Alles onder controle in de cloud

Door · 21/05/2014

Het lijkt simpel; je brengt de verschillende cloud-leveranciers in kaart en selecteert de meest complete, voordelige en gebruiksvriendelijke oplossing. Toch komt er bij het kiezen van een cloud-leverancier meer kijken dan de functionaliteit die geboden wordt. De it-afdeling draagt de verantwoordelijkheid voor de informatiebeveiliging en moet er bovendien op toezien dat er wordt voldaan aan wet- en regelgeving. Vanuit deze verantwoordelijk heeft de it-afdeling een belangrijke regierol binnen het selectieproces van cloud-oplossingen. Maar waar moet je nu exact op letten als het om compliancy en security gaat?

Vanuit de cloud werken is zeker niet minder veilig dan het werken met on-premise applicaties. Sterker nog, in veel gevallen bieden cloud-leveranciers een betere beveiliging dan de gemiddelde organisatie zelf kan realiseren. Wel is het belangrijk om hierbij vooraf goed na te denken over het vereiste beveiligingsniveau. Niet alle data is cruciaal voor de organisatie, dus bij het inrichten van de beveiliging moet er rekening worden gehouden met verschillende niveaus.

Beveiligingslagen toevoegen
Er zijn verschillende lagen van beveiliging die samen bepalend zijn voor hoe veilig data in de cloud is. De eerste beveiligingslaag die kan worden toegevoegd is de toegangscontrole voor data. Hiermee wordt geregeld wie er toegang heeft tot de data. Voor bedrijfskritische data is het cruciaal om voor een gedegen Identity & Access Management te kiezen. De meeste cloud-leveranciers bieden mogelijkheden voor zogeheten two factor authentication. De toegangscontrole verloopt hierbij in twee stappen: een wachtwoord gevolgd door een tweede vorm van identificatie, zoals een token of sms-code. Een extra beveiligingslaag die kan worden aangebracht is encryptie. Door de data te versleutelen worden de gegevens voor derden onbruikbaar.

Naast het beschermen van data die wordt opgeslagen, is het ook van belang om maatregelen te treffen om te voorkomen dat bedrijfskritische data uitlekt. Denk hierbij aan persoonsgegevens die via mail in verkeerde handen terecht kunnen komen. Oplossingen voor Data Loss Prevention zorgen ervoor dat mogelijke datalekken gedetecteerd worden en dat gevoelige data geblokkeerd wordt. Tot slot moet er bij het beveiligen van data niet alleen worden nagedacht over het voorkomen van datadiefstal, maar ook aan dataverlies door andere oorzaken zoals technische storingen. Ook bij back-up en data recovery geldt: hoe belangrijker de data hoe strikter de te nemen maatregelen moeten zijn.

M1405.p23.vrouwenmaninautoopsmartdevices

Werken in de cloud volgens de regels
Een essentieel onderdeel waar de it-afdeling beschikbare cloud-oplossingen op moet beoordelen, is of er wordt voldaan aan geldende wet- en regelgeving. Iedere organisatie in Nederland moet bijvoorbeeld voldoen aan de algemene privacy richtlijnen. De Wet bescherming persoonsgegevens (Wbp) schrijft organisaties voor een dataclassificatie uit te voeren en op basis hiervan de juiste maatregelen treffen. Dit betekent dat het in de meeste gevallen raadzaam is om een risicoclassificatie uit te voeren, waarmee kan worden aangetoond dat er voldoende is gedaan om bedrijfsdata te beschermen.

