waarom voeren mensen oorlog als daar mensen aan doodgaan, en waarom slaan kinderen kinderen als daardoor kinderen geslagen worden?

ict bedrijven oude stijl worden vervangen door ict bedrijven nieuwe stijl, en afnemers nemen toch wel af.
De klassieke ict dienstverlener die iedereen een dikke pc aanraadt met een 17 inch tv, en een container servers wordt vervangen door een thin client leverancier icm een desktop uit de cloud leverancier, met een adviseurs-bedrijfje om elke 3 jaar weer iets nieuws te kopen.

Als je leest wat 't NCSC er over weet te melden, dan mogen ISO27002/NEN7512 organisaties eigenlijk helemaal geen public cloud gebruiken voor hun belangrijke bedrijf processen en privacy gevoelige gegevens verwerking. Bijv omdat het backup-recovery deel niet meer éven mogelijk is als de data èrgens in de cloud drijft en niet meer als .doc .xls etc bestanden bestaat maar als xml data in databases. En zo zijn er nog wat punten als logging enzo.

https://www.ncsc.nl/binaries/nl/dienstverlening/expertise-advies/kennisdeling/whitepapers/whitepaper-cloudcomputing/1/NCSC%2BWhitepaperCloudcomputing.pdf

Wat je leest is zo 2013.
Op dit moment is de heersende opinie hybride en is de wetenschappelijke opinie alweer lang af van 'the cloud" in de zin van externe platforms.
Te riskant, vendor lock-in ligt op de loer, juridische onduidelijkheden..... Niet meer aan beginnen dus.

Wat wel kan is je eigen IT infrastructuur beter inzetten met een eigen cloud, zeker als je meer nationale en/of internationale hardware parken hebt staan.

"the cloud" is allang weer dood in termen van externe infra.

Het feestje begint natuurlijk pas als je een 'goede' dienstverlener in huis haalt. De cloud is het ultieme informatie-middel voor overheden en bedrijven, buiten het verplichte abbo-gebeuren (wederkerende omzet dus!) en daarom bij uitstek geschikt voor de consument.

Voor bedrijven, instellingen, overheden en alle andere organisaties die wettelijke verplichtingen hebben omtrent informatie-beveiliging is de cloud per definitie ongeschikt.


Maar als het louter om Office365 gaat, had meneer het dan niet over thin-cliënts?

Of je bouwt je eigen 'cloud'.

Even bij NEN de vraag gesteld of public cloud überhaupt mag voor gegevens verwerking waar patient gegevens in zitten, volgens de 7510.
Maar ze willen niet op die vraag ingaan, en zeggen dat elke organisatie dat zelf maar moet (kunnen) bepalen.
Maar wettelijk moeten instellingen aan de 7510 gaan voldoen.

Denk dat er geen overheid instantie een uitspraak over durft te gaan doen, met hun eigen contracten met onderanderen microsoft. Zelfs 't NCSC zet in dat document min of meer dat het uiteindelijk aan de organisaties zelf is om te beslissen, ook al staat er in de wetten en normen genoeg om duidelijk te kunnen zijn over Wel of Niet.

Dus wel dikke boetes als 't niet volgens de norm gedaan zou zijn en fout gaat, maar niet inhoudelijk op de materie in willen gaan..
Spannende tijden ;-))

ISO270001/NEN7510 is erg abstract en zegt niets over een cloud toepassing. Als het gaat om patiëntgegevens wordt NEN7510 aangevuld met NEN7512, NEN7513 en NEN7521. De publieke cloud valt dan af.

Helemaal eens, ISO27001/NEN7510 zeggen niks over de de daadwerkelijke beveiliging. Het zegt wat over hoe de "beveiliging" gemanaged wordt. Daar binnen wordt de mate van beveiliging nog steeds bepaald door de uitvoerende laag van de organisatie en daar zitten bij veel organisaties mensen die onvoldoende kennis en kunde hebben om goede beveiliging te implementeren en te onderhouden. Dit zijn vaak systeem- en netwerkbeheerders die met hun papiertje op die betreffende plek terecht zijn gekomen.

"The Cloud" is in mijn optiek voor organisaties die "In House" niet kunnen betalen. Denk bijv. aan ZZP'ers of bedrijfjes met 10 á 15 werknemers.

Echter ken ik geen wet of regelgeving, normen of andere vereiste die "The Cloud" uitsluiten of verbieden. Zowel binnen ISO27001 alsmede NEN7510 kun je volgens mij gewoon gebruik maken van de "The Cloud", ook als het op medische gegevens gaat. Zolang je alle beheersmaatregelen goed heb geïmplementeerd (en dus ook bij je cloud leverancier) dan krijg je gewoon een certificaat ISO27001 of NEN7510.

Mysterio, misschien dat jij mij kunt verwijzen naar informatie die de cloud uitsluit binnen ISO27001 of NEN7510 ?

