Assurance verstrekking bij Cloud computing

Maat: px
Weergave met pagina beginnen:

Download "Assurance verstrekking bij Cloud computing"

Transcriptie

1 Assurance verstrekking bij Cloud computing leveranciers en klanten In Control Ing. Anneke Zuidberg, IT Auditor

2 Gegevens auteur: Ing. Anneke Zuidberg, IT Auditor Univé. Telefoonnummer werk : Mail werk : Gegevens afstudeerbegeleider Vrije Universiteit Amsterdam : Dr. Wiekram Tewarie RE, docent Vrije Universiteit Amsterdam Mail: Dr. René Matthijsse RE, hoofddocent Vrije Universiteit Amsterdam Mail: Gegevens bedrijfsbegeleider Univé : Alexander Sluiter RE, senior IT Auditor Univé. Mail: Referentienummer VU : 2007 Assurance verstrekking bij voor Cloud computing leveranciers en klanten In Control 1 april Versie 1.0

3 Voorwoord Deze scriptie is het resultaat van een onderzoek naar de mogelijkheid om alternatieven te bieden voor het verstrekken van assurance voor Cloud computing op een manier die voldoet aan de behoeften van zowel klanten als leveranciers. Zelf ben ik geïnteresseerd in de effecten van een nieuwe technologie op de manier waarop we als auditors assurance kunnen verlenen. Daarnaast vind ik het belangrijk om klantgericht en effectief werkzaamheden te kunnen uitvoeren. Deze twee interesses komen samen in het onderzoek dat ik heb uitgevoerd. Met deze scriptie rond ik mijn postgraduate opleiding IT Audit aan de Vrije Universiteit Amsterdam af. De doelgroep van dit onderzoek zijn de klanten en leveranciers van Cloud computing diensten. Terugkijkend op het onderzoek merk ik dat ik veel geleerd heb tijdens het onderzoekstraject. Met name dat het laten rijpen van ideeën en zoeken van nieuwe invalshoeken tot inspirerende inzichten kan leiden. Dit onderzoek had ik niet uit kunnen voeren zonder de steun van een aantal mensen om mij heen. Graag wil ik van deze gelegenheid gebruik maken om deze mensen te bedanken. Mijn academische begeleider Wiekram Tewarie wil ik bedanken voor hun luisterend oor, het reviewen van mijn stukken en het meedenken over het resultaat. Mijn interne begeleider van Univé, Alexander Sluiter, wil ik bedanken voor de begeleiding en steun op zowel inhoudelijk als procesmatig vlak. Hij maakte, ondanks drukte, altijd tijd voor me vrij. Mijn werkgever heeft me gesteund door tijd vrij te geven om me volledig op de scriptie te kunnen concentreren. Mede daardoor heb ik de door mezelf gestelde deadline kunnen halen. Ook wil ik mijn respondenten bedanken voor de tijd die ze in het interview en de review hiervan hebben gestoken, en de openheid waarmee ze hun professionele mening met me hebben gedeeld. Tenslotte wil ik graag mijn gezin bedanken voor alle steun die ik tijdens mijn studie en het schrijven van mijn scriptie heb ontvangen. Zonder hun onvoorwaardelijke steun en positieve inbreng was het studietraject aanzienlijk moeilijk te volbrengen geweest. Vries, 30 maart 2014 Anneke Zuidberg 1 april Versie 1.0

4 Management samenvatting Cloud computing, is het een evolutie of revolutie? Hoe het ook zij, inmiddels is Cloud computing niet meer weg te denken uit zakelijk- en privégebruik. Redenen om op deze nieuwe technologie over te gaan zijn kostenbesparing, flexibiliteit en schaalbaarheid en beveiliging en licentiebeheer. Daardoor kan de klant zich richten op kernactiviteiten. Uit onderzoeksresultaten en verwachtingen in de ICTwereld blijkt dat het gebruik van cloud computing de komende jaren explosief zal toenemen. Zo voorspelt onderzoeksbureau Gartner dat de wereldwijde omzet uit Cloud computing dat in 2014 de wereldwijde omzet naar verwachting gegroeid zal zijn tot 148,8 miljard dollar. (Pring, 2010) Uitbesteden ontslaat de eigenaar niet van verplichtingen. Een eigenaar van de uitbestede dienst blijft eindverantwoordelijk en moet over de uitbestede dienst een assurance verklaring laten afgeven, bijvoorbeeld om te gebruiken als input voor de jaarrekening. Het verstrekken van assurance op de uitbestede IT gebeurt nu veelal op basis van TPM-verklaring, bijvoorbeeld in de vorm van een ISAE3402/SOC 1 verklaring. Bedrijven (zowel klanten als leveranciers) sturen steeds meer op het afgeven van ISAE3402 verklaringen die generiek zijn, herbruikbaar voor alle afnemers van een dienst. Standaard verklaringen zijn goedkoper en zouden onderling beter te vergelijken moeten zijn. De onderlinge vergelijkbaarheid is vaak nog niet gerealiseerd. Dat blijkt ook uit mijn scriptie. Onderzoek van het internationale management consultingbedrijf BOOZ toont aan dat van de 160 onderzochte industrie-overstijgende standaarden met een expliciete scope op Cloud computing slechts 3 bruikbaar en rijp genoeg zijn voor het afgeven van assurance op clouddiensten (Pütter, 2012). Het betreft de standaarden OAuth, OpenStack en OCCI. De hoofdvraag van mijn scriptie is: Welke tekortkomingen kent de huidige manier van assurance verlenen voor Cloud computing, welke oorzaken zijn hiervoor te benoemen en welke alternatieven zijn hiervoor te beschrijven? Doel van mijn onderzoek is inzicht te krijgen in een aantal vragen: 1. welke verklaringen en onderliggende normenkaders er gebruikt worden voor het verlenen van assurance; 2. waarom de huidige manier van auditen en afgeven van assurance voor IT in het tijdperk van Cloud computing niet voldoet aan de compliance eisen en de eisen/behoefte van leveranciers en de klant en 3. welke alternatieven kunnen worden beschreven voor het afgeven van een assurance verklaring die voldoet aan de eisen en behoeften van leveranciers en klanten. Als eerste heb ik en theoretisch kader ontwikkeld over hosting, outsourcing en Cloud computing, en de huidige normenkaders voor het verstrekken van assurance. Op basis van theorie van onder andere ISO en NIST heb ik onderzocht in hoeverre er assurance op Cloud computing kan worden verstrekt met behulp van de huidige normenkaders en verklaringen. Vervolgens heb ik een case study uitgevoerd bij drie bedrijven. Hierbij heb ik gekozen voor drie invalshoeken, te weten een klant en leverancier van Cloud computing, en een onafhankelijke non-profit organisatie die onder andere Cloud richtlijnen heeft ontwikkeld en een methodiek voor het certificeren van cloudleveranciers (EuroCloud Star audit). Op basis van de analyse van theorie en de case study heb ik de centrale vraag en de deelvragen beantwoord. Ik heb in de conclusie een aantal aanscherpingen aangedragen van onder meer het te hanteren normenkader waarmee assurance op Cloud computing kan worden 1 april Versie 1.0

5 verstrekt. Aanvullend heb ik de onderwerpen beschreven die een potentiële afnemer van Cloud computing zou kunnen doorlopen om de basis- en randvoorwaarden in te kunnen richten, die nodig zijn voor het afnemen van Cloud computing. De onderzochte normenkaders en standaarden voor deze scriptie heb ik geselecteerd op basis van een gedegen onderzoek van Booz en mijn eigen literatuuronderzoek. De kaders zijn naar mijn mening een goede basis voor een control framework ten behoeve van Cloud computing. Conclusie Niet alle momenteel gebruikte vormen van Assurance rapportage zijn geschikt voor het aantonen van de mate van beheersing van de IT-processen als gevolg van de verplichtingen over de scope van de rapportage. Een aantal op dit moment geaccepteerde risico s gerelateerd aan onderwerpen zoals data locatie en data retentie, complexe techniek en virtualisatie die nog niet (voldoende) kunnen worden aangetoond moeten expliciet buiten scope van de audit worden gehouden en deze uitsluiting van de scoping moet duidelijk benoemd zijn in de assurance rapportage. Ook is het op basis van standaard rapportages nog niet voldoende mogelijk om een uitgebreid onderzoek te doen naar de prestaties van onderaannemers. De vraag of het voor de uitbestedende partij wettelijk verplicht is om van de prestaties van onderaannemers kennis te hebben heb ik tijdens een kort literatuuronderzoek nog niet voldoende kunnen beantwoorden. Momenteel is er onvoldoende inzicht in de volledige (leveranciers)keten bij Cloud computing. Daarnaast is onvoldoende duidelijk in hoeverre het de verantwoordelijkheid van de uitbestedende klant is om dit inzicht te hebben. Het effect van de ondoorzichtige keten in combinatie met gebrek aan uniformiteit versterkt het risico cumulatief. Het is voor een klant niet meer voldoende om achteraf een assurance rapportage te ontvangen. De behoefte aan realtime rapportage en sturing is door de Cloud computing technologie en de compliance verplichtingen toegenomen. Door actueel inzicht in de prestaties van de afgenomen dienst kan door een organisatie worden bijgestuurd waardoor meer assurance kan worden verkregen. De mate waarin momenteel aan deze realtime rapportage en sturing invulling kan worden gegeven door klanten en leveranciers voldoet nog niet. Onder andere doordat: *de rapportages onvoldoende inzicht geven in prestaties van onderaannemers; *de rapportages nog geen inzicht geven in alle belangrijke issues zoals datalocatie en retentie, inzicht in de werking van de complexe Cloud computing techniek etc.; * de klanten de uitkomsten van rapportages begrijpen en kunnen vertalen naar hun organisatie, risico s en te nemen maatregelen ter bijsturing. Het is niet mogelijk geweest om in deze scriptie alternatieven te beschrijven voor het verstrekken van assurance als gevolg van de complexiteit van de Cloud computing techniek en het ontbreken van technologie om de locatie van data, dataretentie en de uitvoering van deze complexe techniek aan te tonen. In plaats van alternatieven heb ik op basis van mijn onderzoek kunnen vaststellen dat het mogelijk is assurance over Cloud computing te verstrekken door : 1. het aanscherpen van normenkaders en standaarden; 2. het bewust toepassen van (SOC) formats van assurance en 3. het volgen van een stappenplan om te komen tot een volwassen leveranciers- en klantorganisatie. 1 april Versie 1.0

6 Er zijn een aantal onderwerpen waarvoor ten behoeve van het kunnen verstrekken van assurance voor Cloud computing meer aandacht nodig is, dan voor traditionele hosting of outsourcing. Dat komt door de voor Cloud computing onderkende risico s: * inrichting Corporate en IT Governance; * In Control systeem en volwassenheidsniveau; * kennis; * scope en diepgang beoordeling auditobject; * inzicht in de (leveranciers)keten; * mogelijkheid tot het uitvoeren van een assurance opdracht voor cloudcomputing. Wanneer wordt overwogen om data en/of een informatiesysteem onder te brengen in de Cloud wordt op basis van het uitgevoerde onderzoek geadviseerd aan de volgende onderwerpen aandacht te besteden: Stap 1. Beschrijven van Corporate en IT Governance Stap 2. Vaststellen en onderhouden van data classificatie Stap 3. Risico gebaseerde analyse van de mogelijke uitbesteding Stap 4. Inrichten Technische, Organisatorische en Procedurele (TOP) maatregelen Stap 5. Inrichten realtime rapportages op basis van geautomatiseerde SLA rapportages Zowel voor de klant als de leverancier zou er voldoende aandacht voor deze onderwerpen moeten zijn, om op deze manier een gelijkwaardige en volwassen relatie te kunnen aangaan. Als vervolgonderzoek heb ik drie onderwerpen aangedragen. Deze zijn de mogelijkheden voor het aantonen van de data locatie, de wettelijke verplichtingen t.a.v. inzicht in prestaties van onderaannemers voor de uitbestedende partij en de haalbaarheid van het opstellen van een Cloud computing Assurance kubus. 1 april Versie 1.0

