Upload
martijn-kriens
View
345
Download
0
Embed Size (px)
Citation preview
SaaS:$Be'er$safe$than$sorry…$
!!!!!!!!!!!!!!!!!!!!!!!!!!!The!future!isn’t!what!it!used!to!be!
Mar2jn$Kriens$
• Director$Health:Lab$&$Amsterdam$Living$Lab$• Board$member$IIP:SaaS$• Univ.$of$Applied$science$Amsterdam$• Founder$Medical$Data$Recorder$• Partner$iCrowds$• Founder$Wireless$Arnhem$
• Twi'er:$mar2jnkriens$• Skype:$mar2jn.kriens$• Mail:[email protected]$• Tel:$+31$6$43088338$• Blog:$www.iCrowds.net$
In$the$news…$
HD Traffic service onbruikbaar na netwerkstoring
$
September 2011 DigiNotar-hackers blijken 531 certificaten te hebben vervalst
Trust$
Agenda$
• Change$in$IT$• SaaS$• Risks$and$Assurance$• TTISC$
CHANGE'IN'IT'
Mixed$reali2es$
Physical and Digital
Digital$space$
Digital$Pub$
800 million Digital Friends
Digital marketplace
Digital search
Digital hardware
Digital life
Farmville is valued at 25 Billion dollar. Their business model is selling: Digital farming equipment …
Building blocks
of the Internet
(1 − z3 / 6) / (z − z2 / 2)2 + c
Effects$
• (Unlimited)$Scalability$– IT!becomes!a!scalable!cost!
• (Ubiquitous)$Communica2on$• Transac2ons$in$milliseconds$
• (Seamless)$Coopera2on$– Opening!up!internal!systems!for!partners!
• Any2me,$Anywhere$– Instantaneous!as!well!as!a:synchronous!
• (Maximum)Transparency$– Digital!trust!through!access!to!data!and!cer<ficates!
(1 − z3 / 6) / (z − z2 / 2)2 + c
SAAS'
What$is$cloud$compu2ng?$
• A$compu2ng$mode$where$so`ware$and$data$are$provided$by$third$par2es$through$services$
• a$user$pays$only$for$usage$
• Like$u2li2es$$• Services$are$installed$only$once,$which$makes$life$easier$for$the$vendor$
What$is$cloud$compu2ng$(2)?$
• Is$that$all?$• No$
• Services$business$goes$into$so`ware$– New!dis<bu<on!channels!and!new!offerings!– New!entrants!in!all!kinds!of!business!
• Services$can$be$recombined$$
22$
iDeal$
23$
iDeal$
• Easy,$Safe,$real:2me$and$Secure$payment$– Within!a!commercial!transac<on:!payment!as!a!service!
• Hybrid$Mixture$of$flexible$front:end$and$mature$back:end$
• Clearly$posi2oned$in$the$market$• Easy$access$for$small$web$shops$
• Reuse%and%integra-on%of%legacy!%
24$
Carglass$
25$
Carglass$
• Strong$integra2on$with$Insurance$company$(insurance$company$only$has$to$pay..)$
• Premium$price,$more$efficient$process$• Issues:$
– Dependency!(channel!to!customer)!– Cost!accoun<ng!(compound!services)!
• Business,%payments%and%channel%ownership%
26$
Amazon$Mechanical$Turk$
27$
Amazon$Mechanical$Turk$
• Used$as$a$so`ware$service$• People$all$over$the$world$• Tasks$that$are$hard$for$computers$(but$easy$for$humans)$
• Examples:$– Find!contact!e:mail!on!websites!($!0.03)!– Write!a!2:3!paragraph!blog!entry!($0.50)!!
• Services!%
28$
Google$Bank$
29$
Google$Bank$opportuni2es$
• Peer$to$Peer$and$Microloans$(addLoans..)$• Risk$Management$(Google$knows$it$all)$• Wisdom$of$Crowds$(Communi2es)$• Micropayments$(Google$Phone!)$
• New%entrants%
The image cannot be displayed. Your computer may not have enough memory to open the image, or the image may have been corrupted. Restart your computer, and then open the file again. If the red x still appears, you may have to delete the image and then insert it again.
Major$themes$• Business$Services$Innova2on$
– analysis!and!design!of!services!from!a!business!perspec<ve.!!
• So`ware$Services$Evolu2on$– the!soNware!technology!needed!to!execute!these!services.!
• Services$Transi2on$– the!transi<on!from!classical!soNware!applica<ons!to!service:based!applica<ons.!
• Services$Governance$and$Opera2ons$– the!opera<onal!aspects!of!keeping!services!available.!!
