Beveiliging van de cloud infrastructuur van Microsoft

Maat: px
Weergave met pagina beginnen:

Download "Beveiliging van de cloud infrastructuur van Microsoft"

Transcriptie

1 Beveiliging van de cloud infrastructuur van Microsoft In dit technische document maakt u kennis met het OSSC team (Online Services Security and Compliance), een onderdeel van de divisie Global Foundation Services, dat zich bezighoudt met de beveiliging van de cloud infrastructuur van Microsoft. U komt te weten wat cloud computing bij Microsoft inhoudt en op welke manier Microsoft zorgt voor een betrouwbare infrastructuur voor cloud computing. Publicatiedatum: mei

2 Inhoudsopgave Samenvatting... 3 Uitdagingen bij de beveiliging van cloud computing... 4 Hoe Microsoft met deze uitdagingen omgaat... 5 Wat is de cloudomgeving van Microsoft?... 6 Het OSSC team (Online Services Security and Compliance)... 6 Trustworthy Computing bij Microsoft... 7 Privacy... 8 Beveiliging... 9 Het Information Security Program... 9 Procedures voor risicobeheer Beheer van de bedrijfscontinuïteit Beheer van beveiligingsincidenten GCC (Global Criminal Compliance) Operationele compliance Een gelaagde beveiligingsaanpak Fysieke beveiliging Netwerkbeveiliging Gegevensbeveiliging Identiteits en toegangsbeheer Applicatiebeveiliging Controle en rapportage van hostbeveiliging Conclusie Overige informatiebronnen

3 Samenvatting In recente onderzoeken naar nieuwe definities van de begrippen cloud, cloud computing en cloudomgeving is geprobeerd vast te stellen wat klanten verwachten van cloudproviders. Daarnaast is gekeken naar manieren om de oplossingen van deze providers te categoriseren. Het idee dat cloudservices ertoe bijdragen dat bedrijven geld besparen en zich kunnen richten op hun kernactiviteiten is in het huidige economische klimaat natuurlijk zeer aantrekkelijk. Veel analisten beschouwen de nieuwe mogelijkheden voor beprijzing en het online aanbieden van services als een bedreiging voor de marktomstandigheden. Deze marktonderzoeken en de discussie hierover onder potentiële klanten en serviceproviders laten zien dat bepaalde thema's barrières kunnen vormen voor een snelle acceptatie van cloudservices. Zorgen over de beveiliging, privacy, betrouwbaarheid en operationele controle staan boven aan de lijst met potentiële barrières. Microsoft realiseert zich dat besluitvormers hier veel vragen over hebben en willen weten hoe deze kwesties in de cloudomgeving van Microsoft worden aangepakt. Daarnaast willen zij weten welke implicaties dat heeft voor hun beslissingen over risico's en bedrijfsvoering. Dit document laat zien hoe een gecoördineerd en strategisch inzet van mensen, processen, technologieën en ervaringen resulteert in blijvende verbeteringen in de beveiliging van de cloudomgeving van Microsoft. Het OSSC team (Online Services Security and Compliance) binnen de divisie Global Foundation Services bouwt voort op dezelfde beveiligingsprincipes en procedures die Microsoft heeft ontwikkeld door een jarenlange ervaring met het beheer van veiligheidsrisico's in traditionele ontwikkel en productieomgevingen. 3