7 Inhoud 1. Inleiding Onderwerp Aanleiding Doelstelling en Centrale vraagstelling Onderzoeksaanpak Normenkaders voor assurance op IT diensten Verklaringen en normenkaders voor assurance Corporate Governance en IT Governance De rol van data classificatie voor assurance Meningen over het verstrekken van assurance voor Cloud computing Samenvatting Uitbesteding van IT Hosting en traditionele outsourcing; definities, voor- en nadelen Uitbesteding IT in de vorm van Cloud computing Voor- en nadelen van Cloud computing Samenvatting hosting en outsourcing Samenvatting Cloud computing Risicobeheersing bij Cloud computing en assurance verstrekking Aanleiding van de analyse Beoordeling openstaande risico s Cloud computing van NIST Conclusie; de NIST risico s zijn op dit moment niet allemaal te auditen Case study Beschrijving omgeving case study Bevindingen case study Analyse case study Conclusie en aanbevelingen Conclusie Aanbevolen stappenplan voor Cloud computing Slotwoord april Versie 1.0

8 1. Inleiding 1.1. Onderwerp Mijn afstudeerscriptie gaat over het onderwerp Assurance verstrekking voor Cloud computing. In dit hoofdstuk worden de aanleiding, probleemstelling en de doelstelling behandeld Aanleiding Tijdens de oriënterende gesprekken met docenten over mijn afstudeeronderwerp kwam naar voren dat de momenteel gebruikte normenkaders zoals onder andere de ISAE3402/SOC 1 rapportage niet voldoet voor Cloud computing, evenals de manier van auditen. Oorzaken hiervoor zijn het tijdsbeslag die het opstellen van een rapportage vraagt van auditors en de geaudite organisatie, met bijbehorende kosten. Daarnaast geeft de verklaring inzicht achteraf terwijl er steeds meer behoefte ontstaat aan realtime inzicht. Een korte scan van de aanwezige literatuur onderschrijft dit. Zo toont onderzoek van het internationale management consultingbedrijf BOOZ aan dat van de 160 onderzochte standaarden slechts 3 bruikbaar en rijp genoeg zijn, voor het afgeven van assurance op Cloud computing, te weten OAuth, OpenStack en OCCI (Pütter, 2012). Het onderwerp van mijn afstudeerscriptie is dan ook Assurance verstrekken voor Cloud computing; leveranciers en klanten in Control. De onderwerpen hieronder schetsen het kader van waaruit de aanleiding is ontstaan. Groei in uitbesteding IT diensten Er heeft op IT gebied een forse verschuiving van hosting naar uitbesteding plaatsgevonden. Een volgende stap in de IT evolutie is de outsourcing naar diverse vormen van Cloud computing. Redenen om uit te besteden zijn kwaliteitsverbetering, innovatie en kostenbesparing (Zaal, 2012). In 2012 werden Cloud computing al door 50 procent van de ICT-bedrijven in Nederland geleverd. Eindverantwoordelijkheid uitbestede diensten Uitbesteden ontslaat de eigenaar niet van verplichtingen. Een eigenaar van de uitbestede dienst blijft eindverantwoordelijk en moet over de uitbestede dienst een assurance verklaring laten afgeven, bijvoorbeeld om te gebruiken als input voor de jaarrekening. Leveranciers sturen steeds meer op het afgeven van ISAE3402/SOC1 verklaringen die generiek zijn en daardoor herbruikbaar voor alle afnemers van een dienst. Standaard verklaringen zijn goedkoper en zouden onderling beter te vergelijken moeten zijn. De onderlinge vergelijkbaarheid is echter vaak nog niet gerealiseerd. Hosting of Cloud computing, en wat betekent dit voor het afgeven van assurance Bedrijven onderzoeken de mogelijkheden om over te gaan van traditionele hosting naar Cloud computing. Daardoor wordt de vraag actueel of, en op welke manier, assurance voor Cloud computing kan worden verstrekt actueel voor (onder andere) Internal Audit. Daniele Cattedu en Giles Hogben stellen in een paper van ENISA dat het vaststellen van cloud assurance een significant tijdsbeslag legt op interne resources van de business. Tevens geven cloud leveranciers aan dat door de verplichte onderzoeken die zijn uitgevoerd op basis van NIST documenten en het grote aantal audit-verzoeken van klanten, een zware belasting voor security medewerkers veroorzaken (Cattedu/Hogben, 2009). Naast de genoemde nadelen van kosten en belasting voor de organisatie ten behoeve van het afgeven van assurance geven de twee onderzoekers van de University of Memphis aan dat de sectoren die cloud services gebruiken, erg bezorgd zijn over hun data security (Dasgupta/Naseem, jaartal onbekend). Literatuur wijst uit dat er een constant spanningsveld tussen kostenreductie en kwaliteitseisen is voor Cloud computing (zichtbaarheid, compliance, controle en toekomstgerichtheid). 1 april Versie 1.0

9 Onderzoek naar geschikte vorm van assurance voor Cloud computing Het aanbieden van Cloud computing is een snelgroeiende markt. Doordat steeds meer bedrijven in allerlei vormen gebruik gaan maken van Cloud computing, is er ook steeds meer behoefte aan een vorm van assurance die past bij de door Cloud computing aangeboden vormen van dienstverlening (Olavsrud, 2012). In deze scriptie worden de factoren die kunnen bijdragen aan een betere assurance verklaring onderzocht, benoemd en beschreven, vanuit de optiek van zowel klant als leverancier Doelstelling en Centrale vraagstelling Doelstelling van mijn onderzoek is het beschrijven van een aantal alternatieven voor het afgeven van assurance voor Cloud computing op een dusdanige manier dat de assurance voldoet aan de eisen en behoefte van de leveranciers en klanten van Cloud computing. Om de doelstelling van het onderzoek te kunnen bereiken, heb ik de volgende Centrale vraag geformuleerd: Welke tekortkomingen kent de huidige manier van assurance verlenen voor Cloud computing, welke oorzaken zijn hiervoor te benoemen en welke alternatieven zijn hiervoor te beschrijven? De centrale vraagstelling bevat een beschrijvend en een adviserend gedeelte. In het beschrijvende deel maak ik een samenvatting van de problematiek over assurance voor Cloud computing beschreven zoals die nu in veel artikelen en scripties beschreven wordt, met de oorzaken zoals die in de artikelen worden aangegeven en/of zoals ik die zelf zie. Hierin komt ook aan bod waarom Cloud computing een wezenlijk ander object is om assurance over af te geven dan hosting. Bovendien vat ik samen welke onderzoeken er naar de geschiktheid van normenkaders op het gebied van assurance voor Cloud computing zijn uitgevoerd en wat de uitkomsten van deze onderzoeken zijn. Het beschrijvende deel is nodig als fundament voor de te kiezen alternatieven. In het adviserende deel worden de alternatieven beschreven die kunnen worden gekozen om assurance op Cloud computing te kunnen geven op een manier die aansluit bij de eisen en behoefte van de leverancier en de klant. Deelvragen 1. Welke huidige normenkaders worden er gebruikt voor het verlenen van assurance, en in hoeverre zijn deze geschikt voor het afgeven van assurance voor Cloud computing? (beschrijvend) 2. Waarom voldoet de huidige manier van auditen en afgeven van assurance voor IT in het tijdperk van Cloud computing niet aan de compliance eisen en de eisen/behoefte van leveranciers en de klant, en welke tekortkomingen liggen hieraan ten grondslag? (analyserend). 3. Welke alternatieven kunnen worden beschreven voor het afgeven van een assurance verklaring die voldoet aan de eisen en behoeften van leveranciers en klanten? (beschouwend/adviserend) 1.4. Onderzoeksaanpak Ik heb gekozen voor een praktijkonderzoek. Ik heb hiervoor theorieonderzoek uitgevoerd, een vergelijking van door NIST benoemde risico s met toonaangevende normenkaders en standaarden en een case study bij een leverancier en klant van Cloud computing en een (onder andere) certificerende stichting. 1 april Versie 1.0

10 2. Normenkaders voor assurance op IT diensten In dit eerste hoofdstuk behandel ik de rapportages en normenkaders die momenteel gebruikt worden ten behoeve van het verstrekken van assurance voor IT diensten in het algemeen en voor Cloud computing in het bijzonder. Om deze informatie in perspectief te kunnen plaatsen ten opzichte van assurance verstrekking voor traditionele IT, start dit hoofdstuk met de uitleg van de term assurance en de te gebruiken formats en normenkaders voor traditionele hosting en outsourcing. Aansluitend wordt aan de hand van publicaties van Booz en Qualys aangegeven welke zorgenpunten er nog zijn op het gebied van het verstrekken van assurance voor Cloud computing Verklaringen en normenkaders voor assurance Een assurance-opdracht is een opdracht waarbij een accountant een conclusie formuleert die is bedoeld om het vertrouwen van de beoogde gebruikers, niet zijnde de verantwoordelijke partij, in de uitkomst van de evaluatie van, of de toetsing van het object ten opzichte van de criteria, te versterken. (NIVRA website). Belangrijke elementen uit deze definitie zijn de conclusie die voor de opdrachtgever aanvullende zekerheid over een onderwerp kunnen geven, en het feit dat er bij de opdracht 3 partijen betrokken zijn. Een assurance verklaring kan met een beperkte of redelijke mate van zekerheid worden afgegeven. Verder uitleg over assurance wordt gegeven in bijlage 1. Voor een assurance opdracht of verklaring wordt gebruik gemaakt van rapportageformats en van met de opdrachtgever afgesproken toetsings- of evaluatiecriteria, gevat in een normenkader. Hieronder wordt dieper in gegaan op mogelijke formats en normenkaders. Huidige formats voor de assurance verklaring Een assurance verklaring voor outsourcing wordt van oorsprong vaak afgegeven middels een Third Party Mededeling (TPM verklaring), bijvoorbeeld in de vorm van een ISAE-3402/SOC1 verklaring (voorheen SAS-70). Een veelgehoorde klacht van leveranciers die graag een generieke TPM verklaring willen opstellen, is het veelvoud aan normen dat door de klanten wordt aangeleverd ter toetsing van de kwaliteit van de geleverde dienstverlening door de leverancier. Door het verschil in scope en normenkaders van de verschillende klanten is het voor de leverancier niet mogelijk om een dergelijk generieke verklaring op te laten stellen voor alle klanten. Bij het verstrekken van assurance voor Cloud computing is dit nog steeds een veelgehoorde klacht. Door het gebrek aan eenduidige normenkaders is voor de traditionele hosting en outsourcing een assurance verklaring een kostbare aangelegenheid voor zowel klant als leverancier. Daarbij is de ISAE 3402 verklaring de meest vormvaste, eenduidige soort assurance verklaring die kan worden afgegeven. De kanttekening moet worden geplaatst dat ook onder de normen van de ISAE 3402 verklaring vaak een gedetailleerder control framework en/of ICS-kader ligt dat door de service organisatie wordt gebruikt. Deze kaders zijn niet vormvast en kunnen in scope en diepgang verschillen. Eén van de verschillen tussen een generieke TPM verklaring en een ISAE-3402/SOC1 rapport is dat het ISAE3402 rapport een vaste vorm heeft, met vaststaande kwaliteitsaspecten die moeten worden beoordeeld (collegemateriaal Han Boer, 11 oktober 2013). De door de auditor gekozen normen moet passen onder deze voorgeschreven kwaliteitsaspecten. Een TPM rapport is een leeg rapport waarbij 1 april Versie 1.0

