Cloudsourcing

Riskmanagement in a cloudy jacket

Willem Tibosch!BlinkLane Consulting!!25 april 2013!

ISC2 Chapter Netherlands!

2 Wie ben ik?

Willem Tibosch Ervaring •  Senior Consultant bij BlinkLane

Consulting •  IT auditor PwC

Vakgebieden •  IT Risicomanagement •  IT Outsourcing

Interesses •  Organisatiefilosofie

Introductie •  Sinds introductie in 2005 sterke toename in online betalingen

•  En een toenemende afhankelijkheid van online betalingen

•  Echter sinds kort ook een toename in cyberaanvallen banken, waardoor online betalingen niet beschikbaar zijn

•  Ieder uur dat Ideal niet werkt kost miljoenen

Echter:

•  Banken hebben adequate beveiligingsmaatregelen

•  Of toch niet?

Wat betekent dit voor de sourcingstrategie (en risicomanagement) van een gemiddelde webshop?

3

Agenda 1.  Sourcing management bij online betalingsverkeer

•  Sourcing management in 7 vragen

•  Sourcing betaalverkeer

2.  Risicomanagement bij online (cloud) diensten

•  Aandachtspunten risicomanagement

•  Governance mechanismes

3.  Wat moet er dan anders en wie moet dat doen?

•  Overheid & bedrijfsleven als gremia

•  Service Providers

•  Webshops (of eigenlijk afnemers van diensten)

4.  Discussie en afsluiting

4

Sourcing management bij online betalingsverkeer

5

Sourcing management in 7 korte vragen

1.  Wat zijn de Sourcingdoelstellingen?

2.  En met welke randvoorwaarden?

3.  Wat is de sourcingscope en het voorkeursscenario?

4.  Welk leveranciersbeleid wil je toepassen?

5.  Hoe wil je de sourcingregie inrichten over de keten?

6.  Wat is de financiële Business Case?

7.  En wat is de Sourcingaanpak?

6

Sourcing betaalverkeer <2005 7

Sourcing betaalverkeer >2005 8

Sourcing management kort onderzoek webshops (1)*

1.  Wat zijn de Sourcingdoelstellingen?

•  Klantgerichte en ondernemerscriteria

2.  En met welke randvoorwaarden?

•  Vertrouwd voor de klant

•  Snelle afhandeling van betalingen

•  Geen criteria mbt beschikbaarheid of vertrouwelijkheid !!!

3.  Wat is de sourcingscope en het voorkeursscenario?

4.  Welk leveranciersbeleid wil je toepassen?

•  Een of meerdere banken?

•  Een PSP?

9

*Currence presentatie online betaalcongres

Sourcing management kort onderzoek webshops (2)

4.  Hoe wil je de sourcingregie inrichten over de keten?

•  Afhankelijk van de keuze voor PSP of zelf doen

5.  Wat is de financiële Business Case?

•  kosten vs cashflow

6.  En wat is de Sourcingaanpak?

•  Beperkt gebruik van informatiebronnen

Wat betekent dit voor het risicomanagement in termen van informatiebeveiliging van de webshop?

10

Risicomanagement bij online diensten

11

Aandachtspunten risicomanagement Ga je voor een serviceprovider of zelf doen? 12

Maak je er een verantwoordelijk of doe je het zelf?

Aandachtspunten risicomanagement bij zaken doen in the cloud (1)

•  Strategische risico’s •  Strategische aansluiting

•  Financiële risico’s

•  Aansprakelijkheid en vrijwaringen

•  Interoperability & Exit strategy

•  Force Majeure and Disaster Planning (RTO/RPO)

•  Compliancy risico’s

•  Data Privacy

•  Intellectual Property Ownership

•  Audit Rights

13

Aandachtspunten risicomanagement bij zaken doen in the cloud (2)

•  Operationele (IT) risico’s •  Performance / Availability

•  Interoperability & Exit strategy

•  Force Majeure and Disaster Planning (RTO/RPO)

•  Data Security

•  Change Management (CEMLI & PRD environment)

Vaak bieden cloud service providers one-size-fits-all terms aan, maar probeer altijd te onderhandelen!

En wat ga je dan afspreken?

14

Beheeringsmaatregelen Governance mechanismes (1)

Contractueel / Financieel (SLA & Contract best practices) •  Welke definities zijn er voor ‘Eigendom’ en zeggenschap voor

gegevens(bestanden)

•  Vertrouwelijkheid gegevens

•  Wat is de rol van betrokken (hulp)personen

•  Wie heeft toegang tot de gegevens?

•  Recht op onttrekking gehele set aan gegevens (wanneer?)

•  Wat zijn de kosten van onttrekkingen?

•  Welke waarborgen worden gegeven mbt dataportabiliteit zonder functionaliteitsverlies?

15

Beheeringsmaatregelen Governance mechanismes (2)

Contractueel / Financieel (SLA & Contract best practices)

•  Persoonsgegevens

•  Wat is de kwalificatie partijen onder Wbp?

•  Welke ‘Eigen gebruik’ eigent de leverancier zich toe?

•  Wat is de locatie van de gegevens?

•  Hoe wordt omgegaan met uitoefening rechten betrokkenen

•  Welke afspraken zijn er rondom Liability & Indemnification?

•  En welke besturing spreek je hier over af?

16

Beheeringsmaatregelen Governance mechanismes (3)

Operationeel (SLA & DAP best practices)

•  Beschikbaarheid

•  Wat is de meetperiode (maand, kwartaal, jaar)

•  Wat is de begin- en eindtijd van onbeschikbaarheid.

