Dag: 16/01/2014

Wat moet ik regelen in de cloud? #samboict

Arnoud Engelfriet sluit de 29ste saMBO-ICT Conferentie af. Ik ben blij hem eindelijk een keer live te horen, als fan van zijn blog.

Cloud is verschillende dingen volgens hem, maar eenvoudig gezegd is het eigenlijk een grote vorm van uitbesteding. Kan ik een stukje harde schijf bij je huren? Als het ware. Arnoud Engelfriet neemt ons mee in de stappen waar je aan moet denken:

  • Over huur heb je heel veel regels. Daarnaast is er sprake van een zekere onderhandeling. Bij cloud-diensten ontbreekt dit vaak. Je kunt akkoord gaan of niet. Vraag je af wat je hier van vindt.
  • Kun je bij de voorwaarden? Lees deze kritisch.
  • Is er een dienstovereenkomst? Probeer je verwachtingen hieraan te spiegelen. Wat wil je afspreken en waar wil je de ander op afrekenen?
  • Van wie is de data bij opslag in de cloud? In zijn algemeenheid is data van niemand. Juridisch gesproken kan er geen eigenaar zijn van iets dat geen fysieke zaak is. Je kunt dus niet op de wet terugvallen. Wat wel kan is goed nadenken over dit onderwerp en verwerken in je contracten.
  • Hoe zit het internationaal? Als je met persoonsgegevens wilt werken moet je kijken naar de WBP. In Europa wordt hier wel aan gesleuteld. Verder hoef je niet de hele tijd om toestemming te vragen, als het overdragen van gegevens nodig zijn in het kader van een bestaande overeenkomst. Alleen wordt dit ver opgerekt door bijvoorbeeld sociale netwerk platforms.
  • Ga je gegevens bewerken? Dan moet je een gegevensbewerkersovereenkomst hebben. Heb je of geef je inzage en wordt export van data ondersteund?
  • Zijn je gegevens adequaat beveiligd? Wat dat is, staat niet in de wet. Je moet zelf kunnen aangeven wat je adequaat vindt en waarom.
  • Als je als docent of leraar zelf acties onderneemt, door met studenten ergens op een site samen te werken met bijvoorbeeld foto’s (profielen-site), moet je oppassen. Dit soort acties doe je automatisch namens de school.
  • Als medewerkers schade aanbrengen kan een school deze dan verhalen, aangezien ze zelf aansprakelijk zijn? Alleen in grove nalatigheid. En wanneer het grof is moet je aantonen. Dat is geen harde definitie.
  • In het privacybeleid moet onder de nieuwe wet ‘duidelijke taal’ worden gebruikt.
  • Binnen het juridische is er op dit moment geen oplossing voor de situatie met onze gegevens in Amerikaanse cloud.

Ik vind Arnoud Engelfriet van @ictrecht inhoudelijk heel sterk. In eenvoudige taal en met droge kwinkslagen weet hij de vinger op, soms onoplosbare, plekken te leggen.

Informatieveiligheid in de steiger #samboict

In ronde 4 van de 29ste saMBO-ICT Conferentie zit ik bij een sessie van ROC TwenteAndré Wessels en Paul Tempelaar praten ons bij over hun traject van beleidskeuzes. verkenningen, risicoanalyses, nulmetingen en de implementatie van het informatieveiligheidsplan. Hierin is samengewerkt met directie (verantwoordelijk), de informatiemanager (regie), kwaliteitszorg, controllers en de facilitaire diensten.

Er zijn drie hoofdissues met informatieveiligheid:

  1. Beschikbaarheid: als er iets mis is, kun je niet werken omdat de informatie niet bereikbaar is.
  2. Integriteit: als er iets mis is, klopt de informatie niet meer.
  3. Vertrouwelijkheid: als er iets mis is, kennen anderen deze informatie.

Op deze hoofdissues hebben ze steeds een classificatie toegepast. Sommige informatie is gewoon vitaal, niet, zeer of uiterst vitaal. De gevolgen hiervan verschillen dan weer.