4 Uitdagingen bij de beveiliging van cloud computing De IT sector wordt geconfronteerd met nieuwe uitdagingen die hand in hand gaan met de mogelijkheden die cloud computing biedt. Al ruim vijftien jaar houdt Microsoft zich bezig met de volgende uitdagingen met betrekking tot onlineservices: Nieuwe cloudmodellen zorgen voor toenemende onderlinge afhankelijkheid tussen organisaties in de publieke en de private sector Bij dergelijke organisaties en hun klanten neemt de onderlinge afhankelijkheid toe door het gebruik van de cloud. Deze nieuwe afhankelijkheden scheppen wederzijdse verwachtingen dat platformservices en de gehoste applicaties veilig en beschikbaar moeten zijn. Microsoft levert een betrouwbare infrastructuur. Dat is de basis waarop organisaties in de publieke en private sector en hun partners een betrouwbare omgeving voor hun gebruikers kunnen creëren. Microsoft werkt actief met deze groepen en de bredere ontwikkelgemeenschap samen aan de implementatie van processen voor risicobeheer waarbij beveiliging centraal staat. Een snellere acceptatie van cloudservices, en de voortgaande ontwikkeling van technologieën en bedrijfsmodellen, zorgt voor een dynamische hostingomgeving, en dat is op zich al een uitdaging op beveiligingsgebied Gelijke tred houden met de groei en anticiperen op toekomstige behoeften is essentieel voor een effectief beveiligingsprogramma. De meest recente golf van veranderingen is al begonnen, namelijk de snelle overgang naar virtualisatie en het toenemend gebruik van de Software plus Services strategie van Microsoft. Deze strategie combineert de kracht en functionaliteit van computers, mobiele apparatuur, onlineservices en bedrijfssoftware. Door de komst van cloudplatforms kunnen maatwerkapplicaties door derden worden ontwikkeld en worden gehost in de Microsoft cloud. Via het Information Security Program voor onlineservices, waarover u verderop meer leest, onderhoudt Microsoft nauwe relaties met teams voor beveiliging, productaanbod en serviceverlening. Zo kunnen wij ook tijdens deze transitiefase voor een betrouwbare Microsoft cloudomgeving zorgen. Pogingen om onlineservices binnen te dringen of te verstoren worden slimmer en frequenter naarmate meer bedrijven zulke services gaan gebruiken Terwijl grappenmakers nog steeds aandacht vragen met technieken zoals "domain squatting" en "man in the middle" aanvallen, proberen anderen via geavanceerdere methoden identiteiten te stelen of de toegang tot gevoelige bedrijfsgegevens te blokkeren. Daarnaast is er sprake van een lucratieve clandestiene markt voor gestolen gegevens. Microsoft werkt nauw samen met politie en justitie, partners in de branche en onderzoeksgroepen om zulke nieuwe bedreigingen goed in kaart te brengen en actie te ondernemen. Via de Microsoft Security Development Lifecycle, waarover u verderop meer leest, worden beveiliging en privacy consequent in het gehele ontwikkelproces toegepast. Complexe compliancevereisten zijn nodig omdat nieuwe en bestaande services wereldwijd worden aangeboden Naleving van wet en regelgeving vormt een uiterst complex gebied omdat ieder land zijn eigen wetten hanteert voor het beschikbaar stellen en gebruik van onlineomgevingen. Microsoft moet voldoen aan tal van regels en verplichtingen, omdat Microsoft datacenters in verschillende landen staan en online services wereldwijd worden aangeboden. Daarnaast gelden er voor haast iedere branche ook specifieke vereisten. Microsoft heeft een compliancesysteem ontwikkeld (zie verderop in dit document) waarmee de verschillende verplichtingen op efficiënte wijze worden beheerd, zonder veel extra werk. 4

5 Hoe Microsoft met deze uitdagingen omgaat Sinds de start van MSN in 1994 ontwikkelt en beheert Microsoft onlineservices. De divisie Global Foundation Services beheert de cloud infrastructuur en het cloudplatform voor Microsoft Online Services. Deze divisie zorgt voor de beschikbaarheid voor miljoenen klanten wereldwijd, 24 uur per dag, zeven dagen per week. Ruim 200 onlineservices en webportals van Microsoft worden op deze cloud infrastructuur gehost, waaronder bekende consumentenservices als Windows Live Hotmail en Live Search, en zakelijke services als Microsoft Dynamics CRM Online en Microsoft Business Productivity Online Standard Suite van Microsoft Online Services. Microsoft weet dat deze omgevingen te allen tijde veilig moeten zijn, ongeacht of de persoonlijke gegevens van een consument op de computer van de klant zelf staan of online zijn opgeslagen, en ongeacht of de cruciale gegevens van een bedrijf lokaal worden bewaard of op een gehoste server. Als bedrijf bevindt Microsoft zich in een unieke positie. Microsoft kan zowel advies geven als technologische oplossingen bieden voor een veiliger onlineomgeving. Om financiële en andere consequenties van gerichte onlineaanvallen voor de klant te voorkomen en als onderdeel van zijn Trustworthy Computing beleid, garandeert Microsoft dat de mensen, processen en technologieën die het bedrijf inzet, bijdragen aan veiligere producten en services met een betere privacywaarborg. Microsoft zorgt voor een betrouwbare cloud via drie speerpunten: Gebruik van een risico analyseprogramma waarmee beveiligingsproblemen en operationele bedreigingen worden beoordeeld en gerangschikt Onderhoud en doorlopende vernieuwing van gedetailleerde beveiligingsmechanismen die de risico's verkleinen Gebruik van een compliancesysteem dat ervoor zorgt dat beveiligingsmechanismen op de juiste wijze worden ontwikkeld en naar behoren werken In dit document wordt beschreven hoe Microsoft klantgegevens en bedrijfsprocessen beveiligt via een uitgebreid Information Security Program en bewezen methoden voor beleids en compliancebeheer, frequente interne en externe evaluatie van procedures en degelijke beveiligingsmechanismen voor alle servicelagen. Via deze procedures en mechanismen voldoet Microsoft aan industriestandaarden en alle geldende wetten en regels bij de levering van de onlineservices aan klanten over de hele wereld. Hoewel privacybeleid in dit document ter sprake komt, is het niet de bedoeling een diepgaande discussie te starten over privacybeleid. Ook bevat dit document geen richtlijnen voor privacyprocedures. Informatie over de manier waarop Microsoft privacykwestie benadert, vindt u op de Microsoft Trustworthy Computing Privacy pagina. 5