•  Wat zijn de consequenties van onbeschikbaarheid?

•  Wanneer is er gepland onderhoud (en welke invloed heb jij)?

•  Welke externe factoren zijn uitgesloten?

17

Beheeringsmaatregelen Governance mechanismes (4)

Operationeel (SLA & DAP best practices)

•  Integriteit

•  Welke invloed heb jij zelf, welke wijzigingen kun je doorvoeren?

•  Wat is de roadmap van de provider?

•  Welke checks & balances heeft de leverancier (en wat moet jij doen?)

18

Beheeringsmaatregelen Governance mechanismes (5)

Operationeel (SLA & DAP best practices)

•  Vertrouwelijkheid

•  Hoe is de Multitenancy & Isolation geregeld? (IAAS/PAAS/SAAS)

•  Welke zonering is toegepast / wat is de locatie van gegevens?

•  Is het een Private of Public oplossing (en op welke laag)?

•  Afspraken over operationele processen zoals incident, change & escalatiemanagement

De vraag is echter ook:

Hoeveel invloed kun je uitoefenen? Aan welke knoppen kan jij draaien?

19

Maar wat moet er dan anders en wie moet doen?

20

Wat kunnen wij verwachten van de overheid & bedrijfsleven? (1)

•  Verdere harmonisatie en afstemming internationale wet- en regelgeving

•  Creëren duidelijkheid kwalificatie partijen onder privacyregelgeving

•  Uitsluitsel reikwijdte Telecommunicatiewet (o.a. bewaarplicht verkeersgegevens)

•  Gelijkstelling Internet-gebaseerde dienstverlening met nutsvoorzieningen in insolventiesituaties?

21

Wat kunnen wij verwachten van de overheid & bedrijfsleven? (2)

•  Stimuleren van marktcoördinatie (informatie uitwisseling of incidentmanagement)

Maar:

•  Grenzen van wet- en regelgeving zijn bereikt bij bestrijden cyber crime*

•  Meer bezuinigingen bij de overheid (bijv. AIVD)

*(Onderzoek Vrije Universiteit)

22

Wat moet / kan een cloud provider doen?

•  Allianties en samenwerkingsverbanden

•  SP sluiten allianties voor onderzoek of bewustwording markt

•  PayPal CISO hopes FIDO Alliance can help replace weak passwords

•  Online publicatie van Sec., Risk & Compliancy informatie

•  Een voorbeeld: http://www.buckaroo.nl/zakelijk/over-ons/veiligheid.aspx

•  Of real-time event reports uit de SIEM tool?

•  Inzetten Social media

23

Wat moet / kan een cloud provider doen? (2)

•  Nieuwe vormen van Service Provider governance

•  De Raad voor Licentiehouders en de Raad voor Certificaathouders bij Currence

•  Echter deze scope is beperkt, geen Sec., Risk & Compliancy

•  Of koop meer governance:

•  Premium contracten

•  Additionele diensten inkopen (back-up, security etc.)

•  Private cloud

•  Maar het blijft gestandaardiseerd. Lineair verband tussen invloed en financiële waarde!

24

Maar ook de afnemers hebben een verantwoordelijkheid (1)

•  Duidelijke sourcingsdoelstellingen en keuzes

•  Waarom koos de webshop voor enkel Ideal?

•  Service Provider betrouwbaarheid (credibility)

•  Maak goede afspraken in contracten, SLA’s en DAP of;

•  Weet waarvoor je tekent!

•  Ken de Underpinning Contracts (zie voorwaarden Buckaroo)

25

Maar ook de afnemers hebben een verantwoordelijkheid (2)

•  Goede financiële afspraken (opschortingsrechten, prijsmodellen, exitassistentie)

•  Tref zelf beveiligingsmaatregelen

•  Secure Cloud Application Architecture: Encryptie (Computable)

•  Neutralisatie van gegevens (WBP)

•  Klassieke maatregelen: Back-up, Escrow etc. (bijv. In het contract)

•  Echter:

•  Meer Internet, meer Liars & Outliars!!!!

•  Wees realistisch over je eigen vertrekpunt!!!

26

Recap

Wat betekent dit voor de sourcingstrategie (en risicomanagement) van een gemiddelde webshop?

Maar zeker ook:

Wat betekent dit voor de sourcingstrategie (en risicomanagement) voor online diensten?

27

Discussie en afsluiting

Cybersecurity is een gezamenlijke verantwoordelijkheid van overheid en bedrijfsleven*

Of

(Online) winkels accepteren dat technologische vooruitgang nieuwe mogelijkheden maar ook nieuwe risico’s met zich meebrengt. Draag

de lasten en niet alleen de lusten **

*www.vno-ncw.nl/Publicaties/Dossiers/Pages/Cybersecurity_Weerbaarheid_ictsystemen_versterken

** Vrij naar Ulrich Beck, Nassim Taleb ea.

28

Dank u voor uw aandacht!

29

Online betalingsverkeer in Nederland Sourcingdoelstellingen 30

Online betalingsverkeer in Nederland Randvoorwaarden 31

Online betalingsverkeer in Nederland Randvoorwaarden 32

Online betalingsverkeer in Nederland Leveranciersbeleid en regie 33

Online betalingsverkeer in Nederland en de business case 34

Online betalingsverkeer in Nederland Sourcingaanpak 35

Multitenant & Isolation 36