisen die worden gesteld aan data en de bijbehorende classificatieniveaus zien er als volgt uit (Informatie Beveiligings Dienst Gemeenten, 2013): Beschikbaarheid: hoeveel en wanneer data toegankelijk is en gebruikt kan worden. De onderscheiden niveaus zijn: niet nodig; noodzakelijk; belangrijk en essentieel. Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid). De onderscheiden niveaus zijn: niet zeker; beschermd; hoog en absoluut. Vertrouwelijkheid: de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden. De onderscheiden niveaus zijn: openbaar; bedrijfsvertrouwelijk, vertrouwelijk en geheim Meningen over het verstrekken van assurance voor Cloud computing In deze paragraaf wordt kort het onderzoek van Booz & Co beschreven waarin wordt onderzocht welke normen en standaarden er binnen de wereld van Cloud computing gelden, en hoe bruikbaar deze normen en standaarden zijn. Daarnaast wordt het onderzoek behandeld dat het bedrijf Qualys 3 BIG staat voor Baseline Informatiebeveiliging Nederlandse Gemeenten 1 april Versie 1.0

16 heeft uitgevoerd naar nieuwe eisen voor security en compliance auditing voor Cloud computing. Booz & Co is een toonaangevend wereldwijd management consulting bedrijf, gericht op de vormgeving van de senior agenda van 's werelds toonaangevende instellingen. Qualys is een Amerikaans commercieel bedrijf dat twee Cloud managementtoepassingen aanbiedt: een Cloud platform waar een overzicht gegeven wordt van security en compliance regels en oplossingen, en een tool waarmee security tests kunnen worden uitgevoerd, beveiligingslekkenbeheer, controle op voldoen aan policy s, malware- en website securitytesting 4. Standaarden die volgens Booz geschikt zijn voor assurance op Cloud computing 5 Booz heeft in opdracht van het Duitse ministerie van economische zaken een onderzoek gedaan naar de normen en standaarden die binnen de wereld van Cloud computing gelden. De conclusie van het onderzoek luidt: "De normen en standaarden binnen de omgeving van Cloud computing zijn nog steeds in ontwikkeling." Er moet snel wat verbeterd worden, zowel op nationaal, Europees als mondiaal niveau. (Pütter, 2012). Booz heeft drie gebieden benoemd bij het ontwikkelen van standaarden voor assurance op Cloud computing: Technologie: bestandsformaten en uitwisselingsmogelijkheden, het ontwikkelen van modellen, protocollen en interfaces, standaardcomponenten en referentie-architecturen. Voorbeelden van standaarden zijn o.a. CloudAudit, Google DLF en OpenStack. Management: business modellen, service-level agreements, contracten, managementmodellen en processen, richtlijnen, audits, etc. Voorbeelden zijn onder andere ITIL, ISO en ISO Juridische zaken: wettelijke voorschriften, verplichtingen en bedrijfsbeleid. Voorbeelden zijn o.a. de Europese richtlijn voor bescherming van persoonsgegevens en het Open Cloud manifest. In het onderzoek onderkent Booz vervolgens ruim 160 verschillende instituten die werkzaamheden verrichten op het gebied van standaardisering voor Cloud computing. Booz heeft op basis van hun belangrijke rol in het ontwikkelen van standaardisering de 19 belangrijkste instituten benoemd in onderstaand figuur. 4 Deze informatie is afkomstig van de websites van beide bedrijven. 5 De teksten die in deze paragraaf worden behandeld zijn deels een letterlijke (vertaalde) quote uit het paper. Omwille van de leesbaarheid verwijs ik niet bij ieder onderdeel van de tekst naar de bron, maar doe dat slechts eenmalig aan het begin van de tekst. 1 april Versie 1.0