De hoofdoorzaken zijn in afnemende frequentie:

  • Onwetend handelen
  • Onvoldoende gedragen beleid
  • Falende techniek
  • Opzettelijk handelen

Mijn indruk is dat ze er in slaagden om tijdens een nul-meting de risico’s van verschillende veiligheidscategorieën te kwantificeren. Mede dankzij het classificeren va risico’s en gevolgen. Interessant vond ik ook hun achterliggende doelen en een meta-doel:

  • Een veiligheidscultuur voor informatie en bijgaande draagvlak onder betrokkenen.
  • Een continue en waar gewenst vertrouwelijke informatievoorziening.
  • Een organisatie waarin beide doelen nagestreefd, gecontroleerd, bediscussieerd en bijgesteld kunnen worden

Do’s and dont’s van informatiebeveiliging #samboict

In ronde 3 van de 29ste saMBO-ICT Conferentie zit ik bij een sessie door ROC Aventus. Fung Yee Poon is security-officer en change-manager. Ze vat het dilemma goed samen: Iedereen wil een veilige omgeving maar niemand wil er last van hebben. De maatregelen die ze troffen lagen gelukkig niet alleen op het technisch vlak. Ze hebben campagne gevoerd, voorlichting gegeven en aandacht gegeven aan communicatie.

Zaken waar ze tegenaan liepen:

  • Weinig bewustzijn op het gebied van beveiliging.
  • Onderschatten van de risico’s èn onderschatten van de impact van beveiligingsmaatregelen.
  • Informatiebeveiliging wordt niet meegenomen bij de zoektocht van een systeem.
  • Moeite met vertalen van wet- en regelgeving naar de techniek.

Wat ik knap of vasthoudend vind is dat ze ook voor eigen devices technisch afdwingen dat er een pincode op moet zitten, als je op hun infrastructuur wilt. Zodat applicaties niet open staan als je je tablet even uit het zicht hebt liggen.

Fung somt ook nog even de (extrinsieke) motivatie voor beveiliging op:

  • Wet- en regelgeving, accountancy en audits
  • Financiële schade
  • Imagoschade
  • Verwachtingen

Ik bedacht me wel ineens, wat zou nou de intrinsieke motivatie zijn voor veilig gedrag omtrent informatie? Bescherming van je klant, de student en/of zijn ouder? Hoe kun je je eigen onderwijs en begeleidingsproces goed doen (en dus veel informatie vergaren) en tegelijkertijd het belang van de student dienen? Overigens waardeer ik het wel als een instelling zich opent opstelt op dit soort kwetsbare en soms delicate onderwerpen. Zonder over eieren te lopen krijg je eigenlijk veel cultuuraspecten mee van onderwijsteams. Waarin onveilig gedrag een rol speelt.

Enkele do’s op een rij:

  • Formuleer een duidelijk beleid
  • Leg de verantwoording daar waar het hoort.
  • Laat je beleid adviserend zijn.

 

Servers in de cloud: Azure #samboict

In ronde 2 van de 29ste saMBO-ICT Conferentie sluit ik aan bij de presentatie Michael Kleine. Hij opent met een overzicht van het Azure platform en de voordelen van schaalvergroting en ontzorgen. De visie van Microsoft is een ‘Hybride’ variant van je datacenter. Je hebt altijd nog een deel in je eigen datacenter en er kan een deel draaien bij Azure. Daarnaast noemt Michael de audits die ‘derden’ doen, zodat ze onafhankelijk getoetst worden aan allerlei ISO normen.

Rob Keemink vervolgt en schetst hun geleidelijke overgang: van meerdere eigen datacenters naar één, van fysieke servers naar virtuele, van eigen datacenter naar Azure. Dit kan best een aantal jaren in beslag nemen en naast elkaar lopen. Ze zijn Azure als eerste gaan toepassingen voor websites en testservers. Veel storage kan naar Skydrive Pro.

Ik vind het een herkenbaar verhaal: als school heb je vaak nog honderden ‘ouderwetse’ applicaties en een aantal websystemen in eigen beheer. Voor lang niet al deze applicaties zijn alternatieven in de cloud aangezien het vaak specifiek digitaal lesmateriaal betreft, verpakt in een applicatie. Ook zijn leveranciers van kernsystemen lang niet allemaal zover dat ze zelf hosting aanbieden. Dat vergt allemaal servers waar je zelf beheer op doet. Enfin, geef het een paar jaar.

Wat ik opvallend vond aan de demo is dat er op Azure niet alleen Windows Servers geïnstalleerd kunnen worden. Linux-varianten zijn ook mogelijk. Daarnaast kun je middels een VPN Gateway je eigen netwerk transparant koppelen aan je eigen netwerk binnen Azure.

Tippie: op 23 januari is er een webinar voor onderwijs over Azure.