6 Wat is de cloudomgeving van Microsoft? De cloudomgeving van Microsoft bestaat uit de fysieke en logische infrastructuur in combinatie met gehoste applicaties en platformservices. Global Foundation Services (GFS) verzorgt de fysieke en logische cloud infrastructuur bij Microsoft, waaronder veel platformservices. Deze fysieke infrastructuur bestaat uit de datacenters zelf en alle hardware en onderdelen die ondersteuning bieden voor de services en netwerken. Bij Microsoft bestaat de logische infrastructuur uit instanties van het besturingssysteem, gerouteerde netwerken en ongestructureerde gegevensopslag, op virtuele dan wel fysieke objecten. Platformservices bestaan uit runtime services (zoals Internet Information Services,.NET Framework en Microsoft SQL Server ), identiteits en directory opslag (zoals Active Directory en Windows Live ID), DNS en andere geavanceerde functies voor onlineservices. Cloudplatformservices van Microsoft, zoals infrastructuurservices, kunnen fysiek of gevirtualiseerd zijn. Online applicaties die in de Microsoft cloud worden uitgevoerd kunnen zowel eenvoudige als complexe producten zijn voor verschillende soorten klanten. Deze onlineservices, en de bijbehorende vereisten op het gebied van beveiliging en privacy, kunnen grofweg als volgt worden gegroepeerd: Services voor consumenten en kleine bedrijven Bijvoorbeeld Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE en Microsoft Office Live. Enterprise services Bijvoorbeeld Microsoft Dynamics CRM Online en de Microsoft Business Productivity Online Standard Suite, bestaande uit Exchange Online, SharePoint Online en Office Live Meeting. Services die door derden worden gehost Bijvoorbeeld webapplicaties en oplossingen die door derden zijn ontwikkeld en worden beheerd via platformservices van de Microsoft cloudomgeving. Het OSSC team (Online Services Security and Compliance) Het OSSC team binnen GFS is verantwoordelijk voor het Information Security Program voor de Microsoft cloudinfrastructuur, inclusief de beleidsregels en programma's die worden gebruikt voor het beheer van beveiligingsrisico's. De missie van OSSC is betrouwbare onlineservices te realiseren die zowel Microsoft zelf als de klanten van Microsoft concurrentievoordeel opleveren. Door deze functie op het niveau van de cloud infrastructuur te plaatsen profiteren alle Microsoft cloudservices van de schaalvoordelen en verminderde complexiteit van gedeelde beveiligingsoplossingen. Dankzij deze standaardbenadering kan ieder Microsoft serviceteam zich bovendien richten op de unieke beveiligingsbehoeften van de klant. Het OSSC team werkt aan een betrouwbare gebruikersbeleving in de Microsoft cloud via het Information Security Program van Microsoft. Hierbij wordt gebruik gemaakt van een risicomodel en gedetailleerde controlemechanismen. Daartoe behoren regelmatige beoordelingen van risico's, ontwikkeling en onderhoud van een beveiligingsstructuur en 6

7 complianceprocedures voor alle activiteiten, vanaf het opzetten van datacenters tot het reageren op verzoeken van regelgevende instanties over de hele wereld. Het team maakt gebruik van best practices, waaronder allerlei interne en externe beoordelingen, gedurende de gehele levenscyclus van onlineservices en ieder onderdeel van de infrastructuur. Nauwe samenwerking met andere Microsoft teams resulteert in een complete benadering voor het beveiligen van de applicaties in de Microsoft cloud. Het gebruik van een wereldwijde cloud infrastructuur voor allerlei bedrijfstakken houdt in dat moet worden voldaan aan uiteenlopende nalevingsverplichtingen en grondige controles door externe auditors. De controleerbare vereisten zijn afkomstig uit overheids en branchevoorschriften, interne beleidsregels en best practices binnen bedrijfssectoren. Het OSSC programma zorgt ervoor dat verwachtingen ten aanzien van compliance continu worden geëvalueerd en toegepast. Dankzij het Information Security Program heeft Microsoft belangrijke certificeringen verkregen, zoals International Organization for Standardization / International Society of Electrochemistry 27001:2005 (ISO/IEC 27001:2005) en Statement of Auditing Standard (SAS) 70 Type I en Type II. Bovendien doorloopt Microsoft de periodieke controles van onafhankelijke derden zo op een efficiëntere manier. Trustworthy Computing bij Microsoft De belangrijkste basis voor een effectief beveiligingsprogramma is een cultuur waarin men zich bewust is van veiligheid en beveiliging belangrijk wordt gevonden. Microsoft realiseert zich dat zo'n cultuur door het management moet worden opgelegd en ondersteund. Het managementteam van Microsoft zorgt al heel lang voor de juiste investeringen en drijfveren om veilig gedrag te bevorderen. In 2002 is het Trustworthy Computing initiatief gerealiseerd waarbij Bill Gates aangaf dat Microsoft zijn missie en strategie op belangrijke gebieden ingrijpend zou aanpassen. Vandaag de dag is Trustworthy Computing een van de belangrijkste corporate values bij Microsoft en wordt bijna alles wat het bedrijf doet hierdoor gestuurd. Dit initiatief is opgebouwd rond de volgende vier criteria: privacy, beveiliging, betrouwbaarheid en bedrijfsvoering. Ga voor meer informatie over Trustworthy Computing naar de Microsoft Trustworthy Computing pagina. Microsoft realiseert zich dat succes in de snel veranderende wereld van onlineservices afhankelijk is van de beveiliging en privacy van de klantgegevens en de beschikbaarheid en robuustheid van de aangeboden services. Microsoft ontwikkelt en test applicaties en infrastructuur volgens internationale standaarden om ervoor te zorgen dat de applicaties en infrastructuur hieraan voldoen en ook voldoen aan wet en regelgeving en interne beveiligings en privacyregels. Daardoor daarvan profiteren de klanten van Microsoft van betere testprocedures en controles, automatische aflevering van patches, kostenbesparende schaalvoordelen en voortdurende verbeteringen in de beveiliging. 7

