1. SaaS:$Be'er$safe$than$sorry…$
!!!!!!!!!!!!!!!!!!!!!!!!!!!The!future!isn’t!what!it!used!to!be!

2. Mar2jn$Kriens$
• Director$Health:Lab$&$Amsterdam$Living$Lab$
• Board$member$IIP:SaaS$
• Univ.$of$Applied$science$Amsterdam$
• Founder$Medical$Data$Recorder$
• Partner$iCrowds$
• Founder$Wireless$Arnhem$
• Twi'er:$mar2jnkriens$
• Skype:$mar2jn.kriens$
• Mail:$mar2jn.kriens@icrowds.net$
• Tel:$+31$6$43088338$
• Blog:$www.iCrowds.net$

3. In$the$news…$
HD Traffic service
onbruikbaar na
netwerkstoring
$
September
DigiNotar-hac 2011
blijken 531 ce kers
rtificaten
te hebben ve
rvalst

4. Trust$

5. Agenda$
• Change$in$IT$
• SaaS$
• Risks$and$Assurance$
• TTISC$

6. CHANGE'IN'IT'

7. Mixed$reali2es$
Physical and Digital

8. Digital$space$

9. Digital$
Pub$

10. 800 million Digital Friends

11. Digital marketplace

12. Digital search

13. Digital hardware

14. Digital
life

15. Farmville is valued at 25 Billion
dollar.
Their business model is selling:
Digital
farming
equipment …

16. Building
blocks
of the Internet

17. (1 − z3 / 6) / (z − z2 / 2)2 + c

18. Effects$
• (Unlimited)$Scalability$
– IT!becomes!a!scalable!cost!
• (Ubiquitous)$Communica2on$
• Transac2ons$in$milliseconds$
• (Seamless)$Coopera2on$
– Opening!up!internal!systems!for!partners!
• Any2me,$Anywhere$
– Instantaneous!as!well!as!a:synchronous!
• (Maximum)Transparency$
– Digital!trust!through!access!to!data!and!cer<ficates!
(1 − z3 / 6) / (z − z2 / 2)2 + c

19. SAAS'

20. What$is$cloud$compu2ng?$
• A$compu2ng$mode$where$so`ware$and$data$are$
provided$by$third$par2es$through$services$
• a$user$pays$only$for$usage$
• Like$u2li2es$
$
• Services$are$installed$only$once,$which$makes$life$
easier$for$the$vendor$

21. What$is$cloud$compu2ng$(2)?$
• Is$that$all?$
• No$
• Services$business$goes$into$so`ware$
– New!dis<bu<on!channels!and!new!offerings!
– New!entrants!in!all!kinds!of!business!
• Services$can$be$recombined$$

22. iDeal$
22$

23. iDeal$
• Easy,$Safe,$real:2me$and$Secure$payment$
– Within!a!commercial!transac<on:!payment!as!a!service!
• Hybrid$Mixture$of$flexible$front:end$and$mature$
back:end$
• Clearly$posi2oned$in$the$market$
• Easy$access$for$small$web$shops$
• Reuse%and%integra-on%of%legacy!%
23$

24. Carglass$
24$

25. Carglass$
• Strong$integra2on$with$Insurance$company$
(insurance$company$only$has$to$pay..)$
• Premium$price,$more$efficient$process$
• Issues:$
– Dependency!(channel!to!customer)!
– Cost!accoun<ng!(compound!services)!
• Business,%payments%and%channel%ownership%
25$

26. Amazon$Mechanical$Turk$
26$

27. Amazon$Mechanical$Turk$
• Used$as$a$so`ware$service$
• People$all$over$the$world$
• Tasks$that$are$hard$for$computers$
(but$easy$for$humans)$
• Examples:$
– Find!contact!e:mail!on!websites!($!0.03)!
– Write!a!2:3!paragraph!blog!entry!($0.50)!!
• Services!%
27$

28. Google$Bank$
28$

29. Google$Bank$opportuni2es$
• Peer$to$Peer$and$Microloans$(addLoans..)$
• Risk$Management$(Google$knows$it$all)$
• Wisdom$of$Crowds$(Communi2es)$ The image cannot be displayed. Your computer may not have enough
memory to open the image, or the image may have been corrupted.
Restart your computer, and then open the file again. If the red x still
appears, you may have to delete the image and then insert it again.
• Micropayments$(Google$Phone!)$
• New%entrants%
29$

31. Major$themes$
• Business$Services$Innova2on$
– analysis!and!design!of!services!from!a!business!
perspec<ve.!!
• So`ware$Services$Evolu2on$
– the!soNware!technology!needed!to!execute!these!
services.!
• Services$Transi2on$
– the!transi<on!from!classical!soNware!applica<ons!
to!service:based!applica<ons.!
• Services$Governance$and$Opera2ons$
– the!opera<onal!aspects!of!keeping!services!
available.!!

