Resultaten van een onderzoek

Besluitvormingscriteria bij een cloudbeslissing

17 juni 2016
In dit artikel:

Innovatieve technologie zorgt voortdurend voor veranderingen in onze samenleving en bepaalt steeds meer hoe wij leven en werken in een digitale wereld. Technologie en innovatie maken efficiëntere en daardoor winstgevendere bedrijfsvoering mogelijk. Cloud computing kan organisaties helpen om de technologische mogelijkheden te benutten. Naast voordelen brengt cloud computing echter ook risico’s met zich mee. Organisaties zullen voordelen en risico’s daarom goed moeten laten meewegen bij keuzes op het gebied van cloud computing.
Dit artikel geeft op basis van een afstudeeronderzoek (zie [SMIT14]) inzicht in de voordelen van cloud computing, de criteria voor cloudbeslissingen uit de literatuur en de overwegingen die besluitvormers in de praktijk hanteren.

Cloud computing is een algemene term voor een IT-infrastructuur die de vorm heeft van een op afstand via internet benaderbare dienst voor de opslag en verwerking van data en het gebruik van software. De dienst is beschikbaar via een of meer datacenters van een dienstverlener (de cloudprovider). Zie verder het tekstkader ‘Definitie cloud computing’ hieronder.

Definite cloud computing

Cloud computing, een technologie die de laatste jaren een opmars heeft gemaakt, kent vele definities. Zo definieert Gartner cloud computing als ‘a style of computing in which scalable and elastic IT-enabled capabilities are delivered as a service using Internet technologies’. Deze definitie noemt schaalbaarheid en elasticiteit als karakteristieke kenmerken van cloud computing. Op het moment van schrijven is er nog geen eenduidige definitie. Een breed geaccepteerde definitie is die van het National Institute of Standards and Technology (NIST, Verenigde Staten). Deze definitie luidt: ‘Cloud Computing is een model voor het snel beschikbaar stellen van overal beschikbare on-demand netwerktoegang tot een gedeelde pool van configureerbare IT-middelen zoals netwerken, servers, opslag, applicaties en diensten, met een minimum aan managementinspanning of interactie met de dienstverlener. Dit cloudmodel is samengesteld uit vijf essentiële kenmerken, drie delivery modellen (diensten) en vier toepassingsmodellen’.1 [MELL11]
 
Ook ISACA hanteert de definitie van NIST als formele definitie. [ISAC2012] Gezien de alomvattendheid van deze definitie gebruik ik deze definitie in dit artikel. Vertaald in het Nederlands luidt de definitie:
 
De definitie van NIST noemt de volgende vijf kenmerken van cloud computing.

  • Zelfbediening; gebruikers van de cloud-dienst kunnen zelf bepalen hoe zij de cloud gebruiken.
  • Breedband-toegang; toegang tot de cloud loopt via internet.
  • Gedeelde middelen; de middelen in de cloud worden gedeeld met anderen.
  • Elasticiteit; het is mogelijk om de middelen snel en flexibel in te zetten.
  • Monitoren; de middelen in de cloud worden automatisch bestuurd en gemonitord.

 
Uiteindelijk kunnen alle cloud-diensten teruggebracht worden naar drie dienstenconcepten en vier toepassingsmodellen (zie tekstkader ‘Varianten van cloud computing’).

Het gebruik van cloud computing is de afgelopen jaren flink toegenomen doordat deze technologie verschillende voordelen biedt. Een van de meest genoemde voordelen is kostenbesparing. [KHAJ10], [GREE10], [NARA11], [MORI11], [RIPP09], [BREN13] Traditionele IT vereist een flinke investering in applicaties, fysieke servers en lokale opslag van data. Cloud computing daarentegen, vraagt weinig tot geen up-front investering in de IT-infrastructuur omdat de klant betaalt op basis van pay-per-use, dat wil zeggen dat de klant naar behoefte tegen betaling IT-diensten afneemt van de cloudprovider. [SHIM10] Cloud computing kent niet alleen voordelen maar brengt ook extra risico met zich mee, bijvoorbeeld voor de vertrouwelijkheid en beschikbaarheid van data.

