SaaS:$Be'er$safe$than$sorry…$

!!!!!!!!!!!!!!!!!!!!!!!!!!!The!future!isn’t!what!it!used!to!be!

Mar2jn$Kriens$

•  Director$Health:Lab$&$Amsterdam$Living$Lab$•  Board$member$IIP:SaaS$•  Univ.$of$Applied$science$Amsterdam$•  Founder$Medical$Data$Recorder$•  Partner$iCrowds$•  Founder$Wireless$Arnhem$

•  Twi'er:$mar2jnkriens$•  Skype:$mar2jn.kriens$•  Mail:$mar2jn.kriens@icrowds.net$•  Tel:$+31$6$43088338$•  Blog:$www.iCrowds.net$

In$the$news…$

HD Traffic service onbruikbaar na netwerkstoring

$

September 2011 DigiNotar-hackers blijken 531 certificaten te hebben vervalst

Trust$

Agenda$

•  Change$in$IT$•  SaaS$•  Risks$and$Assurance$•  TTISC$

CHANGE'IN'IT'

Mixed$reali2es$

Physical and Digital

Digital$space$

Digital$Pub$

800 million Digital Friends

Digital marketplace

Digital search

Digital hardware

Digital life

Farmville is valued at 25 Billion dollar. Their business model is selling: Digital farming equipment …

Building blocks

of the Internet

(1 − z3 / 6) / (z − z2 / 2)2 + c

Effects$

•  (Unlimited)$Scalability$–  IT!becomes!a!scalable!cost!

•  (Ubiquitous)$Communica2on$•  Transac2ons$in$milliseconds$

•  (Seamless)$Coopera2on$–  Opening!up!internal!systems!for!partners!

•  Any2me,$Anywhere$–  Instantaneous!as!well!as!a:synchronous!

•  (Maximum)Transparency$–  Digital!trust!through!access!to!data!and!cer<ficates!

(1 − z3 / 6) / (z − z2 / 2)2 + c

SAAS'

What$is$cloud$compu2ng?$

•  A$compu2ng$mode$where$so`ware$and$data$are$provided$by$third$par2es$through$services$

•  a$user$pays$only$for$usage$

•  Like$u2li2es$$•  Services$are$installed$only$once,$which$makes$life$easier$for$the$vendor$

What$is$cloud$compu2ng$(2)?$

•  Is$that$all?$•  No$

•  Services$business$goes$into$so`ware$–  New!dis<bu<on!channels!and!new!offerings!–  New!entrants!in!all!kinds!of!business!

•  Services$can$be$recombined$$

22$

iDeal$

23$

iDeal$

•  Easy,$Safe,$real:2me$and$Secure$payment$– Within!a!commercial!transac<on:!payment!as!a!service!

•  Hybrid$Mixture$of$flexible$front:end$and$mature$back:end$

•  Clearly$posi2oned$in$the$market$•  Easy$access$for$small$web$shops$

•  Reuse%and%integra-on%of%legacy!%

24$

Carglass$

25$

Carglass$

•  Strong$integra2on$with$Insurance$company$(insurance$company$only$has$to$pay..)$

•  Premium$price,$more$efficient$process$•  Issues:$

–  Dependency!(channel!to!customer)!–  Cost!accoun<ng!(compound!services)!

•  Business,%payments%and%channel%ownership%

26$

Amazon$Mechanical$Turk$

27$

Amazon$Mechanical$Turk$

•  Used$as$a$so`ware$service$•  People$all$over$the$world$•  Tasks$that$are$hard$for$computers$(but$easy$for$humans)$

•  Examples:$–  Find!contact!e:mail!on!websites!($!0.03)!– Write!a!2:3!paragraph!blog!entry!($0.50)!!

•  Services!%

28$

Google$Bank$

29$

Google$Bank$opportuni2es$

•  Peer$to$Peer$and$Microloans$(addLoans..)$•  Risk$Management$(Google$knows$it$all)$•  Wisdom$of$Crowds$(Communi2es)$•  Micropayments$(Google$Phone!)$

•  New%entrants%

The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.

Major$themes$•  Business$Services$Innova2on$

–  analysis!and!design!of!services!from!a!business!perspec<ve.!!

•  So`ware$Services$Evolu2on$–  the!soNware!technology!needed!to!execute!these!services.!

•  Services$Transi2on$–  the!transi<on!from!classical!soNware!applica<ons!to!service:based!applica<ons.!

•  Services$Governance$and$Opera2ons$–  the!opera<onal!aspects!of!keeping!services!available.!!

