Veilig naar de cloud in 5 stappen
door Strict op wo 24 jan 2018
Zowel zakelijk als privé is de cloud niet meer weg te denken uit het hedendaagse applicatielandschap en netwerkarchitectuur. De cloud maakt innovatie en flexibiliteit mogelijk, maar ook uit kostenoverwegingen interessant. Waar je privé al snel voor de cloud kiest is de transitie van data en applicaties voor organisaties een proces waar informatiebeveiligingsvraagtekens bij worden gezet. Waar moet je als bedrijf aan denken en wat kan je in overweging nemen bij een digitale transformatie naar de cloud?
Cloud, wat is dat?
Laten we beginnen met wat cloud nou eigenlijk is. Cloud heeft niet direct een relatie met internet, al zou deze suggestie snel gewekt kunnen worden. Cloud kan zowel on-premise (in het datacentrum van jouw organisatie) of on-demand (bij publieke aanbieders) op het internet worden toegepast. Wat cloud de cloud maakt zijn de typische karakteristieken die aan cloud kunnen worden toegewezen. Deze karakteristieken zijn door het NIST (National Institute of Standards and Technology) gestandaardiseerd.
In essentie draait cloud computing om het (verregaand) automatiseren van gestandaardiseerde ICT-infrastructuur: het geautomatiseerd kunnen opbouwen van systemen of platformen waardoor sneller (kortere time-to-market) infrastructuur kan worden geleverd wanneer dit wordt gevraagd.
Bij het afnemen van clouddiensten leg je beheer-verantwoordelijkheden bij de cloud provider. De mate waarin is afhankelijk van het dienstverleningsmodel. Als zowel de infrastructuur als de applicatie en de dataopslag wordt uitbesteed heb je minder invloed op de technische werking en technische inrichting van een clouddienst. Dan rijst al snel de vraag hoeveel grip je nog hebt op informatiebeveiliging.
Het principe
Het principe van (on-demand) in de cloud onderbrengen is dat het bezit en eigenaarschap van software wordt gescheiden van het gebruik. De software blijft bij on-demand oplossingen eigendom van de provider; je betaalt dus alleen voor het gebruik van de software en hebt een lokale installatie van de software nodig. Dit in tegenstelling tot het traditionele (‘on-premise’) model waarbij je alles lokaal installeert. Tevens wordt de bedrijfsdata die door de software wordt gebruikt opgeslagen bij de SaaS (Software as a Service) provider. Jouw organisatie heeft dus met een on-demand SaaS Cloud geen lokale servers meer nodig. Een pc met toegang tot het internet is voldoende. Maar hoe zit dat nou met informatiebeveiliging?
1 – Veiligheidsdiscussie
Wat zijn jouw belangrijkste stakeholders? Nodig hen uit voor een discussie over de digitale transformatie naar de cloud. De bedrijfseconomische belangen zijn groot en de investeringen in beheer en veilige oplossingen in jouw organisatie zullen alleen maar toenemen. Een hedendaagse cloud leverancier zal zeggen dat de beveiliging op orde is en veel beheerlast uit handen zal worden genomen. Maar de vraag is of dat voldoet aan wat jouw organisatie toe staat om applicaties en data naar een cloudoplossing te transformeren. Kortom, welke risico’s wil je afgedekt zien?
2 – Een cloud strategie
Met SaaS cloud implementaties worden nieuwe beveiligingsrisico’s geïntroduceerd. Door de juiste strategie te bepalen, kan je op een gecontroleerde manier vaak nog veiliger naar een cloud oplossing overgaan dan dat je zelf zou kunnen realiseren. Het uitstippelen van zo’n cloud strategie kan best lastig zijn.
Als je besluit om met applicaties en/of data over te gaan naar de cloud dan doe je er goed aan dit voor te bereiden. Om te voorkomen dat je de controle in de cloud verliest, is een cloud-strategie met een view op informatiebeveiliging een must.
