Zowel zakelijk als privé is de cloud niet meer weg te denken uit het hedendaagse applicatielandschap en netwerkarchitectuur. De cloud maakt innovatie en flexibiliteit mogelijk, maar ook uit kostenoverwegingen interessant. Waar je privé al snel voor de cloud kiest is de transitie van data en applicaties voor organisaties een proces waar informatiebeveiligingsvraagtekens bij worden gezet. Waar moet je als bedrijf aan denken en wat kan je in overweging nemen bij een digitale transformatie naar de cloud?

Cloud, wat is dat?

Laten we beginnen met wat cloud nou eigenlijk is. Cloud heeft niet direct een relatie met internet, al zou deze suggestie snel gewekt kunnen worden. Cloud kan zowel on-premise (in het datacentrum van jouw organisatie) of on-demand (bij publieke aanbieders) op het internet worden toegepast. Wat cloud de cloud maakt zijn de typische karakteristieken die aan cloud kunnen worden toegewezen. Deze karakteristieken zijn door het NIST (National Institute of Standards and Technology) gestandaardiseerd.

In essentie draait cloud computing om het (verregaand) automatiseren van gestandaardiseerde ICT-infrastructuur: het geautomatiseerd kunnen opbouwen van systemen of platformen waardoor sneller (kortere time-to-market) infrastructuur kan worden geleverd wanneer dit wordt gevraagd.

Bij het afnemen van clouddiensten leg je beheer-verantwoordelijkheden bij de cloud provider. De mate waarin is afhankelijk van het dienstverleningsmodel. Als zowel de infrastructuur als de applicatie en de dataopslag wordt uitbesteed heb je minder invloed op de technische werking en technische inrichting van een clouddienst. Dan rijst al snel de vraag hoeveel grip je nog hebt op informatiebeveiliging.

 

Het principe

Het principe van (on-demand) in de cloud onderbrengen is dat het bezit en eigenaarschap van software wordt gescheiden van het gebruik. De software blijft bij on-demand oplossingen eigendom van de provider; je betaalt dus alleen voor het gebruik van de software en hebt een lokale installatie van de software nodig. Dit in tegenstelling tot het traditionele (‘on-premise’) model waarbij je alles lokaal installeert. Tevens wordt de bedrijfsdata die door de software wordt gebruikt opgeslagen bij de SaaS (Software as a Service) provider. Jouw organisatie heeft dus met een on-demand SaaS Cloud geen lokale servers meer nodig. Een pc met toegang tot het internet is voldoende. Maar hoe zit dat nou met informatiebeveiliging?

 

 

1 – Veiligheidsdiscussie

Wat zijn jouw belangrijkste stakeholders? Nodig hen uit voor een discussie over de digitale transformatie naar de cloud. De bedrijfseconomische belangen zijn groot en de investeringen in beheer en veilige oplossingen in jouw organisatie zullen alleen maar toenemen. Een hedendaagse cloud leverancier zal zeggen dat de beveiliging op orde is en veel beheerlast uit handen zal worden genomen. Maar de vraag is of dat voldoet aan wat jouw organisatie toe staat om applicaties en data naar een cloudoplossing te transformeren. Kortom, welke risico’s wil je afgedekt zien?

 

2 – Een cloud strategie

Met SaaS cloud implementaties worden nieuwe beveiligingsrisico’s geïntroduceerd. Door de juiste strategie te bepalen, kan je op een gecontroleerde manier vaak nog veiliger naar een cloud oplossing overgaan dan dat je zelf zou kunnen realiseren. Het uitstippelen van zo’n cloud strategie kan best lastig zijn.

Als je besluit om met applicaties en/of data over te gaan naar de cloud dan doe je er goed aan dit voor te bereiden. Om te voorkomen dat je de controle in de cloud verliest, is een cloud-strategie met een view op informatiebeveiliging een must.

Een belangrijke eerste stap is om aan de hand van dataclassificatie te bepalen welke data waar mogen staan. En belangrijker nog: welk type informatie beslist (nog) níet in de cloud mag staan.  Wanneer mag data in de cloud worden opgeslagen? Hoe kan deze data binnen het beveiligingsdomein van jouw organisatie worden beheerd? Staat wet- en regelgeving toe om data buiten Nederland of Europa op te slaan?

