Beveiliging en de cloud gaan hand in hand, daar zal iedereen het mee eens zijn. Toch zien we elke dag dat de praktijk weerbarstig is. Want hoe herken je nou een cloudleverancier die beveiliging echt serieus neemt? Waar moet je allemaal op letten? En hoe kan een organisatie een cloudleverancier selecteren die de beveiliging van persoonsgegevens serieus neemt? De iTRACTION-whitepaper ‘5 valkuilen bij het afsluiten van Cloudcontracten‘ behandelt een aantal manieren om dat te doen.
Check 1: Legt de Cloudleverancier zijn beveiligingsbeleid uit?
‘Is de Cloudleverancier überhaupt bezig met het beveiligen van gegevens?,’ zegt manager Christian Prickaerts van het ‘Forensic Services’ team van Fox-IT in de whitepaper. ‘Als dat in een offerte bijvoorbeeld al niet eens benoemd wordt, dan kun je je afvragen of beveiliging wel op het netvlies staat van zo’n leverancier.’
Check 2: Stel vragen over de beveiliging
Daarnaast is het verstandig om een uitgebreide reeks vragen voor te leggen aan de Cloudleverancier, over de manier waarop deze de beveiliging van vragen geregeld heeft. Prickaerts: ‘Hoe wordt gegarandeerd dat gegevens alleen toegankelijk zijn voor geautoriseerd personeel? Worden gegevens bijvoorbeeld versleuteld, zodat de schade bij diefstal beperkt blijft? Hoe wordt toezicht gehouden op de beveiliging? Wordt de infrastructuur gedeeld met andere partijen die wellicht andere eisen stellen aan diezelfde omgeving?’
Check 3: Laat een externe partij een assessment uitvoeren
Maar hoe beoordeel je de juistheid op de beantwoording van dit type technische vragen? Prickaerts: ‘Dat kan lastig zijn. Bedrijven hebben niet per se voldoende omvang om de benodigde deskundigheid daartoe in huis te hebben. Je kunt natuurlijk een externe partij vragen om een assessment te maken van het beveiligingsniveau van de leverancier.
Check 4: Stel dezelfde beveiligingsvragen aan verschillende Cloudleveranciers
Prickaerts: ‘Daarnaast loont het de moeite om verschillende aanbieders om offertes te vragen en hen allemaal dezelfde beveiligingsvragen voor te leggen. Bedrijven die beveiliging serieus nemen zullen er op een andere manier over communiceren dan bedrijven die zeggen: maak je maar geen zorgen, dat is allemaal goed geregeld.’
Check 5: Biedt de Cloudleverancier extra beveiligingsopties?
Cloudleveranciers die een goede beveiligingscultuur hebben zijn daarnaast volgens Prickaerts te herkennen aan allerlei extra beveiligingsopties. Op het gebied van online werkplekbeheer kan een organisatie volgens Prickaerts bijvoorbeeld letten op de volgende zaken: ‘Hoe wordt er toegang gegeven tot de desktop of online werkplek? Is dat met een gebruikersnaam en wachtwoord, of wordt er gebruik gemaakt van sterkere authenticatie zoals een apart token of sms? Maar wat misschien nog belangrijker is: wordt er actief gemonitord op login-activiteiten? Wanneer de klant aangeeft wat een normaal activiteitenpatroon inhoudt, dan kan zo’n leverancier aan de bel trekken als hij zaken ziet die afwijken van normaal gedrag. Daarbij kan het bijvoorbeeld gaan om login-pogingen op vreemde momenten of vanaf ongebruikelijke en buitenlandse IP-adressen.’
Meer lezen over de risico’s van opslag van persoonsgegevens in de Cloud? Download de iTRACTION-whitepaper ‘5 valkuilen bij het afsluiten van Cloudcontracten‘.
Hoe gaat u om met privacy in uw organisatie? Waar loopt u tegenaan in de praktijk? En hoe heeft u dit opgelost? Wij stellen uw bijdrage erg op prijs, laat het ons en onze lezers weten in het commentaarveld beneden.