Persoonlijke reflectie

Nu het beeld is dat het model degelijk en (redelijk) compleet is, vind ik het jammer dat ik geen concrete, afgeronde cases heb kunnen vinden, om het model te toetsen. Heeft dat te maken met nieuwigheid? Met vendor lock in? Treden organisaties niet graag naar buiten met (negatieve) ervaringen met SaaS-exits? Is er wellicht een andere reden? Alhoewel ook dat maar één of enkele toepassingen van het model zou zijn geweest.

Wat me opvalt is de verscheidenheid aan SaaS toepassingen, maar ook de verschillen in risico’s en met name de maatregelen die mogelijk zijn. Vaak is de genomen maatregel het gevolg van een onderhandeling met de CSP en of diens onderaannemer. Het inschatten van risico’s en het definiëren van mitigerende maatregelen is daarom maatwerk. Het model is een middel om richting te geven aan het denkproces rondom een (toekomstige) SaaS exit en een daarbij behorende SaaS exit strategie.

Het is altijd nodig om naar de specifieke situatie van de organisatie te kijken. De risico’s en mitigerende maatregelen zijn beperkt en gekozen uit de beperkt beschikbare literatuur en overige bronnen. Het is in mijn ogen daarom niet mogelijk om een sluitend overzicht te geven van alle risico’s. Afhankelijk van de specifieke situatie waar een organisatie zich in bevindt, zullen er zeer waarschijnlijk nog specifiekere risico’s zijn. Hetzelfde geldt voor de mitigerende maatregelen, de genoemde maatregelen zijn gebaseerd op hetgeen ik in de literatuur heb kunnen vinden. Ik heb ook hier niet de pretentie een compleet en sluitend overzicht te kunnen geven.

Tijdens de interviews kwam de observatie dat de risico’s zich op verschillende niveaus bevinden. Dit herken en erken ik. Het is een afgeleide van de manier van onderzoeken: door te zoeken naar beschikbare bronnen over de risico’s van SaaS exit strategieën, kom je verschillende artikelen tegen

46

die op een specifiek risico in ingaan. Deze risico’s zijn verzameld en in het conceptuele referentiemodel verwerkt. Naar aanleiding van de opmerkingen van de casestudy is er meer clustering aangebracht om de risico’s op een meer logisch geordende manier te structureren. Opvallend is dat als je kijkt naar de aspecten aan een applicatie in termen van Beschikbaarheid, Integriteit en Vertrouwelijkheid de grootste nadruk van de gevonden risico’s ligt op beschikbaarheid van de data en de applicatie. Integriteit is op basis van de gevonden risico’s een minder beschreven aspect van een SaaS exit. Voor wat betreft vertrouwelijkheid had ik ook meer risico’s verwacht te vinden, ook omdat de data van de SaaS- leverancier teruggaat naar de eigen organisatie of naar een andere CSP.

Alhoewel het een langdurig en tijdrovend proces is geweest, kijk ik met genoegdoening terug op de extra opgedane kennis en de contacten die ik heb opgedaan gedurende het voltooien van de scriptie. SaaS exit strategieën is blijkbaar een onderwerp dat velen - zelfs CSP’s - aanspreekt en enthousiasmeert.

47

Literatuurlijst

Automatiseringsgids (AG) Connect. (2014, 9 januari). 14 netelige vragen voor een Saasprovider. Geraadpleegd op: https://www.agconnect.nl/artikel/14-netelige-vragen-voor-een-saas-provider Automatiseringsgids (AG) Connect. (2016, 1 februari). Cloud: waar is de nooduitgang?

Geraadpleegd op: http://agconnect.nl/artikel/cloud-waar-is-de-nooduitgang

Automatiseringsgids (AG) Connect. (2017, 9 august). Vendor lock-in wordt probleem in de Cloud. Geraadpleegd op: http://agconnect.nl/artikel/vendor-lock-wordt-probleem-de-cloud Van Bruggen, R.D., Van Dun, H.A.A., De Lange, E. (2002). Juridische aspecten van de

informatievoorziening (3e _{druk). Schoonhoven. Academic Service}

Bruno, F., (2013). Contingency Planning for SaaS. Does Your Contingency Plan Cover SaaS Applications? ITAK (referentie: Volume 8 Issue 4) Geraadpleegd op

http://www.ironmountain.com/resources/data-sheets-and-brochures/c/contingency-planning- for-saas

Butler, B. (2013, 20 september). Lessen van de ondergang van een cloudaanbieder. Geraadpleegd op http://computerworld.nl/cloud/79352-lessen-van-de-ondergang-van-een-cloudaanbieder Chou, David C., Cloud computing risk and audit issues, Computer Standards & Interfaces, November 2015, Vol.42, pp.137-142