Het maken of wijzigen van het cloud beleid, Wet- en regelgeving, zoals de aankomende AVG/GDPR en de Wet Bescherming Persoonsgegevens, zijn van invloed op de te maken keuzes. Ook geldt dat, als er eenmaal gekozen is voor een ‘cloud-strategie’, er rekening gehouden moet worden met een ‘exit-strategie’. Bijvoorbeeld wanneer er wijzigingen plaatsvinden bij de leverancier van clouddiensten, er wijzigingen zijn met betrekking tot wet- en regelgeving of als er sprake is van beleidsaanpassingen.

 

3 – Principes en uitgangspunten

Principes zijn regels waar je je in ieder geval aan wilt houden. Een uitgangspunt is datgene wat als de basis of het vertrekpunt wordt gezien. Principes en uitgangspunten bieden houvast bij de ontwikkeling van doelen. Een paar belangrijke aandachtspunten om tot een uitwerking van principes en uitgangspunten te komen zijn:

  • De scope, (Privacy)wetgeving en het IB-beleid
  • De beveiliging tussen het datacenter van de cloud provider en de gebruikers
  • De cloud provider is niet verantwoordelijk voor de data, dat is altijd de organisatie zelf!
    (Met de privacywetgeving die nu van kracht is en de daarbij bekende boetes, is dit een zeer belangrijk punt om kritisch naar te kijken)
  • Certificeringen, normen, voorwaarden en overeenkomsten
    ( met extra aandacht op auditverslagen, verwerkersovereenkomst en opslaglocatie)

 

4 – Selectiecriteria

Vanuit de principes en uitgangspunten worden selectiecriteria opgesteld. De informatiebeveiliging (IB) risico’s en maatregelen kunnen worden uitgewerkt in een risicoanalyse, een business impact analyse en privacy impact analyse. Hierop komt een advies met een set van te nemen maatregelen. Deze worden aan het management voorgelegd. Zij kunnen aangeven welke risico wordt afgedekt met maatregelen, wordt geaccepteerd of wordt verlegd naar derden.

Het uitwerken van IB-maatregelen in IB-selectiecriteria zorgt ervoor dat er vooraf goed over wordt nagedacht. Het implementeren van maatregelen nadat een overeenkomst met een cloud provider is aangegaan kan je duur komen te staan. Vanwege een zwakke onderhandelingspositie is het tijdrovend of zelfs onmogelijk dit achteraf te realiseren. Dat is reden om geen van de vorige stappen over te slaan.

Nu heb je een beeld van de eisen en wensen die de organisatie stelt aan een cloud leverancier. En je hebt bepaald hoe zwaar de informatiebeveiliging aspecten wegen bij de selectie van een cloud provider.

 

5 – Kiezen van de juiste leverancier

Het is nu tijd om een leverancier te selecteren. Aangezien het om een langdurige afhankelijkheid van de leverancier gaat, is het van belang een weloverwogen keuze te maken. Zoek mogelijke leveranciers uit en vraag hen om meer informatie over hun dienstverlening aan te leveren. Op basis van de selectiecriteria uit stap 4 kan je eenvoudig in kaart brengen welke leveranciers in aanmerking komen. Vraag de overgebleven leveranciers om een offerte op basis van de eisen en wensen uit stap 4.

De selectie van een cloud provider is in de basis niet anders dan met andere leveranciers. Het verschil is wel dat het een outsourcing betreft en extra aandacht aan de specifieke zaken rondom informatiebeveiliging noodzakelijk zijn.

 

Tot slot

Ik raad je aan om niet te grote risico’s te nemen met een digitale transformatie naar de cloud. Een cloud roadmap is een handig hulpmiddel. Eerst de minder gevoelige en minder bedrijfskritische gegevens naar de cloud brengen om daarmee ervaring op te doen. Als je de gegevensopslag uitbesteedt, dan besteedt je per definitie ook het beheer op de (fysieke) beveiliging uit. Het vinden van een veilige en betrouwbare cloud leverancier met een flexibele oplossing is van essentieel belang voor de continuïteit van jouw organisatie.

En vergeet niet: elke organisatie is en blijft verantwoordelijk voor de informatie ook als deze in de cloud wordt plaatst!

Deel dit artikel met anderen
Share on FacebookShare on Google+Tweet about this on TwitterShare on LinkedInPin on PinterestEmail this to someonePrint this page

Johan is Senior Consultant bij Strict, en werkzaam op informatiebeveiliging voor cloud en infrastructuur die aansluit op uw organisatie, processen en ICT-technologie.