11 de auditor de vorm, kwaliteitsaspecten en normen zelf in overleg met de opdrachtgever op kan stellen. Een tweede en zeer belangrijk verschil is dat bij de TPM verklaring de auditor alleen een verklaring opstelt in het assurance rapport. Bij een ISAE-3402/SOC1verklaring stelt zowel de verantwoordelijke partij als de auditor (los van elkaar) een verklaring op in het assurance rapport. Voor het opstellen van de verklaring door de serviceorganisatie moet deze organisatie zelf ook inzicht in de opzet en werking en prestaties van de processen hebben, oftewel de serviceorganisatie moet daarvoor In Control zijn. Bij een TPM verklaring is dat voor de serviceorganisatie niet noodzakelijk (collegemateriaal Han Boer, 11 oktober 2013). Uitleg van de verschillende SOC verklaringen SOC staat voor Service Organisatie Control-rapport. De merknaam SOC is door het Amerikaans Instituut voor Accountants (AICPA) gelanceerd, in eerste instantie als alternatieve naam voor het ISAE-3402/SOC1rapport. De soorten SOC rapporten zijn te onderscheiden door een nummer. Een ISAE-3402/SOC1 rapport heeft uitsluitend betrekking op beheersmaatregelen die een (indirecte) relatie hebben met de financiële verslaglegging van de uitbestedende organisatie. De standaard geeft aan dat voor een assurance verklaring die niet gericht hoeft te zijn op financieel relevante beheersmaatregelen gebruik moet worden gemaakt van de Richtlijn 3000 (ook wel ISAE 3000 genoemd). (Boer en van Beek, 2013) De SOC 2 rapportage is gericht op een specifiek IT gerichte scope. De principles and criteria oftewel normen uit het rapport hebben betrekking op het beheersen van IT-infrastructuur, software, gegevens-/informatieopslag en de hierop betrekking hebbende handmatige en geautomatiseerde uitvoeringsprocedures. De principles en criteria betreffen een aantal kwaliteitsaspecten, te weten beveiliging, beschikbaarheid, integriteit van bewerking, vertrouwelijkheid en privacy. Daarmee is de rapportage breed toepasbaar voor het afgeven van assurance op IT-gerelateerde processen. Het rapport kan betrekking hebben op één of meer van de genoemde kwaliteitsaspecten, met als basisset de principles en criteria voor beveiliging. Wanneer er kwaliteitsaspecten niet worden beoordeeld, moet dit in het rapport worden gemotiveerd. Als laatste is er de SOC 3 rapportage die als focus dezelfde principles en criteria als de SOC 2 rapportage heeft. Het is echter een kort rapport, zonder de detailrapportage van SOC 2, en is geschikt voor brede publicatie. Wanneer het rapport op internet wordt gepubliceerd moet een verkort rapportagemodel worden gebruikt dat sterk lijkt op een certificaat. Door de vorm van deze rapportage en het ontbreken van de detailrapportage mag er geen uitsluiting van onderaannemers zijn toegepast (zogeheten carve out). Het doel van de rapportage, te weten het zekerheid bieden aan gebruikers van de naleving van principles en criteria door de service organisatie (en daarmee ook de eventuele onderaannemers) moet eenduidig uitlegbaar zijn en vergelijkbaar met SOC 3 rapportages van andere service organisaties. De onderlinge vergelijkbaarheid en verstrekte zekerheid zijn de redenen dat er geen carve out mag zijn toegepast. Verschillen tussen de ISAE 3402 verklaring en de (NOREA) Richtlijn 3000 Voor een assurance verklaring die niet gericht is op financieel relevante beheersmaatregelen kan gebruik worden gemaakt van SOC2/SOC3 of de Richtlijn Daar waar de ISAE 3402/SOC1 standaard gericht is op financieel relevante beheersmaatregelen, biedt de Richtlijn 3000 meer vrijheidsgraden. 1 april Versie 1.0

12 In het kort zijn er de volgende verschillen tussen de Richtlijn 3000 en de ISAE 3402 verklaring: Een ISAE3402 verklaring heeft betrekking op controls ten behoeve van de financiële verantwoording en heeft betrekking op een service organisatie. De opdrachtgever moet ook de serviceorganisatie zijn. Het object van een Richtlijn3000 assurance-rapport mag breder zijn. Voor een ISAE3402 verklaring is een management bewering van de serviceorganisatie verplicht, voor een richtlijn3000 rapport gewenst. Een ISAE3402-rapport heeft een voorgedefinieerde vorm met verplichte onderdelen. In een ISAE3402 rapport mogen geen beheersmaatregelen worden opgenomen die niet financieel van aard zijn. Een richtlijn3000 rapportage kent deze eisen aan vorm en scope niet. Er moeten alleen een aantal verplichte onderdelen worden behandeld. Daardoor kunnen ook processen worden opgenomen die geen invloed hebben op de financiële verantwoording. De voorgedefinieerde kwaliteitsaspecten van een ISAE3402 gaan over continuïteit (alleen in vorm van backup/recovery, geen uitwijk bijvoorbeeld), juistheid en tijdigheid. Een richtlijn3000 opdracht heeft geen voorgedefinieerde kwaliteitsaspecten. Te gebruiken normenkaders zoals het COBIT-framework, procesmodellen en ISO normen De te auditen IT processen/it objecten kunnen met behulp van modellen als ITIL (technisch beheer), ALS (applicatiebeheer) en BISL (functioneel beheer) worden beoordeeld. Ook Cobit is voor de beoordeling van processen geschikt om te gebruiken, of de standaard van Norea en het Platform voor Informatiebeveiliging Handreiking, normen voor de beheersing van uitbestede ICTbeheerprocessen (Norea, 2008) ISO specificeert 133 controles die gebruikt kunnen worden om beveiligingsrisico s te verkleinen. De normen van ISO kunnen worden gebruikt om de kwaliteit van de beheersmaatregelen ten behoeve van de beveiliging en continuïteit van diensten te beoordelen. Kortom, om een oordeel (met beperkte of redelijke mate van zekerheid) over IT diensten te kunnen geven, kan de IT-auditor gebruik maken van diverse assurance richtlijnen en -rapportages, normenkaders, modellen en procesbeschrijvingen. Van het object van onderzoek is de locatie bekend in het geval van hosting of outsourcing. Verder is het aantal partijen dat betrokken is bij het leveren van de dienst zeer klein en is de datalocatie ook bekend. Voor Cloud computing zijn deze kenmerken niet van toepassing. Daardoor zijn er extra eisen en aandachtspunten die moeten worden geadresseerd in het normenkader en de assurance verklaring. Daarnaast moet voor het afgeven van de assurance verklaring de scope van de assurance opdracht zorgvuldig worden afgewogen. In het geval van een op financiële verantwoording gerichte scope is een ISAE-3402/SOC1 rapportage een geschikt format. De SOC2/SOC3 rapportage is gericht op het verstrekken van assurance over de IT-gerelateerde processen. De ISAE3000 rapportage is vormvrij qua scope en kwaliteitsaspecten, en kan breder gebruikt worden. 1 april Versie 1.0

13 2.2. Corporate Governance en IT Governance Voordat ik verder ga wil ik benadrukken dat uitbestede diensten deel uitmaken van de IT Governance van een bedrijf. Het bedrijf is dan ook verantwoordelijk voor het vragen van assurance over de uitbestede diensten ten behoeve van het eigen In Control Programma van het uitbestedende bedrijf. Zowel beursvennootschappen als niet-beursgenoteerde vennootschappen en nonprofitorganisaties worden geconfronteerd met codes voor Corporate Governance 1. Voorbeelden zijn de Nederlandse Code voor Corporate Governance van de commissie Tabaksblad en de Amerikaanse Sarbanes-Oxley Act De essentie van Corporate Governance is het goed besturen van organisaties en het aantoonbaar maken dat dit ook zo gebeurt (Kennisgroep IT Governance Norea, 2004). In de codes worden onder andere eisen gesteld aan de beheersing van de bedrijfsprocessen zodat de betrouwbaarheid van verantwoordingen gewaarborgd en aantoonbaar wordt. Er wordt in de codes een onderscheid gemaakt naar de principle-based benadering op basis van algemene randvoorwaarden en best practices, en de rule-based benadering op basis van regulering, wetgeving en harde eisen. Voor de interne beheersing en afleggen van externe verantwoording moet een bedrijf ook rekening houden met branche-specifieke voorschriften, zoals de Solvency II richtlijnen voor verzekeringsmaatschappijen. De inzet van IT-toepassingen vormt een belangrijke schakel in de bedrijfsvoering en de realisatie van de organisatiedoelstellingen. De beheersing van de informatievoorziening vormt daarmee een integraal onderdeel van de beheersing van de organisatie. IT-Governance maakt daardoor onmiskenbaar onderdeel uit van Corporate Governance. Het gaat over besturen, beheersen, uitvoering, verantwoording afleggen over het toezicht op de informatievoorziening binnen een organisatie. (Kennisgroep IT Governance Norea, 2004) Vanuit de uitgangspunten van Corporate Governance zijn er drie aandachtsgebieden voor IT Governance in een organisatie: de beheersing van de informatievoorziening in de organisatie door het besturen, beheersen en uitvoeren van de informatievoorziening; het afleggen van verantwoording over de beheersing van IT naar buiten toe en het uitoefenen van toezicht op de IT-beheersing door bijvoorbeeld de Raad van Commissarissen binnen de organisatie en door toezicht van toezichthouders als bijvoorbeeld DNB. De 5 elementen die hierboven genoemd worden, zijn door Tewari 2 (2013) in een driehoek verband geplaatst, gebaseerd op het besturingsparadigma van De Leeuw (zie figuur 5). Binnen de huidige omgevingen wordt de beheersing van de bedrijfsprocessen mede bepaald door: de kwaliteit van de informatiesystemen, geprogrammeerde controles binnen systemen en gebruikerscontroles; de beheersing van IT-veranderingstrajecten; de beheersing van de IT-infrastructuur, waarop de systemen draaien; de beheersing van IT-risico s. 1 Governance voor een onderneming betreft onderwerpen als consistent management, samenhangend beleid, processen en beslissingsrechten voor een bepaalde bevoegdheid. 2 Collegemateriaal voor de Vrije Universiteit Amsterdam 1 april Versie 1.0

14 Figuur 1 Besturingsmodel voor IT Governance (Bron: Wiekram Tewari) Er zijn ten behoeve van de beheersing van de bedrijfsprocessen verschillende spelers en producten te benomen die bijdragen aan het behalen van doelen op alle domeinen. Wilders beschrijft in het artikel Marktwerking of marteltuig een aantal spelers die bij sturing en beheersing betrokken zijn en een aantal bijbehorende producten. De relaties tussen de spelers en de producten heb ik weergegeven in figuur 6 (Wilders, 2013). Figuur 2 Lines of defence die bijdragen aan sturing en beheersing van processen Er zijn in de loop der jaren verschillende IT Governance modellen opgesteld. Hoewel de modellen het begrip op een verschillende manier hebben uitgewerkt, is de rode draad het zodanig effectief en efficiënt organiseren van de IT-werkprocessen dat zij daarmee een bijdrage levert aan de business wensen, en daar rekenschap over aflegt. (Kennisgroep IT Governance Norea, 2004) In de praktijk wordt IT Governance door bedrijven op uiteenlopende manieren ingevuld. IT- Governance heeft vergaande impact op de rol, de werkzaamheden en de opleiding van IT-auditors. De IT-auditor kan voor organisaties een bijdrage leveren aan de beheersing van de 1 april Versie 1.0

