2012 Een beter begrip van veiligheid in de Cloud
[EEN BETER BEGRIP VAN VEILIGHEID IN DE CLOUD] Dit document geeft aan waarom men in de ene Cloud profider en haar weboplossingen wel vertrouwen heeft en in de andere niet. Het begrip “vertrouwen”, in de Behavioural Sciences is vaak onderzocht en door de veiligheid- en privacy risico’s van Cloud Modellen als PaaS en SaaS weer een actueel thema in de IT geworden. Dit document geeft meer inzicht in de eigen (voor)oordelen van werken in en met de Cloud en kan als aanvulling bij het opstellen van Cloud Compting Gedragsregels of andere Cloud Computing Standaarden dienen.
29 juli 2012
[EEN BETER BEGRIP VAN VEILIGHEID IN DE CLOUD]
Inhoudsopgave
Cloud Computing; voordeel of vooroordeel?............................... 3 Vertrouwen in informatiebeveiliging .............................................. 5 Vertrouwen in IT ....................................................................................... 7 Conclusie ...................................................................................................... 9
2
Jambo ConsultancyŠ
29 juli 2012
[EEN BETER BEGRIP VAN VEILIGHEID IN DE CLOUD]
Cloud Computing; voordeel of vooroordeel? Het voordeel. SaaS en andere ITaaS modellen vergroten de mogelijkheden van het MKB, vergelijkbaar met die van wereldwijd opererende concerns, door hen in staat te stellen softwarediensten en infrastructuur te gebruiken waar ze anders geen toegang tot hebben. Zo is IaaS een manier voor het MKB om hun IT makkelijk op- of af te schalen, zonder zich zorgen te hoeven maken over grote uitgaven en investeringen in kapitaal voor bv servers en besturingssystemen of een veiligheidsinfrastructuur in hun eigen datacenter.
Het vooroordeel. Het valt niet te ontkennen dat Cloud Computing nieuwe beveiliging en privacy risico’s inhoudt. Recente voorbeelden van gehackte sites als Linkedin en gehackte mails van belangrijke mensen, ondersteunen dit fenomeen. Cloud Computing staat nu eenmaal gelijk aan het opslaan van gevoelige (persoons)gegevens in databases en in software, verspreid over het World Wide Web.
We kunnen echter alleen van de voordelen van Cloud Computing profiteren als we aan de zeer reële privacy en veiligheidseisen voldoen. Het is onmogelijk om het volledige potentieel van volgende generatie internetapplicaties en Cloud Computing te realiseren, zonder het ontwikkelen van een beter begrip van de bescherming van gegevens en privacy in de Cloud.
Deze publicatie draagt bij aan het verkrijgen van een beter inzicht in de geloofwaardigheid van en het vertrouwen in Cloud Computing weboplossingen 3
Jambo Consultancy©
29 juli 2012
[EEN BETER BEGRIP VAN VEILIGHEID IN DE CLOUD]
èn de aanvaarding daarvan. Door het omdraaien van de harde focus op risico’s en eisen in een softe focus op klant- en gebruikersacceptatie relativeert het de veiligheid en privacy aspecten van ITaaS in de Cloud. Dit document dient als een aanvulling bij het definiëren van de eigen gedragsregels en normen voor Cloud Computing relaties.
4
Jambo Consultancy©
29 juli 2012
[EEN BETER BEGRIP VAN VEILIGHEID IN DE CLOUD]
Vertrouwen in informatiebeveiliging. Veel wordt geschreven over de veiligheid en privacy aspecten van Cloud Computing maar wat betekent dit eigenlijk? Cloud Computing maakt het mogelijk IT systemen te beheren in zeer afgelegen locaties waarbij data wordt benaderd en gemanipuleerd en is heel anders dan de traditionele IT organisatie maar is het daarom ook veel risicovoller?. Het feit dat klanten geen volledige informatie over de leveranciers van de IT faciliteiten hebben, zorgt voor het in de literatuur bekende probleem van de informatieasymmetrie. Vertrouwen is van belang wanneer er bij een actie de volgende twee situationele factoren aanwezig zijn: 1) onzekerheid (risico) 2) onvolledige (product)informatie (informatieasymmetrie)
In de marketing literatuur stelt men dat er twee verschillende soorten van vertrouwen
in
een
koper-verkoper
relatie
zijn;
welwillendheid
en
geloofwaardigheid. Welwillendheid uit zich in een herhalende koper-verkoper relatie. De geloofwaardigheid is het vertrouwen dat de andere partij de opdracht effectief en betrouwbaar kan uitvoeren. Deze vorm van vertrouwen is meestal onpersoonlijk en vertrouwt op reputatie en economische argumenten. Het is deze laatste vorm van vertrouwen die meer gerelateerd is aan de privacy en veiligheid van gevoelige informatie van de ITaaS voor klanten en gebruikers.
De drie fundamenten van informatiebeveiliging zijn vertrouwelijkheid, integriteit en beschikbaarheid.
5
Jambo ConsultancyŠ
29 juli 2012
[EEN BETER BEGRIP VAN VEILIGHEID IN DE CLOUD]
Vertrouwelijkheid is het voorkomen van opzettelijke of onopzettelijke, maar ongeoorloofde bekendmaking van inhoud. Integriteit is de garantie dat het gestuurde bericht ook het ontvangen bericht is en dat het bericht niet met opzet of onbedoeld is veranderd. Beschikbaarheid zorgt ervoor dat de connectiviteit en toegankelijk gewaarborgd is, zodat geautoriseerde gebruikers op het netwerk of systemen toegang krijgen.
Wat valt onder privacy is sterk cultureel afhankelijk en heel divers.