De recente toename in het gebruik van cloud computing en de voorspelling van Gartner dat cloud computing de komende jaren verder zal groeien [GART13] stellen besluitvormers voor nieuwe uitdagingen. Nu in hun omgeving de traditionele IT-dienstverlening steeds verder verschuift richting cloud-georiënteerde dienstverlening, zijn besluitvormers gedwongen de betekenis van deze trend voor hun eigen IT-infrastructuur na te gaan. Dit houdt in: zowel de kansen verkennen als de risico’s van cloud computing onder ogen zien. Alleen dan kunnen zij een weloverwogen keuze maken voor wel of geen cloud computing, dan wel voor cloudprovider A of B. Daarbij staan ze voor een niet eenvoudige opgave. Zo is er een enorme hoeveelheid literatuur beschikbaar over kansen en risico’s van cloud computing. Die literatuur wordt gekenmerkt door een groot aantal verschillende perspectieven op cloud computing en daarmee een veelheid aan mogelijke beslissingscriteria.

Deze constateringen vormden voor mij de aanleiding om op dit terrein een onderzoek te doen als basis om af te studeren aan de IT-auditopleiding aan de Erasmus Universiteit Rotterdam. In dat onderzoek heb ik bekeken wat de belangrijkste beslissingscriteria zijn die uit de literatuur naar voren komen en ben ik nagegaan welke criteria beslissers in de praktijk doorgaans gebruiken. Deze informatie maakt de vaak abstracte discussies over de cloudbeslissing concreet. Dit kan beslissers helpen bij hun besluitvorming en ook krijgt een toezichthoudend orgaan zoals een raad van commissarissen betere handvatten om de discussie aan te gaan met de leiding van de organisatie. IT-auditors kunnen deze informatie gebruiken bij audit- en advieswerkzaamheden.

Kansen verkennen én risico’s van cloud computing onder ogen zien

Criteria uit de literatuur

De resultaten van mijn literatuurverkenning geven inzicht welke criteria organisaties bij hun cloudbeslissingen zouden moeten hanteren: de normatieve beslissingscriteria. De literatuur geeft ook aan welke criteria besluitvormers in de praktijk blijken te gebruiken: de praktijkcriteria. De confrontatie tussen deze twee sets criteria in de volgende paragrafen geeft een beeld hoe volledig organisaties zijn in hun overwegingen wanneer ze cloudbeslissingen nemen. De aanpak van de literatuurverkenning heb ik beschreven in mijn referaat: [SMIT14].
De auteurs van de gevonden publicaties maken geen onderscheid tussen de verschillende varianten van cloud computing (zie tekstkader ‘Varianten van cloud computing’ op de volgende pagina) en daarom doe ik dat in dit artikel ook niet.

Varianten van  cloud computing

Cloud computing kent verschillende dienstenconcepten en toepassingsmodellen.
 
De drie dienstenconcepten zijn Software as a Service (SaaS), Platform as a Service (PaaS), en Infrastructure as a Service (IaaS).

SaaS. De dienstverlener zorgt voor installatie, onderhoud en beheer van de software. De gebruiker heeft alleen toegang tot internet nodig om gebruik te maken van de diensten, voorbeelden zijn, Salesforce CRM, SAP Business by Design, Office 365 online en Google Docs.

PaaS. De dienstverlener beheert de infrastructuur en een beperkt aantal diensten, zoals toegangsbeheer en portaalfunctionaliteiten. De gebruiker is verantwoordelijk voor onderhoud van het platform en de software die hierop draait, voorbeelden zijn Microsoft Azure, DotCloud, Force.com, en Google App Engine.

IaaS. De dienstverlener stelt een infrastructuur beschikbaar via virtualisatie of hardware-integratie van servers, netwerken en opslagcapaciteit. De gebruiker heeft vrijheid van keuze zonder de hardware zelf in huis te hebben. Daar staat tegenover dat hij wel vergaande kennis nodig heeft van software, platform en infrastructuur en zelf verantwoordelijk is voor het onderhoud. Voorbeelden zijn Rackspace, Amazon S3, Amazon EC2 en SQL Azure.
 
