vertrouwen in de cloud, hoe maak je dat hard? door michiel steltman (dhpa)
DESCRIPTION
De gangbare aanpak van kwaliteitsborging en controles van online systemen met audits en certificeringen is niet meer toereikend voor de eisen die overheid en markt stellen op het gebied van privacybescherming, informatiebeveiliging, continuïteit, consumentenbescherming en meer. Keurmerken, third party verklaringen en certificaten bieden weinig zekerheden, sluiten niet op elkaar aan en zijn nauwelijks te vergelijken. Maar hoe moet het dan wel?TRANSCRIPT
DHPA
Dutch Hosting Provider Association
Een samenwerking van marktleidende hosting providers
Michiel Steltman Directeur
Dutch Hosting Provider Association
The DHPA (Dutch Hosting Provider Association) is een sector organisatie van marktleidende hosting providers in Nederland
Missie:
Verbeteren van het profiel en rentabiliteit van de Nederlandse hosting sector
Deelnemers en Partners
•
• Imago en Profiel − Educatie over rol, betekenis en werking van de
sector
• Onderwijs − Zorgen voor blijvende instroom van technisch
talent
• Vertrouwen − Bevordenen professionaliteit, transparantie,
kwaliteit, informatiebeveiliging en bestrijding van cybercrime
• Verbinden − Samenbrengen van sector, markt en organisaties,
en streven naar synergie
DHPA Programmas
”Woont” het Internet werkelijk in de Vs ?
De NL Online Sector
Digital Infrastructure in the Netherlands – The Third Mainport
Digital Infrastructure in the Netherlands
November 14th, 2013
The Third Mainport
The Digital Infrastructure, our third mainport, is mainly invisible Yet it is the artery for economic lifeblood of the digital economy
8 Digital Infrastructure in the Netherlands – The Third Mainport
© 2013 Deloitte The Netherlands
The Amsterdam Internet Exchange (AMS-IX) is the largest in terms
of connected Autonomous System Numbers (ASN)
9 Digital Infrastructure in the Netherlands – The Third Mainport
-500
0
500
1000
1500
2000
-100 0 100 200 300 400 500 600 700 800
AMS-IX (Amsterdam)
DE-CIX (Frankfurt)
LINX (London)
PTT (Sao Paulo)
MSK-IX (Moscow)
NL-IX (The Hague)
France-IX (Paris)
SwissIX (Zurich, Bern, Basel)
JPIX (Tokyo)
LONAP (London)
MIX-IT (Milan)
Ave
rag
e t
raff
ic in
Gb
s (
las
t m
on
th)
Number of peering networks (ASN’s)
Netnod (Stockholm)
PLIX (Warsaw)
The most recent
monthly average traffic
figures are close:
1,582 Gbs (DE-CIX)
versus
1,540 Gbs (AMS-IX)
© 2013 Deloitte The Netherlands
The Dutch Digital Infrastructure is part of a global backbone for delivering
digital services to business and consumers on a variety of devices
10 Digital Infrastructure in the Netherlands – The Third Mainport
Digital Enabled Services
Payment providers Online gaming E-commerce Digital Media Cloud Social media
Enterprise
Internal
Applications
ERP
CRM
....
End User Devices
Digital Infrastructure
© 2013 Deloitte The Netherlands
AMS-IX is a mainport for Internet traffic more than Rotterdam and
Schiphol are for containers and passengers respectively
Rank Internet Exchanges Container Ports Airports
1 AMS-IX Shanghai, China Atlanta, USA
2 DE-CIX Frankfurt Singapore, Singapore Beijing, China
3 LINX Hong Kong, China London, UK
4 PTT Sao Paulo Shenzhen, China Chicago, USA
5 MSK-IX Busan, South Korea Tokyo, Japan
6 NL-ix Ningbo-Zhoushan, China Los Angeles, USA
7 Terremark Guangzhou Harbor, China Paris, France
8 PLIX Qingdao, China Dallas, USA
9 Equinix Zurich Jebel Ali, Dubai, U.A.E. Frankfurt, Germany
10 CoreSite - Any2 LA Tianjin, China Hong Kong, Hong Kong
11 SwissIX Rotterdam, Netherlands Denver, USA
12 JPIX Port Kelang, Malaysia Jakarta, Indonesia
13 France-IX Kaohsiung, Taiwan, China Dubai, U.A.E.
14 LONAP Hamburg, Germany Amsterdam, Netherlands
15 MIX-IT Antwerp, Belgium Madrid, Spain
11 Digital Infrastructure in the Netherlands – The Third Mainport
Convergentie ?
