Clouddiensten kunnen een waardevolle aanvulling voor organisaties zijn, maar alleen met afgewogen maatregelen voor de inkoop. Dat stelt het NCSC (Nationaal Cyber Security Centrum) in een deze week uitgebracht factsheet.
De overheidsdienst luidt de noodklok omdat juist in deze periode veel organisaties bezig zijn met de overstap naar en inkoop van clouddiensten. En dat gebeurt in de praktijk vaak niet veilig genoeg. Dit leidt tot onbeheerste risico’s. Veel van die risico’s zijn na het inkopen nog wel te mitigeren maar met veel tijd, moeite en dus geld. En met alle gevolgen van dien.
Bovendien geldt voor een aantal maatregelent dat deze alleen effectief zijn als ze vooraf getroffen worden. Het NCSC adviseert om geen clouddienst in te kopen zonder eerst vijf maatregelen te treffen. Dit zijn:
- risicoanalyse
- configuratie en monitoring
- exitstrategie
- functioneel
- beheeraudittoegang
Het dringende advies is dus eerst de maatregelen te treffen en daarna pas een clouddienst in te kopen. De dienst van het ministerie van justitie stelt dat als medewerkers zich onvoldoende bewust zijn van gevaren en hoe gevoelig de gegevens zijn waarmee ze werken, lopen ze groot risico dat er veel gevoelige (persoons)gevoelige gegevens in cloud-omgevingen te vinden zijn.
Wie geen maatregelen neemt loopt bovendien een groot risico op datalekken en dus overtredingen van de wet AVG. En zelf s met een lijstje van de NCSC in de hand is het belangrijk alsnog te kijken naar meer aanvullende maatregelen. Kijk bijvoorbeeld naar andere belangen die in het specifieke bedrijf spelen of aanvullende behoeften van beveiliging binnen een bedrijf. Pas met het hele plaatje kun je volgens de dienst een passende cloudoplossing vinden.
Lees ook:
- De zorgprofessional centraal bij adoptie van ICT-mogelijkheden
- 7 Reasons Cohesity Tops Veritas for Backup and Data Management