De vier toepassingsmodellen zijn Public Cloud, Private Cloud, Community Cloud en Hybride Cloud.

Public Cloud. De klant deelt functionaliteit en infrastructuur met andere klanten. De software en data staan volledig op de servers van de cloudaanbieder en aan alle klanten wordt dezelfde functionaliteit geleverd, waarbij de data logisch gescheiden is.

Private Cloud. De klant gebruikt een infrastructuur die specifiek voor die organisatie is opgezet. Functionaliteit en infrastructuur worden niet gedeeld met anderen.

Community Cloud. De klant deelt de infrastructuur met andere organisaties die gemeenschappelijke belangen hebben op aspecten, zoals datalocatie, beveiliging, architectuur. Hierbij worden de kosten gedeeld.

Hybride Cloud. Dit is de combinatie van private en public cloudoplossingen, waarbij een afweging gemaakt wordt welk type gegevens waar worden opgeslagen. Dit stelt een organisatie in staat om alle voordelen zoals schaalbaarheid en kosteneffectiviteit te benutten, met minimale risico’s voor bedrijfskritische gegevens.

Normatieve beslissingscriteria

Uit de literatuur komen de volgende zestien normatieve beslissingscriteria naar voren:

  1. Kosten
  2. Elasticiteit
  3. Schaalbaarheid en flexibiliteit
  4. Informatiebeveiliging
  5. Toegangsrechten
  6. Dataopslag en -beveiliging
  7. Vernietigen van data
  8. Herleidbaarheid en monitoren van data
  9. Beschikbaarheid, performance en continuïteit
  10. Integratie met bestaande IT-omgeving
  11. Gedeelde middelen
  12. Vendor lock-in
  13. Wet- en regelgeving
  14. Bevoegde autoriteit bij conflict
  15. Auditeerbaarheid
  16. Contractuele afspraken

Hierna volgt een korte toelichting op elk van deze criteria.

Kosten

Bij gebruik van dienstverlening in de cloud hoeven organisaties niet zelf te investeren in en af te schrijven op de technische voorzieningen. In plaats hiervan betalen zij naar gebruik, wat de kosten voorspelbaar maakt. Bovendien kan het schaalvoordeel van cloud computing dat de dienstverlener geniet voor de gebruikersorganisatie tot lagere kosten leiden via het het in rekening gebrachte tarief. [DELP11]

Elasticiteit

Een cloud-infrastructuur kan het elasticiteitsniveau vergroten. Zowel infrastructuren (IaaS) als platformen (PaaS) als softwaregebruik (SaaS) maken een elasticiteitsniveau mogelijk dat niet eenvoudig te bereiken is met traditionele (non-cloud) oplossingen. [MELL11]

Schaalbaarheid en flexibiliteit

Binnen cloud computing is schaalbaarheid het gemak waarmee serviceniveaus zonder grote investeringen verhoogd of verlaagd kunnen worden door het pay-per-use karakter van clouddiensten. [BARN10] Organisaties die gebruikmaken van cloud computing kunnen capaciteitsvraagstukken sneller oplossen doordat clouddiensten eenvoudig schaalbaar zijn.

Schaalbaarheid en elasticiteit zijn vormen van flexibiliteit, omdat ze beide de mogelijkheid hebben om naar behoefte meer of minder resources in te zetten (rekenkracht, opslagvolume, databandbreedte). Schaalbaarheid is dan de wijziging van de hoeveelheid resources op aanvraag door de klant en elasticiteit is automatische aanpassing van de hoeveelheid resources aan de behoefte.

Informatiebeveiliging

In de cloud bepaalt en controleert de leverancier de informatiebeveiliging, waaronder betrouwbaarheid en vertrouwelijkheid van data. Het is aan de klant om zich ervan te overtuigen dat de leverancier voldoende maatregelen treft om de data te beschermen, bijvoorbeeld tegen ongeautoriseerde toegang, manipulatie en besmetting met malware. [VKA12], [MIRC11] Hetzelfde geldt voor de beheersmaatregelen die borgen dat de data betrouwbaar is, dat wil zeggen juist, volledig en accuraat. De informatiebeveiligingseisen moeten duidelijk in kaart gebracht worden als randvoorwaarden bij de cloudbeslissing. Biswas geeft aan dat cloudleveranciers door schaalvoordelen en kosten-efficiëntie in principe beter in staat zijn om de data te beveiligen. [BREN13] Ter illustratie wijst hij erop dat data in de cloud gedistribueerd over verschillende datacenters wordt opgeslagen, waardoor bij een hackers-aanval de schade in omvang beperkt blijft.

