FUSIE en Transitie naar de CLOUD. ( vanuit een GREEN-FIELD gedachte )

Transcriptie

1 FUSIE en Transitie naar de CLOUD ( vanuit een GREEN-FIELD gedachte )

2 Freerk Bosscha IT Architect / Security Officer f.j.bosscha@nhl.nl Mark de Jong Enterprise architect mark.de.jong1@stenden.com

3 Kengetallen voor NHL Stenden Hogeschool ~ studenten ~ 2500 medewerkers Locaties binnen Nederland Assen, Emmen, Groningen, Leeuwarden, Meppel en Terschelling Locaties buiten Nederland Bali, Zuid-Afrika, Qatar en Thailand

4 Visie NHL Stenden Hogeschool Cloud-only / cloud-first Enterprise architectuur als basis Domein architectuur informatiebeveiliging Gecentraliseerde data-laag Data-gebruik rond doelbinding Van beheer naar regie Architectuurproces is niet statisch

5 Blog:

6 Privacy-principes in het ontwerpproces (1) 1.Proactief i.p.v. reactief; Preventief i.p.v. herstellend PbD geldt vanaf de initiatie van het ontwerp en niet achteraf. Starten met PbD start al bij de beleidsvorming 2. Privacy als standaard Privacycriteria gelden per default. Daarbij is de regel: Comply or explain. 3. Privacy geïntegreerd in het ontwerp. Privacymaatregelen zijn integraal onderdeel van de informatieverwerking en zijn geen add-on. Dit geldt voor de technische systemen én de organisatorische processen. 4. Volledige functionaliteit win-win in plaats van compromissen Het waarborgen van de pricacy is een verantwoordelijkheid van alle betrokken partijen. Het is niet een add-on op de criteria voor één van de partijen

7 Privacy-principes in het ontwerpproces (2) 5. Bescherming tijdens de volledige levenscyclus PbD waarborgt het privacymanagement, inclusief de beveiliging, gedurende de gehele levenscyclus van de persoonsgegevens. Het is niet een eenmalige actie. 6. Zichtbaarheid en transparantie hou het open. Inzicht en transparantie over hoe persoonsgegevens worden verwerkt moet mogelijk zijn voor zowel de betrokken persoonlijk, als eenieder, de eigen organisatie en toezichthouders. 7. Respect voor de privacy laat de gebruiker centraal staan Technische en organisatorische maatregelen zijn pas effectief, wanneer zij de persoonlijke levenssfeer van de betrokkenen beschermen.

8 Opbouw Informatie Beveiliging NHL Stenden

9 Security principemodel voor NHLStenden

10 Te nemen stappen Alles vanuit enterprise en domein-architectuur Domeinarchitectuur informatiebeveiliging Datalaag heeft geanonimiseerde omgeving Productiegegevens die ook extern gaat -> bewerkersovereenkomsten en meerlaagse beoordeling voor openstelling (API inhoud en API toegang) Inzicht in data-connecties en stromen om doelbinding te beheersen Ook nodig om te voldoen aan de AVG (GDPR) Scheiding van taken door alle lagen heen

11 Wijzigingen t.o.v. huidige werkwijze Beperking in admin rechten (RBAC) Ook binnen Azure tearing model en andere clouddiensten Gecentraliseerde datalaag, ook voor uitwisseling tussen applicaties Beschikbaar stellen van gegevens via API-laag (één management laag voor alle API s, zowel standaard als specifiek, met logging) Van beheer naar regie (van IT naar Onderwijs & Onderzoek)

12 Ervaringen (1) Het wordt door het management onderstreept verkopen van aangepast beleid is gelukt Binnen de staande organisatie (huidige ICT omgeving) is er weerstand. Angst voor verliezen huidige werkzaamheden, voornamelijk door onbekendheid Organisatorische impact is groot risico Nu nog onbekend hoe dat wordt georganiseerd Verschil tussen NHL en Stenden is aanwezig. NHL heeft al langer een Storage en Compute omgeving als dienst

13 Ervaringen (2) Architectuur & informatie denken zit nog niet in het DNA van een ieder Azure platform is nog niet zo volwassen als je zou willen.

14

15