15 informatievoorziening, bijvoorbeeld in een adviserende, controlerende, faciliterende en/of certificerende rol (zie ook figuur 6) De rol van data classificatie voor assurance Uit mijn onderzoek blijkt dat dataclassificatie een belangrijk element is voor de Cloud omgeving. Het geeft namelijk aan dat een basisvoorwaarde is voor een klant om te kunnen bepalen of data of een informatiesysteem geschikt is om in een cloud omgeving onder te brengen. Het vergt een bepaald volwassenheidsniveau van de organisatie van de klant om de dataclassificatie op te stellen en onderhouden, en het data-eigenaarschap in te kunnen vullen. Daarnaast vergt het een zelfde niveau van de leverancier om de beveiligingseisen en gewenste maatregelen toe te passen in een beheerste beheeromgeving. Met behulp van classificatieniveaus van data en informatiesystemen kan er een vereist beschermingsniveau worden bepaald. Op grond hiervan kan de data-eigenaar vaststellen welke beveiligingseisen van toepassing zijn en welke maatregelen moeten worden genomen. Basiselementen om te kunnen komen tot deze beslissingen zijn onder andere architectuurprincipes, beleidsuitgangspunten en beveiligingseisen. Informatiebeveiliging is het geheel van maatregelen en procedures om informatie te beschermen. (Informatie Beveiligings Dienst Gemeenten, 2013). Deze doelstelling wordt onder andere onderschreven door het Nationaal Cyber Security Center (NCSC) en de ISO Code voor Informatiebeveiliging ). Het heeft als doel het waarborgen van de continuïteit, integriteit en vertrouwelijkheid van informatie. Daarnaast het beperkten van gevolgen van eventuele beveiligingsincidenten. De mate waarin data moet worden beschermd wordt uitgedrukt in classificatieniveaus voor de beschikbaarheid, integriteit en vertrouwelijkheid van informatie. De BIG 3 - classificatie wordt in veel bedrijven als uitgangspunt genomen, vandaar dat ik dit uitgangspunt voor mijn scriptie heb geselecteerd. De kwaliteitseisen die worden gesteld aan data en de bijbehorende classificatieniveaus zien er als volgt uit (Informatie Beveiligings Dienst Gemeenten, 2013): Beschikbaarheid: hoeveel en wanneer data toegankelijk is en gebruikt kan worden. De onderscheiden niveaus zijn: niet nodig; noodzakelijk; belangrijk en essentieel. Integriteit: het in overeenstemming zijn van informatie met de werkelijkheid en dat niets ten onrechte is achtergehouden of verdwenen (juistheid, volledigheid en tijdigheid). De onderscheiden niveaus zijn: niet zeker; beschermd; hoog en absoluut. Vertrouwelijkheid: de bevoegdheden en de mogelijkheden tot muteren, kopiëren, toevoegen, vernietigen of kennisnemen van informatie voor een gedefinieerde groep van gerechtigden. De onderscheiden niveaus zijn: openbaar; bedrijfsvertrouwelijk, vertrouwelijk en geheim Meningen over het verstrekken van assurance voor Cloud computing In deze paragraaf wordt kort het onderzoek van Booz & Co beschreven waarin wordt onderzocht welke normen en standaarden er binnen de wereld van Cloud computing gelden, en hoe bruikbaar deze normen en standaarden zijn. Daarnaast wordt het onderzoek behandeld dat het bedrijf Qualys 3 BIG staat voor Baseline Informatiebeveiliging Nederlandse Gemeenten 1 april Versie 1.0

16 heeft uitgevoerd naar nieuwe eisen voor security en compliance auditing voor Cloud computing. Booz & Co is een toonaangevend wereldwijd management consulting bedrijf, gericht op de vormgeving van de senior agenda van 's werelds toonaangevende instellingen. Qualys is een Amerikaans commercieel bedrijf dat twee Cloud managementtoepassingen aanbiedt: een Cloud platform waar een overzicht gegeven wordt van security en compliance regels en oplossingen, en een tool waarmee security tests kunnen worden uitgevoerd, beveiligingslekkenbeheer, controle op voldoen aan policy s, malware- en website securitytesting 4. Standaarden die volgens Booz geschikt zijn voor assurance op Cloud computing 5 Booz heeft in opdracht van het Duitse ministerie van economische zaken een onderzoek gedaan naar de normen en standaarden die binnen de wereld van Cloud computing gelden. De conclusie van het onderzoek luidt: "De normen en standaarden binnen de omgeving van Cloud computing zijn nog steeds in ontwikkeling." Er moet snel wat verbeterd worden, zowel op nationaal, Europees als mondiaal niveau. (Pütter, 2012). Booz heeft drie gebieden benoemd bij het ontwikkelen van standaarden voor assurance op Cloud computing: Technologie: bestandsformaten en uitwisselingsmogelijkheden, het ontwikkelen van modellen, protocollen en interfaces, standaardcomponenten en referentie-architecturen. Voorbeelden van standaarden zijn o.a. CloudAudit, Google DLF en OpenStack. Management: business modellen, service-level agreements, contracten, managementmodellen en processen, richtlijnen, audits, etc. Voorbeelden zijn onder andere ITIL, ISO en ISO Juridische zaken: wettelijke voorschriften, verplichtingen en bedrijfsbeleid. Voorbeelden zijn o.a. de Europese richtlijn voor bescherming van persoonsgegevens en het Open Cloud manifest. In het onderzoek onderkent Booz vervolgens ruim 160 verschillende instituten die werkzaamheden verrichten op het gebied van standaardisering voor Cloud computing. Booz heeft op basis van hun belangrijke rol in het ontwikkelen van standaardisering de 19 belangrijkste instituten benoemd in onderstaand figuur. 4 Deze informatie is afkomstig van de websites van beide bedrijven. 5 De teksten die in deze paragraaf worden behandeld zijn deels een letterlijke (vertaalde) quote uit het paper. Omwille van de leesbaarheid verwijs ik niet bij ieder onderdeel van de tekst naar de bron, maar doe dat slechts eenmalig aan het begin van de tekst. 1 april Versie 1.0

17 Figuur 3 Belangrijkste standaardisatie organisaties voor Cloud computing, uiteindelijke selectie (bron onderzoek FZI en Booz, 2012) Booz heeft de 160 industrie-overstijgende standaarden die een expliciete scope op Cloud computing beoordeeld aan het begin van De beoordeling heeft plaats gevonden op de uitdagingen van Cloud computing, te weten efficiency, effectiviteit, transparantie, informatiezekerheid, databescherming, interoperabiliteit, portabiliteit, competitie en compliance. De top 20 van standaarden zijn vervolgens gescoord naar doorzettingsvermogen en rijpheid/kwaliteit. Deze laatste scoring heeft geleid tot uitkomst van 3 best presenterende standaarden: OAuth, OpenStack en OCCI. De standaard OpenStack vergelijk ik in hoofdstuk 4 met de nadelen op Cloud computing volgens NIST. De schrijvers van het onderzoek doen een beroep op bedrijven en politiek om de standaardisatie naar een hoger plan te trekken. Ze schrijven: "De Duitse economie draagt de hoofdverantwoordelijkheid voor een actievere rol bij de standaardisering wanneer ze hun belangen op gebied van Cloud computing vertegenwoordigd willen zien." Een gevolg zou kunnen zijn dat Duitsland een eigen keurmerk krijgt voor een goed beveiligde en ingerichte cloud. (Pütter, 2012). Nieuwe eisen voor informatiebeveiliging en compliance auditing voor Cloud computing 6 Het bedrijf Qualys stelt in de paper New Requirements for Security and Compliance Auditing in the Cloud dat Cloud computing zorgt voor nieuwe uitdagingen voor IT beveiliging en Compliance. (Qualys, 2014)Daarnaast zijn er uitdagingen voor audit professionals die bedrijfsdata en IT assets moeten beschermen, en die de compliance aan security controls moeten checken. De cloud ontwortelt voorspelbaarheid van traditionele IT-architecturen, veiligheidscontroles en auditprocedures. Cloud computing dwingt klanten om twee essentiële mogelijkheden aan cloud leveranciers af te staan: 1) controle van gegevens, programma's en acties en 2) zichtbaarheid op status van gegevens en programma gebruik. In de paper wordt beschreven hoe de wereld van IT- 6 De teksten die in deze paragraaf worden behandeld zijn deels een letterlijke (vertaalde) quote uit het paper. Omwille van de leesbaarheid verwijs ik niet bij ieder onderdeel van de tekst naar de bron, maar doe dat slechts eenmalig aan het begin van de tekst. Daar waar informatie van andere bronnen wordt aangehaald, wordt dit expliciet gemeld. 1 april Versie 1.0

18 veiligheid, audit en naleving in cloud omgevingen moet veranderen. Verder worden in de paper richtlijnen gegeven voor auditors die de effectiviteit moeten beoordelen van security-controls die worden gebruikt in een Cloud computing systeem. Qualys gebruikt ook de NIST definitie voor Cloud computing. Er zijn vele soorten clouds. Allen delen een definiërende eigenschap: de klanten moeten controle en zichtbaarheid afstaan aan clouddienst-leveranciers. NIST versterkt dit idee in de Special Publication Cloud Computing Synopsis and Recommendations (NIST, 2012): controle: de mogelijkheid om te beslissen, met hoog vertrouwen, wie en wat toegang mag worden verleend tot klantgegevens en programma's, en de mogelijkheid om acties uit te voeren (zoals het wissen van gegevens of een verbinding tot een netwerk verbreken) met hoog vertrouwen zowel dat de acties zijn genomen en dat geen aanvullende acties zijn ondernomen die de initiële acties van de klant ondermijnen(bijvoorbeeld een verzoek van de klant om een gegevensobject te wissen moet niet worden ondermijnd worden door de stille generatie van een kopie van het gegevensobject). zichtbaarheid: de mogelijkheid om te controleren wat de status is van de klantgegevens en programma's en hoe worden klantgegevens en programma's gebruikt door anderen. Gezien de aard van gedeelde verantwoordelijkheden in cloud omgevingen, is het belangrijk dat leveranciers de uitbreiding faciliteren van audit en compliance tools in de gebieden die zij rechtstreeks beheren. Ondernemingen hebben deze samenwerking nodig omdat er steeds nieuwe beveiligingsvoorschriften en nieuwere wetten zijn die een aanvulling vormen op de huidige de Third Party assessment bij leveranciers van Cloud computing. Deze zijn de klanten vanuit compliance overwegingen verplicht om te (laten) doen bij de cloud leveranciers. Deze aanvullende voorschriften zijn een gevolg van gegevens mobiliteit als gevolg van het nieuwe werken (altijd en overal) met mobiele apparaten, en door outsourcing en offshoring. Al eerder is aangegeven dat er door het gebruik van mobiele apparaten en cloud toepassingen niet meer automatisch mag worden vertrouwd op de statische omgeving waarin de data is opgeslagen en wordt gebruik. Traditionele monitoring- en auditingtools nemen cloud systemen en mobiele apparatuur niet mee in hun controles. Bovendien zijn de besturingssystemen die voor mobiele apparaten worden gebruikt niet (altijd) geschikt voor de genoemde traditionele monitoring- en audittools. Voor Cloud computing wordt er vanuit gegaan dat de leverancier van een clouddienst eigenaar is van deze controls. Dat doet echter geen afbreuk aan de verantwoordelijkheid die de uitbestedende organisatie heeft en houdt. De onderzoeksraad Global IT Council voor Cloud Services van Gartner definieert 7 rechten en plichten, waardoor de onderlinge relatie tussen leverancier en klant verbeterd wordt (van Tuil, 2010). Deze rechten en plichten bepalen mede de noodzaak tot het afgeven van een passende assurance op Cloud computing: 1. Het recht om eigen data te behouden en te controleren 2. Het recht op een SLA waarin wanprestaties, herstel van dienstverlening en zakelijke gevolgen worden gedekt 3. Het recht op informatie over en invloed op veranderingen die impact hebben op de business processen van de afnemer 4. Het recht om op voorhand de technische beperkingen of vereisten te kennen 1 april Versie 1.0