8 Privacy Microsoft stelt alles in het werk om de privacy en veiligheid van klanten te waarborgen. Wij voldoen aan alle geldende privacywetgeving en de richtlijnen in de Privacyverklaring van Microsoft worden strikt opgevolgd. Microsoft ontwikkelt zijn software, services en processen altijd met privacy in het achterhoofd. Zo creëren wij een betrouwbare gebruiksomgeving voor klanten. De teams van Microsoft letten er goed op dat wereldwijd de privacywetgeving wordt nageleefd. De privacyprocedures van Microsoft zijn voor een deel afgeleid van privacywetten over de hele wereld. Microsoft volgt het voorbeeld van deze privacywetten en past die standaarden wereldwijd toe. Microsoft stelt alles in het werk om uw persoonlijke gegevens te beschermen. De onlineserviceteams maken gebruik van diverse beveiligingstechnieken en procedures om persoonlijke gegevens te beveiligen tegen onbevoegde toegang, onbevoegd gebruik of openbaring. Microsoft hanteert bij alle ontwikkelprocessen en operationele procedures de PD3+C principes, die zijn gedefinieerd in de SDL (Security Development Lifecycle): Privacy bij ontwikkeling Microsoft hanteert dit principe op meerdere manieren tijdens ontwikkeling, release en onderhoud van applicaties. Zo worden gegevens van klanten alleen voor een bepaald doel verzameld en wordt de klant hierover altijd tijdig geïnformeerd. Als te verzamelen gegevens als zeer gevoelig zijn aangemerkt, worden aanvullende beveiligingsmaatregelen toegepast, zoals versleuteling, tijdens de overdracht maar ook als de gegevens niet worden gebruikt. Privacy is standaard Microsoft vraagt klanten om toestemming voordat gevoelige gegevens worden verzameld of overgedragen. Nadat toestemming is gegeven, worden deze gegevens beveiligd door ACL's (Access Control Lists) in combinatie met identiteitsverificatie. Privacy bij implementatie Microsoft maakt de privacymechanismen bekend aan organisaties zodat deze de juiste privacy en beveiligingsregels kunnen implementeren voor hun gebruikers. Communicatie Microsoft houdt iedereen op de hoogte door publicatie van zijn privacybeleid, whitepapers en andere documenten die betrekking hebben op privacy. Ga voor meer informatie over de initiatieven van Microsoft op privacygebied naar de Microsoft Trustworthy Computing Privacy pagina. 8

9 Beveiliging Microsoft past de cloud infrastructuur steeds aan om gebruik te kunnen maken van de nieuwste technologieën, zoals virtualisatie. Dat heeft tot gevolg dat voor veel soorten klantobjecten de opgeslagen bedrijfsgegevens worden losgekoppeld van een normale fysieke infrastructuur. Verder is het ontwikkelproces van applicaties die online worden gehost flexibeler en heeft het meer releases tot gevolg. Dit vroeg om een nieuwe benadering van beveiligingsrisico's om Trustworthy Computing te kunnen realiseren. De volgende secties van dit document bevatten een uitgebreid overzicht van de manier waarop het Microsoft OSSCteam de grondbeginselen van beveiliging toepast om de risico's in de cloud infrastructuur te beheren. Tevens leest u wat een gelaagde beveiligingsstrategie voor onlineservices inhoudt en hoe de cloudomgeving nieuwe beveiligingsmaatregelen tot gevolg heeft. Het Information Security Program Het Information Security Program van Microsoft bepaalt hoe OSSC werkt. Het programma is gecertificeerd door de British Standards Institute (BSI) Management Systems America en voldoet daardoor aan ISO/IEC 27001:2005. Als u de ISO/IEC 27001:2005 certificeringen erop wilt naslaan, ga dan naar de Certificate/Client Directory Search Results pagina. In het Information Security Program zijn beveiligingsvereisten in drie hoofddomeinen gerangschikt: beheer, techniek en fysiek. De criteria in deze domeinen vormen de basis van waaruit risico's worden beheerd. Het Information Security Program volgt de structuur van ISO/IEC27001:2005: plannen, uitvoeren, controleren, actie nemen. Het begint bij de beveiligingselementen en controlemechanismen van deze domeinen en de bijbehorende subcategorieën. 9