17 Figuur 3 Belangrijkste standaardisatie organisaties voor Cloud computing, uiteindelijke selectie (bron onderzoek FZI en Booz, 2012) Booz heeft de 160 industrie-overstijgende standaarden die een expliciete scope op Cloud computing beoordeeld aan het begin van De beoordeling heeft plaats gevonden op de uitdagingen van Cloud computing, te weten efficiency, effectiviteit, transparantie, informatiezekerheid, databescherming, interoperabiliteit, portabiliteit, competitie en compliance. De top 20 van standaarden zijn vervolgens gescoord naar doorzettingsvermogen en rijpheid/kwaliteit. Deze laatste scoring heeft geleid tot uitkomst van 3 best presenterende standaarden: OAuth, OpenStack en OCCI. De standaard OpenStack vergelijk ik in hoofdstuk 4 met de nadelen op Cloud computing volgens NIST. De schrijvers van het onderzoek doen een beroep op bedrijven en politiek om de standaardisatie naar een hoger plan te trekken. Ze schrijven: "De Duitse economie draagt de hoofdverantwoordelijkheid voor een actievere rol bij de standaardisering wanneer ze hun belangen op gebied van Cloud computing vertegenwoordigd willen zien." Een gevolg zou kunnen zijn dat Duitsland een eigen keurmerk krijgt voor een goed beveiligde en ingerichte cloud. (Pütter, 2012). Nieuwe eisen voor informatiebeveiliging en compliance auditing voor Cloud computing 6 Het bedrijf Qualys stelt in de paper New Requirements for Security and Compliance Auditing in the Cloud dat Cloud computing zorgt voor nieuwe uitdagingen voor IT beveiliging en Compliance. (Qualys, 2014)Daarnaast zijn er uitdagingen voor audit professionals die bedrijfsdata en IT assets moeten beschermen, en die de compliance aan security controls moeten checken. De cloud ontwortelt voorspelbaarheid van traditionele IT-architecturen, veiligheidscontroles en auditprocedures. Cloud computing dwingt klanten om twee essentiële mogelijkheden aan cloud leveranciers af te staan: 1) controle van gegevens, programma's en acties en 2) zichtbaarheid op status van gegevens en programma gebruik. In de paper wordt beschreven hoe de wereld van IT- 6 De teksten die in deze paragraaf worden behandeld zijn deels een letterlijke (vertaalde) quote uit het paper. Omwille van de leesbaarheid verwijs ik niet bij ieder onderdeel van de tekst naar de bron, maar doe dat slechts eenmalig aan het begin van de tekst. Daar waar informatie van andere bronnen wordt aangehaald, wordt dit expliciet gemeld. 1 april Versie 1.0

18 veiligheid, audit en naleving in cloud omgevingen moet veranderen. Verder worden in de paper richtlijnen gegeven voor auditors die de effectiviteit moeten beoordelen van security-controls die worden gebruikt in een Cloud computing systeem. Qualys gebruikt ook de NIST definitie voor Cloud computing. Er zijn vele soorten clouds. Allen delen een definiërende eigenschap: de klanten moeten controle en zichtbaarheid afstaan aan clouddienst-leveranciers. NIST versterkt dit idee in de Special Publication Cloud Computing Synopsis and Recommendations (NIST, 2012): controle: de mogelijkheid om te beslissen, met hoog vertrouwen, wie en wat toegang mag worden verleend tot klantgegevens en programma's, en de mogelijkheid om acties uit te voeren (zoals het wissen van gegevens of een verbinding tot een netwerk verbreken) met hoog vertrouwen zowel dat de acties zijn genomen en dat geen aanvullende acties zijn ondernomen die de initiële acties van de klant ondermijnen(bijvoorbeeld een verzoek van de klant om een gegevensobject te wissen moet niet worden ondermijnd worden door de stille generatie van een kopie van het gegevensobject). zichtbaarheid: de mogelijkheid om te controleren wat de status is van de klantgegevens en programma's en hoe worden klantgegevens en programma's gebruikt door anderen. Gezien de aard van gedeelde verantwoordelijkheden in cloud omgevingen, is het belangrijk dat leveranciers de uitbreiding faciliteren van audit en compliance tools in de gebieden die zij rechtstreeks beheren. Ondernemingen hebben deze