Het Nationaal Cyber Security Center heeft een factsheet gepubliceerd met vijf adviezen voor het veilig inkopen van clouddiensten. Aanleiding voor de factsheet was de constatering dat clouddiensten van grote toegevoegde waarde kunnen zijn voor organisaties, maar dat zij vaak onveilig worden ingekocht. Daardoor ontstaan risico’s waar geen grip op is. Sommige risico’s zijn achteraf nog aan te pakken. Maar andere risico’s kun je alleen maar onder controle houden, als je ze vóóraf neemt.
Maatregel 1: Risicoanalyse
Het begint met een risicoanalyse. Onderzoek per clouddienst welke risico’s er zijn m.b.t. privacy, security, compliance en financiering. Op basis van de risicoanalyse kun je beter beoordelen welke gegevens je wel en niet naar de cloud wil migreren. Maar je kunt ook beter inschatten welke maatregelen genomen moeten worden, en op welke manier, om de geïdentificeerde risico’s te beheersen. Op deze manier kan worden bepaald aan welke eisen de clouddienst precies moet voldoen. Deze eisen zijn belangrijk voor het selecteren van de juiste leverancier, maar kun je ook gebruiken als uitgangspunt voor een periodieke (bijvoorbeeld: jaarlijkse) controle om te beoordelen of de clouddienst nog voldoet.
Maatregel 2: Configuratie en monitoring
Veel datalekken en beveiligingsincidenten ontstaan doordat verkeerde configuraties zijn toegepast (doorgaans aan de zijde van de gebruiker). Omdat clouddiensten via internet bereikbaar zijn, kan zo’n incident grote impact hebben. Als inkopende organisatie ben je zelf verantwoordelijk voor de veiligheid; daarom is het belangrijk om vooraf na te denken hoe je configuraties veilig maakt én houdt. Maak daarvoor de juiste mensen verantwoordelijk en zorg voor de juiste instrumenten, zoals geautomatiseerde scanners die configuraties controleren en een melding geven als iets niet klopt. Of voor periodieke penetratietesten om kwetsbare plekken bloot te leggen. Zorg natuurlijk ook voor een passende opvolging als kwetsbaarheden worden gevonden.
Maatregel 3: Exitstrategie
De afhankelijkheid van clouddiensten kan groot worden. Maar vroeg of laat zal het toch tijd worden om afscheid van elkaar te nemen. In dat geval wil je dat de migratie naar een nieuwe partij niet ingewikkelder en duurder wordt dan nodig is. Bijvoorbeeld omdat data moeilijk te exporteren is, of geëxporteerd wordt in een bestandsformaat waar je niks mee kunt. Of omdat er tal van ingewikkelde koppelingen met andere systemen zijn die lastig ‘los te snijden’ zijn, en contracten jarenlange looptijden hebben. Denk hier vooraf over na en zorg voor de juiste afspraken.
Maatregel 4: Functioneel beheer en toegangsbeveiliging
Toegangsbeveiliging is vaak goed te regelen met clouddiensten, maar dat gaat niet vanzelf. Bepaal daarom vooraf je beleid rond het toekennen van rechten aan gebruikers en zorg dat de functioneel beheerders dit beleid toepassen. Zorg ervoor dat gebruikers niet méér rechten hebben dan zij nodig hebben. Stel meerfactorauthenticatie in, tenzij dat niet nodig is. Wil je gebruikmaken van single sign on of een koppeling met de eigen Active Directory? Dat kunnen goede maatregelen zijn, maar dat zul je wel van tevoren met de cloudleverancier moeten afspreken. Zorg er ook voor dat de maatregelen rond toegangsbeveiliging gemonitord worden op hun effectiviteit, zodat actie ondernomen kan worden als iets niet klopt.
Maatregel 5: Audittoegang
Wanneer de clouddienst in gebruik is, wil je zicht houden op de kwaliteit van de dienstverlening. Doorgaans is het niet mogelijk om zelf audits uit te voeren – je zou immers ook niet willen dat andere klanten van de cloudleverancier audits uitvoeren en daarbij mogelijk met jouw gegevens in contact zouden komen. Je zult je vaak moeten baseren op rapporten van externe auditors, die certificaten of assurance rapporten opleveren. Als je zulke rapporten wil ontvangen zit daar dikwijls een prijskaartje aan. En als je invloed wil uitoefenen op het rapport (zoals het type rapport, het te hanteren normenkader of een focus op specifieke risico’s of beheersmaatregelen) zul je dat van tevoren moeten afspreken.
Tot slot
Bovenstaande maatregelen zijn niet de enige maatregelen die je kunt of zou moeten nemen. Maar neem ze in ieder geval op tijd. Reserveer voldoende tijd voor de risicoanalyse, want dat is en blijft de hoeksteen van een adequate beveiliging.