Veilig overstappen naar de cloud

Veel organisaties zijn bezig met de transformatie naar de cloud, hebben dit al gedaan of zijn hierin geïnteresseerd. Hiervoor moet een belangrijke stap genomen worden, namelijk de inventarisatie van: de omgeving, de kosten en de risico’s op het gebied van veiligheid. Bij het bepalen van deze risico’s moet er goed gekeken worden naar onder andere toegangsbeleid, back-ups, disaster recovery en bescherming van persoonsgegevens. In deze blog vindt u informatie over hoe Fundaments omgaat met de risico’s van de cloud. Daarnaast geven we handige tips voor het bepalen van de risico’s en het in kaart brengen van vraagstukken. Ook tonen we voorbeelden van maatregelen als u overweegt over te stappen naar de cloud.

Enkele methodieken

Risico’s die niet in kaart zijn gebracht en daardoor niet tijdig worden aangepakt, kunnen zorgen voor problemen. Dit willen we te allen tijde voorkomen. Er zijn diverse methodes voor het in kaart brengen van risico’s, waarbij gelijk de toepasselijkheid en mogelijke gevolgen van een risico zichtbaar worden.

Een belangrijke methode om te analyseren welke risico’s er zijn, is het in kaart brengen en bepalen van BIV-waardes (beschikbaarheid, integriteit en vertrouwelijkheid). De BIV-waardes geven nuttige informatie om te bepalen welke risico’s er hangen aan onder andere de servers, systemen, leveranciers, organisatie en medewerkers van Fundaments. Naast de BIV-waardes maakt Fundaments gebruik van MAPGOOD (mensen, apparatuur, programmatuur, gegevens, omgeving, organisatie en diensten). Deze twee methodieken geven Fundaments inzicht in mogelijke risico’s, alsmede een compleet overzicht van risico’s voor relevante bedrijfsonderdelen. Fundaments blijft altijd op de hoogte van nieuwe methodes en past deze vaak toe, zodat we altijd de meest actuele en passende methodieken gebruiken om risico’s in kaart te brengen.

Risicogebieden

Als we het hebben over de onderwerpen ‘naar de cloud gaan’, SaaS-dienstverlening en multi-cloud, zien we dat er meerdere risicogebieden zijn waarbij enkele belangrijke vraagstukken gelden:

  • Toegangsbeveiliging: is de omgeving beschermd tegen ongewenste toegang en hoe is dit georganiseerd?
  • Bescherming van persoonsgegevens: vindt er verwerking van persoonsgegevens plaats, wordt er gewerkt conform wetgeving en hoe gebeurt dit?
  • Wet- en regelgeving: voldoet de organisatie aan relevante wetgeving die impact kan hebben op de omgeving?
  • Bedrijfscontinuïteit: wat gebeurt er als een partij failliet gaat en hoe kunnen we ons voorbereiden op rampen zoals een overstroming, stroomuitval of brand in bijvoorbeeld een datacenter?
  • Prestaties & beschikbaarheid: doen leveranciers wat wij van ze vragen, wat zijn de afspraken met betrekking tot de beschikbaarheid en hoe is de Disaster Recovery geregeld?
  • Datafragmentatie- en kwaliteit: hoe wordt er omgegaan met de opslag van data en hoe wordt de betrouwbaarheid van data gewaarborgd?
  • Administratie: hoe wordt het accountbeheer georganiseerd en hoe worden gegevens ingevoerd, geëxtraheerd en geanalyseerd?
  • Shadow-IT: is er controle op wat er allemaal gebeurd in omgevingen en de organisatie? Wordt er gewerkt conform procedures?

Door antwoord te geven op deze vraagstukken wordt er per risicogebied inzichtelijk welke risico’s er zijn en of er aanvullende maatregelen nodig zijn. Niet elk risico behoeft namelijk een maatregel.

Maatregelen

Een risico kun je op vier manieren aanpakken, namelijk:

  • Mitigeren: risico’s overdragen of bijvoorbeeld onderbrengen bij een verzekering;
  • Voorkomen: het risico uitschakelen door relevante factoren weg te halen en het mogelijke gevolg te verwijderen;
  • Accepteren: soms kan een organisatie ervoor kiezen een risico te accepteren als de gevolgen niet ernstig zijn en de eventuele verliezen acceptabel zijn;
  • Verminderen: het risico zoveel mogelijk beperken door factoren weg te halen. Soms is het onmogelijk om een risico te verwijderen vanwege de dienstverlening.

Fundaments maakt bij het bepalen van maatregelen onderscheid tussen technische en organisatorische maatregelen.

Onder maatregelen met een technisch karakter verstaan we bijvoorbeeld het automatiseren van taken, het monitoren van omgevingen en beveiliging van apparatuur. Ook geldt hier de belangrijke term ‘governance’, waarbij maatregelen kunnen worden geïmplementeerd, zoals: audits, een SLM-tool en diverse strategieën om te voldoen aan normen en wet-en regelgeving. Enkele voorbeelden van organisatorische maatregelen zijn het inrichten van een passende on-en offboardingsprocedure voor partners alsmede een in- en uitdiensttredingsprocedure voor personeel. Toegang tot fysieke locaties, ruimtes en hardware en de controle hierop zijn tevens belangrijke organisatorische maatregelen die belangrijk zijn voor de veiligheid van uw cloudomgeving.

Het doorlopen van de in deze blog genoemde stappen, resulteert niet alleen in het voorkomen van ernstige incidenten en alle daarbij behorende gevolgen. U zult ook zien dat het gebruik van uw cloudomgeving makkelijker, sneller en gebruikersvriendelijk wordt, waarbij simpele taken geautomatiseerd raken. Daarnaast voldoet u aan belangrijke onderdelen van certificeringen, zoals de ISO 27001, NEN 7510 en ISAE 3402, waar Fundaments reeds voor is gecertificeerd.

Heeft u nog steeds twijfels over de gevaren van de cloud of heeft u vragen over hoe u het beste om kunt gaan met de risico’s in de cloud? Onze Security Officer Colin is altijd bereikbaar voor vragen en geeft graag best practices en tips, zodat ook u veilig in de cloud kunt werken! Klik hier om hem een mail te sturen.