samenwerking nodig omdat er steeds nieuwe beveiligingsvoorschriften en nieuwere wetten zijn die een aanvulling vormen op de huidige de Third Party assessment bij leveranciers van Cloud computing. Deze zijn de klanten vanuit compliance overwegingen verplicht om te (laten) doen bij de cloud leveranciers. Deze aanvullende voorschriften zijn een gevolg van gegevens mobiliteit als gevolg van het nieuwe werken (altijd en overal) met mobiele apparaten, en door outsourcing en offshoring. Al eerder is aangegeven dat er door het gebruik van mobiele apparaten en cloud toepassingen niet meer automatisch mag worden vertrouwd op de statische omgeving waarin de data is opgeslagen en wordt gebruik. Traditionele monitoring- en auditingtools nemen cloud systemen en mobiele apparatuur niet mee in hun controles. Bovendien zijn de besturingssystemen die voor mobiele apparaten worden gebruikt niet (altijd) geschikt voor de genoemde traditionele monitoring- en audittools. Voor Cloud computing wordt er vanuit gegaan dat de leverancier van een clouddienst eigenaar is van deze controls. Dat doet echter geen afbreuk aan de verantwoordelijkheid die de uitbestedende organisatie heeft en houdt. De onderzoeksraad Global IT Council voor Cloud Services van Gartner definieert 7 rechten en plichten, waardoor de onderlinge relatie tussen leverancier en klant verbeterd wordt (van Tuil, 2010). Deze rechten en plichten bepalen mede de noodzaak tot het afgeven van een passende assurance op Cloud computing: 1. Het recht om eigen data te behouden en te controleren 2. Het recht op een SLA waarin wanprestaties, herstel van dienstverlening en zakelijke gevolgen worden gedekt 3. Het recht op informatie over en invloed op veranderingen die impact hebben op de business processen van de afnemer 4. Het recht om op voorhand de technische beperkingen of vereisten te kennen 1 april Versie 1.0

19 5. Het recht om de juridische achtergronden te kennen. 6. Het recht om te weten welke beveiligingsprocessen de aanbieder volgt 7. De plicht om software licentievoorschriften te begrijpen en na te leven Qualys heeft op basis van ISO27002 nieuwe eisen voor Cloud beveiliging opgesteld, op basis van de elf secties van een standaard beveiligingsplan van een organisatie. Deze onderwerpen betreffen net als het onderzoek van Booz de hoofdonderwerpen techniek, management en recht. De benoemde maatregelen gaan onder andere in op : * het uitvoeren van een risico analyse; * beveiligingsassesments; * screening van personeel; * effectieve controls voor fysieke en logische beveiliging en systeembeveiliging; * een gedegen authenticatie- en autorisatiesyteem en * effectief configuratiemanagement. Voor organisaties die ook moeten voldoen aan de NIST standaard, wordt door Qualys verwezen naar de NIST Special publication (april 2013). Daarin wordt in een bijlage een mapping gemaakt tussen de NIST standaard en ISO De IT industrie is standaard oplossingen aan het ontwikkelen voor Cloud computing. Volgens Qualys worden er inspanningen van hoog niveau uitgevoerd door de Cloud Security Alliance (CSA) en een belangrijke subgroep genaamd CloudAudit. Deze werkgroep ontwikkelt een gemeenschappelijke interface en een namespace waarmee klanten die geïnteresseerd zijn hun audit processen (cloud of anderszins) kunnen stroomlijnen. Daarnaast biedt het Cloud computing aanbieders de mogelijkheid de Audit, Assertion, Assessment, and Assurance 7 van hun infrastructuur 8 (IaaS), platform (PaaS) en applicatie (SaaS) te automatiseren. Hiermee kunnen cloudleveranciers gemachtigde klanten uitnodigen om hetzelfde te doen via een open, uitbreidbare en beveiligde interface en methodologie. (Cloudaudit, 2014) Ik verwacht dat na verloop van tijd zulke leveranciersgedreven initiatieven zoals