7 maart 2013

Veel te doen in en om de cloud

image for Veel te doen in en om de cloud image

Wetenswaardigheden
Onder cloud computing wordt verstaan: het via internet op aanvraag beschikbaar stellen van hardware, software en gegevens. De verschijningsvormen zijn:
a Software as a service (SaaS), bijvoorbeeld Google Docs;
b Platform as a service (PaaS), bijvoorbeeld Google Apps;
c Infrastructuur as a service (IaaS), bijvoorbeeld Sun Cloud.
Cloud computing is een wereldwijde ontwikkeling en staat volop in de belangstelling. Organisaties stappen over van eigen omgevingen met servers naar cloud computing.

Wetenswaardigheden
Onder cloud computing wordt verstaan: het via internet op aanvraag beschikbaar stellen van hardware, software en gegevens. De verschijningsvormen zijn:
a Software as a service (SaaS), bijvoorbeeld Google Docs;
b Platform as a service (PaaS), bijvoorbeeld Google Apps;
c Infrastructuur as a service (IaaS), bijvoorbeeld Sun Cloud.
Cloud computing is een wereldwijde ontwikkeling en staat volop in de belangstelling. Organisaties stappen over van eigen omgevingen met servers naar cloud computing.

De voordelen en kansen van cloud computing zijn:

  • Kosten- en schaalvoordelen (ketensamenwerking)
  • Kwaliteitsverbetering
  • Gebruiksgemak
  • Flexibiliteit

En aandachtspunten zoals:

  • Verantwoordelijkheid
  • Beschikbaarheid/continuïteit
  • Wet- en regelgeving
  • Privacy
  • Beveiliging

In de praktijk is vrijwel elke organisatie bezig met een oriëntatie of is zelfs al actief in de cloud. Technisch is al veel mogelijk, maar voor de beveiliging is er nog onvoldoende garantie. In ons vakgebied is met de ontwikkeling van edepots ook een cloudtoepassing in de maak.

Becis heeft in 2012 een onderzoek gedaan door vier rolhouders te interviewen over de huidige situatie en de toekomst van cloud computing. Deze vier rolhouders zijn:

  1. Een archiefinspecteur (e-depot is wenkend perspectief).
  2. Een IT-manager (mild positief, mits beveiliging en leveranciersverklaring op orde is).
  3. Een consultant overheid (ga voor de kansen en demp bedreigingen).
  4. Een consultant bedrijfsleven (verdiep je in dit nieuwe fenomeen).

Over cloud computing en het onderzoek publiceert Becis op haar eigen website, waarop ook door onze lezers gereageerd kan worden.1

Inhaalslag
Wat kan het (documentair) informatiemanagement doen aan deze cloudontwikkeling?
Allereerst is het aangaan van een cloudvoorziening een integraal samenspel van management, medewerkers, inkoop- en aanbesteding, ICT en de (documentair) informatiemanager. Het fenomeen ‘cloud’ valt onder de Archiefwet en moet dus voldoen aan de vereisten en het vigerende Besluit informatiebeheer en de plaatselijke Archiefverordening. De betrokkenheid van het informatiemanagement, en wellicht de archivaris in de vorm van een advies, is hierbij dus noodzakelijk. Een kritisch meewerkende houding, het stellen van regels, adviseren over inkoop- en aanbesteding, kwaliteitscontrole/ auditing en, aanvullend, ‘verstand en vaardigheden’ zijn hierbij vereisten.
Enkele praktijkgevallen van ontwikkeling in de cloud nopen tot een inhaalslag voor de informatiemanager. Ik noem hierbij onder andere: webcontent, social media, projectomgevingen waarbij documenten kunnen worden gedeeld, publicatiefora voor onder andere raadsstukken, Google Docs, Prezi en Pleio. Al deze oplossingen bieden minder of meer opslagcapaciteit voor informatie in de context van de publieke taak en verschillende bestuurlijke en ambtelijke actoren laten hier ‘sporen na van hun handelen’. De idee dat deze documenten alle ook worden aangeboden aan een archiefbeherende afdeling van die overheidsinstelling heb ik niet: en – daar is die weer –: postzakmanagement gaat hier ook niet ‘helpen’.
Kortom: vooraf, tijdens en achteraf is een taak te volbrengen door de informatiemanager, zoals daar door bureau Gartner al op gewezen is. Doordacht gebruik van de cloud vereist adequate voorzieningen voor de beschikbaarheid, de beveiliging en de privacy, voldoen aan geldende reguleringen en instaan voor beheerbaarheid.2
Gartner heeft tevens een onderzoek gedaan naar de kritieke factoren in Use Cases op de (Amerikaanse) markt. De uitslag van het onderzoek is in december 2012 gepubliceerd. Een dergelijk onderzoek verdient navolging op de Nederlandse markt. Wellicht door lezers, informatiemanagers, van ons tijdschrift. Ter inspiratie wordt onderstaand de volgende wegingsmatrix gegeven waarop de Use Cases zijn gewogen.3

Kritische functies van het product Totaal Content Distribution Back-up Archief Primaire opslag
Toegankelijkheid 17% 22% 16% 13% 18%
Beheersbaarheid 16% 15% 16% 17% 18%
Prijzen 18% 19% 18% 20% 14%
Veerkracht/flexibiliteit 19% 17% 20% 20% 20%
Security en Compliance 15% 14% 13% 18% 15%
Value-Added Services 15% 13% 17% 12% 15%
Totaal 100% 100% 100% 100% 100%

