Gids voor monitoren clouddiensten
Het Europese agentschap ENISA (European Network and Information Security Agency) beoogt het centrale Europese platform te zijn voor informatie, kennis en best practices inzake informatiebeveiliging. Regelmatig publiceert ENISA aanbevelingen. Dit voorjaar publiceerde ENISA een gids voor het monitoren van clouddiensten.
Met dank aan Polo van der Putt, Vondst Advocaten.
Uit de samenvatting:
"This document is a practical guide aimed at the procurement and governance of cloud services. The main focus is on the public sector, but much of the guide is also applicable to private sector procurement. This guide provides advice on questions to ask about the monitoring of security (including service availability and continuity). The goal is to improve public sector customer understanding of the security of cloud services and the potential indicators and methods which can be used to provide appropriate transparency during service delivery."
U vindt de gids hier.
ENISA heeft ook andere interessante publicaties, zoals de Cloud Computing Security Risk Assessment. Dit document bevat onder meer een hoofdstuk over juridische aandachtspunten, waaronder licentieproblematiek:
"Licensing conditions, such as per-seat agreements, and online licensing checks may become unworkable in a cloud environment. For example, if software is charged on a per instance basis every time a new machine is instantiated then the cloud customer’s licensing costs may increase exponentially even though they are using the same number of machine instances for the same duration. In the case of PaaS and IaaS, there is the possibility for creating original work in the cloud (new applications, software etc). As with all intellectual property, if not protected by the appropriate contractual clauses (see ANNEX I – Cloud computing – Key legal issues , Intellectual Property), this original work may be at risk."
In mijn praktijk heb ik dit risico al zien verwezenlijken. Veel instellingen en bedrijven zijn zich er niet van bewust dat het onderbrengen van licenties in een shared platform inbreuk kan opleveren op de licentievoorwaarden en het auteursrecht, ook al blijven dezelfde gebruikers de software op dezelfde manier gebruiken.