Print:

Security kun je niet meer dicteren

Ferry Waterkamp , Journalist

LinkedIn profiel

De beloftes van de cloud zijn talrijk. Zo beloven cloudproviders diensten die flexibel, schaalbaar en ‘pay-per-use’ zijn. Maar de cloud introduceert ook nieuwe risico’s. “En je vendor management verandert echt vrij rigoureus”, zo is de ervaring van Louis Keulemans, Information Security Officer bij PostNL. “Je  moet investeren in andere relaties en de contracten op de nieuwe situatie aanpassen.”

De cloud is voor de meeste bedrijven niet meer weg te denken. Bijna ieder bedrijf gebruikt wel een of meerdere applicaties uit de cloud. In 2018 zullen mkb-bedrijven zelfs gemiddeld zeven applicaties uit de cloud afnemen, zo blijkt uit een recent onderzoek onder zeshonderd respondenten in West-Europa. Volgens een onderzoek uitgevoerd door Cisco, IDC en Gartner zal in datzelfde jaar 78 procent van alle workloads in ‘clouddatacenters’ draaien.

Inmiddels zijn er ook voorbeelden van zowel kleine als grote bedrijven die een ‘cloud-only-strategie’ nastreven. “Meer dan 95 procent van onze applicaties draait inmiddels in de cloud”, aldus Louis Keulemans van PostNL. Een vergelijkbare ervaring heeft Maurice Sanders, ‎Manager IT Development & Security bij I-FourC, dat is gespecialiseerd in archiefbeheer en het digitaal toegankelijk maken van documenten. “We hebben de digitale data nooit in eigen huis gehost.” Waar de data voorheen op servers stonden bij de klanten van I-FourC, wordt nu gebruikgemaakt van een private-cloudoplossing.

Security in de cloud

Volgens Keulemans heeft de migratie naar de cloud PostNL niet alleen schaalbaarheid en flexibiliteit gebracht, maar ook mogelijkheden tot een betere security. “Met de grote cloudproviders en professionele cloudbeheerpartijen is het mogelijk om security op een hoger niveau te organiseren dan PostNL zelf zou kunnen. Als onderdeel van de clouddienstverlening neemt PostNL security ‘as-a-service’ af. De cloudbeheerder vertaalt de gewenste beveiliging naar technische securitymaatregelen. Hierbij kan je bijvoorbeeld denken aan inbraakdetectie, encryptie, netwerk en Web Application Firewalling. Maar vaak blijft het hier niet bij. De securitymaatregelen hoeven we niet zelf te onderhouden maar worden continu geüpgraded en vernieuwd.”

Maar Keulemans en Sanders onderkennen dat de cloud uiteraard ook wel nieuwe security-issues introduceert. “Bij zakelijk gebruik van de cloud is de keten van groot belang. Het moet duidelijk zijn waar je data beheerd worden en welke certificeringen dit bedrijf heeft”, aldus Sanders. “Het gebruik van clouddiensten maakt het mogelijk om gemakkelijk en snel bij de data te kunnen. Een nadeel is dat dit niet alleen geldt voor de gebruikers, maar ook voor mogelijk kwaadwillenden”, vult Keulemans aan. “Dat ondervang je door extra beveiligingslagen in te richten. We investeren daarom in securitymonitoring om doorlopend te controleren of alles veilig blijft.”

Vendor management

“Daarnaast verandert je vendor management vrij rigoureus”, vervolgt Keulemans. “Er is meer behoefte aan afspraken over security in de contracten en in het managen van de SLA’s en de leveranciers gaat dan ook meer tijd zitten.” Sanders: “Je merkt dat de interne functierollen wijzigen; de nadruk komt minder op het IT-component te liggen en meer op het bewaken van de afspraken die je maakt met je leverancier.”

Volgens Keulemans en Sanders begint een goed vendor management bij de selectie van volwassen partijen die de juiste toekomstperspectieven bieden, bijvoorbeeld als het gaat om de ondersteuning van toekomstige technologieën. “Een belangrijke vraag is: hoe acteert een partij als er problemen zijn?”, werpt Sanders op. “Het antwoord op die vraag is deels gebaseerd op het gevoel dat je hebt bij een partij, maar wordt ook gemeten door middel van een audit die je jaarlijks moet herhalen. Als je een leverancier toetst op basis van bijvoorbeeld ISO 27001 is het wel heel belangrijk om te bepalen op welke onderdelen van de dienstverlening de standaard betrekking heeft. De scope bepaalt of je compliant bent.”

“Ik verwacht van een leverancier bovendien een proactieve houding”, vult Keulemans aan. “Een cloudprovider moet tegen de klant kunnen zeggen: ‘Nee, zo gaan we het niet doen, want dat maakt het niet veiliger.’ De klassieke houding van ‘klant is koning, en we doen het omdat de klant het vraagt’ werkt niet meer. Onze ervaring is dat een veilige oplossing eigenlijk altijd wel voorhanden is.”

Security vastleggen

“Je moet ook heel goed nadenken over hoe je de security vastlegt in de contracten”, vindt Keulemans. “In de oude wereld kwam het bijvoorbeeld voor dat je als klant veiligheidsmaatregelen technisch uitwerkte en zo oplegde aan een leverancier. In de cloud wordt de functionaliteit veel meer geleverd vanuit de dienst van de leverancier, en wil je deze juist ten volste benutten. Bij PostNL dagen we de leverancier graag uit om ons te overtuigen van de veiligheid van zijn dienst, en hoe de leverancier deze veiligheid doorontwikkelt.”

“Wij hebben daarom ons beleid omgebouwd naar een risk-based benadering”, legt Keulemans uit. “Je bedenkt dan niet vooraf, in je beleid, welke securitymaatregelen noodzakelijk zijn, maar op basis van een ‘risk assessment’ bepaal je in samenspraak met de business wat de passende maatregelen zijn. Op die manier kom je tot oplossingen die niet alleen gebruiksvriendelijker maar ook veiliger zijn.”

Cloud & Recht IIR

Cloud en continuïteit: het is geen vanzelfsprekend stelletje. Wie het belang van de ongestoorde beschikbaarheid van data in de Cloud wenst veilig te stellen, zal dus zelf de nodige bescherming moeten scheppen. Werk aan de winkel!

Verdiepingscursus Cloud & Recht bundelt voor u al de actueel benodigde kennis rondom de Cloud. Zodat u deze direct kan toepassen in de praktijk!