Toegangsrechten

Hierbij gaat het om gereguleerde toegang tot data. Voorbeelden van maatregelen die organisaties op dit terrein kunnen nemen zijn een sterk autorisatieproces (identificatie en authenticatie), niet toestaan van gedeelde accounts en afspraken met de leverancier maken over de implementatie van toegangsrechten en deze afspraken goed vastleggen. Organisaties moeten nagaan of de clouddienst dergelijke maatregelen ondersteunt. Ook doen ze er goed aan om via de leverancier duidelijkheid te krijgen over het aannamebeleid en het toezicht op toegangsrechten. Hierbij verdienen in het bijzonder de toegangsrechten van de privileged cloud administrators bijzondere aandacht. [HEIS08] Dit kan bijvoorbeeld via een service level agreement, een right-to-audit of een assurancerapport.

Dataopslag en -beveiliging

Er zijn afspraken met de cloudleverancier nodig over het eigenaarschap van data en het beschermen tegen ongeoorloofd gebruik ervan. Zijn de in de cloud opgeslagen gegevens bijvoorbeeld eigendom van de klantorganisatie of van de leverancier van de clouddienst of van beide? Een aandachtspunt is datasegregatie: is de data voldoende afgeschermd van de data van andere klanten? Andere aandachtspunten zijn de procedures voor back-up en waar en hoe de data is opgeslagen. [VKA12] Informatie over het laatste (het ‘hoe’) is nodig voor het geval de klant zijn data bij de dienstverlener zou willen weghalen.

Vernietigen van data

Organisaties kunnen besluiten dat bepaalde data vernietigd moet worden. De dienstverlener moet dit dan grondig kunnen doen. Simpelweg wissen van de data op de server zal geen volledige zekerheid bieden dat de data niet meer leesbaar is. Een maatregel die organisaties kunnen nemen om het risico van onvolledig gewiste data te beperken, is de data voorafgaand aan de opslag bij de cloudleverancier te voorzien van encryptie of de data te anonimiseren. [BREN13]

Herleidbaarheid en monitoren van data

Het migreren van data naar een cloudomgeving zorgt ervoor dat het eenvoudiger wordt deze data te verspreiden door bijvoorbeeld e-mail. Om te borgen dat alle data volledig traceerbaar is en om onregelmatige activiteiten op te sporen, dienen maatregelen getroffen te worden. De herleidbaarheid van data kan bijvoorbeeld gecontroleerd worden door het monitoren van ongebruikelijke activiteiten. [BREN13]

Beschikbaarheid, performance en continuïteit

De beschikbaarheid van clouddiensten is vooral voor kritieke bedrijfsprocessen essentieel. Heiser en Nicolett adviseren organisaties die (kritieke) bedrijfsprocessen uitbesteden naar een cloudomgeving dan ook om te zorgen voor goede continuïteitswaarborgen. [HEIS08]

Integratie met bestaande IT-omgeving

Cloud computing is meer dan simpelweg het implementeren van een nieuwe technologie. Een analyse van de gehele IT-architectuur is nodig om te kunnen bepalen welke specifieke eisen moeten gelden voor de cloudintegratie. [VKA12] Die eisen hangen onder meer af van de doelstellingen van de organisatie, de eisen aan de cloudomgeving en de aansluiting op de bestaande on-premise IT-infrastructuur (legacy). Organisaties moeten zich ook afvragen of de bestaande IT-omgeving wellicht belemmeringen bevat voor een overgang naar cloud computing; denk bijvoorbeeld aan bestaande licenties.

