John Segers
Werk in het SURFcumulus team, woon in Utrecht Meer over John Segers
Wat is cloudgovernance?
Instellingen hebben it-governanceprocessen ingericht. Hiermee zorgen ze dat grote besluiten rondom it getoetst worden aan de strategie van de instelling en dat ze passen bij de doelen die organisatiebreed zijn gesteld. Die doelen kunnen heel breed zijn. Ze gaan bijvoorbeeld over toegankelijkheid van onderwijs, het borgen van privacy van persoonsgegevens van medewerkers, reproduceerbaarheid van onderzoek of efficiënte inzet van bedrijfsmiddelen.
It-governanceprocessen zorgen ervoor dat projecten waarde toevoegen voor de organisatie, in lijn met de doelstellingen. Maar er is nog een andere kant: risico’s in projecten tijdig adresseren en mitigeren. Een nieuwe applicatie kan tegelijkertijd waarde toevoegen en nieuwe risico’s introduceren. Denk bijvoorbeeld aan het risico van een datalek.
Hetzelfde geldt voor wanneer je clouddiensten gaat gebruiken. Migraties naar de cloud, onderzoeksprojecten in de cloud of nieuwe applicaties in de cloud voor de bedrijfsvoering moeten allemaal passen bij de organisatiedoelstellingen en -strategie. En ze kunnen nieuwe risico’s introduceren.
Bij clouddiensten zijn er risico’s die verschillen van risico’s die horen bij lokaal draaiende it-voorzieningen. Bij clouddiensten heb je te maken met cloudleveranciers die gegevensverwerkers zijn. Dat is anders wanneer je een softwarepakket aanschaft en in je eigen datacenter installeert.
Hier zijn enkele belangrijke vragen die je moet stellen, voordat je een clouddienst gaat gebruiken:
-
Kun je backups maken van gegevens die je opslaat in de cloud en kun je backups terugzetten?
-
Zijn er exitscenario’s als je afscheid wilt nemen van de cloudleverancier?
-
Hoe zit het met compliance van de cloudleverancier?
-
Wat zijn de opties als de cloudleverancier wordt overgenomen door een buitenlandse partij?
-
Wat gebeurt er als de cloudleverancier failliet gaat of een van haar diensten stopt?
-
Hoe weet je wat er in de cloud gebeurt en hoeveel je aan het einde van de maand moet betalen?
"Cloudgovernance bestaat uit de toepassing van it-governanceprocessen met inachtneming van specifieke cloudrisico’s."
John Segers, Specialist SURFcumulus bij SURF
Schema it-governance
Wil je cloudgovernanceprocessen gaan inrichten, kun je beginnen met bestaande it-governanceprocessen. Er zijn verschillende raamwerken en standaarden voor it-governance. Een paar bekende raamwerken zijn de ISO 38500 code of practice en Cobit.
ISO 38500 en Cobit zijn gebaseerd op schema’s die veel op elkaar lijken. Het schema voor ISO 38500 ziet er als volgt uit:
ISO 38500 beveelt onder andere aan om op bestuursniveau een it-stuurgroep (IT Steering Committee) in te richten die de it-governanceprincipes voor de organisatie uitwerkt. Als je binnen de instelling zo’n stuurgroep hebt, dan kan die ook de cloudgovernanceprincipes uitwerken.
Dit is een belangrijk punt: cloudgovernance begint niet bij de it-afdeling. Cloudgovernance begint bij het bestuur. Het bestuur zet de principes en (beleids)kaders neer, waarbinnen de organisatie dan clouddiensten adopteert. Zonder die context kunnen it-afdelingen en onderzoekers geen geïnformeerde besluiten nemen over het gebruik van clouddiensten.
"Cloudgovernance begint bij het bestuur."
John Segers, Specialist SURFcumulus bij SURF
Cloudgovernance
Als de kaders gezet zijn, dan is een systeem nodig van structuren, processen en maatregelen om het beleid te realiseren. Zo’n systeem kun je opdelen in de volgende blokken:
De invulling van deze bouwblokken is voor alle organisaties verschillend: doelen en beleid verschillen immers.
Bij het besluitvormingsraamwerk kun je denken aan it-governanceraamwerken, zoals Cobit. Ook kun je een enterprisearchitectuur gebruiken, om de besluitvorming te formeren.
Bij processen en maatregelen implementeren, zet je hulpmiddelen in. Zo zijn er Governance, Risk & Compliance-tools (GRC-tools). Maar je kunt ook middelen inzetten die je organisatie misschien al gebruikt. Zo kun je workflows voor cloudaccount- of subscriptieaanvragen toevoegen aan een it-servicemanagementtool, waarmee je aanvragen voor it-middelen afhandelt. Deze hulpmiddelen zie je in het bouwblokkendiagram als het blok cloudservicemanagementsysteem: hierin zit de uitvoering van processen en maatregelen.
Hoe begin je met cloudgovernance?
Doorloop de bouwblokken van boven naar beneden. Dat wil zeggen: begin met de principes en besluitvorming formaliseren, richt dan pas beleid, organisatie en processen in.
In de praktijk zal er een wisselwerking zijn, omdat de behoeften binnen de organisatie veranderen, het bestuur daarop moet inspelen en eventueel de beleidskaders moet aanpassen.
Het belangrijkste hierbij is dat er goede communicatielijnen zijn tussen de betrokkenen, de bestuurders aan de ene kant en (research-) it aan de andere kant. Dat is vooral cruciaal bij grote besluiten of projecten.
"Cloudgovernance begint met communicatie."
John Segers, Specialist SURFcumulus bij SURF
Denk bij grote besluiten aan besluiten over applicaties of gegevens met veel impact op de organisatie, kritische bedrijfsapplicaties, applicaties met veel gebruikers, of applicaties waarin bijzondere persoonsgegevens worden verwerkt. Voor zoiets wil je zeker weten dat er bestuurlijke goedkeuring is, voordat je ze naar de cloud brengt. Je moet kunnen uitleggen wat de risico’s zijn en hoe de risicobeheersing in elkaar steekt, om die goedkeuring te krijgen. Het GRC-proces van de organisatie kan daar natuurlijk goed bij helpen.
Wat zit er in het CSM-systeem?
Om grip te houden op het gebruik van clouddiensten en de risico’s te beheersen, moet je vijf belangrijke dingen in het CSM-systeem waarborgen. In een toekomstige blog gaan we er dieper op in. Hier zie je alvast een overzicht:
Tot slot
Heb je suggesties, ervaringen die je wilt delen of andere feedback? Laat het weten in de Cloudcomputing-community. Zo kunnen we leren van elkaar!
0 Praat mee