19 5. Het recht om de juridische achtergronden te kennen. 6. Het recht om te weten welke beveiligingsprocessen de aanbieder volgt 7. De plicht om software licentievoorschriften te begrijpen en na te leven Qualys heeft op basis van ISO27002 nieuwe eisen voor Cloud beveiliging opgesteld, op basis van de elf secties van een standaard beveiligingsplan van een organisatie. Deze onderwerpen betreffen net als het onderzoek van Booz de hoofdonderwerpen techniek, management en recht. De benoemde maatregelen gaan onder andere in op : * het uitvoeren van een risico analyse; * beveiligingsassesments; * screening van personeel; * effectieve controls voor fysieke en logische beveiliging en systeembeveiliging; * een gedegen authenticatie- en autorisatiesyteem en * effectief configuratiemanagement. Voor organisaties die ook moeten voldoen aan de NIST standaard, wordt door Qualys verwezen naar de NIST Special publication (april 2013). Daarin wordt in een bijlage een mapping gemaakt tussen de NIST standaard en ISO De IT industrie is standaard oplossingen aan het ontwikkelen voor Cloud computing. Volgens Qualys worden er inspanningen van hoog niveau uitgevoerd door de Cloud Security Alliance (CSA) en een belangrijke subgroep genaamd CloudAudit. Deze werkgroep ontwikkelt een gemeenschappelijke interface en een namespace waarmee klanten die geïnteresseerd zijn hun audit processen (cloud of anderszins) kunnen stroomlijnen. Daarnaast biedt het Cloud computing aanbieders de mogelijkheid de Audit, Assertion, Assessment, and Assurance 7 van hun infrastructuur 8 (IaaS), platform (PaaS) en applicatie (SaaS) te automatiseren. Hiermee kunnen cloudleveranciers gemachtigde klanten uitnodigen om hetzelfde te doen via een open, uitbreidbare en beveiligde interface en methodologie. (Cloudaudit, 2014) Ik verwacht dat na verloop van tijd zulke leveranciersgedreven initiatieven zoals hierboven het voor klanten van Cloud computing eenvoudiger wordt om gegevens in de cloud te beveiligen en deze beveiliging te auditen. Een recent artikel uit de Automatiseringsgids onderschrijft deze drive van leveranciers. Amazon.com is een Amerikaans E.commerce bedrijf. Daarnaast is Amazon leverancier van Amazon Web Services (AWS), een collectie van web services die samen een Cloud computing - platform vormen, aangeboden via Internet. In november heeft Amazon op een conferentie in Las Vegas drie nieuwe diensten aangeboden. Eén van deze diensten genaamd CloudTrail speelt in de op de wens van klanten om inzicht te krijgen in de cloud. Deze dienst is een trackingservice die beheerders van toepassingen in AWS een gedetailleerd inzicht geeft in het doen en laten van eindgebruikers, inclusief elke interactie van Application Programming Interfaces (API). Dit maakt het voor beheerders mogelijk om misbruik te traceren. (Zaal, 2013) 7 Het geheel van het vaststellen van te onderzoeken objecten, stellingen/beweringen over deze objecten, het vaststellen van de uitkomst van deze beweringen en het geven van een mate van zekerheid over de uitkomsten van de onderzochte objecten op een geautomatiseerde manier. 8 1 april Versie 1.0

20 Door het bouwen van beveiligings- en auditmogelijkheden rechtstreeks in de cloud infrastructuren geloven de leveranciers dat vaste kosten die anders te hoog zouden zijn voor individuele gebruikersorganisaties, te dragen zijn. Volgens Qualys, Dave Molnar en Stuart Schechter van Microsoft Research (2011, p11) zal het uiteindelijk mogelijk zijn om beveiligings- en auditkenmerken in Cloud computing te bouwen, waardoor hosting tools zoals Cpanel ondersteund worden bij de volgende activiteiten: Netwerk- en operating system audit tools; Volgen van alle geïnstalleerde software, uitgevers, versies en patch niveaus; Creditcard opslag en fraude detectie; Public/private key generatie, certificaat generatie en opslag; Geautomatiseerde authenticatie en bescherming van intra-tenant netwerkcommunicatie; Veilige logging van systeemhandelingen (alleen toevoegen, niet wijzigingen/verwijderen); Spam filtering Password hashing en opslag CAPTCHA generatie en verificatie (CAPTCHA staat voor Completely Automated Public Turing Test To Tell Computers and Humans Apart. Software widgets zoals een wachtwoordsterkte-meter 2.5. Samenvatting Hoewel allerlei bedrijven en instituten zich bezighouden met de nieuwe uitdagingen voor IT beveiliging en compliance ten behoeve van Cloud computing is deze markt nog duidelijk in beweging. In opzet zijn alle (zorgen)punten die van belang zijn voor het In Control zijn met een Cloud computing dienst benoemd. Het is echter nog niet voor alle risico s en verplichtingen mogelijk om aantoonbaar te voldoen aan deze kwesties. Daarnaast moet de vorm van Assurance rapportage kritisch worden beoordeeld door de aanvullende normen en kwaliteitsaspecten die voor Cloud computing van belang zijn. Een ISAE3402/SOC1 is niet langer standaard de meest geschikte rapportagevorm. 1 april Versie 1.0

21 3. Uitbesteding van IT In dit hoofdstuk wordt de uitbesteding van IT vanuit historisch perspectief beschreven. Cloud computing wordt kort uitgelegd, en voor- en nadelen worden benoemd. Om het concept van Cloud computing in perspectief te plaatsen, wordt teruggekeken naar traditionele hosting en outsourcing. Ook de voor- en nadelen van hosting en outsourcing zijn beschreven Hosting en traditionele outsourcing; definities, voor- en nadelen Traditionele hosting wordt uitgevoerd door het rekencentrum van het eigen bedrijf. De definitie van een rekencentrum is: een expliciete organisatie die is gedefinieerd door het management, met duidelijk gedelegeerde verantwoordelijkheden voor het beheer en uitvoering van alle taken. Deze taken moeten zorgen voor de goede werking van het operationele automatisering milieu en de toepassingssystemen, als vereist voor het leveren van de support volgens specifiek gedefinieerde vereisten. (Van Biene-Hershey, 1996, p. 520). Een rekencentrum bestaat uit een concentratie van data, informatiesystemen, infrastructuur en human resources. De afhankelijkheid van de organisatie van de beschikbaarheid van de data, de informatiesystemen en de expertise van het computercentrum is groot. Dat maakt de manier waarop het computercentrum gemanaged wordt zo belangrijk voor het functioneren van de organisatie. Een rekencentrum kan op twee manieren ondersteuning bieden aan de organisatie: inhouse of outsourced. Inhouse: het inhouse rekencentrum maakt integraal onderdeel uit van de organisatie en wordt beheerd door eigen medewerkers. Diensten worden in 1 pakket aangeboden. Outsourced: een outsourced rekencentrum levert als hostende organisatie een service. Deze hostende organisatie maakt geen onderdeel van de eigen organisatie uit. In het geval van outsourcing kan de stapel van diensten door verschillende leveranciers worden aangeboden. Zo kan bijvoorbeeld de ene leverancier ten behoeve van de sourcing van een applicatie van een bedrijf de infrastructurele- en platformhosting verzorgen, en wordt de software voor een bepaald verzekeringspakket door twee andere sourcende partijen geleverd. Het aantal partijen dat betrokken is bij het leveren van een geoutsourcete dienst is beperkt, en alle leveranciers zijn bekend bij de klant. Dat maakt het voor de klant relatief eenvoudig om een Assurance verklaring te vragen aan alle betrokken leveranciers. Vanuit een auditperspectief maakt het niet uit of de hosting inhouse is, of geoutsourcet wordt. Het is alleen van belang om te weten waar, hoe en door wie de audit wordt uitgevoerd. Het is van belang dat er third party review plaatsvindt, letterlijk een afspraak gecontroleerd door een derde partij. In audittermen betekent dit dat door een derde partij zijnde niet de opdrachtgever en niet de belanghebbende, assurance moet geven over de geleverde dienst (zie verder hoofdstuk 3). Rekencentrum-audits zijn volgens van Biene om twee redenen erg belangrijk (Biene, M, 1996, p520): Het management heeft bewijs nodig dat het bedrijf geen onacceptabele risico s loopt als gevolg van handelingen en werkwijzen door het rekencentrum organisatie; 1 april Versie 1.0

22 Een assessment op het bestaan van een aantal general controls binnen het computer centrum is nodig om de jaarlijkse financiële jaarrekening-verantwoordelijkheden uit te voeren. Hosting In de vorige paragrafen is een aantal keren verwezen naar hosting. De term hosting werd oorspronkelijk gebruikt in de definitie van een Wide Area Network (WAN), waarbij een host een machine is dat onderdeel uitmaakt van het WAN (Tanenbaum, 2003, p169), Tegenwoordig wordt het woord server voor een host gebruikt, deze term zal in deze scriptie worden gebruikt. Hosting wordt tegenwoordig gebruikt als term om de dienstverlening aan te geven die wordt verstrekt. De fysieke locatie van deze dienstverlening is veelal op een andere geografische plaats dan het bedrijf van de klant. Toegang tot de service wordt meestal via een directe netwerkconnectie of via internet verleend. Deze vorm van hosting werd al toegepast vanaf het begin van de commerciële dienstverlening op het gebied van computers. Bedrijven kopen processortijd van mainframes die worden gehost door andere, commerciële, computerbedrijven onder de noemer outsourcing. Of de processortijd of opslagcapaciteit gebruikt wordt of niet, voor de afgesproken capaciteit moet worden betaald. Kenmerkend voor de traditionele vormen van dienstverlening (hosting, outsourcing) is dat er in het datacenter servers staan met elk een eigen functie. Bijvoorbeeld mailservers, applicatieservers, webservers, servers voor bestandsopslag, etc. In deze omgevingen werken individuele servers met verschillende taken niet als een groep samen. Iedere server heeft zijn eigen functie en inrichting. Workload, opslagcapaciteit en rekenkracht kunnen door de verschillende servers niet worden gedeeld. Hoewel iedere server traditioneel gezien zijn eigen functie heeft, is er wel een onderverdeling te maken in shared hosting, waarbij een server voor meerdere klanten wordt ingezet, en dedicated hosting, waarbij de server alleen voor één klant wordt ingezet. Figuur 4 Ontwikkeling van in-house management naar hosted omgevingen in de cloud (Bron: Bootsma, 2012) 1 april Versie 1.0