10 OSSC definieert daarop de vier stappen van de traditionele structuur van plannen, uitvoeren, controleren en actie nemen van een ISO beveiligingsprogramma als volgt: Plannen a. Op risicoanalyses gebaseerde besluitvorming Door prioritering van belangrijke activiteiten en toewijzing van resources biedt OSSC een beveiligingsplan basis van de risicoanalyses. De organisatorische en individuele doelen van dit plan hebben betrekking op updates van beleidsregels, operationele standaarden en beveiligingsopties in GFS en allerlei productgroepen. b. Documentvereisten OSSC definieert duidelijke verwachtingen die de weg bereiden voor het verkrijgen van attesten en certificeringen van derden op basis van een gedocumenteerde beveiligingsstructuur. In deze structuur zijn de vereisten duidelijk, consistent en beknopt vastgelegd. Uitvoeren a. De juiste controlemechanismen implementeren Controlemechansimen die zijn gebaseerd op het beveiligingsplan worden geïmplementeerd door operationele teams, productieteams en serviceteams. b. Controlemechanismen toepassen OSSC implementeert en gebruikt veel controlemechanismen rechtstreeks, bijvoorbeeld om GCC (Global Criminal Compliance) te garanderen, bedreigingen voor de infrastructuur te beperken en datacenters fysiek te beveiligen. Operationele teams, productteams en serviceteams implementeren en onderhouden daarnaast ook nog andere maatregelen. Controleren a. Meten en verbeteren OSSC evalueert controle activiteiten continu. Nieuwe controlemechanismen worden toegevoegd of bestaande controlemechanismen worden aangepast om de doelstellingen van het Information Security beleid en de beveiligingsstructuur te realiseren. Actie ondernemen a. Effectiviteit van programma valideren Zowel interne teams als externe auditors beoordelen het Information Security Program periodiek om de effectiviteit van het programma te controleren. b. Aanpassen om relevant te blijven OSSC evalueert het Information Security Program en de beveiligingsstructuur op basis van toepasselijke wet en regelgeving, zakelijke vereisten, branchevereisten en standaarden. Zo worden gebieden geïdentificeerd die kunnen worden verbeterd en wordt vastgesteld of doelen zijn behaald. Op deze manier worden de Microsofttechnologie en bedrijfsplannen bijgewerkt met het oog op de impact van operationele wijzigingen. Een beveiligingsprogramma is pas compleet nadat de training van medewerkers is geregeld. Microsoft verzorgt beveiligingstrainingen die ervoor zorgen dat alle groepen die betrokken zijn bij het ontwikkelen, implementeren, gebruiken en ondersteunen van onlineservices op de cloud infrastructuur, weten wat hun verantwoordelijkheden zijn met betrekking tot het Information Security beleid voor Online Services van Microsoft. In dit trainingsprogramma worden de drie basisprincipes behandeld die moeten worden toegepast bij iedere laag van de Microsoft strategie voor beveiliging van onlineservices. Microsoft raadt zakelijke klanten en externe softwareontwikkelaars aan deze principes toe te passen bij het bouwen van applicaties en het aanbieden van services via de cloud infrastructuur van Microsoft. 10

11 Procedures voor risicobeheer Het analyseren en oplossen van beveiligingsproblemen in onderling afhankelijke onlinesystemen is ingewikkelder en kost vaak meer tijd dan bij traditionele IT systemen. Risicobeheer en beoordelingen moeten aan deze dynamische omgeving worden aangepast. Microsoft maakt hierbij gebruik van gedegen procedures die zijn gebaseerd op langdurige ervaring met het leveren van services op internet. OSSC medewerkers werken in veel product en servicegroepen binnen Microsoft samen met operationele teams en managers aan het beheer van deze risico's. Het Information Security Program bepaalt de standaardprocessen en documentatievereisten voor continue besluitvorming op basis van risicoanalyses. Aan de hand van het SRMP (Security Risk Management Program) worden de risico's op verschillende niveaus beoordeeld en worden prioriteiten gesteld voor productreleases, beleidsonderhoud en toewijzing van resources. Ieder jaar wordt er een uitgebreide beoordeling van de bedreigingen voor de Microsoft cloud infrastructuur uitgevoerd op basis waarvan gedurende het hele jaar aanvullende beoordelingen plaatsvinden. Deze beoordelingen zijn vooral gericht op de bedreigingen die grote problemen kunnen veroorzaken. Via dit proces stelt Microsoft prioriteiten vast en wordt de ontwikkeling van beveiligingsmechanismen en bijbehorende activiteiten bepaald. De SRMP methodologie evalueert de effectiviteit van controlemechanismen tegen bedreigingen door: 11 Identificeren van bedreigingen en beveiligingslekken in de omgeving Boordeling van risico's Rapportage van risico's in de Microsoft cloudomgeving Reageren op risico's op basis van de mogelijke impact en de bijbehorende business case Testen van de effectiviteit van de oplossing en het resterende risico Continu beheer van risico's Beheer van de bedrijfscontinuïteit Veel organisaties die het gebruik van cloudapplicaties overwegen hebben vragen over de beschikbaarheid en robuustheid van de service. Het hosten van applicaties en het opslaan van gegevens in een cloudomgeving biedt nieuwe opties voor servicebeschikbaarheid en robuustheid, en nieuwe opties voor back up en herstel van gegevens. Het Microsoft Business Continuity Program maakt gebruik van best practices in de branche om voorzieningen voor bedrijfscontinuïteit te creëren voor nieuwe applicaties die in de Microsoft cloudomgeving beschikbaar komen. Microsoft gebruikt een doorlopend beheer en beleidsproces waarin alle noodzakelijke stappen worden gevolgd bij de beoordeling van mogelijke verliezen, het onderhoud van herstelstrategieën en het waarborgen van de continuïteit van producten en services. Weten welke resources (mensen, apparatuur en systemen) nodig zijn voor het uitvoeren van een taak of een proces is essentieel als u een relevant plan wilt maken voor noodherstel. Het niet beoordelen, onderhouden en testen van het plan vormt een van de grootste risico's van mogelijk gegevensverlies. Het programma doet daarom meer dan alleen het documenteren van herstelprocedures. Microsoft maakt gebruik van de Business Continuity Management Plan Development Lifecycle bij het maken en onderhouden van calamiteitenplannen aan de hand van zes fasen, zoals aangegeven in onderstaande illustratie:

