Vijftig tinten Cloud [NL]

Security en compliance zijn vooralsnog de belangrijkste parameters bij de sourcing en platformkeuze in relatie tot de hybride cloud. Gedurende de onlangs gehouden rondetafelbijeenkomst in de Villa te Vught werd dieper ingezoomd op de aard van alle verschillende clouds en de implicaties op het gebied van security en compliance.

Het thema, de ‘gastheer’ IBM en Martijn Dekker van ABN AMRO als inleidende spreker hadden opvallend veel chief information security officers (CISO’s) en vergelijkbare functies naar Vught getrokken. Kennelijk blijft een businessgedreven hang naar flexibilisering en innovatie op basis van de cloud niet zonder gevolgen voor zaken als controle, beheersbaarheid, risico’s, enzovoorts. “Het is een realiteit waaraan we ons niet kunnen onttrekken”, stelde een aanwezige CISO tijdens de voorstelronde.

Waar enerzijds de cloud voor de meeste deelnemers geldt als een onomkeerbaar gegeven, bestaat er aan de andere kant nog steeds veel onduidelijkheid over de diverse verschijningsvormen. Een kwestie die businesseigenaren niet bijzonder bezighoudt, maar vanuit CIO of CISO wel vraagt om meer inzicht. Ook al omdat het daadwerkelijke (verborgen) gebruik van de cloud veelal nog een factor vier of vijf groter is dan wordt verondersteld. Cloud vereist volgens een van de aanwezige executives op het terrein van beveiliging en risico een gestructureerde aanpak, ongeacht de mate waarin je het inzet: “Goed opletten en omschrijven wat we willen, wat we doen en met welke leveranciers, hoe we toegang verlenen en het lekken van gegevens voorkomen.”

Parameters

Edwin Schouten, de technische cloudspecialist van IBM, zocht daartoe naar ontwerp- en structuurparameters die de clouddynamiek in al z’n verschijningsvormen weergeven. Het gaat daarbij om meer dan alleen onderscheid tussen ‘private’ versus ‘public’ en hybride, of tussen SaaS, PaaS en IaaS. “Er is een volledig spectrum aan keuzes ten aanzien van zowel platform, ondersteuning, locatie als structuur”, zegt hij.

“De cloud is in feite een grote doos legosteentjes, waarmee ieder bedrijf zelf unieke kasteeltjes kan bouwen. Alleen de handleiding ontbreekt vaak.”

Om de ontwerp- en structuurparameters te visualiseren zette hij de meest relevante variabelen onder elkaar. “Denk aan de locatie van de data. Staat deze bijvoorbeeld in een eigen datacenter of op een willekeurige plek ergens ter wereld? En waar bevinden de mensen zich die de dienst beheren en daarmee toegang hebben tot de data. De servers kunnen weliswaar in Nederland staan, terwijl het operationele beheer in India wordt uitgevoerd. En wat is de mate van beheer? Een andere variabele is de afname van de serverinfrastructuur: single- of multi-tenant? Diensten standaardiseren in rap tempo, maar veel klanten vinden die multi-tenancy eigenlijk niet zo’n prettig idee.”

Binnen dit model kun je de ‘schuifjes’ op alle variabelen verzetten, hetgeen telkens een totaal ander cloudlandschap oplevert. “Dit geeft zowel de klant als de leverancier een precieze blauwdruk van hetgeen gevraagd en geleverd wordt; cruciaal bij het al dan niet wereldwijd uitrollen van updates en eventuele nieuwe features, images, virtual machines, enzovoorts.” Mede gedreven door standaardisering en met de behoeften meebewegende wet- en regelgeving, maar ook door de wens van afnemers om ‘ontzorgd’ te worden, zullen op termijn steeds meer schuifjes naar rechts bewegen, zo voorziet de IBM-man. Ongeacht de trends zul je als klant (en leverancier) echter wel aan de knoppen willen blijven. Het hier beschreven model maakt dit mogelijk.

Onbegrepen

Nadat Schouten de ontwerpparameters had geschetst, werd de nadruk verlegd naar security & compliance. Martijn Dekker, CISO van ABN AMRO, legde uit welke keuzes gemaakt zijn ten aanzien van de vele mogelijke cloudtinten binnen de bank. Cloud is nog steeds erg onbegrepen, zo stelde hij. Het in het leven roepen van de CISO-functie, die rechtstreeks rapporteert aan de CIO en met een stippellijn naar de RvB, moest er iets meer de vinger achter krijgen, en dan met name gericht op het minimaliseren van eventuele risico’s. “Ik ben overigens blij dat informatiebeveiliging een onderdeel is van IT, want dat is toch de plek waar het gebeurt. Daarbij is wel voortdurend sprake van een discussie met de business, want waar zij vooruit willen, stellen wij soms grenzen. De cloud biedt namelijk heel veel voordelen, maar kent vanwege het jonge, onvolwassen karakter ook de nodige risico’s. We moeten nu eenmaal voldoen aan de wet- en regelgeving. Governance voor de cloud is derhalve cruciaal.”

Dekker haalde daarbij een aantal beperkende factoren aan die al eerder tijdens de bijeenkomst naar voren waren gekomen: het risico van vendor lock-in, onduidelijkheid over de locatie en segregatie van de data, data-recovery, data-continuity, enzovoorts. Zaken waar start-ups binnen de financiële wereld, maar ook businessafdelingen veelal minder een boodschap aan hebben. Voor de interne IT de uitdaging om daar iets werkbaars tegenover te zetten dat wel voldoet aan de voorwaarden.