Gedeelde middelen

De middelen (servers, opslag, netwerk) van de aanbieder van clouddiensten worden gedeeld door meerdere afnemers. Hierdoor worden de distributiekosten en capaciteit gedeeld tussen meerdere gebruikers – dit heet multi-tenancy. [VKA12].

Vendor lock-in

Bij sommige clouddiensten is het niet mogelijk of bijzonder lastig om over te stappen naar een andere cloudaanbieder, of naar het (weer) in eigen beheer nemen van de uitbestede IT-voorziening. Een voorbeeld van een dergelijke vendor lock-in is de situatie waarin de klantorganisatie de eigen data niet kan meenemen bij een overstap, waardoor de continuïteit van bedrijfsprocessen niet langer gewaarborgd zou zijn. Organisaties dienen daarom na te denken over een exit-strategie bij het aangaan van clouddienstverlening.

Perspectief besluitvormers in de praktijk: kosten en IT

Wet- en regelgeving

Organisaties dienen hun privacy-verplichtingen en -verantwoordelijkheden te borgen, ongeacht of zij gebruikmaken van clouddienstverlening. Leveranciers van clouddiensten leggen steeds meer verantwoording af via externe auditrapporten en certificeringen om hun klanten zekerheid te geven over de getroffen maatregelen. Een specifiek aandachtspunt is de locatie van data. Dit is een steeds grotere zorg gezien het verschil in regelgeving op het gebied van privacy in verschillende jurisdicties. [HEIS08] Denk bijvoorbeeld aan een Europese organisatie die data heeft opgeslagen in een Amerikaans datacenter. Onder de Patriot Act heeft de Amerikaanse overheid toegang tot die data. Dit vormt bijvoorbeeld een risico voor bedrijfsgeheimen. Een ander voorbeeld is dat veel overheden in de Europese Unie de voorwaarde stellen dat overheidsdata zich fysiek binnen de EU-grenzen moeten bevinden. Dat betekent dat het zeker moet zijn dat het datacenter van de dienstverlener in een EU-land staat. Organisaties dienen deze zaken in overweging te nemen bij cloudbeslissingen, zodat zij ook bij een overgang naar cloud computing of wisseling van cloudleverancier blijven voldoen aan de geldende wet- en regelgeving.

Bevoegde autoriteit bij conflict

Als er verschillende jurisdicties gelden voor de cloudleverancier en de klantorganisatie, dient vooraf goed nagedacht te worden over de bevoegde autoriteit in geval van een conflict. [BREN13]

Auditeerbaarheid

Dit betreft de mogelijkheid om de interne beheersing bij de leverancier en/of de betrouwbaarheid van de data en het systeem te toetsen. Bijvoorbeeld door een right-to-audit of een assurancerapport van een onafhankelijke derde.

Contractuele afspraken

Organisaties dienen na te gaan welke zaken geregeld moeten worden. Vervolgens moeten ze hierover concrete afspraken met de leverancier te maken en deze contractueel vastleggen, onder meer in een service level agreement. Relevante vragen in dit verband zijn:

  • Zijn de overeengekomen prestaties en diensten zoals beschikbaarheid, responstijden, onderhoud en beveiliging toereikend vastgelegd in contractuele afspraken?
  • Zijn de gewenste prestaties concreet gemaakt door prestatie-indicatoren te definiëren en welke garanties geeft de leverancier over de te leveren prestaties en diensten?
  • Staat het de organisatie duidelijk voor ogen op welke wijze zij zekerheid over deze zaken wil krijgen? Denk aan right-to-audit, assurancerapport, service level agreement en periodieke rapportages over de dienstverlening.

Deze normatieve criteria hebben betrekking op vraagstukken die liggen op zowel strategisch, als IT-, als financieel terrein (zie ook [PWC12] voor een overzicht van de terreinen die aan de orde zijn bij de overgang naar cloud computing).

