To cloud or not to cloud

Vergelijkbare documenten

To Cloud or Not To Cloud: the Proof of the Pudding

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

Privacy Compliance in een Cloud Omgeving

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

Agenda Wat zijn de gevolgen van Cloud en Gridcomputing voor de gebruikersorganisatie en de beheersfunctie.

Jos Witteveen Wat komt er kijken bij Clouddiensten voor de Zorg? 29 oktober 2013

Kijken, kiezen, maar wat te kopen?

GDPR & GeoData Omgaan met gegevensbescherming in een digitale wereld in verandering

Security, Legal and Compliance

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

Generieke gemeentelijke Infrastructuur modellen. Naar de Cloud

Organisatie Informatieveiligheid.

5 CLOUD MYTHES ONTKRACHT

Mogen advocaten hun data in de Cloud bewaren?

Anton Ekker Kennisbijeenkomst EZDA 29 oktober 2013

De Cloud: een zegen voor security en privacy of juist een donderwolk? Willem Voogt, Principal Consultant Security Advisory Quint

Resultaten 2 e Cloud Computing onderzoek in Nederland. Alfred de Jong Principal Consultant Manager Architectuur & Innovatie Practice

Whitepaper Hybride Cloud Met z n allen naar de cloud.

ImtechCloud, het platform voor een Hybride cloud

Juridische valkuilen bij cloud computing

Visie op co-sourcing

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Gegevensbescherming & IT

Whitepaper Succesvol migreren naar de cloud

Cloud Computing. Broodje IT: Cloud Computing. Agenda:

PRIVATE, PUBLIC OF HYBRID CLOUD: VIND NU DE OPLOSSING DIE BIJ U PAST Versie: Aantal pagina s: 10

Informatieveiligheid, de praktische aanpak

Cloud, cloud, cloud. Wolfgang Ververgaert Wiljan Oomen

BeCloud. Belgacom. Cloud. Services.

Cloud & Privacy. B2B Clouddiensten. Robert Boekhorst Amsterdam 27 juni 2013

Wat is de cloud? Cloud computing Cloud

Data en Applicatie Migratie naar de Cloud

André Salomons Smart SharePoint Solutions BV. Cloud security en de rol van de accountant ICT Accountancy praktijkdag

De Digitale Transformatie en de impact op IT. Capgemini Edwin Leinse

De KPN Data Rotonde. BCM data visie op de Cloud. BCM event. 19 maart BCM Event De KPN Data Rotonde - BCM data visie op de Cloud

Hoe belangrijk is het verschil tussen public en private cloud in de praktijk?

Trends in de Campusinfrastuctuur. In samenwerking met Stratix

zorgeloos werken in de cloud

Release Status Date Written by Edited by Approved by NL_1.00 Final 19/03/2014

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

BRAIN FORCE THE JOURNEY TO THE CLOUD. Ron Vermeulen Enterprise Consultant

Cloud Computing. Bart van Dijk

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;

Cloudsourcing & Forensic Readiness. Over verwachtingen, transparantie en samenwerking. Platform voor Informatiebeveiliging! Uit de serie in the cloud!

Waar moet u op letten bij het kiezen van een datacenter! it starts here

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Informatieveiligheid bekeken vanuit juridisch perspectief

SaaS / ASP PIANOo. 20 april 2009, Amsterdam. drs. Arne Smedema a.smedema@mitopics.nl

Van Virtualisatie naar Cloud Computing De roadmap voor de toekomst?

Masterclass. Uitbesteden / Outsourcing

Inholland DC à Cloud Huub Oude Groen Robert Beudeker Manager IT Operations Solution Architect

Cloud computing Helena Verhagen & Gert-Jan Kroese

De as a Service dienstverlening in het Nederlandse ICT landschap in kaart gebracht.

IAM en Cloud Computing

hoogwaardige IaaS Cloudoplossingen

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer. Voorstelling VTC Informatieveiligheid CENTRUMSTEDEN

Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018

Agenda. 1. Introductie CIBER. 2. Visie Cloud Services. 4. Hoe kan CIBER hepen. 2 Titel van de presentatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Hoe migreer je naar de Cloud. Wilbert van Beek Directeur

MASTERCLASS MOBILE DEVICE SECURITY CLOUD COMPUTING, SMARTPHONES, EN SECURITY

Het belang van informatieveiligheid van persoonsgegevens vandaag en morgen

Kosten factoren in Azure

BCM en de Cloud. CSA-nl 10 april 2012 André Koot

Vanuit de praktijk.. Eerste stappen richting cloud in het Ziekenhuis Oost Limburg