Ook De Nederlandsche Bank (DNB) roert zich op dit terrein en heeft reeds in 2011 gesteld dat de cloud een vorm is van uitbesteding aan een derde partij. Dekker: “DNB eist onder meer dat je als uitbestedende partij de risico’s moet kennen, expliciet moet maken, moet analyseren en mitigeren. Bovendien mag uitbesteding nooit een hinderpaal vormen voor toezicht.” DNB heeft hiertoe rechtstreekse afspraken gemaakt met de grote leveranciers. Dekker benadrukte evenwel dat goedkeuring niet wil zeggen dat je als bank je gang kunt gaan. Uitbesteding aan een goedgekeurde partij, ontslaat niemand van de verplichting om de zaken goed op orde te hebben.

Inrichting

Ten aanzien van de cloudinrichting bij ABN AMRO is in samenspraak met IBM een zogeheten ‘industrial core’ gedefinieerd, bestaande uit mainframes, appliances, systemen en data die fundamenteel zijn voor de kernprocessen van de organisatie. Daaromheen ontstaan steeds weer andere en nieuwe typen diensten, waarmee met dagelijkse delivery-cycli klantgericht applicaties en mobiele apps kunnen worden opgeleverd. “Die twee werelden moeten wel samenkomen en zijn gebaseerd op andere typen clouddiensten in soms wisselende samenstellingen”, aldus Edwin Schouten van IBM.

Het huidige cloudlandschap van ABN AMRO is dus in lijn met de huidige wensen en eisen van de bank. Maar omdat deze altijd veranderen, worden alvast meerdere toekomstscenario’s ontwikkeld. Een van de logische vervolgstappen is hetzelfde servicemodel te hanteren (IaaS met daarbovenop een specifieke set aan middleware-producten) en deze te verplaatsen naar een van de IBM-datacenters binnen de EU. Ook kan een hybride cloudomgeving verhuisd worden naar de publieke cloud. Op termijn kunnen, net als bij veel andere bedrijven, steeds meer genoemde ‘schuifjes’ uit het model van Schouten naar rechts. Maar altijd op basis van inzicht in de aard en beheersbaarheid van het gekozen landschap.

Uitdagingen

De discussie stond vervolgens even stil bij de uitdagingen die de cloud met zich meebrengt. Veel organisaties hebben bijvoorbeeld geen compleet helder beeld van wat ze in welke cloud hebben draaien. Daarnaast gebeuren er voortdurend dingen waarvoor de IT-afdeling of CISO formeel geen toestemming geven. Denk aan het gebruik van Dropbox, Whatsapp en het maken van presentaties met online tools als Prezi. Volgens Martijn Dekker kun je dit echter ook proactief faciliteren en ondersteunen vanuit de IT-afdeling. Op die manier maak je de business duidelijk wat wel en wat niet kan.

Een andere veelvoorkomende uitdaging is een door fusies en overnames versnipperd systeemlandschap. Eenmaal gemigreerd naar een IaaS-omgeving van een grote leverancier ontbreekt het overzicht. Het verdient soms aanbeveling om een dergelijke IT-omgeving eerst te simplificeren, standaardiseren en rationaliseren alvorens deze stap te maken. Of zoals een deelnemer opmerkte: het goed en veilig managen van één cloudomgeving is veelal geen probleem, maar bij een veelheid van clouds wordt de kans dat het misgaat groter. Dat vraagt om een goede governance en architectuur, maar ook om een doordachte kijk op bijvoorbeeld toegangscontrole en het genoemde datamanagement.

Eveneens aanbevelenswaardig is te kiezen voor een leverancier die de branche kent, en start met het naar de cloud brengen van zaken die zich daarvoor vanuit het perspectief van security, controle en compliance het meest voor lenen. Binnen ABN AMRO werkt met in het kader van alle bovengenoemde afwegingen met een zogenoemde Cloud Approval Board, waar de CISO zelf de voorzitter is. Deze raad beoordeelt inmiddels zo’n tien nieuwe initiatieven per maand.

Vervolgacties

Tegen het einde van de bijeenkomst vroeg moderator Heico ten Cate de aanwezigen naar hun persoonlijke call to action als het gaat om security en compliance in de cloud. “Wat zou je willen dat gebeurt?” Dekker stelt dat het erom gaat dat je bijblijft in de ontwikkelingen:

“De zaken die je nu aan het doen en plannen bent, moeten bij wijze van spreken voelen als sciencefiction. Technologieën die nu nog ver weg lijken, zijn binnen een jaar realiteit.”

Een ander stelde dat iedereen zich ervan bewust moet zijn dat IT als geheel steeds meer naar de cloud verschuift; een opvatting die volop bijval oogstte. Het is, kortom, een niet te stoppen beweging, waar je als CIO of CISO bovenop moet zitten. Security, risk en compliance moeten te allen tijde onder controle zijn. “En dat vraagt weer om een goede governance”, aldus Edwin Schouten van IBM tot slot.

Artikel is voor het eerst verschenen in CIO Magazine #2, 2016. Geschreven door Hotze Zijlstra. Cross-posted op LinkedIn Pulse.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out / Change )

Twitter picture

You are commenting using your Twitter account. Log Out / Change )

Facebook photo

You are commenting using your Facebook account. Log Out / Change )

Google+ photo

You are commenting using your Google+ account. Log Out / Change )

Connecting to %s