hierboven het voor klanten van Cloud computing eenvoudiger wordt om gegevens in de cloud te beveiligen en deze beveiliging te auditen. Een recent artikel uit de Automatiseringsgids onderschrijft deze drive van leveranciers. Amazon.com is een Amerikaans E.commerce bedrijf. Daarnaast is Amazon leverancier van Amazon Web Services (AWS), een collectie van web services die samen een Cloud computing - platform vormen, aangeboden via Internet. In november heeft Amazon op een conferentie in Las Vegas drie nieuwe diensten aangeboden. Eén van deze diensten genaamd CloudTrail speelt in de op de wens van klanten om inzicht te krijgen in de cloud. Deze dienst is een trackingservice die beheerders van toepassingen in AWS een gedetailleerd inzicht geeft in het doen en laten van eindgebruikers, inclusief elke interactie van Application Programming Interfaces (API). Dit maakt het voor beheerders mogelijk om misbruik te traceren. (Zaal, 2013) 7 Het geheel van het vaststellen van te onderzoeken objecten, stellingen/beweringen over deze objecten, het vaststellen van de uitkomst van deze beweringen en het geven van een mate van zekerheid over de uitkomsten van de onderzochte objecten op een geautomatiseerde manier. 8 1 april Versie 1.0

20 Door het bouwen van beveiligings- en auditmogelijkheden rechtstreeks in de cloud infrastructuren geloven de leveranciers dat vaste kosten die anders te hoog zouden zijn voor individuele gebruikersorganisaties, te dragen zijn. Volgens Qualys, Dave Molnar en Stuart Schechter van Microsoft Research (2011, p11) zal het uiteindelijk mogelijk zijn om beveiligings- en auditkenmerken in Cloud computing te bouwen, waardoor hosting tools zoals Cpanel ondersteund worden bij de volgende activiteiten: Netwerk- en operating system audit tools; Volgen van alle geïnstalleerde software, uitgevers, versies en patch niveaus; Creditcard opslag en fraude detectie; Public/private key generatie, certificaat generatie en opslag; Geautomatiseerde authenticatie en bescherming van intra-tenant netwerkcommunicatie; Veilige logging van systeemhandelingen (alleen toevoegen, niet wijzigingen/verwijderen); Spam filtering Password hashing en opslag CAPTCHA generatie en verificatie (CAPTCHA staat voor Completely Automated Public Turing Test To Tell Computers and Humans Apart. Software widgets zoals een wachtwoordsterkte-meter 2.5. Samenvatting Hoewel allerlei bedrijven en instituten zich bezighouden met de nieuwe uitdagingen voor IT beveiliging en compliance ten behoeve van Cloud computing is deze markt nog duidelijk in beweging. In opzet zijn alle (zorgen)punten die van belang zijn voor het In Control zijn met een Cloud computing dienst benoemd. Het is echter nog niet voor alle risico s en verplichtingen mogelijk om aantoonbaar te voldoen aan deze kwesties. Daarnaast moet de vorm van Assurance rapportage kritisch worden beoordeeld door de aanvullende normen en kwaliteitsaspecten die voor Cloud computing van belang zijn. Een ISAE3402/SOC1 is niet langer standaard de meest geschikte rapportagevorm. 1 april Versie 1.0

21 3. Uitbesteding van IT In dit hoofdstuk wordt de uitbesteding van IT vanuit historisch perspectief beschreven. Cloud computing wordt kort uitgelegd, en voor- en nadelen worden benoemd. Om het concept van Cloud computing in perspectief te plaatsen, wordt teruggekeken naar traditionele hosting en outsourcing. Ook de voor- en nadelen van hosting en outsourcing zijn beschreven Hosting en traditionele outsourcing; definities, voor- en nadelen Traditionele hosting wordt uitgevoerd door het rekencentrum van het eigen bedrijf. De definitie van een rekencentrum is: een expliciete organisatie die is gedefinieerd door het management, met duidelijk gedelegeerde verantwoordelijkheden voor het beheer en