Skip to main content

Cloud computing is de afgelopen jaren een van de snelst groeiende markten. Het algemene probleem is dat door de snelle groei van cloud, organisaties niet bijblijven met de veranderingen en daardoor de bedrijfsprocessen onvoldoende kunnen beheersen en besturen, die daarom onvolwassen blijven.

Cloud is “Booming business”, Google, Amazon en Microsoft investeren tegenwoordig steeds meer in clouddiensten. Groot-, midden- en kleinbedrijven kunnen gebruik maken van deze diensten, die daarbij een toegevoegde waarde kunnen bieden aan de bedrijfsprocessen (Bron: http://www.rtlnieuws.nl/). Het beheersingsvraagstuk rondom cloud computing laat echter veel te wensen over. Bij beheersing van risico’s kan gebruik gemaakt worden van normenkaders. Het bedrijfsleven heeft geholpen bij het stellen van deze normenkaders. Voorbeelden van kaders zijn onder andere COBIT, ISO, ITIL en volwassenheidsmodellen zoals het Capability Maturity model (CMM). Dit zijn beproefde methodes met jaren van toepassingen en beoordelingen. Het is echter de vraag  of deze modellen ook afgestemd zijn op cloud computing, dit vergt namelijk een ander type aanpak.

In de academische wereld is de afgelopen jaren veel theorie ontwikkeld over de besturing van ICT (IT governance). Tevens is er veel theorie ontwikkeld op het gebied van cloud computing. Er is echter niet veel wetenschappelijk onderzoek verricht naar  de combinatie tussen besturing en cloud, omdat dit een relatief nieuw concept is. De American Accounting Association (2014) stelt dat cloud-bestuur niet een bepaald gebied van aandacht moet zijn, maar eerder moet worden opgenomen in de algemene informatietechnologie (IT) besturing en hierbij moet inspelen op de veranderingen. Aan de andere kant zijn de bijkomende risico’s van de cloud verschillend en vereisen daarom een specifieke aanpak in plaats van een algemene aanpak.

Voordat er bepaald kan worden hoe een organisatie de cloud kan besturen en beheersen, is het van belang om te begrijpen welke processen belangrijk zijn voor de cloud. De nadruk wordt in de academische theorie vooral gelegd op karakteristieken, voordelen en toepassingen. Processen van de cloud zijn op bepaalde hoogte gelijk aan de processen voor de algemene ICT. Denk hierbij aan processen zoals continuïteitsmanagement, incident management, change management en data management. De cloud heeft echter een andere impact op deze processen doordat er via internet (lees: cloud) een interactie is tussen cloudleveranciers  en -gebruikers. Dit zorgt voor extra uitdagingen zoals het bepalen wie er verantwoordelijk is voor de data, de toegang en beveiliging van de data op het internet, de vergrote complexiteit in de klant/leverancierketen en wet– en regelgevingen die van toepassing zijn op de locatie van het cloud-datacenter.

Kortom, er kan dus wel gesteld worden dat er vanuit de praktijk behoefte is aan modellen met nieuwe inzichten in de beheersing van risico’s en het stellen van een duidelijk kader. Dit was de basis van het onderzoek dat hiervoor is uitgevoerd. Het onderzoek richtte zich op het ontwikkelen van een volwassenheidsmodel voor bedrijven dat ondersteunend is bij de besluitvorming rondom cloud computing. Dit volwassenheidsmodel heeft de Hevner-methode als leidraad gebruikt en heeft daarnaast tijdens de ontwikkeling gebruik gemaakt van de CMM-methode. Bij een volwassenheidsmodel is de eerste stap de ontwikkeling van een classificatieschema. Op basis van de theorie is een onderscheid gemaakt tussen de besturing (governance) en de beheersing (management) van de cloud. Met beheersing wordt de beveiliging van en rondom cloud bedoeld. Op basis van de theorie is het onderstaand classificatieschema tot stand gekomen.

De tweede stap voor de ontwikkeling van een volwassenheidsmodel betreft het ontwikkelen van een vragenlijst. De vragenlijst wordt in dit model gebruikt voor het verzamelen van data waarbij een volwassenheidsscore bepaald kan worden. De vragenlijst in dit onderzoek heeft betrekking op de risico’s en de beheersing rondom de cloud. Deze vragenlijsten verifiëren of de risico’s daadwerkelijk geïdentificeerd zijn door een organisatie en/of de relevante beheersmaatregelen geïmplementeerd zijn om dit te mitigeren. De vragenlijsten rondom risico’s zijn gebaseerd op de academische theorie. Bij de beheersmaatregelen is gebruik gemaakt van het COBIT5 framework omdat hierin besturing is opgenomen.  

De derde stap van dit onderzoek betreft het bepalen van de volwassenheidsniveaus. Het niveau aggregeert de volwassenheidsscore tot een bepaald niveau. Hierdoor kan er onderscheid gemaakt worden tussen verschillen binnen organisaties. Er is een niveau opgesteld per proces. Daarnaast schrijft de CMM methode voor dat er twee soorten indelingen zijn. Dit betreft “staged” en “continuous”. Hierbij is gekozen voor de continuous indeling, aangezien dit gericht is op de analyse en flexibeler is met betrekking tot het bepalen van een volwassenheidsniveau. Daarnaast is de ISO/IEC 15504 rating scale gebruikt voor het bepalen van de score voor een niveau. Op basis van hiervan zijn de onderstaande volwassenheidsniveaus tot stand gekomen.

                                                

Nadat het volwassenheidsmodel tot stand was gekomen diende het geverifieerd te worden op structuur, consistentie en relevantie. Hiervoor is een expert panel van 10 personen geïnterviewd met achtergronden in IT audit en IT management, waarbij de jaren ervaring met de cloud en expertise in acht werden genomen. Dit kwam uit op gemiddeld 5 jaar ervaring met cloud en gemiddeld 7.5 jaar ervaring in de expertise. De resultaten zijn gebruikt ter verbetering- en als theoretische onderbouwing van het volwassenheidsmodel.

Het nut van het volwassenheidsmodel kan worden verklaard vanuit twee perspectieven, namelijk de academische en praktische kant. Het academische nut van het model is dat het de eerste poging was om een ​​volwassenheidsmodel te ontwikkelen dat zowel de risico’s als de beheersingsmaatregelen opgenomen had. Het model onderscheidde zich doordat het zich focust op beide aspecten in plaats van alleen de risico’s. Daarnaast houdt het model rekening met de impact van cloud op de besturing en beheersing. Voor de praktijk biedt dit model eveneens mogelijkheden. Uit de interviews bleek het model nieuwe inzichten te bieden met betrekking tot cloud en de beheersing hiervan. Daarnaast helpt dit model bij de besluitvorming rondom cloud en kan het auditors effectief ondersteunen bij controles.

Indien u behoefte heeft om  het gehele onderzoek te lezen, kunt u contact opnemen via LinkedIN:  https://nl.linkedin.com/in/luukpouwels

Leave a Reply