Cloud Security Alliance. (2017) Cloud Controls Matrix v3.0.1 (9-1-17 Update). Geraadpleegd op: https://cloudsecurityalliance.org/download/cloud-controls-matrix-v3-0-1/

Cohen, L. Young, A. (2006). Multisourcing: Moving Beyond Outsourcing to Achieve Growth and Agility. Boston, Massachussets. Harvard Business School Press

Committee of Sponsoring Organizations of the Treadway Commission (COSO). (2017). Enterprise Risk Management - Integrated Framework. Geraadpleegd op:

https://www.coso.org/Documents/2017-COSO-ERM-Integrating-with-Strategy-and-Performance- Executive-Summary.pdf

De Nederlandsche Bank (DNB). (2017). Missie en taken. Para 2. Geraadpleegd op https://www.dnb.nl/over-dnb/taken/index.jsp

De Nederlandsche Bank (DNB). (2011). Circulaire cloud computing (referentie DNB: 2011/643815). Geraadpleegd op http://www.toezicht.dnb.nl/binaries/50-224828.pdf

De Nederlandsche Bank (DNB). (2013a). Weg vrij voor Cloud Computing [nieuwsbericht]. Geraadpleegd op https://www.dnb.nl/publicatie/publicaties-dnb/nieuwsbrieven/nieuwsbrief- verzekeren/nieuwsbrief-verzekeren-januari-2013/dnb283669.jsp

48

De Nederlandsche Bank (DNB). (2013b). DNB maakt meer cloud diensten toegankelijk voor financiële instellingen (referentie DNB: nb0157). Geraadpleegd op

http://www.toezicht.dnb.nl/2/50-227869.jsp#

De Nederlandsche Bank (DNB). (2016). Right to examine (referentie DNB: 01627.7). Geraadpleegd op http://www.toezicht.dnb.nl/2/5/50-230437.jsp

Delen, G. (2008). IT Outsourcing een introductie. Zaltbommel, Van Haren Publishing

Delen, G. (2005). Decision- en controlfactoren voor IT-sourcing. Zaltbommel. Van Haren Publishing Doets, T, (2016, 8 januari). Het gevaar van te grote afhankelijkheid bij Cloud Outsourcing.

Geraadpleegd op: https://itnext.io/het-gevaar-van-te-grote-afhankelijkheid-bij-cloud-outsourcing- decbf6eacf18

Dubbeldam, M., Braam, H. Eijkhout, M. (2009). Aanbevelingen voor de uitbestedende organisatie/ (IT) auditor bij het beëindigen van een uitbestedingscontract. [Afstudeerscriptie voor de Post- graduate IT Audit opleiding aan de Vrije Universiteit te Amsterdam]

European Banking Authority (EBA). (2017). Final Report. Recommendations on outsourcing to cloud service providers. (ID: EBA/REC/2017/03). Geraadpleegd op:

https://www.eba.europa.eu/documents/10180/2170121/Final+draft+Recommendations+on+Clou d+Outsourcing+%28EBA-Rec-2017-03%29.pdf

Engelfriet, A. & Ras, S. (2015). Handboek ICT-contracten (Editie 2015), Utrecht, Ius Mentis ENISA (European Network and Information Security Agency). (2009) Cloud Security Risk Assessment

Fijneman, R., Roos Lindgreen, E., & Hang Ho, K. (2011). IT-auditing en de praktijk (2e _{druk). Den} Haag: Academic Service

Fijneman, R., Roos Lindgreen, E., Hang Ho, K., (2011). Grondslagen IT Auditing (2e _{druk). Den Haag,} Academic Service

Gartner. (2015). Developing Your Saas Governance Framework (ID: G00274895).

Gartner. (2016a). Plan Your Data Exit Strategy Before You Sign a SaaS Contract (ID: G00291795). Gartner. (2016b). Develop Contingency Plans for Your Critical Suppliers, or Risk Business

Disruption (ID: G00292751).

Gartner. (2017). Designing a Public Cloud Exit Strategy (ID: G00311602)

Giarte. (2014). Outsourcing Performance 2015: Outlook Strategy Research. Amsterdam, Giarte Media Group B.V. pp. 10-19

49

Heiser, J. (2013, 18 september). You have 2 weeks to pickup your cloud. Gartner. Geraadpleegd op: http://blogs.gartner.com/jay-heiser/2013/09/18/burstcloud/

Hilgendorf, K. (2013, 18 september). Cloud Exit Strategies - You DO need them!. Gartner.