Voor ondernemingen die onder toezicht staan van De Nederlandse Bank (DNB) geldt daarnaast nog een aantal specifieke criteria (zie tekstkader ‘Ondernemingen onder DNB-toezicht’)

Ondernemingen onder DNB-toezicht

Ondernemingen die onder toezicht staan van De Nederlandse Bank (DNB) moeten een risicoanalyse maken als zij van plan zijn een clouddienst af te nemen. DNB heeft een handreiking opgesteld om instellingen te helpen invulling te geven aan de eisen. De handreiking wordt gegeven in de vorm van een sjabloon voor een risicoanalyse dat desgewenst als basis kan worden gebruikt. Het sjabloon is gebaseerd op het ENISA document ‘Cloud Computing Security Risk Assessment’, aangevuld met de relevante wettelijke vereisten vanuit de Wet Financieel Toezicht en de Pensioenwet. De organisatie dient bij de risicoanalyse rekening te houden met haar IT-strategie.

Beslissingscriteria in de praktijk

De in de vorige paragraaf genoemde, uit de literatuur afgeleide beslissingscriteria zijn normatief. Dit betekent dat ze volgens de literatuur alle zestien een rol zouden moeten spelen in de besluitvorming over cloud computing. Met deze set criteria krijgt een organisatie handvatten om zowel de voordelen, als de risico’s, als de kosten, als de effecten van cloud computing op de organisatie in ogenschouw te nemen bij de besluitvorming. Laten we eens kijken of besluitvormers al deze criteria in praktijk inderdaad hanteren.

Hoe de praktijk van de besluitvorming eruitziet is weergegeven in tabel 1 hieronder. De tabel laat voor elk van de zestien criteria zien hoe vaak ze in de beschrijvende artikelen worden genoemd.

Deze resultaten laten zien dat besluitvormers de meeste waarde hechten aan het criterium ‘beschikbaarheid, performance en continuiteit’, dit wordt in alle artikelen genoemd. Dit gevolgd door ‘Kosten’, ‘Integratie met bestaande IT-omgeving’, ‘Schaalbaarheid en flexibiliteit’, ‘Wet- en regelgeving’, ‘Dataopslag en-beveiliging’ en ‘Informatiebeveiliging’. Verder blijken drie van de zestien criteria in de praktijk niet te worden gebruikt. Dit zijn ‘Herleidbaarheid en monitoren van data’, ‘Bevoegde autoriteit bij conflict’ en ‘Gedeelde middelen’.

Schermafbeelding 2016-06-15 om 12.58.29

Analyse hoe de criteria gebruikt worden

In mijn onderzoek ben ik niet alleen nagegaan welke beslissingscriteria worden genoemd, maar ook hoeveel aandacht elk van deze criteria krijgt in de verschillende publicaties over de besluitvormingspraktijk. Dit als indicatie welk gewicht het criterium bij de besluitvorming in de praktijk heeft. Deze aandacht, dus het gewicht, heb ik gecategoriseerd naar ’laag’, ’midden’ en ’hoog’ (zie tabel 2).Schermafbeelding 2016-06-15 om 12.59.20
De gewichten van de zestien criteria zijn weergegeven in figuur 1. We zien bijvoorbeeld dat het criterium ‘Kosten’ voorkomt in acht van de tien artikelen en dat het een totaalgewicht heeft van 21 (de som van de gewichten in die acht artikelen, namelijk van onderaf: 2+2+3+3+3+3+3+2). ‘Auditeerbaarheid’ heeft een totaalgewicht van 1. Het wordt slechts genoemd in één artikel [CATT09], waar het een gewicht van 1 heeft.

De figuur laat zien dat besluitvormers in hun argumentatie voor de cloudbeslissing in de praktijk hoofdzakelijk zeven van de zestien criteria hanteren (zie tabel 3 op de volgende pagina). Naast de kosten zijn dit criteria vanuit een IT-perspectief.

Schermafbeelding 2016-06-15 om 13.01.36

Conclusies

Beslissers blijken in de praktijk iets minder dan de helft van de normatieve criteria uit de literatuur te gebruiken. Kennelijk maken ze maar gedeeltelijk gebruik van de handvatten die de literatuur aanreikt om de voordelen, de risico’s, de kosten en de effecten van cloud computing op de organisatie te overwegen. Waar dit door komt, heb ik niet onderzocht en wellicht hebben organisaties er plausibele redenen voor. Maar het kan ook zijn dat het een gevolg is van een oppervlakkige risicoanalyse. In elk geval onderstreept deze constatering de noodzaak dat organisaties op basis van een gedegen risicoanalyse vaststellen welke beslissingscriteria in hun specifieke situatie relevant zijn voor een goede cloudbeslissing.