uitvoering van alle taken. Deze taken moeten zorgen voor de goede werking van het operationele automatisering milieu en de toepassingssystemen, als vereist voor het leveren van de support volgens specifiek gedefinieerde vereisten. (Van Biene-Hershey, 1996, p. 520). Een rekencentrum bestaat uit een concentratie van data, informatiesystemen, infrastructuur en human resources. De afhankelijkheid van de organisatie van de beschikbaarheid van de data, de informatiesystemen en de expertise van het computercentrum is groot. Dat maakt de manier waarop het computercentrum gemanaged wordt zo belangrijk voor het functioneren van de organisatie. Een rekencentrum kan op twee manieren ondersteuning bieden aan de organisatie: inhouse of outsourced. Inhouse: het inhouse rekencentrum maakt integraal onderdeel uit van de organisatie en wordt beheerd door eigen medewerkers. Diensten worden in 1 pakket aangeboden. Outsourced: een outsourced rekencentrum levert als hostende organisatie een service. Deze hostende organisatie maakt geen onderdeel van de eigen organisatie uit. In het geval van outsourcing kan de stapel van diensten door verschillende leveranciers worden aangeboden. Zo kan bijvoorbeeld de ene leverancier ten behoeve van de sourcing van een applicatie van een bedrijf de infrastructurele- en platformhosting verzorgen, en wordt de software voor een bepaald verzekeringspakket door twee andere sourcende partijen geleverd. Het aantal partijen dat betrokken is bij het leveren van een geoutsourcete dienst is beperkt, en alle leveranciers zijn bekend bij de klant. Dat maakt het voor de klant relatief eenvoudig om een Assurance verklaring te vragen aan alle betrokken leveranciers. Vanuit een auditperspectief maakt het niet uit of de hosting inhouse is, of geoutsourcet wordt. Het is alleen van belang om te weten waar, hoe en door wie de audit wordt uitgevoerd. Het is van belang dat er third party review plaatsvindt, letterlijk een afspraak gecontroleerd door een derde partij. In audittermen betekent dit dat door een derde partij zijnde niet de opdrachtgever en niet de belanghebbende, assurance moet geven over de geleverde dienst (zie verder hoofdstuk 3). Rekencentrum-audits zijn volgens van Biene om twee redenen erg belangrijk (Biene, M, 1996, p520): Het management heeft bewijs nodig dat het bedrijf geen onacceptabele risico s loopt als gevolg van handelingen en werkwijzen door het rekencentrum organisatie; 1 april Versie 1.0

22 Een assessment op het bestaan van een aantal general controls binnen het computer centrum is nodig om de jaarlijkse financiële jaarrekening-verantwoordelijkheden uit te voeren. Hosting In de vorige paragrafen is een aantal keren verwezen naar hosting. De term hosting werd oorspronkelijk gebruikt in de definitie van een Wide Area Network (WAN), waarbij een host een machine is dat onderdeel uitmaakt van het WAN (Tanenbaum, 2003, p169), Tegenwoordig wordt het woord server voor een host gebruikt, deze term zal in deze scriptie worden gebruikt. Hosting wordt tegenwoordig gebruikt als term om de dienstverlening aan te geven die wordt verstrekt. De fysieke locatie van deze dienstverlening is veelal op een andere geografische plaats dan het bedrijf van de klant. Toegang tot de service wordt meestal via een directe netwerkconnectie of via internet verleend. Deze vorm van hosting werd al toegepast vanaf het begin van de commerciële dienstverlening op het gebied van computers. Bedrijven kopen processortijd van mainframes die worden gehost door andere, commerciële, computerbedrijven onder de noemer outsourcing. Of de processortijd of opslagcapaciteit gebruikt wordt of niet, voor de afgesproken capaciteit moet worden betaald. Kenmerkend voor de traditionele vormen van dienstverlening (hosting, outsourcing) is dat er in het datacenter servers staan met elk een eigen functie. Bijvoorbeeld mailservers, applicatieservers, webservers, servers voor bestandsopslag, etc. In deze omgevingen werken individuele servers met verschillende taken niet als een groep samen. Iedere server heeft zijn eigen functie en inrichting. Workload, opslagcapaciteit en rekenkracht kunnen door de verschillende servers niet worden gedeeld. Hoewel iedere server traditioneel gezien zijn eigen functie heeft, is er wel een onderverdeling te maken in shared hosting, waarbij een server voor meerdere klanten wordt ingezet, en dedicated hosting, waarbij de server alleen voor één klant wordt ingezet. Figuur 4 Ontwikkeling van in-house management naar hosted omgevingen in de cloud (Bron: Bootsma, 2012) 1 april Versie 1.0

23 In deze figuur is te zien dat bij hosting (in figuur 1 Inhouse IT genaamd) de diverse benodigde bouwblokken 9 in een serverroom staan, en met behulp van een interne directe verbinding door een werkstation (PC) te benaderen is vanuit de kantoorlocatie. In het geval van outsourced IT staan de benodigde bouwblokken in een datacenter, oftewel het rekencentrum van de outsourcende partij. De verbinding tussen het datacenter en het werkstation wordt gelegd via een beveiligde verbinding door middel van een Virtual Private Network (VPN) of beveiligde data lijn. Deze verbinding is dan alleen voor de klant beschikbaar. Zoals uit de bovenstaande figuur blijkt is voor een klant die voor Cloud computing kiest niet duidelijk welke aanbieder welk bouwblok levert ten behoeve van de dienst, en op welke fysieke locatie de bouwblokken staan. De Cloud computing dienst wordt benaderd via een internet verbinding. Voordeel- het grootste voordeel van traditionele hosting is dat de klant zelf volledig inzicht en controle heeft in welke partij wel deel van de uitvoering van de dienst uitvoert. Doordat de IT inhouse wordt beheerd en er geen toegang van buitenaf nodig is, is er een kleinere kans op sabotage/hacking van buitenaf. Ook in het geval van outsourcing heeft de klant inzicht in welke leverancier de geoutsourcete dienst aanbiedt, daarmee kunnen gericht afspraken worden gemaakt. Wanneer de toegang tot de outsourced IT via internet wordt verkregen, wordt de kans op sabotage/hacking van buitenaf groter. Nadelen- vooral hogere kosten voor de klant (aanschaf/licenties/beheerkosten) en beperkte elasticiteit/schaalbaarheid van servers. Voor zowel hosting als outsourcing wordt wel altijd het risico van inside attacks gelopen door medewerkers of beheerders Uitbesteding IT in de vorm van Cloud computing Cloud computing is een term waar we in 2013 niet meer omheen kunnen. Onderzoeken door verschillende partijen laten (verschillende) cijfers zien van gebruik van Cloud computing door bedrijven en particulieren. Zo voorspelde onderzoeksbureau Gartner in 2010 dat de wereldwijde omzet uit Cloud computing dit jaar uitkomt op 68,3 miljard dollar; een groei van 16,6 procent ten opzichte van Gartner geeft daarbij tevens aan dat het om een doorlopende trend gaat. In 2014 zal de wereldwijde omzet naar verwachting gegroeid zijn tot 148,8 miljard dollar. (Pring, 2010) Definitie: Cloud computing is een gebied wat nog volop in ontwikkeling is. Haar uiteindelijke potentieel, de te benutten mogelijkheden en risico s zijn nog niet volledig in beeld. Dat begint al met de definitie. Er zijn veel verschillende partijen die een in nuance verschillende definitie hanteren. Het is aan de klant om de essentie uit de definitie te halen, zodat kan worden ingeschat of het concept voor het bedrijf geschikt is, en de risico s te beheersen. 9 Zoals hardware, operating system, database etc. Zie voor de uitleg bijlage 2 Definities. 1 april Versie 1.0