Whitepaper Hybride Cloud

Een toekomst in de cloud? Stefan van der Wal - Security Consultant ON2IT

Databeveiliging en Hosting Asperion

Welkom bij Interconnect. Maartje van Alem Marketing Manager

Voorstelling VTC Informatieveiligheid Scholen Shopt-IT 2014

Zwaarbewolkt met kans op neerslag

Agenda Next Level in Control. 15:00 16:00 Next Plenair - Control Productivity - Control Security - Control Flexibility

PRIVACY EN CLOUD. Knelpunten:

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

Gemeente Alphen aan den Rijn

Cloud Services. SetServices zorgt ervoor dat werken in de cloud werkelijk iets oplevert voor uw organisatie.

CLOUD COMPUTING OVER SLIMMER WERKEN IN DE WOLKEN

Vlaamse Toezichtcommissie voor het elektronische bestuurlijke gegevensverkeer SHOPT-IT Informatieveiligheid omdat het moet!

EXIN Cloud Computing Foundation

Brochure Business Continuity & ICT

Op 14 maart 2017 publiceerde het DNB Expertisecentrum Operationele en IT Risico's een memo 'Toelichting Toetsingskader Informatiebeveiliging 2017'.

Hostbasket. Het hosting en cloud computing aanbod van Telenet

Azure in de praktijk o.a. case van Heineken en Talpa

Juridische uitdagingen van CC

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN

it diensten alles voor uw bedrijfscontinuïteit

Ubuntu Release Party XTG 11/23/12 1

Visie op Cloud & ICT Outsourcing

Dataprotectie op school

Transcriptie:

Stad & OCMW Sint-Niklaas To cloud or not to cloud gebruik bij lokale besturen Ivan Stuer 25 juni 2015

Wat is cloud eigenlijk?

Wat is cloud eigenlijk?

Voordelen echte realisatie van 'on-demand' computing vlotte toegang tot resources geen investering betere technische beveiliging dan in eigen DC PCI-DSS, HIPAA, ISO27001, ISO27018,... geen technology debt PaaS en Saas mogelijk naast IaaS...

Mogelijkheden voor besturen Software-as-a-service (SaaS) oplossingen voor commodity software zoals mail, instant messaging, bestandssystemen Office365, Google Docs, CRM online, CIPAL toepassingen in het CiPort datacenter,... Vervanging of extensie van de eigen serverroom. Uitbreiding voor tijdelijke capaciteit. Dev, test en beta systemen. Kunnen worden 'afgezet' indien niet in gebruik Hybride oplossingen waar archieven of minder vaak geraadpleegde gegevens in de cloud worden bijgehouden (uitbreiding van de storagecapaciteit) Toepassingen met een sterke externe oriëntatie (bijv. websites). Geen eigen DMZ nodig, goede beveiliging tegen DDOS

Mogelijkheden voor besturen Toepassingen voor interbestuurlijke en intergouvernementele samenwerking Opslag van Big Data. Verzameling van bijvoorbeeld sensorinformatie in het kader van mobiliteit, milieu, energie, veiligheid, internet of things Geografische informatie (Geopunt van AGIV draait bijvoorbeeld volledig in de Cloud omwille van de schaalbaarheid en beschikbaarheid) Beeldbanken

Ook productiesystemen? Mogelijkheden voor besturen

Mogelijkheden voor besturen Ook productiesystemen? Kan, wanneer aan een aantal aandachtspunten wordt voldaan

Aandachtspunten Eigenlijk dezelfde aandachtspunten dan bij 'gewone' outsourcing of on-premise Goede governance nodig op omgeving, beveiliging, dataclassificatie,...

Governance ITSM: hier dient vooral de beschikbaarheid en informatieveiligheid tegen het licht te worden gehouden. Hoe garanderen we de beschikbaarheid van toepassingen en data (technisch, maar ook bij failissement of calamiteiten bij de leverancier, back-up, recovery, ) en hoe blijven confidentialiteit en integriteit van data verzekerd? ALM: hier moet zeker stil worden gestaan bij mogelijke exit scenario s. Hoe krijgen we toepassingen en data terug uit de cloud? Releases, patches en upgrades zijn in een Iaas scenario minstens even belangrijk als in onpremise omgevingen

Governance Samenwerken met een externe partner (= de verwerker van gegevens), in de cloud, in outsourcing of in een traditioneel ondersteuningsmodel vergt een nog grotere aandacht voor governance dan bij een on-premise beheer. Mogelijk komt dit de informatiebeveiliging ten goede, en is het dus eerder een positief effect, al is dit sterk afhankelijk van het bestaande maturiteitsniveau van het bestuur.