Weging voor kritieke factoren in Use Cases

Onze speciale aandacht gaat hierbij natuurlijk uit naar het gebruikte begrip ‘archief’, waaronder wordt verstaan: de opslag en onregelmatige toegang tot de gegevens die nodig zijn voor de langetermijnretentie en die dus niet vaak gelezen worden. Archiefomgevingen vereisen een applicatie om content te beheren die verder gaan dan wat de cloud storage service biedt en die vaak wordt geleverd als een oplossing die geaggregeerde software, cloud storage en eventueel tussenliggende gatewayapparaten, bieden. Archiefomgevingen zijn afhankelijk van gegevens omtrent betrouwbaarheid/beschikbaarheid van de economie, die op de lange termijn de opslag en de naleving met een breder scala aan regelgeving ondersteunen dan de regionale plaatsing van gegevens vereisen.

Vereisten
Een belangrijke vereiste voor het gebruik van de cloud is de beschikbaarheid of toegang tot het internet. Het loggen van de uitval van internet op kantoren is nog niet onze vaste gewoonte. De geschatte tijd dat internet niet beschikbaar4 is, ligt hoger dan de tijd waarop door stroomuitval niet beschikt kan worden over de geautomatiseerde werkplek van alledag. Ik schat de uitval gezamenlijk op maximaal één dag, met circa drie incidenten per jaar.

In de automatiseringsgids van 17 januari 2013 verschenen twee artikelen over de cloud. Een artikel waarbij Vopak overstapt van ERP naar cloudapplicaties in event driven architecture. De ERP is effectief en duur, de overstap naar cloudapplicaties is efficiënter.5 Hoe vergelijkbaar met de gemeentelijke softwaremarkt?
Een ander artikel in de automatiseringsgids handelt over een onderzoek van de TU Twente naar de opslag in de cloud bij de verschillende (Amerikaans gestarte) bedrijven en hun prijsstelling per GB, die verschilt van 0,03 tot 0,15 dollarcent met enkele uitschieters tot 5,99 dollar per GB. Het aanbod vergelijken blijkt heel lastig en er zijn veel synchronisatieproblemen bij de verschillende providers. Ook is de opslag als back-up niet overal solide. In het artikel wordt het Instituut voor Informatierecht van de UvA aangehaald, dat waarschuwt voor de rammelende jurisdictie als het gaat om de privacy en de vertrouwelijkheid van de bestanden. Voor cloud computing bestaan nog geen vast omschreven protocollen.

Regulering
Een aanzet tot regulering wordt gegeven door Rob Livingstone met de cloud audit checklist voor de publieke cloud6 die grofweg neerkomt op het vertrouwen in de cloud (en het verifiëren daarvan) en in de provider (overeenkomst), op het risico van breuken en het maken van een checklist voordat je begint:

  1. Zorg ervoor dat leidinggevenden begrijpen wat cloud is en wat het niet is.
  2. Begrijp de huidige ontwikkelingen in het cloud-auditlandschap.
  3. Maak een gapanalyse van baseline tot uw cloud.
  4. Maak helder wie toegang heeft en wie niet en regel daarbij behorende verantwoordelijkheden.
  5. Onderzoek draagvlak en meningsverschillen over cloudaanpak in de eigen organisatie (verbinden).
  6. Bekijk en update het informatiebeveilingsbeleid.
  7. Weet wat je wel en niet moet controleren in de cloud (particpieer als het kan in kleine partijen audits).

Tip: Vertrouw en controleer effectief.

Het nationaal instituut voor standaardisatie en technologie in de VS publiceerde een beveiligings- en privacystandaard voor informatie met cloudparagraaf.7 De Europese Commissie heeft regels voor privacy in Europa gepubliceerd8 en ook is een vergelijking van Nederland met het Europees gemiddelde over privacy op internet in de vorm van een eurobarometer beschikbaar (onderzoek eind 2010).9
Hoe mooi zou het zijn om als informatiemanagers een Nederlands protocol aan te reiken aan bijvoorbeeld KING/ BZK onder de vlag van de Vereniging SOD en de KVAN, geholpen door consultants op de Nederlandse markt. Enfin, wie hier een bijdrage denkt te kunnen leveren kan zich met content melden op de website van Becis of de groep op LinkedIn.

aplat@hermes-am.nl, André Plat is redactielid Od.


1 http://www.becis.nl/blog.php (blog Suzanne Hooijberg).
2 http://datanews.knack.be/ict/nieuws/gartner-waarschuwt-voor-ondoordacht-gebruik-cloudopslag/article-4000230632770.htm
3 http://www.gartner.com/technology/reprints.do?id=1-1D9C6ZM&ct=121216&st=sg
4 http://nl.wikipedia.org/wiki/Beschikbaarheid
5 http://www.automatiseringgids.nl/achtergrond/2013/01/vopak-overtien-jaar-geen-systeem-meer-in-huis
6 http://www3.cfo.com/article/2012/6/the-cloud_audit-checklist-forpublic-cloud
7 http://www.nist.gov/customcf/get_pdf.cfm?pub_id=909494
8 http://ec.europa.eu/justice/newsroom/data-protection/news/120125_en.htm
9 http://ec.europa.eu/public_opinion/archives/ebs/ebs_359_fact_nl_nl.pdf