Blog

5 belangrijke vragen over security en compliancy bij de inzet van cloud

Door:  Bart Hoogenraad

Aandacht voor de veiligheid van de cloudomgeving is voor elke organisatie een prioriteit, want de gevolgen van missers kunnen catastrofaal zijn. Denk aan imagoschade, onderbreking van de dienstverlening of simpelweg hoge kosten omdat medewerkers hun werk niet kunnen doen. Veel problemen kunnen al worden voorkomen op het moment van keuze van de clouddienst. Het is verstandiger om vooraf bij de leverancier te checken welke voorzorgen zijn genomen op het gebied van security en compliancy. Niet alleen de cloudprovider is overigens verantwoordelijk voor de veiligheid van de cloudomgeving; als organisatie moet je zelf ook maatregelen treffen.

Het stellen van de juiste vragen helpt bij een weloverwogen keuze voor een clouddienst. Deze blog behandelt vijf belangrijke vragen over security en compliancy die je niet mag vergeten bij de inzet van cloud.

1. Waar bewaart de cloudleverancier mijn data in de cloud?

De locatie waar clouddata mogen worden opgeslagen, is afhankelijk van verschillende factoren, zoals het soort data en wet- en regelgeving. Zo mogen bepaalde data vanwege de privacywetgeving Europa niet uit. Bij de keuze voor een clouddienst is het zaak om na te gaan of deze verplichting ook voor uw organisatie - en de data die u verwerkt - geldt. Stel deze vraag aan de beoogde leverancier.

2. Hoe is de security van de clouddienst geregeld? 

Kijk naar de dienstenspecificatie om volledig op de hoogte te zijn van wat de dienst inhoudt. Er zijn immers verschillen in de manier waarop de dienstverlening is opgebouwd. Wanneer u bijvoorbeeld dienstverlening vanuit een private cloud afneemt, zal een securitydienst over het algemeen voor de gehele omgeving gelden. Bij het gebruik van een public cloud zoals Amazon Web Services (AWS) of Azure dient u per ‘host’ maatregelen te nemen. Vraag daarom uw leverancier hoe dit is geregeld.

3. Welke certificeringen heeft de cloudleverancier en hoe koppelen die met certificeringen van partijen waarvan de dienst afhankelijk is en binnen welke scope?

Veel cloudleveranciers geven aan dat ze werken volgens een certificering. Dit is niet hetzelfde als daadwerkelijk gecertificeerd zijn. De belangrijkste certificeringen zijn: ISO 27001, SSAE-16 type II, PCI-DSS, NEN7510, ISAE3402. Het is belangrijk om na te gaan wat die certificering inhoudt en wat de scope van de certificering is. Een certificering moet zowel voor het platform als de (beheer)dienstverlening gelden. Voor een veilige dienst is het van belang om te vragen of de dienstverlening end-to-end gecertificeerd is. Dit betekent dat alle partijen die in de dienstverlening zijn betrokken over aansluitende certificeringen beschikken.

4. Wat voor data sla ik op in de cloud?

U blijft eigenaar van de data en moet zelf een keuze maken welke data al dan niet de cloud in gaan en welke type cloud het beste past. Voor cloudleveranciers is de data een black box, ze willen niet weten wat voor informatie er in hun cloud staat. Om een goede keuze te maken, is het zaak om te kijken hoe de cloudleverancier is georganiseerd en wat voor maatregelen ze hebben genomen. U kunt vervolgens aanvullende maatregelen treffen, zoals de data versleuteld opslaan en het gebruik van versleutelde datastromen. Of de externe toegang extra beveiligen door gebruik van tokens in plaats van alleen een wachtwoord. Leveranciers kunnen u uiteraard adviseren bij het maken van de juiste keuzes. 

5. Wat is veiliger: cloud of on-premise?

Veel organisaties staan stil bij de veiligheidsrisico’s van de cloud. Toch is dit vaak onnodig. Datacenters zijn gespecialiseerde partijen en hebben over het algemeen professionele maatregelen getroffen om de continuïteit en veiligheid te garanderen. Denk hierbij aan beveiligde toegang tot het datacenter, cameratoezicht, maatregelen voor brandpreventie, hoogwaardige koelsystemen, redundante stroomvoorzieningen, etc. Het is nog maar de vraag of organisaties die hun data on-premise bewaren dezelfde voorzieningen kunnen treffen.

Bart Hoogenraad

Ik ben Manager Strategie & Innovatie bij Unit4 Office of HR en Unit4 Cloud Services. Ik heb meer dan 20 jaar ervaring met cloud services, Software as a Service en portfolio management.