Daarnaast geldt voor financiële instellingen dat zij moeten voldoen aan de vereisten op het gebied van compliancy. Denk hierbij aan de Wet financieel toezicht (Wft). De Nederlandsche Bank (DNB) ziet cloud computing als een vorm van uitbesteding. DNB adviseert financiële instellingen om bij het gebruik van cloud-diensten in ieder geval een aantal maatregelen te treffen om mogelijke risico’s te minimaliseren. Zo wordt aangeraden om een risicoanalyse uit te voeren om in kaart te brengen welke risico’s er zijn en welke maatregelen moeten worden getroffen. De keuze van de cloud-leverancier kan vervolgens worden gebaseerd op deze analyse. Daarnaast moeten financiële instellingen volgens DNB rekening houden met de meldingsplicht bij het overstappen naar een andere cloud-leverancier. Dit vereist dat er een heldere exit-strategie is. Tot slot is het raadzaam om een cloud-leverancier te kiezen die een overeenkomst heeft met DNB, zodat het onderzoeksrecht van DNB gewaarborgd is. Naast de Nederlandse wet- en regelgeving dienen financiële instellingen en beursgenoteerde bedrijven ook rekening te houden met internationale wetgeving zoals de Sarbanes Oxley Act (betrouwbaarheid financiële verslaggeving) en sectorspecifieke normen voor informatiebeveiliging. In de meeste gevallen geldt dat de compliancy-voorschriften ook van invloed zijn op de wijze waarop bedrijfsgegevens gebruikt en opgeslagen worden en daarom de aandacht verdienen binnen het selectieproces van een cloud-leverancier.

Kijk verder dan de geografische datalocatie
De fysieke plek waar de data staat is voor veel organisaties een aandachtspunt wanneer zij overwegen hun bedrijfsdata op te slaan in de cloud. De Amerikaanse Patriot Act heeft al veel stof doen opwaaien. Om te voorkomen dat de Amerikaanse overheid toegang krijgt tot kritische en concurrentiegevoelige bedrijfsgegevens kiezen veel Nederlandse organisaties er bewust voor om hun data elders onder te brengen. Een belangrijke misvatting die nog altijd bestaat, is dat de geografische datalocatie bepaalt of de Patriot Act van kracht is of niet. Veel ondernemingen denken ten onrechte dat wanneer de bedrijfsgegevens zijn opgeslagen op een server in Nederland, zij niets meer te maken hebben met wetgeving als de Patriot Act. Het onderbrengen van data in een Nederlands datacenter voorziet voor een deel in de compliancy-vereisten, maar voor een volledige compliancy is meer nodig. Er moeten door de cloud-leverancier garanties worden geboden dat de bedrijfsdata in Nederland is opgeslagen en blijft en hierdoor volledig onder Nederlandse wetgeving valt. Ook is het cruciaal dat de cloud-leverancier aantoonbaar de juiste maatregelen neemt om te zorgen dat er wordt voldaan aan alle wet- en regelgeving.

Wees kritisch en stel de juiste vragen
Met de juiste voorbereidingen en een gedegen selectieproces is het werken in de cloud niet alleen voor medewerkers een verademing, maar ook voor de it-afdeling. De volgende vragen zijn een goed vertrekpunt bij het evalueren van cloud-providers:

  • Hoe is de beveiliging georganiseerd, zowel fysiek (pand, personeel) als virtueel?
  • Gaan gegevens naar het buitenland en zo ja, naar welke landen?
  • Wordt er voldaan aan compliancy-voorschriften?
  • Hoe vaak wordt de beveiliging gemonitord – alleen steekproefsgewijs of continu?
  • Wordt er getest door hackers en hoe vaak?
  • Hoe vaak wordt gerapporteerd?
  • Hoe transparant zijn de rapportages?

 

 

 

Gerelateerde berichten...

Volg ons:

Uitgelicht

IT-bedrijven zetten steeds vaker in op employer branding 

Uit recent gepubliceerde cijfers blijkt dat circa 25% van de ICT’ers in het afgelopen jaar van baan en/of werkgever wisselde. ...

KindeRdam verbreedt haar horizon

Bij de Rotterdamse kinderopvangorganisatie KindeRdam is er qua telefonie veel veranderd de afgelopen tijd. Een bestuurlijke fusie met de HefGroep ...

Een bericht van Odido Business

Begin september was daar plots Odido. Een nieuwe provider, maar wel één met al 6 miljoen klanten. Odido is er ...