23 In deze figuur is te zien dat bij hosting (in figuur 1 Inhouse IT genaamd) de diverse benodigde bouwblokken 9 in een serverroom staan, en met behulp van een interne directe verbinding door een werkstation (PC) te benaderen is vanuit de kantoorlocatie. In het geval van outsourced IT staan de benodigde bouwblokken in een datacenter, oftewel het rekencentrum van de outsourcende partij. De verbinding tussen het datacenter en het werkstation wordt gelegd via een beveiligde verbinding door middel van een Virtual Private Network (VPN) of beveiligde data lijn. Deze verbinding is dan alleen voor de klant beschikbaar. Zoals uit de bovenstaande figuur blijkt is voor een klant die voor Cloud computing kiest niet duidelijk welke aanbieder welk bouwblok levert ten behoeve van de dienst, en op welke fysieke locatie de bouwblokken staan. De Cloud computing dienst wordt benaderd via een internet verbinding. Voordeel- het grootste voordeel van traditionele hosting is dat de klant zelf volledig inzicht en controle heeft in welke partij wel deel van de uitvoering van de dienst uitvoert. Doordat de IT inhouse wordt beheerd en er geen toegang van buitenaf nodig is, is er een kleinere kans op sabotage/hacking van buitenaf. Ook in het geval van outsourcing heeft de klant inzicht in welke leverancier de geoutsourcete dienst aanbiedt, daarmee kunnen gericht afspraken worden gemaakt. Wanneer de toegang tot de outsourced IT via internet wordt verkregen, wordt de kans op sabotage/hacking van buitenaf groter. Nadelen- vooral hogere kosten voor de klant (aanschaf/licenties/beheerkosten) en beperkte elasticiteit/schaalbaarheid van servers. Voor zowel hosting als outsourcing wordt wel altijd het risico van inside attacks gelopen door medewerkers of beheerders Uitbesteding IT in de vorm van Cloud computing Cloud computing is een term waar we in 2013 niet meer omheen kunnen. Onderzoeken door verschillende partijen laten (verschillende) cijfers zien van gebruik van Cloud computing door bedrijven en particulieren. Zo voorspelde onderzoeksbureau Gartner in 2010 dat de wereldwijde omzet uit Cloud computing dit jaar uitkomt op 68,3 miljard dollar; een groei van 16,6 procent ten opzichte van Gartner geeft daarbij tevens aan dat het om een doorlopende trend gaat. In 2014 zal de wereldwijde omzet naar verwachting gegroeid zijn tot 148,8 miljard dollar. (Pring, 2010) Definitie: Cloud computing is een gebied wat nog volop in ontwikkeling is. Haar uiteindelijke potentieel, de te benutten mogelijkheden en risico s zijn nog niet volledig in beeld. Dat begint al met de definitie. Er zijn veel verschillende partijen die een in nuance verschillende definitie hanteren. Het is aan de klant om de essentie uit de definitie te halen, zodat kan worden ingeschat of het concept voor het bedrijf geschikt is, en de risico s te beheersen. 9 Zoals hardware, operating system, database etc. Zie voor de uitleg bijlage 2 Definities. 1 april Versie 1.0

24 Voor deze scriptie is de definitie van het National Institute of Standards and Technology (NIST) als uitgangspunt gekozen: Cloud computing is een model om netwerktoegang te faciliteren tot een gedeelde verzameling van IT bronnen (netwerken, servers, opslag, applicaties en diensten). Deze IT bronnen kunnen snel worden ingericht, en worden uitgebracht met een minimale beheer inspanning en/of leveranciersinteractie. Het model bevordert beschikbaarheid van IT bronnen. Het model kent vijf kenmerkende karakteristieken waarmee Cloud computing zich onderscheid van traditionele hosting en outsourcing. Verder kent Cloud computing 4 servicemodellen en 3 delivery modellen, waar de klant uit kan kiezen 10 (NIST, SP (2011) Figuur 5 Overzicht elementen Cloud computing, gebaseerd op definitie NIST Een belangrijk kenmerk van Cloud computing zijn de drie servicemodellen, oftewel het type dienst dat door de klant wordt afgenomen. De scheiding tussen beheer en controle door klant en leverancier is essentieel bij de keuze voor Cloud computing, in combinatie met het gekozen servicemodel. De klant bepaalt op deze manier immers hoe en waar deze zelf invloed uit kan oefenen. In onderstaande figuur worden de aangeboden diensten schematisch weergegeven inclusief de scheiding tussen beheer door de Cloud computing leverancier en het beheer door de klant. In de blokken van de servicemodellen worden voorbeelden gegeven van Cloud computing leveranciers. 10 Nadere uitleg van deze cloud elementen is te vinden in bijlage 4. 1 april Versie 1.0

25 Figuur 6 Voorbeelden van cloud servicemodellen (Bron Verminderde invloed op (vormgeving) IT middelen. Uit de hiervoor beschreven ontwikkelingen richting outsourcing en Cloud computing blijkt dat de invloed op de vormgeving van de IT-omgeving verminderd. Er worden standaard diensten afgenomen die voor iedere klant in grote mate gelijk zijn vormgegeven. Uiteraard is de invloed die een klant kan uitoefenen op een clouddienst die is ondergebracht in een Private Cloud groter dan bij een afgenomen dienst uit een Public Cloud. Maar zelfs bij een Private Cloud maakt een klant gebruik van standaard bouwblokken. Alleen op die manier is kostenbesparing, flexibiliteit en schaalbaarheid haalbaar. Door het gebruik van virtualisatie worden middelen optimaal ingezet voor de klant. Virtualisatie, oftewel de simulatie van de software en/of hardware die op andere software loopt, zorgt voor een verminderde controle op de IT-omgeving, evenals het concept van multi tenancy (middelen delen met meerdere afnemers). Bestanden worden verspreid over meerdere (virtuele) servers en datacentra, die zich niet noodzakelijk in hetzelfde land bevinden. De leverancier bepaalt de security instellingen, updatebeleid, etc. en geeft over zijn bedrijfsvoering voor alle klanten ook maar één assurance verklaring af die gebaseerd is op één standaard normenkader Voor- en nadelen van Cloud computing Er zijn diverse redenen om Cloud computing te gebruiken in het voordeel van een organisatie. Kostenbesparing, flexibiliteit, schaalbaarheid en het kunnen richten op de kernactiviteiten van de organisatie worden als de voornaamste redenen genoemd. Ik noem hieronder een aantal voordelen. Omdat ze niet allemaal rechtstreeks verband houden met de vraagstelling van de scriptie worden ze niet uitgebreid toegelicht. Vormen van kostenbesparing Geen investeringen, alleen huur van apparatuur en licenties. Daarnaast wordt alleen betaald voor daadwerkelijk gebruik (Pay-per-use). Flexibiliteit en schaalbaarheid Deze worden vooral vormgegeven door de on-demand self service, resource pooling en rapid elasticity. Diensten groeien mee met de vraag die het bedrijf gedurende de tijd heeft, zowel in positieve als negatieve zin. 1 april Versie 1.0

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce. Cloud Computing, een inleiding ICT Accountancy & Financials congres 2013: Cloud computing en efactureren 10 december 2013 Jan Pasmooij RA RE RO: jan@pasmooijce.com 10 december 2013 1 Kenmerken van Cloud

Nadere informatie

MKB Cloudpartner Informatie TPM & ISAE 3402 2016

MKB Cloudpartner Informatie TPM & ISAE 3402 2016 Third Party Memorandum (TPM) Een Derde verklaring of Third Party Mededeling (TPM) is een verklaring die afgegeven wordt door een onafhankelijk audit partij over de kwaliteit van een ICT-dienstverlening

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 01 Uitbesteding & assurance 11 Nut en noodzaak van assurance reporting Auteurs: Rosemarie van Alst en Fons Basten Wie activiteiten uitbesteedt, wil graag zekerheid over de kwaliteit en integriteit van

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

Jacques Herman 21 februari 2013

Jacques Herman 21 februari 2013 KING bijeenkomst Audit- en Pentestpartijen Toelichting op de DigiD Rapportage template en de NOREA Handreiking DigiD ICT-beveiligingsassessments Jacques Herman 21 februari 2013 Samenvatting van de regeling

Nadere informatie

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL Mr. Jan van Noord Directeur International Tender Services (ITS) BV Wat is Cloud Op het moment dat content uit het eigen beheer c.q. toezicht verdwijnt

Nadere informatie

Digikoppeling adapter

Digikoppeling adapter Digikoppeling adapter Versie 1.0 Datum 02/06/2014 Status Definitief Van toepassing op Digikoppeling versies: 1.0, 1.1, 2.0, 3.0 Colofon Logius Servicecentrum: Postbus 96810 2509 JE Den Haag t. 0900 555

Nadere informatie

Handleiding uitvoering ICT-beveiligingsassessment

Handleiding uitvoering ICT-beveiligingsassessment Handleiding uitvoering ICT-beveiligingsassessment Versie 2.1 Datum : 1 januari 2013 Status : Definitief Colofon Projectnaam : DigiD Versienummer : 2.0 Contactpersoon : Servicecentrum Logius Postbus 96810

Nadere informatie

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag André Salomons Smart SharePoint Solutions BV Cloud security en de rol van de accountant ICT Accountancy praktijkdag Cloud security moet uniformer en transparanter, waarom deze stelling? Links naar de artikelen

Nadere informatie

To cloud or not to cloud

To cloud or not to cloud Stad & OCMW Sint-Niklaas To cloud or not to cloud gebruik bij lokale besturen Ivan Stuer 25 juni 2015 Wat is cloud eigenlijk? Wat is cloud eigenlijk? Voordelen echte realisatie van 'on-demand' computing

Nadere informatie

Branche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen

Branche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen Public briefing Certificering van de Cloud Branche organisaties: Hun mening over certificering van de Cloud Iniatieven voor normen Nan Zevenhek Bestuurslid EuroCloud Nederland EDP-Auditor 25-11-11 Opzet

Nadere informatie

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden

ICT Accountancy. Praktijkdag Webwinkels en Boekhouden ICT Accountancy Praktijkdag Webwinkels en Boekhouden Thema Betrouwbaar Administreren Misbruik Afrekensystemen Misbruik Afrekensystemen Internationaal probleem Veel oplossingsrichtingen Overleg Belastingdienst

Nadere informatie

Verantwoordingsrichtlijn

Verantwoordingsrichtlijn Verantwoordingsrichtlijn Verantwoordingsrichtlijn t.b.v. de edp-audit voor de beveiliging van Suwinet. Door Jan Breeman BKWI Verantwoordingsrichtlijn Verantwoording over de beveiliging van Suwinet De Regeling

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

Het assurance-raamwerk De accountant en het verstrekken van zekerheid

Het assurance-raamwerk De accountant en het verstrekken van zekerheid Het assurance-raamwerk De accountant en het verstrekken van zekerheid Koninklijk Nederlands Instituut van Registeraccountants Inhoudsopgave 1 Inleiding 3 2 Het begrip assurance en maatschappelijke ontwikkelingen

Nadere informatie

Wat is de cloud? Cloud computing Cloud

Wat is de cloud? Cloud computing Cloud The Cloud Agenda Wat is de cloud? Ontwikkelingen en trends in de markt Bedrijfsstrategie Voordelen en vraagtekens Werken in de cloud: Hoe? Veiligheid & privacy Toepasbaarheid in breder verband Demo Borrel

Nadere informatie

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002.