Telecom sector ICT sector
Media sector
Of disruptie !
Telecom sector ICT sector
Media sector
Gartner: Nexus of Forces
• Silo’s • Projecten • Dedicated • On-premise
Mobile Cloud
Big Data • Services • Agile • Schaalbaar • Online
Social
Mobile
• Beweging naar Cloud is over het “tipping point”
• Breed en groeiend aanbod
• Beter begrip van werkelijke risicos door afnemers
• Volwassenheid aanbieders
• Toenemende aandacht voor vertrouwen en borging
• Emotionele benadering maakt plaats voor Rationele
• 89% van hosters ziet waarde in een “keurmerk”
Trends
16
Zekerheid en vertrouwen
Handhaving en
opsporing
Economisch belang
Borging
Vertrouwen: Botsende belangen
• Conduct
• Beschikbaarheid
• Continuiteit
• Privacy en Informatiebeveiliging
• Standaards en normenkaders
• Ketens
• Toezicht en controle
• De rol van de overheid als “gedelegeerd bewerker”
• “Stok en wortel”
DHPA Thema’s - Borging
Dossiers en projecten
Borging
• VV
• Escrow
• PrivacyIcons
• CoC
• Responsible Disclosure
Overheid
• WW 2.0
• Zorgplicht
• Bewaarplicht
• Netneutraliteit
• CIOT/ datagraaien
• CC 3
Cybercrime
• NaWas (DDos)
• Abuse-Ix (Ddos)
• Meldpunten
• NTD
• THTC,MIO
• Trusted Flagger
• NBIP
• NrN
• Transparency reports
Ketens?
Klant en markt zijn nog steeds “in the dark”:
wat is er nu precies wel en wat niet geregeld?
25
Zekerheid in de keten
• Onduidelijkheid over “passend niveau”
• Geen vergelijking mogelijk bij vergelijkbare risico’s
• Opleggen control is niet langer aan de orde
• Geen oplossing voor control in ketens
• Onvoldoende transparantie
• Te veel focus op financiële verantwoording
• IT werkelijkheid wordt zelden inhoudelijk beoordeeld
• Hoe zit het met client considerations?
26
Gewenst
• Landkaart als uitgangspunt
• Modulaire opzet controls
• Consensus over “passend” , op basis van generieke risks , minimum adequate, best practices
• Aansluitbaar maken van control modules
• Zichtbaar maken control in de keten
27
Gebruikers
Content
IOT / Bots
Data
Transport
Access
IP access
IP Devices
Datawet: Internet Waardeweb
Digitale Infastructuur: Upstream
Digitale Infrastructuur: Downstream
Platforms
IP-Enabled Devices
DHPA 2014
Gebruik - Data
Gebruik - Actoren
• Modulair
• Technologie
• Flexibel
Project: Veilige Verbindingen
Compliance
Validator
Compliance-pack: welke modules zijn
relevant, welk niveau vereist, welke evidence
Verkla-ring Auditor
Zelfver-klaring Real-time rappor-tage actuele
responsetijd van de deelservice
Inventariseert wettelijke en algemene vereisten; Checkt compliance packs
Checkt compliance met vereisten Deelservice A Deelservice B
Voorkeu-ren van
end-user
Checkt voorkeuren end-user
Geeft compliance
Verklaring
Browser visualiseert complianceverklaring
Verkla-ring Auditor
Zelfver-klaring Real-time rappor-tage actuele
responsetijd van de deelservice