12 Microsoft richt zich op het herstel van services en gegevens nadat een afhankelijkheidsanalyse is uitgevoerd waarbij twee doelen in kaart worden gebracht met betrekking tot het herstel van de assets: RTO(Recovery Time Objective) De maximale tijd dat een kritiek proces, functie of resource kan uitvallen voordat er een ernstig probleem optreedt. RPO (Recovery Point Objective) Het maximale gegevensverlies dat bij een calamiteit mag optreden, vaak uitgedrukt in de tijd tussen de meest recente back up en het moment waarop het probleem optreedt. Het identificeren en classificeren van assets is een continu onderdeel van risicobeheer voor de Microsoft cloudinfrastructuur. Het calamiteitenplan zorgt ervoor dat deze doelstellingen strikt worden toegepast bij de beoordeling of herstelstrategieën al of niet moeten worden geïmplementeerd in een noodsituatie. Microsoft valideert deze strategieën verder met activiteiten zoals oefeningen, tests, training en onderhoud. 12

13 Beheer van beveiligingsincidenten De beveiligingsmechanismen en processen voor risicobeheer die Microsoft gebruikt om de cloud infrastructuur te beveiligen verlagen het risico op beveiligingsincidenten, maar het zou naïef zijn te denken dat er geen kwaadaardige aanvallen zullen plaatsvinden. Het SIM team binnen OSSC, dat belast is met beveiligingsincidenten, komt in actie als dergelijke aanvallen plaatsvinden, 24 uur per dag, zeven dagen per week. De missie van SIM is beveiligingsincidenten snel en accuraat te beoordelen en op te lossen met de hulp van Microsoft Online Services, waarbij relevante informatie naar het management en relevante teams binnen Microsoft wordt gecommuniceerd. Het responsproces van SIM bestaat uit zes fasen: Voorbereiding SIM medewerkers worden getraind zodat ze adequaat kunnen reageren als er een beveiligingsincident optreedt. Identificatie Bij het zoeken naar de oorzaak van een incident, moet het probleem vaak in meerdere lagen van de Microsoft cloudomgeving worden getraceerd. SIM werkt samen met andere interne Microsoft teams bij het achterhalen van de oorzaak van een beveiligingsincident. Risicobeheersing Als de oorzaak eenmaal is vastgesteld, werkt SIM samen met alle andere betrokken teams aan het beperking van het incident. Hoe dat precies gebeurt, is afhankelijk van de impact van het incident. Risicobeperking SIM werkt met de relevante product en serviceteams samen om het risico op herhaling van het incident te beperken. Herstel Samen met andere groepen en teams werkt SIM vervolgens aan het herstel van de service. Geleerde lessen Nadat een beveiligingsincident is opgelost, evalueert SIM samen met alle betrokkenen wat er is gebeurd en welke lessen tijdens herstelproces zijn geleerd. Door intensieve samenwerking met andere teams kan SIM problemen snel detecteren, zodat de verstoring van services wordt beperkt. SIM werkt bijvoorbeeld nauw samen met operationele teams, zoals het Microsoft Security Response Center (ga voor meer informatie naar de Microsoft Security Response Center pagina). Mede hierdoor krijgt SIM snel een holistisch, operationeel inzicht in een incident op het moment dat dit zich voordoet. SIM medewerkers nemen ook contact op met ontwikkelaars om de ernst van het incident vast te stellen op basis van verschillende factoren, zoals potentiële of extra storingen in de service en risico op reputatieschade. GCC (Global Criminal Compliance) Het GCC programma van OSSC wordt gebruikt bij het opstellen van beleid en het geven van trainingen voor de responsprocedures van Microsoft. Het GCC team reageert ook op juridische aanvragen om informatie. GCC beschikt in verschillende landen over juridische agenten die de aanvraag valideren, en als dat nodig is, vertalen. Een van de redenen waarom GCC door veel internationale instellingen wordt beschouwd als een uitstekend responsprogramma is het feit dat GCC over een portal beschikt dat wetshandhavers richtlijnen in meerdere talen biedt voor het indienen van een juridische aanvraag bij Microsoft. Het trainingsdoel van GCC is onder meer het geven van training aan wetshandhavers. GCC geeft ook training aan Microsoft personeel over verantwoordelijkheden bij het bewaren van gegevens en privacy. Interne trainingen en 13