Een belangrijke eerste stap is om aan de hand van dataclassificatie te bepalen welke data waar mogen staan. En belangrijker nog: welk type informatie beslist (nog) níet in de cloud mag staan. Wanneer mag data in de cloud worden opgeslagen? Hoe kan deze data binnen het beveiligingsdomein van jouw organisatie worden beheerd? Staat wet- en regelgeving toe om data buiten Nederland of Europa op te slaan?
Het maken of wijzigen van het cloud beleid, Wet- en regelgeving, zoals de aankomende AVG/GDPR en de Wet Bescherming Persoonsgegevens, zijn van invloed op de te maken keuzes. Ook geldt dat, als er eenmaal gekozen is voor een ‘cloud-strategie’, er rekening gehouden moet worden met een ‘exit-strategie’. Bijvoorbeeld wanneer er wijzigingen plaatsvinden bij de leverancier van clouddiensten, er wijzigingen zijn met betrekking tot wet- en regelgeving of als er sprake is van beleidsaanpassingen.
3 – Principes en uitgangspunten
Principes zijn regels waar je je in ieder geval aan wilt houden. Een uitgangspunt is datgene wat als de basis of het vertrekpunt wordt gezien. Principes en uitgangspunten bieden houvast bij de ontwikkeling van doelen. Een paar belangrijke aandachtspunten om tot een uitwerking van principes en uitgangspunten te komen zijn:
- De scope, (Privacy)wetgeving en het IB-beleid
- De beveiliging tussen het datacenter van de cloud provider en de gebruikers
- De cloud provider is niet verantwoordelijk voor de data, dat is altijd de organisatie zelf!
(Met de privacywetgeving die nu van kracht is en de daarbij bekende boetes, is dit een zeer belangrijk punt om kritisch naar te kijken) - Certificeringen, normen, voorwaarden en overeenkomsten
( met extra aandacht op auditverslagen, verwerkersovereenkomst en opslaglocatie)
4 – Selectiecriteria
Vanuit de principes en uitgangspunten worden selectiecriteria opgesteld. De informatiebeveiliging (IB) risico’s en maatregelen kunnen worden uitgewerkt in een risicoanalyse, een business impact analyse en privacy impact analyse. Hierop komt een advies met een set van te nemen maatregelen. Deze worden aan het management voorgelegd. Zij kunnen aangeven welke risico wordt afgedekt met maatregelen, wordt geaccepteerd of wordt verlegd naar derden.
Het uitwerken van IB-maatregelen in IB-selectiecriteria zorgt ervoor dat er vooraf goed over wordt nagedacht. Het implementeren van maatregelen nadat een overeenkomst met een cloud provider is aangegaan kan je duur komen te staan. Vanwege een zwakke onderhandelingspositie is het tijdrovend of zelfs onmogelijk dit achteraf te realiseren. Dat is reden om geen van de vorige stappen over te slaan.
Nu heb je een beeld van de eisen en wensen die de organisatie stelt aan een cloud leverancier. En je hebt bepaald hoe zwaar de informatiebeveiliging aspecten wegen bij de selectie van een cloud provider.
5 – Kiezen van de juiste leverancier
Het is nu tijd om een leverancier te selecteren. Aangezien het om een langdurige afhankelijkheid van de leverancier gaat, is het van belang een weloverwogen keuze te maken. Zoek mogelijke leveranciers uit en vraag hen om meer informatie over hun dienstverlening aan te leveren. Op basis van de selectiecriteria uit stap 4 kan je eenvoudig in kaart brengen welke leveranciers in aanmerking komen. Vraag de overgebleven leveranciers om een offerte op basis van de eisen en wensen uit stap 4.
De selectie van een cloud provider is in de basis niet anders dan met andere leveranciers. Het verschil is wel dat het een outsourcing betreft en extra aandacht aan de specifieke zaken rondom informatiebeveiliging noodzakelijk zijn.