24 Voor deze scriptie is de definitie van het National Institute of Standards and Technology (NIST) als uitgangspunt gekozen: Cloud computing is een model om netwerktoegang te faciliteren tot een gedeelde verzameling van IT bronnen (netwerken, servers, opslag, applicaties en diensten). Deze IT bronnen kunnen snel worden ingericht, en worden uitgebracht met een minimale beheer inspanning en/of leveranciersinteractie. Het model bevordert beschikbaarheid van IT bronnen. Het model kent vijf kenmerkende karakteristieken waarmee Cloud computing zich onderscheid van traditionele hosting en outsourcing. Verder kent Cloud computing 4 servicemodellen en 3 delivery modellen, waar de klant uit kan kiezen 10 (NIST, SP (2011) Figuur 5 Overzicht elementen Cloud computing, gebaseerd op definitie NIST Een belangrijk kenmerk van Cloud computing zijn de drie servicemodellen, oftewel het type dienst dat door de klant wordt afgenomen. De scheiding tussen beheer en controle door klant en leverancier is essentieel bij de keuze voor Cloud computing, in combinatie met het gekozen servicemodel. De klant bepaalt op deze manier immers hoe en waar deze zelf invloed uit kan oefenen. In onderstaande figuur worden de aangeboden diensten schematisch weergegeven inclusief de scheiding tussen beheer door de Cloud computing leverancier en het beheer door de klant. In de blokken van de servicemodellen worden voorbeelden gegeven van Cloud computing leveranciers. 10 Nadere uitleg van deze cloud elementen is te vinden in bijlage 4. 1 april Versie 1.0

25 Figuur 6 Voorbeelden van cloud servicemodellen (Bron Verminderde invloed op (vormgeving) IT middelen. Uit de hiervoor beschreven ontwikkelingen richting outsourcing en Cloud computing blijkt dat de invloed op de vormgeving van de IT-omgeving verminderd. Er worden standaard diensten afgenomen die voor iedere klant in grote mate gelijk zijn vormgegeven. Uiteraard is de invloed die een klant kan uitoefenen op een clouddienst die is ondergebracht in een Private Cloud groter dan bij een afgenomen dienst uit een Public Cloud. Maar zelfs bij een Private Cloud maakt een klant gebruik van standaard bouwblokken. Alleen op die manier is kostenbesparing, flexibiliteit en schaalbaarheid haalbaar. Door het gebruik van virtualisatie worden middelen optimaal ingezet voor de klant. Virtualisatie, oftewel de simulatie van de software en/of hardware die op andere software loopt, zorgt voor een verminderde controle op de IT-omgeving, evenals het concept van multi tenancy (middelen delen met meerdere afnemers). Bestanden worden verspreid over meerdere (virtuele) servers en datacentra, die zich niet noodzakelijk in hetzelfde land bevinden. De leverancier bepaalt de security instellingen, updatebeleid, etc. en geeft over zijn bedrijfsvoering voor alle klanten ook maar één assurance verklaring af die gebaseerd is op één standaard normenkader Voor- en nadelen van Cloud computing Er zijn diverse redenen om Cloud computing te gebruiken in het voordeel van een organisatie. Kostenbesparing, flexibiliteit, schaalbaarheid en het kunnen richten op de kernactiviteiten van de organisatie worden als de voornaamste redenen genoemd. Ik noem hieronder een aantal voordelen. Omdat ze niet allemaal rechtstreeks verband houden met de vraagstelling van de scriptie worden ze niet uitgebreid toegelicht. Vormen van kostenbesparing Geen investeringen, alleen huur van apparatuur en licenties. Daarnaast wordt alleen betaald voor daadwerkelijk gebruik (Pay-per-use). Flexibiliteit en schaalbaarheid Deze worden vooral vormgegeven door de on-demand self service, resource pooling en rapid elasticity. Diensten groeien mee met de vraag die het bedrijf gedurende de tijd heeft, zowel in positieve als negatieve zin. 1 april Versie 1.0