14 beleidswerk veranderen voortdurend naarmate Microsoft meer datacenters op internationale locaties toevoegt, waardoor het bereik van internationale wettelijke voorschriften groter wordt. GCC speelt een cruciale rol in processen waarbij rekening moet worden gehouden met verschillende internationale wetgevingen en hoe die van toepassing zijn op consumenten of zakelijke klanten die gebruikmaken van Microsoft Online Services. Operationele compliance De onlineservices van Microsoft moeten voldoen aan tal van overheidsregels, branchespecifieke voorschriften en de bedrijfsspecificaties die Microsoft zelf hanteert. Naarmate de online omgeving van Microsoft verder groeit en verandert, en nieuwe onlineservices aan de Microsoft cloud worden toegevoegd, zijn nieuwe voorschriften nodige, zoals regionale en landspecifieke normen voor gegevensbeveiliging. Het Operational Compliance team zorgt er samen met bedrijfs, product en serviceteams en interne en externe auditors voor dat Microsoft voldoet aan alle relevante normen en wettelijke verplichtingen. De volgende lijst geeft een overzicht van enkele van audits en evaluaties die de Microsoftcloudomgeving jaarlijks ondergaat: Gegevensbeveiligingsnorm betaalkaartsector Vereist jaarlijkse beoordeling en validatie van beveiligingsmechanismen voor creditcardtransacties. Raad voor mediabeoordelingen Houdt verband met de integriteit bij het genereren en verwerken van gegevens in advertentiesystemen. Sarbanes Oxley Bepaalde systemen worden jaarlijks gecontroleerd op naleving van belangrijke processen met betrekking tot de integriteit van financiële verslaggeving. Health Insurance Portability and Accountability Act Amerikaanse wet die richtlijnen bevat ten aanzien van privacy, beveiliging en noodherstel voor elektronische opslag van medische dossiers. Interne controle en privacybeoordelingen Beoordelingen vinden gedurende een bepaald jaar plaats. Het was een aanzienlijke uitdaging voor Microsoft om te voldoen aan al deze controleverplichtingen. Na bestudering van de vereisten besloot Microsoft dat voor veel van de controles en beoordelingen een evaluatie nodig was van dezelfde operationele controlemechanismen en processen. OSSC zag een goede kans om redundant werk te elimineren, processen te stroomlijnen en proactief en diepgaander om te gaan met complianceverwachtingen en ontwikkelde hiervoor een uitgebreid compliancesysteem. Dit systeem en de bijbehorende processen zijn gebaseerd op een methode met vijf stappen die in de volgende afbeelding wordt getoond: 14

15 Vereisten identificeren en integreren Bereik en toepasselijke controlemechanismen worden bepaald. Standaard operationele procedures (SOP) en procesdocumenten worden verzameld en beoordeeld. Lacunes beoordelen en verhelpen Lacunes in proces of technische controlemechanismen worden geïdentificeerd en verholpen. Effectiviteit testen en risico beoordelen Effectiviteit van controlemechanismen wordt gemeten en gerapporteerd. Certificering en attesten verkrijgen Samenwerking met certificeringsinstellingen en auditors. Verbeteren en optimaliseren Als niet naleving wordt geconstateerd, wordt de hoofdoorzaak gedocumenteerd en verder geëvalueerd. Dergelijke bevindingen worden gevolgd totdat ze volledig zijn verholpen. In deze fase worden ook de controlemechanismen voor verschillende beveiligingsdomeinen continu geoptimaliseerd met het oog op toekomstige audits en certificeringen. Een van de successen van dit programma is dat de cloud infrastructuur van Microsoft zowel de SAS 70 Type I als Type IIattesten heeft verkregen en ook de ISO/IEC 27001:2005 certificering. Dit onderstreept de inzet aan van Microsoft om een betrouwbare cloud infrastructuur aan te bieden: Het ISO/IEC 27001:2005 certificaat bevestigt dat Microsoft de internationaal erkende controlemechanismen voor gegevensbeveiliging heeft geïmplementeerd die in deze norm zijn vastgelegd. De SAS 70 attesten illustreren dat Microsoft bereid is interne beveiligingsprogramma's toegankelijk te maken voor externe controle. 15