RISK'AND'ASSURANCE'
Mashup$
In mashup normally more than 80% is reuse of existing services and less than 20% is new software
Assume$
To take for granted
To Assume makes an ASSout ofUandME
con2trol$
To exercise authoritative or dominating influence over; direct.
aslsurlance$
A statement or indication that inspires confidence
Level of proof to build confidence Trustworthy > adequate proof of trust Confidence in the capabilities to realize promises …
Quality assurance is the systematic monitoring and evaluation of the various aspects of a project, service or facility to maximize the probability that minimum standards of quality are being attained by the production process. QA cannot absolutely guarantee the production of quality products.
Systematic monitoring and feedback propability
Recursion
Assurance$in$chains$
SLA$
Service$
SLA$
Service$
SLA$
Service$
SLA$
Service$
Risk''
Management$$$$$$$$$$$$$$$$$
Control'
Measurements$$$$$$$$$$$$$$$$$
Assurance$$$$$$$$$$$$$$$$$
Content network
Delivery network
Organization Typology
Assurance Framework ICT Service Chains Business and technical assurance
Research$ques2ons$
• Q1:$What$are$the$risk$elements$
• Q2:$What$are$the$risk$control$pa'erns$
• Q3:$What$is$the$integrated$model$of$risk$and$controls$
• Q4:$How$to$achieve$assurance$in$SaaS$chains$
Content and delivery networks in Service Chains
co
nten
t net
wor
k r
isk
lo
w
hig
h
Company Typology compair
low high delivery network risk
Intra Organization Risk
Characteristics
Inter Organization Risk
Characteristics
Content Networks
Main attributes
Typology Content networks
Intra Network Risk
Characteristics
Inter Network Risk
Characteristics
Delivery Networks
Main attributes
Typology Delivery networks
Risk Typology Classification
TTISC'
Trustworthy$SaaS$chains$IIP$Vitale$ICT$/$SaaS$
Partners$
Lydia'DuijvesIjn ' ''
'
'
Bart'Gijsen'/'Hans'van'den'Berg'/'Max'Schreuder$
'
'
Steven'Luitjens'/'Jean'Paul'Bakker'
'
'
Prof.'Hans'Wortmann'/'Ype'van'Wijk'/'MarIjn'Kriens $$!!
%Rob'van'der'Mei'
'
Scope TTISC
De interne ICT functie is aan verandering onderhevig en richt zich steeds meer op het toevoegen van services binnen de business. Steeds meer van deze ICT services worden beschikbaar door ontwikkelingen als Software as a Service (SaaS) en cloud computing. Een tendens is waarneembaar dat huidige op zichzelf staande applicaties vervangen worden door ketens van gekoppelde externe netwerken van applicaties. Deze trend zal naar verwachting tot gevolg hebben dat er vele nieuwe applicaties met nieuwe functionaliteit ontwikkeld zullen worden die gekoppeld zijn aan bestaande applicaties. Een voorbeeld hiervan is Google Maps die in vele applicaties gebruikt wordt voor routebeschrijvingen. Een sociaal netwerk als LinkedIn die er voor de gebruiker uit ziet als een enkele applicatie, maakt momenteel gebruik van meer dan 800 externe interfaces en koppelingen. Echter, deze explosie van wederzijdse afhankelijkheden leiden tevens tot nieuwe risico’s en bedreigingen. Vele toepassingen worden afhankelijk van menige andere applicaties die op zichzelf wederom afhankelijk zijn van andere koppelingen en toepassingen. Dit betekent dat vertrouwen in de applicatie leverancier afhankelijk is van vertrouwen in de leveranciers van de leveranciers, ad infinitum. In de praktijk zal dit betekenen dat een voldoende mate van assurance of vertrouwen gecreerd zal moeten worden in de kwaliteit van de gehele keten van services en applicaties. Om dit te kunnen bieden is een objectieve methode noodzakelijk voor risico beperking ten aanzien van de beschikbaarheid en het service- en kwaliteits niveau binnen de keten van services en applicaties, en gericht is op een adequate niveau van assurance in de totale keten. Het project TTISC richt zich op het onderkennen van de belangrijkste risicocomponenten en attributen in service ketens, zowel ten aanzien van technische ICT (delivery networks) als de inhoudelijke business kant (content networks), gericht op betrouwbaarheid en beschikbaarheid van service ketens. Door risico componenten te koppelen aan mitigerende controlemaatregelen binnen een ICT technisch en business domein wordt een audit instrument en normenkader ontwikkeld gericht op assurance in een specifieke ICT service keten. Uiteindelijk wordt getracht om tot een generalizering te komen in een geintegreerd framework voor ICT ondersteunde service ketens.