Wat betref toezichthoudende en informatie verstrekkende instanties zoals de NEN of het CBP hoe je niks concreets te verwachten. In de afgelopen 5 jaar heb ik elke maand / twee maanden contact gehad met dergelijke organisaties en ik kan niet anders concluderen dat het een stel prutsers zijn die net zo vaag kunnen lullen als wetgeving geschreven wordt. En als ze hun tijd hebben vol geluld verwijzen ze je rond de pauze naar een andere overheidsinstantie waar het verhaal van voor af aan begint en je uiteindelijk naar iets met een kastje en een muur wordt gestuurd ..... ik noem maar eens wat "Vraag en Antwoord voor bedrijven"

NEN7510 is niet voldoende om met patiëntgegevens om te gaan. Je moet het aanvullen met NEN7512, 13 en 21. Die dekken de lading wat betreft auditing, regelgeving over beveiligde communicatie en opslag. Dropbox bijvoorbeeld is lastig te gebruiken als je auditing wilt afdwingen. Je moet immers kunnen vertellen wie wanneer waar waarom wat heeft gezien.

.

Nee, inderdaad NEN7510 is niet voldoende en vergeet de NEN7511-1, NEN7511-2 en NEN7511-3 niet.

In het geval Dropbox ben ik het helemaal met je eens dat het lastig te auditen valt. Maar in beginsel zou dropbox als niet in aanmerking komen voor de opslag van persoonsgegevens omdat zeer waarschijnlijk de data buiten de EU grenzen wordt opgeslagen en dit is volgens de EU wetgeving niet toegestaan.

maar dit sluit volgens mij niet uit dat een vergelijkbare alternatief dat op Nederlands grondgebied staat en de mogelijkheid bied om te komen audit niet gebruikt kan worden. Al hoewel ik zelf wel graag zou zien dat er niet langer wordt toegestaan om persoonsgegevens in de cloud op te slaan.

Als dit expliciet ergens staan aangegeven dan heb ik een grondslag waarop je cloud producten zou kunnen verbieden binnen de organisatie.

Hier lijken toch een aantal mensen met kennis van security te zitten, vreemd dat er zo oppervlakkig "cloud kan niet" wordt gezegd. Cloud is een mode woord en betekent gewoon opslag die je niet zelf beheert.

Public cloud kan inderdaad niet, een private of hybrid cloud is perfect mogelijk, ook voor gevoelige persoonsgegevens. Wat van belang is, is hoe je onderbouwt dat de nodige beveiligingswaarborgen zijn verkregen.

Nog nooit van Paas, Iaas en Saas gehoord, of is valt dat ook onder opslag die je zelf niet beheert? Waarom kan een public cloud inderdaad niet? Zouden Amazon en Microsoft (360) hun deuren 'inderdaad' moeten sluiten?

Waarom zou security niet meer nodig zijn als het in de cloud is. (IAAS PAAS SAAS)
Je kunt ook aannemen dat de security inrichting veel meer aandacht zal gaan vragen. Daar moet veel meer aan te verdienen zijn met consultancy auditing dan een relatief simpel standaard programmaatje op een eigen machine.

Stel nu eens dat ze het aanprijzen omdat zodra je niet meer terug kunt, van ze afhankelijk bent dan de echte kosten komen. Dat heet goede marketing.

Volgens mij mag het naar de zogeheten Safe Harbours. Verder kun je ook een melding maken bij de EU.

Wat vooral van belang is dat je contractuele afspraken maakt met je cloud provider over eigendomsrecht van de data, over het (gedwongen) einde van het contract, over escrow en over inzage door derden (al dan niet wettelijk mogelijk gemaakt: denk aan de US die bij Amerikaanse providers mogen neuzen zonder dat de eigenaar daarvan in kennis wordt gesteld).

Er zijn vele haken en ogen, maar ook mogelijkheden. Zolang je maar zorgt dat je altijd 'in control' over je data kunt zijn is het wel te regelen.

"Als je privacy je lief is, loop dan met een grote boog om de cloud heen en houd je data in eigen beheer."

Want zelf doe je het altijd beter ? Of zou het bij sommige bedrijven ook zo kunnen zijn dat hun leverancier meer verstand heeft van ICT beveiliging dan zijzelf ?

En wie ben je als bedrijf zelf eigenlijk, indien je als bedrijf veel ICT consultants van detacheerders in dienst hebt - ook dat zijn mensen die werken voor leveranciers, maar toevallig op lokatie actief zijn.

Ik zou zeggen, kijk op welke manier je je data het beste beveiligt, dat kan inhouse, en dat kan ook ondergebracht bij een (cloud) leverancier.

"We vroegen 'm wat zij op den duur dan nog voor ons willen gaan doen als we over een tijdje dan volgens hem onvermijdelijk onze Alles (behalve web terminals en printers) aan autonomy aan een grote Amerikaanse De Cloud leverancier overhandigd hebben? "

Of je wel/geen clouddienst wenst te gebruiken staat los van de vraag of je wel/niet in zee wilt gaan met een Amerikaanse leverancier. Het gebruik maken van een clouddienst is geen synoniem voor exporteren naar de Verenigde Staten.