VOORWOORD. 1 Code voor informatiebeveiliging, Nederlands Normalisatie Instituut, Delft, 2007 : NEN-ISO.IEC 27002. Gesloten openheid Beleid informatiebeveiliging gemeente Leeuwarden 2014-2015 VOORWOORD In januari 2003 is het eerste informatiebeveiligingsbeleid vastgesteld voor de gemeente Leeuwarden in de nota Gesloten

Nadere informatie

Gegevensbescherming & IT

Gegevensbescherming & IT Gegevensbescherming & IT Sil Kingma 2 november 2011 Gustav Mahlerplein 2 1082 MA Amsterdam Postbus 75510 1070 AM Amsterdam The Netherlands 36-38 Cornhill 6th Floor London EC3V 3ND United Kingdom T +31

Nadere informatie

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Inkoopvoorwaarden en informatieveiligheidseisen Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline

Nadere informatie

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010 SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010 We staan aan de vooravond van de volgende Internetrevolutie De klassieke werkwijze van organisaties zal

Nadere informatie

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014

Zekerheid in de Cloud. ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Zekerheid in de Cloud ICT Accountancy praktijk dag: Cloud computing 27 mei 2014 Agenda - Wat speelt zich af in de Cloud - Cases - Keurmerk Zeker-OnLine - Wat is het belang van de accountant en het administratiekantoor

Nadere informatie

Factsheet CLOUD MANAGEMENT Managed Services

Factsheet CLOUD MANAGEMENT Managed Services Factsheet CLOUD MANAGEMENT Managed Services CLOUD MANAGEMENT Managed Services Met Cloud Management beheren we uw cloud-omgeving en ontzorgen we u 24x7. De ontwikkelingen binnen cloud computing volgen elkaar

Nadere informatie

3-daagse praktijktraining. IT Audit Essentials

3-daagse praktijktraining. IT Audit Essentials 3-daagse praktijktraining IT Audit Essentials Programma IT-Audit Essentials Door de steeds verdergaande automatisering van de bedrijfsprocessen wordt de beveiliging en betrouwbaarheid van de IT systemen

Nadere informatie

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem

Het gevolg van transitie naar de cloud SaMBO-ICT & KZA. 16 januari 2014 Doetinchem Het gevolg van transitie naar de cloud SaMBO-ICT & KZA 16 januari 2014 Doetinchem Agenda Introductie Aanleiding Samenvatting handreiking Uitkomsten workshop netwerkbijeenkomst Afsluiting 2 Introductie

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

IAM en Cloud Computing

IAM en Cloud Computing IAM en Cloud Computing Cloud café 14 Februari 2013 W: http://www.identitynext.eu T: @identitynext www.everett.nl www.everett.nl Agenda 1. Introductie 2. IAM 3. Cloud 4. IAM en Cloud 5. Uitdagingen 6. Tips

Nadere informatie

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines

Tags: online; websites; automatisering; infrastructuur; cloud; infrastructure; Mirabeau; 626; automation; guidelines Asset 1 van 4 Effectief in de cloud Gepubliceerd op 7 october 2013 Cloud technologie speelt een steeds grotere rol binnen de exploitatie van web omgevingen. De voordelen van cloud zijn inmiddels breeduit

Nadere informatie

Dé cloud bestaat niet. maakt cloud concreet

Dé cloud bestaat niet. maakt cloud concreet Dé cloud bestaat niet. maakt cloud concreet 1 Wilbert Teunissen wilbert.teunissen@sogeti.nl Cloud Cases Strategie De rol van Functioneel Beheer 2 Onderwerpen 1. Context? Hug 3. the Impact cloud! FB 2.

Nadere informatie

Registratie Data Verslaglegging

Registratie Data Verslaglegging Registratie Data Verslaglegging Registratie Controleren en corrigeren Carerix helpt organisaties in het proces van recruitment en detachering. De applicatie voorziet op een eenvoudige wijze in de registratie

Nadere informatie

1. AUDITINSTRUCTIE SCORECARD COPRO 8120

1. AUDITINSTRUCTIE SCORECARD COPRO 8120 1. AUDITINSTRUCTIE SCORECARD COPRO 8120 1.1. Inleiding DTe vraagt ter verificatie van de aangeleverde cijfers een assurance-rapport van een externe accountant. Een assurance-rapport dient eenmaal per jaar

Nadere informatie

Berry Kok. Navara Risk Advisory

Berry Kok. Navara Risk Advisory Berry Kok Navara Risk Advisory Topics Informatiebeveiliging in het nieuws Annual Benchmark on Patient Privacy & Data Security Informatiebeveiliging in de zorg Extra uitdaging: mobiel Informatiebeveiliging

Nadere informatie

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4

Inleiding 1 4 3. Begrippen en definities 5 3. Doelstellingen van een privacy-audit 6 7 4. Opdrachtaanvaarding 8 9 4 Inhoudsopgave Paragraaf Pagina 2 Inleiding 1 4 3 Begrippen en definities 5 3 Doelstellingen van een privacy-audit 6 7 4 Opdrachtaanvaarding 8 9 4 Deskundigheidseisen en het gebruik maken van deskundigen

Nadere informatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie

Onderzoeksresultaten Cloud Computing in Nederland. Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Onderzoeksresultaten Cloud Computing in Nederland Alfred de Jong Principal Consultant Practice Leader Architectuur & Innovatie Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau

Nadere informatie

Ieder document direct beschikbaar

Ieder document direct beschikbaar Slide 1 Ieder document direct beschikbaar 4 februari 2016 1 Slide 2 Over Expansion Implementatiespecialist op gebied van digitale documentverwerking en archivering Verantwoordelijk voor volledig implementatietraject

Nadere informatie

Factsheet SECURITY SCANNING Managed Services

Factsheet SECURITY SCANNING Managed Services Factsheet SECURITY SCANNING Managed Services SECURITY SCANNING Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security

Nadere informatie

Kwaliteitsmanagement: de verandering communiceren!

Kwaliteitsmanagement: de verandering communiceren! Kwaliteitsmanagement: de verandering communiceren! (de mens in het proces) Ronald Vendel Business Development manager Ruim 20 jaar ervaring Gestart in 1990 Software specialisme: Procesmanagement (BPM)

Nadere informatie

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA

ZekereZorg3 Informatieveiligheid in de Zorg. Nico Huizing RE RA ZekereZorg3 Informatieveiligheid in de Zorg Nico Huizing RE RA Ziekenhuizen in Nederland * Najaar 2008: IGZ toetst 20 ziekenhuizen, norm NEN7510, rapport 12/ 08 * Opdracht IGZ: lever per 1/2/ 09 plan van

Nadere informatie

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY Hans Breukhoven BlinkLane Consulting 18 September 2012 2 Wie ben ik? Partner bij BlinkLane Consulting Interim IT-manager & adviseur

Nadere informatie

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl

Whitepaper. Outsourcing. Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6. www.nobeloutsourcing.nl Uitbesteden ICT: Wat, waarom, aan wie en hoe? 1/6 Inhoud Uitbesteden ICT: Wat, waarom, aan wie en hoe? 3 Relatie tussen ICT en 3 Outsourcen ICT: Wat? 3 Cloud Services 3 Service Level Agreement 3 Software

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013

info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 info@zeker-online.nl www.zeker-online.nl Drs L. (Bert) F.G. Tuinsma RA, voorzitter 10 december 2013 2 Boekhouden in de cloud!! 3 Aanbod te over: 4 5 Hoe betrouwbaar en veilig is online administratieve

Nadere informatie

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!

Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system! Seminar! BETEKENIS VAN INTERNE AUDIT voor specifieke verzekeraars! Internal Audit en doeltreffendheid van! risk management system!! Tom Veerman! Triple A Risk Finance B.V.! 1! Programma! Solvency II stand

Nadere informatie

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken. Cloud computing Kennismaking Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken. Onze kennis, ervaring, methodieken en ons netwerk levert aantoonbare toegevoegde waarde en

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved.

Informatiebeveiliging, noodzakelijk kwaad of nuttig? www.dnvba.nl/informatiebeveiliging. DNV Business Assurance. All rights reserved. 1 Informatiebeveiliging, noodzakelijk kwaad of nuttig? Mike W. Wetters, Lead Auditor DNV Albertho Bolenius, Security Officer GGzE Informatiebeveiliging. Noodzakelijk kwaad of nuttig? 3 Wat is informatiebeveiliging?

Nadere informatie

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen

SAP Risk-Control Model. Inzicht in financiële risico s vanuit uw SAP processen SAP Risk-Control Model Inzicht in financiële risico s vanuit uw SAP processen Agenda 1.Introductie in Risicomanagement 2.SAP Risk-Control Model Introductie in Risicomanagement Van risico s naar intern

Nadere informatie

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Patch management. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Patch management Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR) Colofon Onderhavig operationeel product, behorende bij de Baseline Informatiebeveiliging Rijksdienst

Nadere informatie

Handout. Pagina 1. SYSQA B.V. Almere. Capability Maturity Model Integration (CMMI) Technische Universiteit Eindhoven SYSQA SYSQA.

Handout. Pagina 1. SYSQA B.V. Almere. Capability Maturity Model Integration (CMMI) Technische Universiteit Eindhoven SYSQA SYSQA. Capability Maturity Model Integration (CMMI) Technische Universiteit Eindhoven Johan Zandhuis SYSQA Start: 1999 Onafhankelijk Quality Assurance in IT 150 medewerkers (en groeiend) 2 SYSQA Operationeel

Nadere informatie

2014 KPMG Advisory N.V

2014 KPMG Advisory N.V 02 Uitbesteding & assurance 23 Overwegingen bij uitbesteding back- en mid-office processen van vermogensbeheer Auteurs: Alex Brouwer en Mark van Duren Is het zinvol voor pensioenfondsen en fiduciair managers

Nadere informatie

Offshore Outsourcing van Infrastructure Management

Offshore Outsourcing van Infrastructure Management Offshore Outsourcing van Infrastructure Management an emerging opportunity dr. Erik Beulen Atos Origin/Tilburg University 1 Agenda Introductie Ontwikkelingen Risicovergelijking Best practices Conclusies

Nadere informatie

Symposium Uitbesteding & Cloud computing. De Nederlandsche Bank. Amsterdam, 14 juni 2012

Symposium Uitbesteding & Cloud computing. De Nederlandsche Bank. Amsterdam, 14 juni 2012 Symposium Uitbesteding & Cloud computing De Nederlandsche Bank 1 Amsterdam, 14 juni 2012 Agenda symposium uitbesteding & cloud computing 13.30-14.00 Ontvangst met koffie 14.00-14.15 Welkomstwoord door

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Factsheet CLOUD MIGRATIE Managed Services

Factsheet CLOUD MIGRATIE Managed Services Factsheet CLOUD MIGRATIE Managed Services CLOUD MIGRATIE Managed Services We regelen een snelle en zorgeloze overstap naar een flexibele, veilige en stabiele cloud-omgeving. Een succesvol digitaal platform

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Vertrouwen is het sleutelwoord bij outsourcen. IS Interned Services: Outsourcen doe je samen op basis van gelijkwaardig partnership

Vertrouwen is het sleutelwoord bij outsourcen. IS Interned Services: Outsourcen doe je samen op basis van gelijkwaardig partnership Vertrouwen is het sleutelwoord bij outsourcen IS Interned Services: Outsourcen doe je samen op basis van gelijkwaardig partnership Vertrouwen is het sleutelwoord bij outsourcen IS Interned Services: Outsourcen

Nadere informatie

Case: Oxyma en Solvinity delen hetzelfde DNA

Case: Oxyma en Solvinity delen hetzelfde DNA Case: Oxyma en Solvinity delen hetzelfde DNA Oxyma helpt organisaties bij het optimaliseren van marketing- en salesprocessen en verzorgt de uitvoering daarvan. Om een brede groep klanten complete dienstverlening

Nadere informatie

PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014

PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014 PRINCIPLES OF FUND GOVERNANCE COMMODITY DISCOVERY FUND Bijgewerkt tot 8 juli 2014 Principles of Fund Governance Pag. 1/5 1. INLEIDING Commodity Discovery Management B.V. (de Beheerder ) is de beheerder

Nadere informatie

Factsheet Outsourcing

Factsheet Outsourcing Factsheet Outsourcing www.vxcompany.com U wilt er zeker van zijn dat de IT-infrastructuur van uw organisatie in goede handen is, zodat u uw aandacht volledig kunt richten op de core business. Wij beheren

Nadere informatie

De toegevoegde waarde van een ISAE 3402-

De toegevoegde waarde van een ISAE 3402- De toegevoegde waarde van een ISAE 3402- verklaring Een isae 3402-verklaring is een specifieke vorm van third party assurance en heeft toegevoegde waarde voor services en gebruikerss. Er is echter nog

Nadere informatie

Hoe veilig is de cloud?

