Nieuw is dat de gidseen definitie van cloud computing bevat. De CSA beschrijft cloud als een on-demand selfservice, die gebruik maakt van een breedband netwerk. Vereist zijn schaalbaarheid, snelle provisioning en functies die het gebruik bijgehouden. Deze definitie komt overeen met die van de National Institute of Standards and Technology (NIST).

Net als de CSA, deelt ook het NIST cloud-diensten op in drie categorieën: software-as-a-service (SaaS, applicaties die worden aangeboden door een leverancier), platform-as-a-service (tools en programmeertalen om eindgebruikers eigen cloud-applicaties te laten ontwikkelen en hosten) en infrastructure-as-a-service (hardware in de cloud).

De tweede versie van het CSA-document adviseert cloudproviders om de ISO/IEC27001-standaard in acht te nemen. Afnemers van cloud-diensten kunnen nagaan of hun leverancier gecertificeerd is en zo niet, welke plannen ze hebben voor certificering. Heeft een cloudprovider geen certificering, dan moet hij op zijn minst kunnen aantonen dat zijn werkwijze overeenstemt met deze beschreven in ISO 27002.

Daarnaast moeten afnemers beseffen dat bij verschillende soorten cloud-diensten ook een eigen verantwoordelijkheid geldt. Zo biedt bijvoorbeeld Amazon’s EC2-cloud fysieke en virtuele beveiliging van de eigen servers, maar komt de beveiliging van de virtuele diensten, besturingssystemen, applicaties en de data geheel op het conto van de klant. Salesforce.com, een grote speler op het gebied van SaaS, is daarentegen wel zelf verantwoordelijk voor de beveiliging van applicaties en data.

Bedrijven kunnen nagaan welke maatregelen hun cloudprovider heeft getroffen op het gebied van beveiliging en hoe groot de kans is op dataverlies. Potentiële cloud-afnemers kunnen zelf bepalen hoe belangrijk de data voor het bedrijf is en of leveranciers van cloud voldoende in staat zijn om voor de nodige beveiliging te zorgen.

Het rapport van de CSA raadt bedrijven de volgende stappen aan:

1. Bepaal exact welke data en/of functies in de cloud kunnen draaien
2. Bepaal hoe belangrijk de data en/of functies zijn voor de organisatie
3. Bedenk welke opties voor cloud in aanmerking komen: publiek, privaat (intern), privaat (extern), community, hybride
4. Ga na wat je zelf kunt doen en wat de leverancier aanbiedt om risico’s in te dammen
5. Maak een schets van data die richting en vanuit de cloud komt om te kunnen specificeren waar de risico’s liggen

Reageer