Schermafbeelding 2016-06-15 om 13.09.50

Als we kijken welke beslissingscriteria in de praktijk buiten de boot vallen, dan zijn dat vooral de criteria die vanuit een ander perspectief dan dat van de IT aan de orde zijn. Dit zou kunnen betekenen dat cloudbeslissingen te vaak vanuit een puur IT-perspectief worden genomen. Organisaties doen er daarom goed aan ook andere partijen dan de IT-afdeling bij de besluitvorming te betrekken. Denk bijvoorbeeld aan afdelingen Risk Management en Audit.

Een conclusie in het verlengde van de vorige is dat, terwijl de normatieve criteria betrekking hebben op vraagstukken op zowel strategisch, als IT-, als financieel terrein, het in de praktijk voornamelijk de kosten en IT-criteria zijn die een rol spelen. Dit pleit voor een meer holistische benadering, waarin zowel de CEO, als de CIO, als de CFO een rol speelt en zij samen optrekken bij het nemen van de cloudbeslissing. Zij moeten daarbij worden ondersteund door hun IT-specialisten en (externe) cloud-deskundigen. Zie ook het Readiness4Cloud-model van PWC. [PWC12]

Tot slot: IT-auditors kunnen de set normatieve beslissingscriteria gebruiken bij hun audit- of adviesopdrachten op het terrein van cloud computing. Op basis van de set criteria kunnen ze het gesprek met de organisatie aangaan over de kwaliteit van de besluitvormig en de onderliggende risicoanalyse.

Met dank aan Arno Nuijten, wetenschappelijk directeur IT-auditing & advisory opleiding, omdat hij mij heeft aangemoedigd om de onderzoeksresultaten te publiceren.

 

Noten

‘Cloud computing is a model for enabling ubiquitous, convenient, on-demand network access to a shared pool of configurable computing resources (e.g., networks, servers, storage, applications, and services) that can be rapidly provisioned and released with minimal management effort or service provider interaction. This cloud model is composed of five essential characteristics, three service models, and four deployment models’. [MELL11]

Literatuur

[BARN10] Barnatt, C. (2010), ‘A Brief Guide to Cloud Computing’, Constable and Robinson, ISBN 978-1-8490-9.
 
[BISW11] Biswas, S. (2011), ‘Is Cloud Computing Secure? Yes, another perspective’, http://cloudtweaks.com/2011/01/the-question-should-be-is-anything-truly-secure, geraadpleegd: 13-08-2013.
 
[BREN13] Brender, N., Markov, I. (2013), ‘Risk Perception and Risk Management in Cloud Computing: Results from a case study of Swiss companies’, International Journal of Information Management, Vol.33: 726-733.
 
[CATT09] Catteddu, D., Hogben, G. (2009), ‘Cloud Computing: Benefits, risks and recommendations for information security’; European Network and Information Security Agency (ENISA).
 
[DELP11] Delphix (2011), ‘Realizing Massive ROI Through Data Virtualization’, http://www.informationweek.com/whitepaper/Management/ROI-TCO/realizing-massive-roi-through-data-virtualization-wp1326388038/154062?gset=yes (na registratie), geraadpleegd: 09-06-2016.
 
[GART13] Gartner (2013), ‘Gartner Says IT Worldwide IT Spending on Pace to Reach $3.7 Trillion in 2013’, Press Release, July. 2, 2013, http://www.gartner.com/newsroom/id/2537815.
 
[GREE10] Greenwood, D., Khajeh-Hosseini, A., Smith, J., Sommerville, I. (2010), ‘The Cloud Adoption Toolkit: Addressing the Challenges of Cloud Adoption in Enterprise’, https://www.researchgate.net/publication/45907253_The_Cloud_Adoption_Toolkit_Addressing_the_Challenges_of_Cloud_Adoption_in_Enterprise.
 