Hoe veilig is de cloud? Hoe veilig is de cloud? Auteur: Miranda van Elswijk en Jan-Willem van Elk Steeds meer softwarediensten zijn altijd en overal beschikbaar via internet. Deze diensten worden cloud services genoemd. Onderwijs-

Nadere informatie

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Agenda 26-4-2009. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie. John Lieberwerth Agenda Even voorstellen Cloud Computing De tien Plagen Gebruikersorganisatie en ICT

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes

Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Continuous auditing and continuous monitoring: continuous solutions? J. Jacobs en M. Hoetjes Introductie Jacco Jacobs E-mail: jacco.jacobs@nl.ey.com Internet: www.ey.com Meta Hoetjes E-mail: meta.hoetjes@csi4grc.com

Nadere informatie

Sourcing realiseert u onder andere met behulp van een van de volgende oplossingsrichtingen:

Sourcing realiseert u onder andere met behulp van een van de volgende oplossingsrichtingen: Sourcing ADVISORY Sourcing wordt door veel organisaties omarmd als een belangrijk middel om de financiële en operationele prestatie te verbeteren. Welke functies binnen de organisatie behoren echt tot

Nadere informatie

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht?

OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? OPKOMST VAN EEN NIEUWE WERELDWIJDE ASSURANCESTANDAARD ISAE 3402: einde van SAS 70 in zicht? Dit artikel is geschreven om u te informeren over de ontwikkelingen op het gebied van third party reporting 1,

Nadere informatie

Op naar een excellente controle

Op naar een excellente controle Op naar een excellente controle Welke controlewerkzaamheden kunnen verder geoptimaliseerd worden om kosten te besparen of om meer toegevoegde waarde te kunnen bieden aan cliënten? Hoe kunnen deze werkzaamheden

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Innervate: Januari 2011 WHITEPAPER CLOUD COMPUTING HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Lees hier in het kort hoe u zich het best kunt bewegen in de wereld van cloud computing

Nadere informatie

Het BiSL-model. Een whitepaper van The Lifecycle Company

Het BiSL-model. Een whitepaper van The Lifecycle Company Het BiSL-model Een whitepaper van The Lifecycle Company Met dit whitepaper bieden we u een overzicht op hooflijnen van het BiSL-model. U vindt een overzicht van de processen en per proces een beknopte

Nadere informatie

Factsheet CMS & DIGITAL MARKETING BEHEER Managed Services

Factsheet CMS & DIGITAL MARKETING BEHEER Managed Services Factsheet CMS & DIGITAL MARKETING BEHEER Managed Services CMS & DIGITAL MARKETING BEHEER Managed Services We zorgen voor een gegarandeerd stabiel, snel en schaalbaar digitaal platform. Efficiënt beheer

Nadere informatie

Plan 5 6-11 7 - 41-43 76-78

Plan 5 6-11 7 - 41-43 76-78 Plan Gegevens mag het? Rechtmatig verkregen gegevens grondslagen voor rechtmatige verwerking: Ondubbelzinnige toestemming, noodzakelijk voor uitvoeren overeenkomst, wettelijke plicht, bescherming vitale

Nadere informatie

Wees in control over uw digitale landschap

Wees in control over uw digitale landschap Managed Services Managed Services We zorgen ervoor dat uw complete beheerketen soepel functioneert, zodat uw eindgebruikers optimaal worden bediend. Zorgenvrij beheer is cruciaal voor de continuïteit van

Nadere informatie

Visie op co-sourcing

Visie op co-sourcing Visie op co-sourcing Ed Holtzer Manager Managed Services Meerdere functies bij diverse IT- en adviesorganisaties. O.a. sales manager, (business) consultant, projectleider en programmamanager in profit

Nadere informatie

Het gevaar van te grote afhankelijkheid bij Cloud Outsourcing

Het gevaar van te grote afhankelijkheid bij Cloud Outsourcing 1 of 6 Het gevaar van te grote afhankelijkheid bij Outsourcing BUILDING IT TOGETHER Introductie Nirvanix was één van de eerste grote leveranciers in Amerika en hostte na 7 jaar bestaan, een Petabyte aan

Nadere informatie

Factsheet E COMMERCE BEHEER Managed Services

Factsheet E COMMERCE BEHEER Managed Services Factsheet E COMMERCE BEHEER Managed Services E COMMERCE BEHEER Managed Services We zorgen voor een gegarandeerd stabiel, snel en schaalbaar e-business platform. Efficiënt beheer is cruciaal voor de continuïteit

Nadere informatie

Niet-financiële informatie (NFI) in Nederland

Niet-financiële informatie (NFI) in Nederland Niet-financiële informatie (NFI) in Nederland Koninklijk NIVRA Michèl J.P. Admiraal RA IBR 7 december 2009 1 Inhoud van deze presentatie 1. Voorstellen spreker 2. State of the art in Nederland 3. NIVRA

Nadere informatie

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag

Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag Aan de Voorzitter van de Tweede Kamer der Staten- Generaal Postbus 20018 2500 EA Den Haag www.rijksoverheid.nl www.facebook.com/minbzk www.twitter.com/minbzk Uw kenmerk 2016Z05065 Datum Betreft Beantwoording

Nadere informatie

Vertrouwen in ketens. Jean-Paul Bakkers

Vertrouwen in ketens. Jean-Paul Bakkers Vertrouwen in ketens Jean-Paul Bakkers 9 april 2013 Inhoud Het probleem Onderlinge verbondenheid De toekomstige oplossing TTISC project Discussie Stelling Wat doet Logius al Business Continuity Management

Nadere informatie

Oordelen van en door RE s

Oordelen van en door RE s Oordelen van en door RE s Mr. Drs. Jan Roodnat RE RA Drs. Ing. P.D. Verstege RE RA Werkgroep Oordelen NOREA 14 november 2006 Overzicht presentatie Opdracht Werkgroep Oordelen NOREA Auditproces Nationale

Nadere informatie

Digitaal Archief Vlaanderen Stappenplan & Projectfiches

Digitaal Archief Vlaanderen Stappenplan & Projectfiches www.pwc.be Digitaal Archief Vlaanderen Stappenplan & Projectfiches september 2013 1. Inleiding In dit deel van de studie rond het Digitaal Archief Vlaanderen bekijken we het technische stappenplan dat

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013 - cloud computing: het via het internet op aanvraag beschikbaar stellen van hardware, software en gegevens. - cloud: een netwerk van computers, waarbij

Nadere informatie

Informatie over onze vereniging

Informatie over onze vereniging Informatie over onze vereniging Editie 2014 Uitgebreide en actuele informatie op www.cio-platform.nl CIO Platform Nederland, mei 2014 Informatie over onze vereniging - CIO Platform Nederland mei 2014 Inhoudsopgave

Nadere informatie

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015

Aan uw raad is het volgende toegezegd: Toezeggingen college van B&W in Commissies en Raad (september 2015) TCM 09 21 mei 2015 Bedrijfsvoering De gemeenteraad van Bloemendaal Datum : 19 augustus 2015 Uw kenmerk : Ons kenmerk : 2015056815 Behandeld door : J. van der Hulst Doorkiesnummer : 023-522 5592 Onderwerp : Rapportage informatiebeveiliging

Nadere informatie

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013 Wat en wie is Andarr? Wij zijn dé partner voor waardevaste ICT transities / migraties. Wij helpen organisaties om blijvend

Nadere informatie

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013 Cloud & Privacy B2B Clouddiensten Robert Boekhorst Amsterdam 27 juni 2013 Inleiding Privacyrecht: in vogelvlucht Knelpunten Hoe hier mee om te gaan? toekomstige ontwikkelingen Privacyrecht in vogelvlucht

Nadere informatie

Privacy Compliance in een Cloud Omgeving

Privacy Compliance in een Cloud Omgeving Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau

Nadere informatie

Dit document maakt gebruik van bladwijzers. Consultatiedocument Gewijzigde Standaard 3000 en Stramien 4 juni 2015

Dit document maakt gebruik van bladwijzers. Consultatiedocument Gewijzigde Standaard 3000 en Stramien 4 juni 2015 Dit document maakt gebruik van bladwijzers. Consultatiedocument 4 juni 2015 Consultatieperiode loopt tot 1 september 2015 Consultatiedocument gewijzigde Standaard 3000 en Stramien Inhoudsopgave 1 Inleiding

Nadere informatie

Beoordelingskader Dashboardmodule Claimafhandeling

Beoordelingskader Dashboardmodule Claimafhandeling Beoordelingskader Dashboardmodule Claimafhandeling I. Prestatie-indicatoren Een verzekeraar beschikt over verschillende middelen om de organisatie of bepaalde processen binnen de organisatie aan te sturen.

Nadere informatie

Cloud Computing. Definitie. Cloud Computing

Cloud Computing. Definitie. Cloud Computing Cloud Computing Definitie In de recente literatuur rond Cloud Computing zijn enorm veel definities te vinden die het begrip allemaal op een verschillende manier omschrijven. Door deze diversiteit zijn

Nadere informatie

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042

2 3 MEI 28H. uw kenmerk. ons kenmerk. Lbr. 14/042 Brief aan de leden T.a.v. het college en de raad 2 3 MEI 28H Vereniging van Nederlandse Gemeenten informatiecentrum tel. (070) 373 8393 uw kenmerk bījlage(n) betreft Voortgang Informatieveiligheid ons

Nadere informatie

Workshop transitie naar de cloud SaMBO-ICT & KZA. 21 November 2013 Utrecht

Workshop transitie naar de cloud SaMBO-ICT & KZA. 21 November 2013 Utrecht Workshop transitie naar de cloud SaMBO-ICT & KZA 21 November 2013 Utrecht Agenda Introductie Aanleiding Cloud in het onderwijs Veranderingen voor de organisatie Interactieve workshop Afsluiting 2 Aanleiding

Nadere informatie

IaaS als basis voor maatwerkoplossingen

IaaS als basis voor maatwerkoplossingen 1 IaaS als basis voor maatwerkoplossingen De specialisten van Fundaments: uw logische partner INHOUD Vooraf Terugblik Cloud De rol van de IaaS Provider IaaS maatwerkoplossingen in het onderwijs Conclusie

Nadere informatie

De beheerrisico s van architectuur

De beheerrisico s van architectuur De beheerrisico s van architectuur Een overzicht van de ArChimate Risico Extensie versie 0.2 Bert Dingemans Inleiding Het implementeren van een (enterprise) architectuur brengt altijd risico s met zich

Nadere informatie

Partneren met een Cloud broker

Partneren met een Cloud broker Partneren met een Cloud broker Vijf redenen om als reseller te partneren met een Cloud broker Introductie Cloud broker, een term die je tegenwoordig vaak voorbij hoort komen. Maar wat is dat nu precies?

Nadere informatie

IaaS als basis voor maatwerkoplossingen

IaaS als basis voor maatwerkoplossingen 1 IaaS als basis voor maatwerkoplossingen De specialisten van Fundaments: uw logische partner INHOUD Vooraf Terugblik Cloud De rol van de IaaS Provider IaaS maatwerkoplossingen in het onderwijs Conclusie

Nadere informatie

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren.

We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Managed Services Managed Services We maken inzichtelijk op welke punten u de beveiliging van uw applicaties en infrastructuur kunt verbeteren. Met onze Security Management diensten bewaken we de continuïteit

Nadere informatie

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug.

NORA werkdocument. Katern Beveiliging. In 3 klikken naar bouwstenen voor invulling van de eisen. Sessie 6. Bijgewerkt op 23 aug. NORA werkdocument Sessie 6 In 3 klikken naar bouwstenen voor invulling van de eisen Katern Beveiliging Bijgewerkt op 23 aug. 2013 katern Beveiliging Jaap van der Veen Essentie Sessie 6 1. Opzet digitaal

Nadere informatie