Informatieveiligheid 3 aspecten aan informatieveiligheid Technisch Procedureel Wetgeving = Komt ook weer neer op goed risicobeheer

Informatieveiligheid Technisch Professionele grote speler heeft (waarschijnlijk) een veel betere technische beveiliging dan de eigen serverroom -> onderzoeken Encrypteren is altijd een goed idee kans op spionage of inbraak in een datacenter van Microsoft, Google of Amazon is zeer klein maar dat in transit loopt gevaar

Informatieveiligheid Procedureel aandacht voor risico's in alle ITSM en ALM aspecten contractuele bepalingen ondersteuning door partner zou eigenlijk gewoon mee moeten kunnen worden opgenomen in de bestaande processen

Informatieveiligheid Wetgeving Zie sessie Smals KSZ, RR, Privacy wetgeving e-gov decreet Richtsnoeren informatieveiligheid

Informatieveiligheid Wetgeving Verbiedt zeker niet expliciet het gebruik van de cloud Wel aandacht voor een aantal aspecten van de privacywet

Informatieveiligheid Uit de Privacywet kunnen 2 eisen rond cloudcomputing worden gedestilleerd: Overeenkomst Er moet een overeenkomst kunnen worden gemaakt met de public cloud provider, waarin deze zich, als verwerker van de gegevens, committeert op het naleven van de regels. Dit wordt door de EU (WP29) vertaald als 'model clauses', waaraan intussen Microsoft en Amazon voldoen.

Informatieveiligheid Uit de Privacywet kunnen 2 eisen rond cloudcomputing worden gedestilleerd: zelfde verplichtingen als verantwoordelijke voor de verwerking de garantie moet worden geboden dat geen gegevens worden overgedragen aan buitenlandse overheden (VS: FISA, Patriot act, maar ook Frankrijk, Duitsland, China,...) Dit risico kan ook worden ingedekt door encryptie en hybride modellen

Informatieveiligheid Voor de verwerking van persoons-, medische en sociale gegevens is de KSZ zeer risico-avers. Zo is elke instelling van sociale zekerheid die vertrouwelijke gegevens wenst te verwerken in een "Cloud" die door een provider wordt beheerd, verplicht de volgende contractuele waarborgen in acht nemen onder de nodige clausules met betrekking tot: de mogelijkheid voor een cloud-provider om een deel van zijn activiteiten uit te besteden de integriteit, continuïteit en kwaliteit van de dienstverlening de teruggave van de gegevens de overdraagbaarheid van de gegevens en de interoperabiliteit van de systemen de auditregeling de verplichtingen van de provider inzake vertrouwelijkheid van de gegevens de soevereiniteit de verplichtingen van de provider inzake gegevensbeveiliging

Kortom Het gebruik van de cloud moet worden meegenomen in uw standaard informatieveiligheidsbeleid en plan, met extra aandacht voor de specifieke risico s die het gebruik van de cloud met zich meebrengt. Hierbij dient een duidelijke dataclassificatie te worden gehanteerd (bijvoorbeeld: vertrouwelijk, privacygevoelig, medische gegevens, sociale data, intern gebruik, open data,.). De classificatie bepaalt dan verder de af te dekken kwetsbaarheden en risico s.

Welke cloud kiezen Leverancier die goed antwoord biedt op alle bezorgdheden rond governance en risico's Evaluatietools: CSA cloud risk matrix Smals tool ISO, PCI-DSS, HIPAA, ea. certificaten EU Model Clauses ENISA risk inventaris Lees contracten en terms of use na!

Meer info Security.v-ict-or.be Cloudsecurityalliance.org enisa.europa.eu smals.be

Conclusie Cloud computing lijkt het antwoord op de oude belofte van on-demand IT diensten waarbij besturen zich kunnen concentreren op de meerwaarde van informatie (business intelligence, big data/smart cities, kennis, informatiedeling, efficiënte dienstverlening) en minder op de technische kant. Het zou jammer zijn mochten we hier niet de vruchten van kunnen plukken omwille van juridische of geopolitieke beperkingen. Hier moeten we zeker de juridische, privacy en IT-technische wereld op 1 lijn krijgen om als Vlaamse besturen deze opportuniteit niet te missen.

Q&A