[HEIS08] Heiser, J., Nicolett, M. (2008), ‘Assessing the Security Risks of Cloud Computing’, Gartner Research, tegen betaling te downloaden via https://www.gartner.com/doc/685308/assessing-security-risks-cloud-computing, geraadpleegd: 09-06-2016.
 
[ISAC12] ISACA (2012), ‘Guiding Principles for Cloud Computing Adoption and Use’, Cloud Computing Vision Series – White Paper, February 2012.
 
[KHAJ10] Khajeh-Hosseini, A., Sommerville, I., Sriram, I. (2010), ‘Research Challenges for Enterprise Cloud Computing’, Submitted for the 1st ACM Symposium on Cloud Computing, SOCC 2010
 
[KHAJ12] Khajeh-Hosseini, A., Greenwood, D., Smith, J. W., Sommerville, I. (2012), ‘The Cloud Adoption Toolkit: supporting cloud adoption decisions in the enterprise’, Software: Practice and Experience, Vol.42, Issue 4, pp.447-465.
 
[MELL11] Mell, P., Grance, T. (2011), ‘The NIST Definition of Cloud Computing’, special publication 800-145, Computer Security Division.
 
[MIRC11] Mircea, M., Andreescu, A. I. (2011), ‘Using Cloud Computing in Higher Education: A Strategy to Improve Agility in the Current Financial Crisis’, Communications of the IBIMA, Vol.2011, Article ID 875547, 15 pages.
 
[MORI11] Moritz, R., Garland, P., Pearl, M., Gittings, R. (2011), ‘10Minutes on the Cloud’, PwC, http://www.pwc.com/us/en/10minutes/assets/10minutes-on-the-cloud.pdf, geraadpleegd: 21-02-2016.
 
[NARA11] Narasimhan, B., Nichols, R. (2011), ‘State of Cloud Applications and Platforms: The Cloud Adopters’ View, Computer, Published by the IEEE Computer Society
 
[PWC12] PWC, ‘Go4Cloud; PwC als gids in de cloud’, http://www.pwc.nl/nl/assets/documents/pwc-rapport-cloud-computing.pdf, geraadpleegd: 21-02-2016.
 
[RIPP09] Rippert, D. (2009), ‘Cloud Computing’, Accenture, http://docplayer.net/12336031-Don-rippert-chief-technology-officer-accenture.html, geraadpleegd 21 april 2016.
 
[SHIM10] Shimba, F.J. (2010), ‘Cloud Computing: Strategies for Cloud Computing Adoption’, Dissertation published by Lambert Academic Publishing, ISBN 978-8433-8023-2.
 
[SMIT14] Smit, A.L. (2014), ‘De Cloud-beslissing: Strategisch, Tactisch of Operationeel? Analyse en bewustzijn van verschillende criteria noodzakelijk om tot gedegen besluitvorming te komen’. Referaat Postmaster IT-auditing & advisory, Rotterdam 2014.
 
[SULT11] Sultan, N.A. (2011), ‘Reaching for the “Cloud”: How SMEs can manage’, International Journal of Information Management, Vol.31: 272-278.
 
[TURN13] Turner, S. (2013), ‘Benefits and Risks of Cloud Computing’, Journal of Technology Research, Vol.4, pp.1-7.
 
[VKA12] Verdonck, Klooster & Associates BV (VKA), (2012), ‘Cloud Computing, Fundament op Orde’, in opdracht van het ministerie van Economische Zaken, Landbouw & Innovatie, https://www.forumstandaardisatie.nl/fileadmin/os/documenten/cloud-computing-fundament-op-orde-vka-v1-1.pdf, geraadpleegd: 13-08-2013.
 
[YANG12] Yang, H., Tate, M. (2012), ‘A Descriptive Literature Review and Classification of Cloud Computing Research’, Communications of the Association for Information Systems, Vol. 31, article 2.

A.L. (Annemarie) Smit, MSc EMITA

Annemarie Smit is sinds 2009 als IT-auditor werkzaam bij PwC. Zij is verantwoordelijk voor het aansturen van wisselende teams op diverse opdrachten, waaronder IT-audits, ISAE 3402-controles en advieswerkzaamheden op het gebied van systemen, processen en transformatieprogramma’s.