Tweedimensionale render van cloud computing

NCSC adviseert over veilig inkopen van clouddiensten

Laatst bijgewerkt: 11 november 2020
Leestijd: 4 minuten, 40 seconden

Ben je voor jezelf of je bedrijf op zoek naar een betrouwbare clouddienst? Dan komt de factsheet van het Nationaal Cyber Security Centrum (NCSC) op het juiste moment. Het adviesorgaan heeft vijf tips op een rij gezet waar je op moet letten voordat je in zee gaat met een aanbieder van clouddiensten.

De tips worden beschreven in de brochure Factsheet 5 adviezen voor veilige inkoop van clouddiensten’.

Clouddiensten vormen belangrijke aanvulling voor organisaties

Als je de cybersecurity en informatiebeveiliging van je bedrijf goed wilt regelen, dan is het van groot belang dat er een back-up beschikbaar is van de belangrijkste data. Als een hacker of cybercrimineel het computernetwerk van je bedrijf lamlegt, heb je altijd toegang tot je bedrijfsinformatie. De bedrijfsvoering komt hierdoor niet in gevaar en klanten zullen het waarderen dat je hun gegevens nog ergens achter de hand hebt.

Als je een gedegen back-upplan maakt, dan zorg je ervoor dat de bedrijfsinformatie zowel online als offline beschikbaar is. In het laatstgenoemde gebruik je een extern medium om data op te slaan, zoals een harde schijf. Als je het echt goed wilt doen, dan bewaar je een exemplaar zowel op locatie als daarbuiten. En uiteraard moet je regelmatig testen of de back-ups werken: als je erachter komt dat ze niet werken op het moment dat je ze nodig hebt, dan ben je te laat en heb je er niets aan.

Als je een back-up online wilt bewaren, is de kans groot dat je een beroep doet op een clouddienst. Er zijn verschillende aanbieders waar je tegen betaling gebruik mag maken van hun cloud, zoals Microsoft, Google, Apple, Amazon en Dropbox. Clouddiensten zijn voor organisaties vaak dan ook een belangrijke aanvulling, zo zegt het NCSC. Uit de praktijk blijkt echter dat clouddiensten niet veilig worden ingekocht, “wat leidt tot onbeheerste risico’s”.

‘Riskeer geen verhoogd risico op beveiligingsincidenten’

Voor een deel van deze risico’s is volgens het adviesorgaan na aankoop een oplossing te bedenken om ze te verzachten. Voor sommige maatregelen geldt echter dat ze alleen effectief zijn als ze vooraf worden getroffen. “Als medewerkers zich bijvoorbeeld niet bewust zijn van de gevoeligheid van de gegevens waar ze mee werken, bestaat het risico dat onbedoeld gevoelige gegevens in cloudomgevingen staan. Als daarbij voor veilig cloudgebruik geen aanvullende maatregelen worden getroffen, dan loopt de organisatie een verhoogd risico op beveiligingsincidenten zoals datalekken of overtredingen van wetgeving”, zo waarschuwt het NCSC.

Voordat je overgaat tot aanschaf van een clouddienst, adviseert de cybersecurityinstantie daarom om vooraf een aantal maatregelen te treffen. Als je deze zaken van tevoren goed regelt, dan heb je daar later profijt van.

Tip 1: voer een risicoanalyse uit en stel een cloudassessment op

De eerste tip is om iemand binnen de organisatie verantwoordelijk te maken voor de inkoop van de clouddienst en hem of haar een risicoanalyse per cloudaanbieder te laten uitvoeren. Deze persoon kijkt daarbij onder meer naar security, privacy, financiering en compliance (werkt de organisatie in overeenstemming met de geldende wet- en regelgeving).

Het is tevens verstandig om vooraf een cloudassessment op te stellen. Daarin beschrijf je precies waaraan een clouddienst aan moet voldoen. Door regelmatig te toetsen of een cloudaanbieder aan deze voorwaarden voldoet, heb je zicht op de vraag of het verstandig is om zaken te blijven doen of om over te stappen.

Tip 2: maak afspraken over de verdeling van verantwoordelijkheden tussen de cloudaanbieder en jouw organisatie

Passende configuratieafspraken (wie is waar verantwoordelijk voor) zijn onmisbaar om data te beschermen en incidenten als datalekken te voorkomen. Maak daarom van tevoren duidelijke afspraken voor een veilige configuratie: wie beheert deze en hoe voorkom je misconfiguratie. Cloudaanbieders beschikken over scantools om configuraties te controleren. Ook kun je afspraken maken over penetratietests om verkeerde configuraties op te sporen.

Tip 3: leg een exitstrategie contractueel vast

Bij aanbieder van clouddiensten is het vaak makkelijk om klant te worden, maar een stuk lastiger om ze te verlaten. Ze doen er alles aan om zoveel mogelijk klanten vast te houden. En als je allerlei applicaties integreert met de clouddienst, dan wordt het nog lastiger om afscheid te nemen. Dit risico wordt ook wel ‘vendor lock-in’ genoemd.

Als je vooraf geen afspraken maakt over een vertrekstrategie, dan kun je daar naderhand geen aanspraak meer op maken. Een migratietraject kan daardoor complex en duur worden. Gelukkig bestaan er standaarden en dienstverleners die kunnen helpen bij het overstappen van cloudaanbieders. SWIPO (Switching Providers and Porting Data) is daar een voorbeeld van. Als een clouddienstverlener zich aan deze standaard committeert, is dat een geruststelling voor de organisatie.

Tip 4: stel het functioneel beheer af op de clouddienst

Door strenge afspraken te maken over wie toegang heeft tot welke informatie, is de kans op een datalek een stuk kleiner. Role Based Access Control (RBAC) helpt daarbij. Daarin leg je vast wie toegang heeft tot welke informatie en functionaliteiten, en welke bevoegdheden hij of zij heeft. Als je zelf toegang wil bepalen omdat je over de juiste middelen beschikt voor identiteits- en toegangsbeheer, leg dit dan contractueel vast.

Tip 5: maak afspraken over audittoegang

De vijfde en laatste tip van het NCSC gaat over effectieve audittoegang. Door afspraken vast te leggen om de kwaliteit van de dienstverlening van de cloudaanbieder te controleren, krijg je meer zekerheid. Je bent hiervoor wel afhankelijk van derde partijen, maar hun rapporten geven wel een hoge mate van assurance level.

Het NCSC waarschuwt dat deze tips niet volledig zijn en dat bedrijven nog veel meer kunnen laten vastleggen voordat ze in zee gaan met een cloudaanbieder. Zo kan het zijn dat jouw organisatie “aanvullende belangen en beveiligingsbehoeften” heeft. Houd daar rekening mee als je op zoek gaat naar een clouddienstverlener.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen