Het lijkt simpel; je brengt de verschillende cloud-leveranciers in kaart en selecteert de meest complete, voordelige en gebruiksvriendelijke oplossing. Toch komt er bij het kiezen van een cloud-leverancier meer kijken dan de functionaliteit die geboden wordt. De it-afdeling draagt de verantwoordelijkheid voor de informatiebeveiliging en moet er bovendien op toezien dat er wordt voldaan aan wet- en regelgeving. Vanuit deze verantwoordelijk heeft de it-afdeling een belangrijke regierol binnen het selectieproces van cloud-oplossingen. Maar waar moet je nu exact op letten als het om compliancy en security gaat?
Vanuit de cloud werken is zeker niet minder veilig dan het werken met on-premise applicaties. Sterker nog, in veel gevallen bieden cloud-leveranciers een betere beveiliging dan de gemiddelde organisatie zelf kan realiseren. Wel is het belangrijk om hierbij vooraf goed na te denken over het vereiste beveiligingsniveau. Niet alle data is cruciaal voor de organisatie, dus bij het inrichten van de beveiliging moet er rekening worden gehouden met verschillende niveaus.
Beveiligingslagen toevoegen
Er zijn verschillende lagen van beveiliging die samen bepalend zijn voor hoe veilig data in de cloud is. De eerste beveiligingslaag die kan worden toegevoegd is de toegangscontrole voor data. Hiermee wordt geregeld wie er toegang heeft tot de data. Voor bedrijfskritische data is het cruciaal om voor een gedegen Identity & Access Management te kiezen. De meeste cloud-leveranciers bieden mogelijkheden voor zogeheten two factor authentication. De toegangscontrole verloopt hierbij in twee stappen: een wachtwoord gevolgd door een tweede vorm van identificatie, zoals een token of sms-code. Een extra beveiligingslaag die kan worden aangebracht is encryptie. Door de data te versleutelen worden de gegevens voor derden onbruikbaar.
Naast het beschermen van data die wordt opgeslagen, is het ook van belang om maatregelen te treffen om te voorkomen dat bedrijfskritische data uitlekt. Denk hierbij aan persoonsgegevens die via mail in verkeerde handen terecht kunnen komen. Oplossingen voor Data Loss Prevention zorgen ervoor dat mogelijke datalekken gedetecteerd worden en dat gevoelige data geblokkeerd wordt. Tot slot moet er bij het beveiligen van data niet alleen worden nagedacht over het voorkomen van datadiefstal, maar ook aan dataverlies door andere oorzaken zoals technische storingen. Ook bij back-up en data recovery geldt: hoe belangrijker de data hoe strikter de te nemen maatregelen moeten zijn.
Werken in de cloud volgens de regels
Een essentieel onderdeel waar de it-afdeling beschikbare cloud-oplossingen op moet beoordelen, is of er wordt voldaan aan geldende wet- en regelgeving. Iedere organisatie in Nederland moet bijvoorbeeld voldoen aan de algemene privacy richtlijnen. De Wet bescherming persoonsgegevens (Wbp) schrijft organisaties voor een dataclassificatie uit te voeren en op basis hiervan de juiste maatregelen treffen. Dit betekent dat het in de meeste gevallen raadzaam is om een risicoclassificatie uit te voeren, waarmee kan worden aangetoond dat er voldoende is gedaan om bedrijfsdata te beschermen.
Daarnaast geldt voor financiële instellingen dat zij moeten voldoen aan de vereisten op het gebied van compliancy. Denk hierbij aan de Wet financieel toezicht (Wft). De Nederlandsche Bank (DNB) ziet cloud computing als een vorm van uitbesteding. DNB adviseert financiële instellingen om bij het gebruik van cloud-diensten in ieder geval een aantal maatregelen te treffen om mogelijke risico’s te minimaliseren. Zo wordt aangeraden om een risicoanalyse uit te voeren om in kaart te brengen welke risico’s er zijn en welke maatregelen moeten worden getroffen. De keuze van de cloud-leverancier kan vervolgens worden gebaseerd op deze analyse. Daarnaast moeten financiële instellingen volgens DNB rekening houden met de meldingsplicht bij het overstappen naar een andere cloud-leverancier. Dit vereist dat er een heldere exit-strategie is. Tot slot is het raadzaam om een cloud-leverancier te kiezen die een overeenkomst heeft met DNB, zodat het onderzoeksrecht van DNB gewaarborgd is. Naast de Nederlandse wet- en regelgeving dienen financiële instellingen en beursgenoteerde bedrijven ook rekening te houden met internationale wetgeving zoals de Sarbanes Oxley Act (betrouwbaarheid financiële verslaggeving) en sectorspecifieke normen voor informatiebeveiliging. In de meeste gevallen geldt dat de compliancy-voorschriften ook van invloed zijn op de wijze waarop bedrijfsgegevens gebruikt en opgeslagen worden en daarom de aandacht verdienen binnen het selectieproces van een cloud-leverancier.
Kijk verder dan de geografische datalocatie
De fysieke plek waar de data staat is voor veel organisaties een aandachtspunt wanneer zij overwegen hun bedrijfsdata op te slaan in de cloud. De Amerikaanse Patriot Act heeft al veel stof doen opwaaien. Om te voorkomen dat de Amerikaanse overheid toegang krijgt tot kritische en concurrentiegevoelige bedrijfsgegevens kiezen veel Nederlandse organisaties er bewust voor om hun data elders onder te brengen. Een belangrijke misvatting die nog altijd bestaat, is dat de geografische datalocatie bepaalt of de Patriot Act van kracht is of niet. Veel ondernemingen denken ten onrechte dat wanneer de bedrijfsgegevens zijn opgeslagen op een server in Nederland, zij niets meer te maken hebben met wetgeving als de Patriot Act. Het onderbrengen van data in een Nederlands datacenter voorziet voor een deel in de compliancy-vereisten, maar voor een volledige compliancy is meer nodig. Er moeten door de cloud-leverancier garanties worden geboden dat de bedrijfsdata in Nederland is opgeslagen en blijft en hierdoor volledig onder Nederlandse wetgeving valt. Ook is het cruciaal dat de cloud-leverancier aantoonbaar de juiste maatregelen neemt om te zorgen dat er wordt voldaan aan alle wet- en regelgeving.
Wees kritisch en stel de juiste vragen
Met de juiste voorbereidingen en een gedegen selectieproces is het werken in de cloud niet alleen voor medewerkers een verademing, maar ook voor de it-afdeling. De volgende vragen zijn een goed vertrekpunt bij het evalueren van cloud-providers:
- Hoe is de beveiliging georganiseerd, zowel fysiek (pand, personeel) als virtueel?
- Gaan gegevens naar het buitenland en zo ja, naar welke landen?
- Wordt er voldaan aan compliancy-voorschriften?
- Hoe vaak wordt de beveiliging gemonitord – alleen steekproefsgewijs of continu?
- Wordt er getest door hackers en hoe vaak?
- Hoe vaak wordt gerapporteerd?
- Hoe transparant zijn de rapportages?