Geraadpleegd op http://blogs.gartner.com/kyle-hilgendorf/2013/09/18/cloud-exit-strategies-you- do-need-them/

Van Houten, P., Spruit, M., Wolters, K. (2015). Informatiebeveiliging onder controle, grondslagen, management, organisatie en techniek. Pearson Education Benelux.

Huijbers, P. (2017, September 7). CIO verliest macht door versnippering. Computable.

Geraadpleegd op https://www.computable.nl/artikel/opinie/management/6193979/1509029/cio- verliest-macht-door-

versnippering.html?utm_source=nieuwsbrief&utm_medium=email&utm_campaign=Dagelijks_07 _09_2017&utm_content=topartikelen

IIA - The Institute of Internal Auditors. (2012). Global Technology Audit Guide – Information Technology Risk and Controls - 2nd Edition. IIA.

Information Security Forum Limited. (2018). The Standard of Good Practice for Information Security 2018. Geraadpleegd op: www.securityforum.org

ISACA. (2012). Security Considerations for Cloud Computing, pp. 17-24. Geraadpleegd op: www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Security- Considerations-for-Cloud-Computing.aspx

ISACA. (2014a). Controls and Assurance in the Cloud: Using COBIT® 5. Geraadpleegd op www.isaca.org

ISACA. (2014b). Vendor Management Using COBIT 5. Geraadpleegd op www.isaca.org

ISO (the International Organization for Standardization). (2016). Information technology — Cloud computing — Service level agreement (SLA) framework —. (ID: ISO / IEC 19086-1). Geraadpleegd op www.iso.org

National Institute of Standards and Technology (NIST). (2003). Guide to Information Technology Security Services (special publication 800-35). P. 36. Geraadpleegd op

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-35.pdf

National Institute of Standards and Technology (NIST). (2011). The NIST Definition of Cloud Computing (special publication 800-145). PP. 6-7. Geraadpleegd op

http://nvlpubs.nist.gov/nistpubs/Legacy/SP/nistspecialpublication800-145.pdf

National Institute of Standards and Technology (NIST). (2012). Guide for Conducting Risk Assessments (special publication 800-30). Geraadpleegd op

https://csrc.nist.gov/publications/detail/sp/800-30/rev-1/final

National Outsourcing Association (NOA). (2014). A practical manual for effective exiting of outsourcing agreements. Geraadpleegd op: http://www.gsa-uk.com/files/575.pdf

50

National Outsourcing Association (NOA). (2013a) Exit Management. Geraadpleegd op: http://www.gsa-uk.com/files/275.pdf

National Outsourcing Association (NOA). (2015) NOA Glossary of Sourcing terms. Geraadpleegd op: http://www.gsa-uk.com/files/772.pdf

National Outsourcing Association (NOA). (2013b). Exit Management and Transition Checklist. Geraadpleegd op: http://www.gsa-uk.com/files/162.pdf

Schaffer, H.E., (2014). Will You Ever Need an Exit Strategy?. IT Professional, vol. 16, no. 2, 2014, pp. 4–6. Geraadpleegd op:

https://www.computer.org/csdl/mags/it/2014/02/mit2014020004.html

Van Tuil, K., (2009, 11 september). 7 Tips tegen vendor lock-in in de cloud. Geraadpleegd op: https://computerworld.nl/cloud/61942-7-tips-tegen-vendor-lock-in-in-de-cloud

Vaasen, E., Bollen, L., Meuwissen, R., Vluggen, M., Hartmann, F. (2012). Basisboek Informatie & Control. Groningen. Noordhof Uitgevers B.V.

Veldhuis, B., (2015, 3 juni). Wat is een Cloud Exit Strategie precies en hoe voer je het uit?

Geraadpleegd op http://blog.weolcan.eu/wat-is-een-cloud-exit-strategie-precies-en-hoe-voer-je- het-uit?

Verschuren, P., Doorewaard, J. (2015). Het ontwerpen van een onderzoek. Amsterdam. Boom Lemma Uitgevers

Weerd, Th. de, (2016, 11 februari). Wat alvast te regelen voor de exit? [presentatie seminar contracteren Platform Outsourcing Nederland]. Houthoff Buruma. Geraadpleegd op: http://www.video4slides.nl/videos/tdeweerd/

Wijers, G., Verhoef, D. (2006). De RfP voor IT-Outsourcing. Lunteren. itSMF-Nederland Gebruikte afbeeldingen

Figuur 3 Cloud Computing en de dienstverleningsmodellen. Bron: https://www.soa.org/News-and- Publications/Newsletters/Compact/2013/october/Cloud-Computing-For-Actuaries---IaaS,-PaaS,- SaaS%E2%80%94What-Do-These-Mean-And-Why-Do-I-Care-.aspx

51

In document SaaS Exit Strategieën (pagina 45-51)