32. RISK'AND'ASSURANCE'

33. Mashup$
In mashup normally more than 80%
is reuse of existing services
and less than 20% is new software

34. Assume$
To take for granted
UandME
To Assume makes an ASSout of

35. con2trol$
To exercise authoritative or
dominating influence over;
direct.

36. aslsurlance$
A statement or indication that
inspires confidence
Level of proof to build confidence
Trustworthy > adequate proof of trust
Confidence in the capabilities to realize promises …

37. Quality assurance is the systematic monitoring
and evaluation of the various aspects of a project,
service or facility to maximize the probability that
minimum standards of quality are being attained by
the production process. QA cannot absolutely
guarantee the production of quality products.
Systematic
monitoring and feedback
propability

39. Recursion

40. Assurance$in$chains$
SLA$ SLA$ SLA$ SLA$
Servi Servi Servi Servi
ce$ ce$ ce$ ce$

41. Risk'' Control'
Management $ Measurements $ Assurance$
$ $ $
$ $ $
$ $ $
$ $ $
$ $ $ Content network
$ $ $
$ $ $
Organization $ $ $
Assurance Framework ICT Service Chains
Business and technical assurance
Typology
$ $ $
$ $ $
$ $ $
$ $ $ Delivery network
$ $ $
$ $ $
$ $ $
$ $ $

42. Research$ques2ons$
• Q1:$What$are$the$risk$elements$
• Q2:$What$are$the$risk$control$pa'erns$
• Q3:$What$is$the$integrated$model$of$risk$and$controls$
• Q4:$How$to$achieve$assurance$in$SaaS$chains$

43. Content and delivery networks in Service Chains
Typology Content networks
Intra
Organization Risk
Characteristics Content Main
Networks attributes
Inter
Organization Risk
Characteristics
Company Typology compair
high
content network risk
Risk Typology Classification
low
low high
Intra Typology Delivery networks delivery network risk
Network Risk
Characteristics
Delivery Main
Networks attributes
Inter
Network Risk
Characteristics

44. TTISC'
Trustworthy$SaaS$chains $
IIP$Vitale$ICT$/$SaaS$

45. Partners $
Lydia'DuijvesIjn ' ''
'
'
Bart'Gijsen'/'Hans'van'den'Berg'/'Max'
Schreuder$
'
'
Steven'Luitjens'/'Jean'Paul'Bakker'
'
'
Prof.'Hans'Wortmann'/'Ype'van'Wijk'/'
MarIjn'Kriens $$
!!
%
Rob'van'der'Mei'
'

46. Scope TTISC
De interne ICT functie is aan verandering onderhevig en richt zich steeds meer op het toevoegen van services binnen de
business. Steeds meer van deze ICT services worden beschikbaar door ontwikkelingen als Software as a Service (SaaS)
en cloud computing. Een tendens is waarneembaar dat huidige op zichzelf staande applicaties vervangen worden door
ketens van gekoppelde externe netwerken van applicaties.
Deze trend zal naar verwachting tot gevolg hebben dat er vele nieuwe applicaties met nieuwe functionaliteit ontwikkeld
zullen worden die gekoppeld zijn aan bestaande applicaties. Een voorbeeld hiervan is Google Maps die in vele applicaties
gebruikt wordt voor routebeschrijvingen. Een sociaal netwerk als LinkedIn die er voor de gebruiker uit ziet als een enkele
applicatie, maakt momenteel gebruik van meer dan 800 externe interfaces en koppelingen.
Echter, deze explosie van wederzijdse afhankelijkheden leiden tevens tot nieuwe risico’s en bedreigingen. Vele
toepassingen worden afhankelijk van menige andere applicaties die op zichzelf wederom afhankelijk zijn van andere
koppelingen en toepassingen. Dit betekent dat vertrouwen in de applicatie leverancier afhankelijk is van vertrouwen in de
leveranciers van de leveranciers, ad infinitum.
In de praktijk zal dit betekenen dat een voldoende mate van assurance of vertrouwen gecreerd zal moeten worden in de
kwaliteit van de gehele keten van services en applicaties. Om dit te kunnen bieden is een objectieve methode noodzakelijk
voor risico beperking ten aanzien van de beschikbaarheid en het service- en kwaliteits niveau binnen de keten van services
en applicaties, en gericht is op een adequate niveau van assurance in de totale keten.
Het project TTISC richt zich op het onderkennen van de belangrijkste risicocomponenten en attributen in service ketens,
zowel ten aanzien van technische ICT (delivery networks) als de inhoudelijke business kant (content networks), gericht op
betrouwbaarheid en beschikbaarheid van service ketens. Door risico componenten te koppelen aan mitigerende
controlemaatregelen binnen een ICT technisch en business domein wordt een audit instrument en normenkader ontwikkeld
gericht op assurance in een specifieke ICT service keten. Uiteindelijk wordt getracht om tot een generalizering te komen in
een geintegreerd framework voor ICT ondersteunde service ketens.