Chantal 't Gilde

Qualys Enterprise TruRisk Platform brengt de werkelijke cyberrisico’s in kaart

Qualys introduceerde begin november het nieuwe Qualys Enterprise TruRisk Platform, dat organisaties ondersteunt in het beheren en verminderen van cyberrisico's. ...

april, 2024

» Volledige kalender
» Uw event aanmelden

Meer

» Meer columns

Bedrijfsnieuws

Met High NA EUV opent Intel Foundry nieuwe grenzen in chipfabricage Intel is de eerste binnen de industrie die High NA EUV gebruikt, waardoor Intel ook na Intel 18A marktleider blijft. Wat is er nieuw: Intel Foundry meldt een belangrijke mijlpaal in de geavanceerde halfgeleiderproductie met de voltooide assemblage van de eerste commerciële Extreme Ultraviolet (EUV) lithografiescanner met hoge numerieke apertuur (High NA) in de industrie, die zich bevindt op de R&D-locatie van het bedrijf in Hillsboro, Oregon. Intels TWINSCAN EXE:5000 High NA EUV tool van lithografieleider ASML doorloopt nu kalibratiestappen ter voorbereiding op de productie van Intels toekomstige proces roadmap. De nieuwe tool heeft de mogelijkheid om de resolutie en de schaalbaarheid van features voor de volgende generatie processors drastisch te verbeteren door het optische ontwerp voor het projecteren van geprinte beelden op een silicium wafer te veranderen. “Met de toevoeging van High NA EUV heeft Intel de meest veelzijdige lithografie-toolbox in de industrie, waardoor het bedrijf toekomstige procesmogelijkheden voorbij Intel 18A kan stimuleren tot in de tweede helft van dit decennium.” – Mark Phillips, Intel Fellow en directeur Lithografie, Hardware en Oplossingen voor Intel Foundry Logic Technology Development. Waarom is het belangrijk: High NA EUV tools zullen een cruciale rol spelen in geavanceerde chipontwikkeling en de productie van de volgende generatie processors. Intel Foundry – de pionier in de industrie op het gebied van High NA EUV – zal in staat zijn om nooit eerder vertoonde precisie en schaalbaarheid in chipfabricage te leveren. Hierdoor kan het bedrijf chips ontwikkelen met de meest innovatieve functies en mogelijkheden die essentieel zijn voor het stimuleren van vooruitgang in AI en andere opkomende technologieën. ASML heeft onlangs aangekondigd dat het de allereerste 10 nanometer (nm) dichte lijnen heeft geprint in het High NA lab in het hoofdkantoor in Veldhoven, Nederland. Dit zijn de fijnste lijnen die ooit zijn geprint, waarmee een wereldrecordresolutie is bereikt voor een EUV-lithografiescanner. Deze demonstratie valideert het innovatieve High NA EUV optiekontwerp van ASML-partner Zeiss. Er werden baanbrekende beelden geprint nadat de optiek, sensoren en stages van de tool een grove kalibratie hadden voltooid – een opstap naar het werken op volle specificatie. ASML’s vermogen om 10 nm dichte lijnen te printen met een full field optisch lithografiesysteem is een belangrijke stap in de voorbereiding van de High NA EUV tool voor commercieel gebruik. Hoe het werkt: In combinatie met Intel Foundry’s andere toonaangevende procestechnologieën, zal High NA EUV naar verwachting in staat zijn om elementen te printen die tot 1,7x kleiner zijn dan bestaande EUV tools. Dit maakt 2D feature scaling mogelijk, wat resulteert in 2,9x meer dichtheid. Intel blijft de weg wijzen naar steeds kleinere, steeds dichtere patronen die de Wet van Moore in de halfgeleiderindustrie voortstuwen. Vergeleken met 0,33NA EUV kan High NA EUV (of 0,55NA EUV) een hoger beeldcontrast leveren voor vergelijkbare features, waardoor minder licht per belichting nodig is en waardoor de tijd die nodig is om elke laag te printen wordt verkort en de wafer output toeneemt. Intel verwacht zowel 0,33NA EUV als 0,55NA EUV te gebruiken naast andere lithografieprocessen bij de ontwikkeling en productie van geavanceerde chips, te beginnen met product proof points op Intel 18A in 2025 en doorlopend naar de productie van Intel 14A. Intel’s aanpak zal de geavanceerde procestechnologie optimaliseren voor zowel kosten als prestaties.

» Meer bedrijfsnieuws