Tot slot
Ik raad je aan om niet te grote risico’s te nemen met een digitale transformatie naar de cloud. Een cloud roadmap is een handig hulpmiddel. Eerst de minder gevoelige en minder bedrijfskritische gegevens naar de cloud brengen om daarmee ervaring op te doen. Als je de gegevensopslag uitbesteedt, dan besteedt je per definitie ook het beheer op de (fysieke) beveiliging uit. Het vinden van een veilige en betrouwbare cloud leverancier met een flexibele oplossing is van essentieel belang voor de continuïteit van jouw organisatie.
En vergeet niet: elke organisatie is en blijft verantwoordelijk voor de informatie ook als deze in de cloud wordt plaatst!
- Technologie (134)
- Nieuws (70)
- 5G (67)
- Continuïteit (64)
- Security & Privacy (57)
- Agility (35)
- Podcast (34)
- Wendbaarheid (31)
- Klantcase (18)
- Webinar (18)
- Blog (16)
- Innovatie (13)
- Mission Critical (13)
- Healthcare (12)
- Overheid (12)
- AI (11)
- Cloud (9)
- Medewerker interview (8)
- Smart City (7)
- Video (7)
- OOV (5)
- Vervoer (5)
- Projectmanagement (3)
- Duurzaamheid (2)
- december 2024 (4)
- november 2024 (9)
- oktober 2024 (9)
- september 2024 (10)
- augustus 2024 (6)
- juli 2024 (9)
- juni 2024 (6)
- mei 2024 (3)
- april 2024 (9)
- maart 2024 (11)
- februari 2024 (4)
- december 2023 (2)
- november 2023 (4)
- oktober 2023 (3)
- september 2023 (3)
- juli 2023 (4)
- juni 2023 (3)
- mei 2023 (6)
- april 2023 (2)
- maart 2023 (5)
- februari 2023 (1)
- januari 2023 (1)
- december 2022 (1)
- november 2022 (2)
- oktober 2022 (3)
- september 2022 (3)
- augustus 2022 (3)
- juli 2022 (8)
- juni 2022 (6)
- mei 2022 (4)
- april 2022 (5)
- maart 2022 (4)
- februari 2022 (5)
- januari 2022 (2)
- november 2021 (2)
- oktober 2021 (1)
- september 2021 (3)
- augustus 2021 (2)
- juli 2021 (1)
- juni 2021 (1)
- mei 2021 (1)
- april 2021 (3)
- maart 2021 (1)
- februari 2021 (1)
- november 2020 (1)
- augustus 2020 (1)
- juli 2020 (2)
- mei 2020 (2)
- april 2020 (4)
- maart 2020 (5)
- februari 2020 (3)
- januari 2020 (5)
- december 2019 (2)
- november 2019 (3)
- oktober 2019 (5)
- september 2019 (1)
- augustus 2019 (3)
- juli 2019 (2)
- juni 2019 (3)
- mei 2019 (2)
- april 2019 (4)
- maart 2019 (8)
- februari 2019 (6)
- januari 2019 (3)
- december 2018 (4)
- november 2018 (2)
- oktober 2018 (10)
- september 2018 (6)
- augustus 2018 (8)
- juli 2018 (2)
- juni 2018 (7)
- mei 2018 (3)
- maart 2018 (3)
- februari 2018 (3)
- januari 2018 (3)
- december 2017 (6)
- november 2017 (5)
- oktober 2017 (5)
- september 2017 (5)
- juli 2017 (1)
- juni 2017 (4)
- mei 2017 (1)
- maart 2017 (9)
- februari 2017 (1)
- januari 2017 (1)
- december 2016 (1)
- oktober 2016 (2)
- september 2016 (2)
- augustus 2016 (6)
- juli 2016 (1)
- juni 2016 (3)
- mei 2016 (2)
- april 2016 (3)
- maart 2016 (3)
- januari 2016 (1)
- december 2015 (1)
- november 2015 (2)
- oktober 2015 (1)
- september 2015 (2)
- augustus 2015 (1)
- juli 2015 (1)
- juni 2015 (2)
- mei 2015 (2)
- maart 2015 (2)
- februari 2015 (2)
- juni 2014 (1)