Bij 'cloud computing' wordt algemeen gedacht aan het beroep doen op diensten, zoals infrastructuur of toepassingen, bij derden buiten de muren van het eigen bedrijf. Daarbij maken de klanten zich allicht zorgen over security omdat ze minder eigen controle over het ict-gebeuren bij die leverancier hebben. Als die derden voorts hun diensten op een zelfde infrastructuur aan meerdere klanten aanbieden (multi-tenancy) neemt die bezorgdheid nog stevig toe. Er wordt immers gevreesd dat de data en toepassingen van concurrenten met elkaar in contact kunnen komen en worden vermengd.
...

Bij 'cloud computing' wordt algemeen gedacht aan het beroep doen op diensten, zoals infrastructuur of toepassingen, bij derden buiten de muren van het eigen bedrijf. Daarbij maken de klanten zich allicht zorgen over security omdat ze minder eigen controle over het ict-gebeuren bij die leverancier hebben. Als die derden voorts hun diensten op een zelfde infrastructuur aan meerdere klanten aanbieden (multi-tenancy) neemt die bezorgdheid nog stevig toe. Er wordt immers gevreesd dat de data en toepassingen van concurrenten met elkaar in contact kunnen komen en worden vermengd. Die soep wordt niet zo heet gegeten, blijkt ondertussen. De leveranciers van clouddiensten beseffen wel dat ze zich op dit gebied geen misstap kunnen veroorloven, terwijl grote klanten hen vaak al stevig het vuur aan de security-schenen leggen. Voorts groeit bij heel wat kmo's het besef dat de leveranciers van clouddiensten allicht meer en betere security-experten in hun emplooi hebben dan de kmo's zelf zich kunnen veroorloven. Zelfs 'private' clouds - een cloud computing aanpak op de eigen, bedrijfsinterne ict-infrastructuur - kunnen al voorzien in een betere security ten opzichte van een klassieke 'gedistribueerde' infrastructuur dankzij meer centralisatie- en beheermogelijkheden. Toch blijft het als klant opletten geblazen tijdens de onderhandelingen met cloudleveranciers tijdens de hele looptijd van het contract. En dat is niet alleen een kwestie van 'de kleine lettertjes lezen,' zoals ten overvloede werd aanbevolen op het recente Cloud Business Forum van Data News. Als prospect kan je maar beter je voorbereidend huiswerk maken (inclusief het budgetteren van voldoende middelen om de clouddiensten die door het bedrijf worden benut, op te volgen). Heel wat informatie hierrond vind je op de site van de Cloud Security Alliance (CSA, cloudsecurityalliance.org). Sinds eind 2008 focust deze organisatie op hulpmiddelen die prospecten helpen bij het beslissingsproces, zoals hun basiswerk - 'Security guidance for critical areas of focus in cloud computing' (al in v3.0) - aangevuld met hun 'cloud controls matrix' - een spreadsheet met items (en bijhorende richtinggevende bronnen) waar klanten of prospecten concreet aandacht moeten aan besteden. Toegegeven, deze documenten vereisen wel wat studiewerk, maar ze helpen voorkomen dat je als klant tijdens de onderhandelingen wat over het hoofd ziet. In een rist werkgroepen bestudeert de CSA ook cloudproblemen rond onder meer privacy, big data, mobiel gebruik, transparantie, 'governance', beveiligde identiteiten, telecom, 'metrics', audit en 'security as a service'. Ondertussen ging de CSA ook in Europa van start, met Daniele Catteddu als managing director CSA Europe (ex-ENISA, waar hij het cloud computing rapport pende). "CSA werkt wereldwijd, maar elk land heeft wel zijn eigen wettelijke vereisten en een ander niveau van [security] maturiteit," aldus Catteddu, "CSA Europe wil de regionale opvattingen aan bod laten komen." Zeker als die voor liggen op de rest van de wereld, zodat "Europa de leiding heeft genomen in de Privacy Level Agreement werkgroep. In een eerste fase wordt daar uitgegaan van de Europese vereisten, om die vervolgens naar het wereldwijd niveau te brengen." Naast onderzoek door vrijwilligers, wordt in Europa ook stevig meegewerkt aan initiatieven van de Europese overheid, zoals de cloud- strategie van de Europese Commissie (met aandacht voor interoperabiliteit tussen clouddiensten en 'portability'). Cloudopdrachten door publieke overheden kunnen immers als katalysator voor de aanvaarding van cloud op grote(re) schaal een duw in de rug geven. Zo hanteert in de VS de overheids-cio al een paar jaar een 'cloud first'-politiek, met het uitdrukkelijke doel 25 procent van het jaarlijks (80 miljard dollar stevige) overheidsbudget voor ict aan clouddiensten te besteden (inclusief 'private' clouddiensten). Een bijkomend doel is het scheppen van klaarheid voor bedrijven uit de kmo-wereld, en het aanbieden van aangepaste clouddiensten door de leveranciers. De CSA mikt erop binnenkort over een zes-tal voltijdse werkkrachten te beschikken, en wil hiermee de werking van andere organisaties en instellingen kracht bijzetten. "We zien ons als een ideaal doorgeefluik voor ideeën. Het zijn deze ideeën die onze agenda dicteren, en geen bedrijven." Daarbij wordt ook gerekend op lokale afdelingen van de CSA, waarvan er al een tiental zijn in Europa. Zij informeren de CSA over de geplogenheden en vereisten op wettelijk en reglementair gebied in hun land. Groot Brittannië, Duitsland, Nederland, Spanje, Italië en Zwitserland staan al op het lijstje, maar "nog niet België," merkt Catteddu op. "Ik zoek nog iemand die met voldoende commitment een afdeling in België wil aanpakken, naast nog wat meer mensen." www.cloudsecurityalliance.orgGuy KindermansIN EEN RIST WERKGROEPEN BESTUDEERT DE CSA OOK CLOUDPROBLEMEN ROND ONDER MEER PRIVACY.