Bij het kiezen van een service provider moet je verschillende elementen in overweging nemen. Sommige onderdelen zijn essentieel en zouden deel moeten uitmaken van het aanbod van eender welke provider – zoals identity en access management, databescherming en incident management & response. Andere zaken zijn minder evident, zoals compliance vereisten. Wat is de impact op compliance wanneer een organisatie de overstap naar de cloud maakt? Wat zijn de risico’s en waar moet de CIO extra aandacht aan besteden?
Een compliance vereiste kan bijvoorbeeld de fysieke locatie van de bedrijfsdata zijn. Overeenkomstig de Europese wetgeving moet de cloud provider de data van Europese klanten op servers zetten die zich fysiek in Europa bevinden.
Voor de meeste bedrijven is het werken met een cloud provider voor business applicaties redelijk onbekend. Nieuwe standaarden in cloud computing kunnen de CIO ondersteunen te beslissen welke applicaties op welk moment in de cloud moeten gezet worden. SAS 70 Type II en ISO 27001 lijken werkbare certificaten voor compliance binnen financiële en IT security vereisten. Ze zijn echter geen garantie voor de compliance van de organisatie met betrekking tot data security, identity management of administrator controle. De voortdurende inspanningen van verschillende cloud initiatieven leiden in de nabije toekomst hoogstwaarschijnlijk tot gestandaardiseerde governance, risk en compliance tools. Dit laat organisaties toe hun cloud projecten in lijn te laten lopen met alle wettelijke richtlijnen.
Uiteraard start compliance met een correct begrip van de relatie die de organisatie aangaat met de cloud service provider. Het geheel van die relatie moet in detail beschreven worden in het contract met de provider. Indien dit contract niet voldoet aan de compliance behoeftes van de organisatie is het noodzakelijk extra SLA’s toe te voegen totdat het juiste compliance-niveau bereikt is.
Aan de andere kant, als het cloud verhaal nieuw is voor een organisatie is het een goed idee eerste een pilot project op te starten, gebaseerd op niet-kritische data. Zo bouwt de organisatie ervaring op in het omgaan met de complexiteit van compliance in de cloud en in het onderhandelen over het juiste contract met de provider.
De CIO moet moet altijd vooruit denken. SLA’s zijn niets waard wanneer de cloud van een cloud provider ‘uitvalt’ en niet lager operationeel is. De CIO moet garanties kunnen bieden over de business continuity van zijn organisatie, zelfs wanneer zo’n ‘worst case’ scenario’s zich voordoen. Het prioriteren van beveiliging is essentieel om succesvol te zijn in de cloud: het begrijpen van potentiële risico’s in een vroeg stadium en het permanent aligneren van beveiliging met de bedrijfsdoelstellingen.