6
Jambo ConsultancyŠ
29 juli 2012
[EEN BETER BEGRIP VAN VEILIGHEID IN DE CLOUD]
Vertrouwen in IT Vertrouwen wordt gedefinieerd als de subjectieve beoordeling van een partij dat een andere partij een bepaald uit te voeren actie volgens zijn of haar verwachting uitvoert, in een omgeving die gekenmerkt wordt door onzekerheid Het vertrouwen van gebruikers in de IT organisatie en de (nieuwe) IT toepassingen komt, tot op heden, meestal tot uiting in de mate van gebruikersacceptatie van de applicatie(s). In de wereld van gebruikersacceptatie wordt het Unified Theory of Acceptance and Use of Technology (UTAUT) model vaak toegepast. Het integreert alle theorieĂŤn in dit onderzoeksdomein bekend uit de literatuur, in vier grote clusters: de prestatieverwachtingen, de inzetverwachtingen, sociale invloed en het faciliteren van de omstandigheden, met vier gedragsvariabelen waaronder geslacht, leeftijd, ervaring, en vrijwilligheid, zoals weergegeven in onderstaand figuur.
Figuur 1; UTAUT model
7
Jambo ConsultancyŠ
29 juli 2012
[EEN BETER BEGRIP VAN VEILIGHEID IN DE CLOUD]
Vertrouwen in de echtheid werd daar recentelijk aan toegevoegd door Yu-Hui Wang. In haar onderzoek, een vragenlijst met 125 respondenten in Taiwan eind 2011, heeft zij een positief effect ontdekt tussen het vertrouwen in authenticiteit en de acceptatie van SaaS. Vertrouwen in authenticiteit kan daarom aan het UTAUT model worden toegevoegd als een nieuwe cluster die van invloed is op gebruikersacceptatie en dat vooral de veiligheid en privacy acceptatie in de Cloud weergeeft. Er is voor het SaaS model gekozen in dit gebruikersacceptatie onderzoek. Uit dit onderzoek blijkt dat voor Cloud Modellen en in het bijzonder voor SaaS, het vertrouwen in de authenticiteit van de service direct, via sociale factoren, van invloed is op de acceptatie van gebruikers/klanten van Cloud applicaties. De twee andere clusters, de inspannings- en prestatieverwachting zijn in de Cloud indirect, via het vierde UTAUT cluster, faciliteren van de omstandigheden, van invloed op de gedragsintentie tot aankoop of gebruik.
Figuur 2; UTAUT voor de Cloud
8
Jambo ConsultancyŠ
29 juli 2012
Cluster
[EEN BETER BEGRIP VAN VEILIGHEID IN DE CLOUD]
Criterium 1
=
Criterium 2
1. Vertrouwen in Authenticiteit
De overtuiging dat SaaS betrouwbaar en te beveiligen is.
Netwerk toegang is ingesteld in SaaS.
User Access Administration is ingericht in SaaS
2. Inspanningsverwachting
De mate van werverlichting door de service.
Het gebruik van de SaaS methode is duidelijk en eenvoudig.
Met SaaS kan het beheerd worden vereenvoudigd.
De mate waarin een individu van oordeel is dat het gebruik van de service hem zal helpen bij het bereiken van winst of werkprestaties.
Het gebruik van SaaS zal mijn prestaties op het werk verbeteren.
Het gebruik van SaaS is handig.
De mate waarin een individu het belang ziet in het overtuigen van anderen dat zij gebruik moeten maken van de nieuwe dienst.
De meerderheid van de mensen die mij beïnvloeden (bijv. mijn vrienden, baas en medewerkers, etc.) die vinden dat ik SaaS moet gebruiken.
De mensen die ik zeer waardeer (b.v. mijn familie en vrienden, mijn baas en werknemers) en die vinden dat ik SaaS moet gebruiken.
De mate waarin een Individu van mening is dat er een organisatorische, technische en infrastructuur bestaat die het gebruik van de applicatie ondersteund.
Bij het gebruik van SaaS, is er een specifieke persoon (of groep) beschikbaar voor hulp en het oplossen problemen.
Gebruikers die willen beginnen met SaaS.
Ik ga gebruik maken van SaaS.
(indirect via 5)
3. Prestatieverwachting (indirect via 5)
4. Sociale Invloed (direct)
5. Faciliteren van de Omstandigheden (direct)
Op Gedragsintentie
Ik hoop dat ik de kans krijg gebruik te maken van SaaS.
Figuur 3; Onderzoeksgegevens "Extending Inf. Syst. Acceptance Theory with Credibility Trust in SaaS use”
9
Jambo Consultancy©
29 juli 2012
[EEN BETER BEGRIP VAN VEILIGHEID IN DE CLOUD]
Conclusie Met een beter begrip van veiligheidsaspecten en privacy in de Cloud en door niet alleen naar de technische IT kant te kijken maar vooral ook naar de subjectieve beleving, zoals gebruikersacceptatie van Cloud Computing, zal de overstap naar de Cloud eenvoudiger worden. Gedragswetenschap heeft de gebruikersacceptatie van IT onderzocht en komt met het UTAUT model. Het vertrouwen in de echtheid van een applicatie is een belangrijke aanvulling voor de acceptatie van applicaties in de Cloud en dus voor Cloud relaties. De waarde van die subjectieve beleving van vertrouwen in de echtheid is een goede aanvulling bij het opstellen van de gedragsnormen en -regels die een organisatie bij het aangaan van Cloud Computing relaties wil handhaven. Op deze manier is het voor organisaties mogelijk om van Cloud Computing vooroordelen, Cloud Computing voordelen te maken.
10
Jambo ConsultancyŠ
29 juli 2012
11
[EEN BETER BEGRIP VAN VEILIGHEID IN DE CLOUD]
Jambo Consultancy©