RISK'AND'ASSURANCE'

Mashup$

In mashup normally more than 80% is reuse of existing services and less than 20% is new software

Assume$

To take for granted

To Assume makes an ASSout ofUandME

con2trol$

To exercise authoritative or dominating influence over; direct.

aslsurlance$

A statement or indication that inspires confidence

Level of proof to build confidence Trustworthy > adequate proof of trust Confidence in the capabilities to realize promises …

Quality assurance is the systematic monitoring and evaluation of the various aspects of a project, service or facility to maximize the probability that minimum standards of quality are being attained by the production process. QA cannot absolutely guarantee the production of quality products.

Systematic monitoring and feedback propability

Recursion

Assurance$in$chains$

SLA$

Service$

SLA$

Service$

SLA$

Service$

SLA$

Service$

Risk''

Management$$$$$$$$$$$$$$$$$

Control'

Measurements$$$$$$$$$$$$$$$$$

Assurance$$$$$$$$$$$$$$$$$

Content network

Delivery network

Organization Typology

Assurance Framework ICT Service Chains Business and technical assurance

Research$ques2ons$

•  Q1:$What$are$the$risk$elements$

•  Q2:$What$are$the$risk$control$pa'erns$

•  Q3:$What$is$the$integrated$model$of$risk$and$controls$

•  Q4:$How$to$achieve$assurance$in$SaaS$chains$

Content and delivery networks in Service Chains

co

nten

t net

wor

k r

isk

lo

w

hig

h

Company Typology compair

low high delivery network risk

Intra Organization Risk

Characteristics

Inter Organization Risk

Characteristics

Content Networks

Main attributes

Typology Content networks

Intra Network Risk

Characteristics

Inter Network Risk

Characteristics

Delivery Networks

Main attributes

Typology Delivery networks

Risk Typology Classification

TTISC'

Trustworthy$SaaS$chains$IIP$Vitale$ICT$/$SaaS$

Partners$

Lydia'DuijvesIjn ' ''

'

'

Bart'Gijsen'/'Hans'van'den'Berg'/'Max'Schreuder$

'

'

Steven'Luitjens'/'Jean'Paul'Bakker'

'

'

Prof.'Hans'Wortmann'/'Ype'van'Wijk'/'MarIjn'Kriens $$!!

%Rob'van'der'Mei'

'

Scope TTISC

De interne ICT functie is aan verandering onderhevig en richt zich steeds meer op het toevoegen van services binnen de business. Steeds meer van deze ICT services worden beschikbaar door ontwikkelingen als Software as a Service (SaaS) en cloud computing. Een tendens is waarneembaar dat huidige op zichzelf staande applicaties vervangen worden door ketens van gekoppelde externe netwerken van applicaties. Deze trend zal naar verwachting tot gevolg hebben dat er vele nieuwe applicaties met nieuwe functionaliteit ontwikkeld zullen worden die gekoppeld zijn aan bestaande applicaties. Een voorbeeld hiervan is Google Maps die in vele applicaties gebruikt wordt voor routebeschrijvingen. Een sociaal netwerk als LinkedIn die er voor de gebruiker uit ziet als een enkele applicatie, maakt momenteel gebruik van meer dan 800 externe interfaces en koppelingen. Echter, deze explosie van wederzijdse afhankelijkheden leiden tevens tot nieuwe risico’s en bedreigingen. Vele toepassingen worden afhankelijk van menige andere applicaties die op zichzelf wederom afhankelijk zijn van andere koppelingen en toepassingen. Dit betekent dat vertrouwen in de applicatie leverancier afhankelijk is van vertrouwen in de leveranciers van de leveranciers, ad infinitum. In de praktijk zal dit betekenen dat een voldoende mate van assurance of vertrouwen gecreerd zal moeten worden in de kwaliteit van de gehele keten van services en applicaties. Om dit te kunnen bieden is een objectieve methode noodzakelijk voor risico beperking ten aanzien van de beschikbaarheid en het service- en kwaliteits niveau binnen de keten van services en applicaties, en gericht is op een adequate niveau van assurance in de totale keten. Het project TTISC richt zich op het onderkennen van de belangrijkste risicocomponenten en attributen in service ketens, zowel ten aanzien van technische ICT (delivery networks) als de inhoudelijke business kant (content networks), gericht op betrouwbaarheid en beschikbaarheid van service ketens. Door risico componenten te koppelen aan mitigerende controlemaatregelen binnen een ICT technisch en business domein wordt een audit instrument en normenkader ontwikkeld gericht op assurance in een specifieke ICT service keten. Uiteindelijk wordt getracht om tot een generalizering te komen in een geintegreerd framework voor ICT ondersteunde service ketens.