Functioneel Beeld van MBO Cloud op #samboict

In ronde 1 van de 29ste saMBO-ICT Conferentie sluit ik aan bij de presentatie “Functioneel Beeld van MBO Cloud” door Maaike Stam en Bas Kruiswijk. Ze wilden ‘de bal wat verder weggooien’ dan ‘wat extra servers in een datacenter’. Daarom is het volgende bedacht:

  • Samenwerking op inkoop en beschikbaarheid maken van cloud-diensten.
  • Ondersteunen met een gemeenschappelijke voorziening, platform. Die noemen ze de ‘hub’ en bevat functionaliteiten voor selecteren, bestellen, betalen en toegang tot cloud-voorzieningen uit een catalogus. In principe wenst men de hele markt van digitale leermiddelen en cloud-diensten aan te sluiten. De technische manier voor ‘aansluiten’ wordt niet opnieuw uitgevonden. Door aansluiting bij Surf Conext bijvoorbeeld.
  • Ontsluiting van cloud-voorzieningen en digitale leermiddelen, met 1 identiteit.

Grafisch:

MBO Cloud

De kernpunten van de toekomstvisie voor MBO Cloud zijn:

  • Docent en student centraal en maximaal gefaciliteerd.
  • Minimale marktverstoring.
  • Slim samenwerken zorgt voor ontzorging van de instellingen.

Deze ontwikkeling kent wel een paar uitdagingen lijkt mij:

  • Aansluiting van een heel diverse markt van leveranciers en zorgen voor een actuele catalogus.
  • De vliegwiel in gang zetten: als er geen leermiddel in staat hoeft een school niet aan te sluiten, als er geen scholen aansluiten hoeft een leverancier er geen leermiddel aan te bieden. Ik hoop dat het aansluiten door scholen dan organisch kan groeien.

De Waarom vraag en de business case is in ontwikkeling. Zelf ben ik wel blij dat dit concreter wordt. Het zou voor de sector een grote stap in volwassenheid zijn. Ander voordeel lijkt me dat een instelling ontzorgt wordt op zijn beheer en onderhoud van technische koppelingen, omdat je deze ‘buiten de deur’ schuift.

Meer lezen? Klik hier voor het Functioneel Beeld.

Meer samen voor betere Informatiebeveiliging door Sir Bakx op #samboict

Sir opent de 29ste saMBO-ICT conferentie met de keynote over Informatiebeveiligingsbeleid. Hij was lid van de SURF Taskforce Cloud. Zijn ervaringen liggen op het gebied van informatiebeveiligingsbeleid, auditing en een juridisch normenkader cloudservices voor HO.

Hij opent met wat cijfers:

[yframe url=’http://www.youtube.com/watch?v=yzHsWsWOQjE’%5D

Sir schetst hoe men tot een model kwam om expliciet beleid over informatiebeveiliging te beschrijven. Het voordeel van een model is assistentie, stimuleert kwaliteit en voorkomt ‘vele wielen’. Eenmaal uitgewerkt door een onderwijsinstelling kan het later als leidraad dienen voor self-assessments en auditing. Dit model is in 2010 opgeleverd. Zijn stelling is dat hierdoor de CMM van Hoger Onderwijs verhoogd is.

Hij maakt ook aansluiting bij Cloud ontwikkelingen. De privacy, vertrouwelijkheid en eigendom zijn een knelpunt. Contracten zijn vaak zwak op deze punten. Met gezamenlijke inkoopkracht is dit beter af te dwingen. Alhoewel één sector (HO, MBO, etc) waarschijnlijk te klein is om Google en Microsoft etc. een andere kant op te bewegen. Samenwerking met overheid zou pas een ‘stevige vuist’ maken. Behalve het model is hij ook bezig met een normenkader en geeft voorbeelden van clausules die je als onderwijsinstelling kunt opnemen in je contracten. Vooral de clausule voor Veiligheidsdiensten vind ik actueel!

De samenwerking die Sir bepleit op een rij:

  • Werk als sectoren met elkaar en overheid samen!
  • Werk als informatiebeveiliger met je docenten en medewerkers samen!

Hij eindigt met twee stellingen:

  1. We leven met z’n allen in dezelfde risicovolle wereld. Alleen samenwerking is daar echt tegen opgewassen.
  2. Ons weren tegen buitenlandse overheden kan alleen in Europees verband. Een school kan dit niet, een sector, één land ook niet.