"Hier lijken toch een aantal mensen met kennis van security te zitten, vreemd dat er zo oppervlakkig "cloud kan niet" wordt gezegd. Cloud is een mode woord en betekent gewoon opslag die je niet zelf beheert. "

Geheel mee eens.

Ik heb eens bij een grote online-pakket leverancier naar escrow gevraagd. Ze begrepen de vraag niet eens, ook niet na uitleg. Ze kwamen met een escrow contract van hun online software pakket. Data-escrow is ook heel moeilijk te regelen. Voor financiële systemen is misschien een kopie audit file mogelijk. Is het in het algemene geval niet beter en eenvoudiger een (2-de) cloud backup bij een andere leverancier te maken? Zeker als de cloud pakket leverancier (SaaS) zelf weer van cloud opslag gebruik maakt .....

De vraag was volgens mij waarom komen ze met de cloud als het hun eigen ondergang is.
Het antwoord daarop is volgens mij dat veel van dit soort bedrijven vooral verdienen aan verandering, niet zo aan
voortdurend onderhoud van iets wat je al hebt (al dan niet door hen).
M.a.w. men probeert voortdurend beweging in stand te houden. Als je nu alles zelf doet dan moet je naar de cloud.
Want daar zit dan weer een hoop advies en transitiewerk aan vast.
Ben je daar mee klaar dan zien ze wel weer verder, uit ervaring weten ze dat er altijd wel weer ontwikkelingen zijn
die verandering nodig maken waar ze weer aan kunnen verdienen. Zelfs als dat "terug van de cloud naar eigen storage"
is.

Eeuh, gezien je laatste alinea zou ik eerst aan u zelf gaan twijfelen wat betreft kennis en oppervlakkigheid


Inderdaad, als privacy belangrijk voor je is loop je met een grote boog om te cloud heen. Vervolgens suggereer je dat er is gezegd dat bepaalde personen zelf beter zijn in het beveiligen van data in de cloud. Voor de duidelijkheid, ik zie het nergens staan (goed lezen!).
En ja sommige bedrijven kunnen iets meer verstand van beveiliging hebben, maar dit heeft niks te maken met de stelling. Immers heb je per definitie minder risico's als je data uit de cloud (van het internet) haalt. Dus of je nu veel of weinig verstand hebt per definitie loop je minder risico buiten de cloud en daabij maakt het niet uit of bepaalde bedrijven nu meer verstand van beveiliging hebben of niet, het gaat om de risico's waar je de data aan bloot stelt en hoe je deze op een acceptabel niveau houd.


Deze twee vragen zijn wel degelijk in 80% van de gevallen met elkaar gevonden. de cloud is inderdaad geen synoniem voor het exporteren van data naar de VS, het is wel een synoniem het internet waarbij onduidelijk is waar de dat op welke moment gelokaliseerd is. De directe partner hoeft geen Amerikaans bedrijf te zijn maar als deze organisatie besluit tools, software, hulpmiddelen of hulp in te schakelen van een Amerikaanse bewerker heb je dezelfde constructie maar nu indirect.


De meeste mensen hier zijn al een stap verder dan dit soort discussies, de meeste mensen weten immers dat cloud opslag per definitie meer (onnodige) risico's met zich mee brengen en zijn niet zo naïef. En "The Cloud" is geen bewoording voor data of opslag die je niet zelf beheerd. The Cloud is gewoon een synoniem voor internet, en opslag die ik bij bedrijf X heb onder gebracht maar fysiek totaal niet aangesloten is met het internet is nog steeds geen Cloud.

Ik zeg altijd dat de kans op een ongeluk groter is op een weg die je deelt met meerdere mensen dan je prive weggetje naar je huis. Het risico is door het aantal factoren per definitie hoger.

Klinkt goed. Maar dat betekend dus ook dat je zelf alle infra structuur moet installeren, beheren, en onderhouden. Zelf je uitwijk moet regelen. En zorgen dat de kennis gewaarborgd is.

Dit moet je altijd goed en veilig opbergen. Waar je dat doet is een tweede. Bij de meeste intere omgevingen is het vaak slechter geregeld dan bij een cloud oplossing

Weer exact het zelfde. De meeste hacks vinden plaatst via een client computer. Waar daarna je data staat is een tweede. Intern of extern maakt dan niet meer uit. Kans is zelfs aanwezig dat een goede cloud leverancier meer kennis in huis heeft, dan een klein bedrijf zonder eigen ICT beheerder met een flinke kennis van Security en ISO certificering.
En het zelfde geld eigenlijk voor de NSA. Als die willen, dan komen die echt wel binnen.

Het hangt er maar helemaal vanaf wat je in de cloud stopt. Hiervoor met je dan een afweging maken, of het wel of niet kan. Maar voor 99% is het helemaal geen probleem en voldoet de cloud perfect aan de eisen die men wil van een oplossing.