16 Een gelaagde beveiligingsaanpak Een gelaagde beveiligingsaanpak is een essentieel onderdeel van de wijze waarop Microsoft een betrouwbare cloudinfrastructuur aanbiedt. Bij het gebruik van controlemechanismen op meerdere lagen spelen ook beveiligingsopties, risicobeperkende strategieën en paraatheid om te kunnen reageren op aanvallen een belangrijke rol. Via sterkere en minder sterke beveiligingsmaatregelen, afhankelijk van de gevoeligheid van de te beschermen gegevens, nemen de mogelijkheden voor het voorkomen en beperken van een beveiligingsincident toe. De komst van cloud computing verandert niets aan dit principe. De sterkte van de controlemechanismen wordt bepaald door de gevoeligheid van de te beschermen gegevens of het belang van het beperken van beveiligingsrisico's. Het feit dat in een cloudomgeving de meeste bedrijfsgegevens kunnen worden gevirtualiseerd leidt tot veranderingen in risicoanalyses en de implementatie van beveiligingsmechanismen in de traditionele beveiligingslagen (fysiek, netwerk, gegevens, identiteitstoegang, toegangsautorisatie en verificatie en host). Onlineservices, zoals de infrastructuur en platformservices van GFS, maken gebruik van virtualisatie. Hierdoor kan het zijn dat bedrijfsgegevens van klanten die gebruikmaken van services die worden gehost op de Microsoft cloud niet meer gemakkelijk kunnen worden geassocieerd met een fysieke locatie. Gegevens worden virtueel opgeslagen en verdeeld over veel locaties. Dit betekent dat beveiligingsmechanismen moeten worden geïdentificeerd en dat moet worden bepaald hoe deze worden geïmplementeerd in een gelaagde beveiligingsstrategie. Fysieke en netwerkbeveiligingsmaatregelen moeten uiteraard nog steeds worden genomen. De focus van risicobeheer verschuift echter dichter naar het objectniveau, dichter naar de elementen die in de cloudomgeving worden gebruikt: bijvoorbeeld opslagcontainers voor statische of dynamische gegevens, VM objecten, de runtime omgevingen waarin berekeningen worden uitgevoerd. Daarbij wordt gebruikgemaakt van tal van traditionele fysieke en netwerkbeveiligingsmethoden en middelen om te zorgen dat entiteiten, bijvoorbeeld een persoon die toegang wil tot een datacenter of een rekenproces dat toegang vraagt tot klantgegevens in de Microsoft cloudomgeving, worden geverifieerd en gemachtigd voor de gevraagde toegang. Er zijn ook maatregelen waarmee servers en besturingssystemen die in de Microsoft cloud infrastructuur worden uitgevoerd, worden versterkt tegen aanvallen. Deze sectie geeft een overzicht van enkele processen en controlemechanismen die Microsoft gebruikt voor de beveiliging van datacenters, netwerkhardware en communicatie en servicehosts. Fysieke beveiliging Technische systemen voor automatisering van toegangsmachtiging en verificatie in bepaalde omstandigheden zijn een voorbeeld van de manier waarop fysieke beveiliging is veranderd door nieuwe technologie. Een ander voorbeeld is de verschuiving van traditionele applicaties, op computerhardware en software die fysiek in het bedrijf aanwezig is, naar het gebruik van Software as a Service en Software plus Services. Deze veranderingen vragen verdere aanpassingen van de manier waarop organisaties de beveiliging van hun bedrijfsgegevens regelen. OSSC beheert de fysieke beveiliging van alle Microsoft datacenters, wat essentieel is voor de operationele bedrijfsvoering en de bescherming van klantgegevens. Voor iedere vestiging worden vaste procedures in beveiligingsontwerp en applicaties gebruikt. Microsoft stelt binnen en buitengrenzen in met steeds strengere controlemechanismen voor elke laag. 16

17 Het beveiligingssysteem werkt met diverse technische oplossingen,zoals camera's, biometrie, kaartlezers en alarmen, en traditionele beveiligingsmaatregelen zoals sloten en sleutels. Operationele controlemechanismen zorgen voor geautomatiseerde bewaking en tijdige melding van lekken of problemen, en voor controleerbaarheid door middel van documentatie van het fysieke beveiligingsprogramma van het datacenter. De volgende lijst geeft meer voorbeelden van hoe Microsoft controlemechanismen voor fysieke beveiliging toepast: Toegang voor datacenter personeel Microsoft heeft diverse beveiligingsvereisten waarop werknemers en contractors bij datacenters worden gecontroleerd. Naast contractvoorschriften voor medewerkers op locatie, wordt nog een andere beveiligingslaag toegepast voor personeel dat in het datacenter werkt. De toegang wordt beperkt met een beleid van minimale rechten zodat alleen het benodigde personeel gemachtigd is om applicaties en services van klanten te beheren. Vereisten voor zeer gevoelige bedrijfsgegevens Microsoft heeft voor zeer gevoelige bedrijfsgegevens strengere minimumvereisten ontwikkeld dan voor bedrijfsgegevens met een lage of gemiddelde gevoeligheid die binnen de datacenters worden gebruikt om onlineservices aan te bieden. Standaardbeveiligingsprotocollen voor identificatie, toegangstokens, registratie en toezicht op sitetoegang geven duidelijk aan welke soort verificatie nodig is. Voor toegang tot zeer gevoelige bedrijfsgegevens is verificatie met meerdere factoren vereist. Gecentraliseerd toegangsbeheer voor fysieke bedrijfsmiddelen Omdat het aantal datacenters voor onlineservices groeit, heeft Microsoft een programma ontwikkeld voor het beheer van toegang tot fysieke bedrijfsmiddelen. Dit programma beschikt ook over controleerbare logboeken dankzij centralisatie van de processen voor aanvragen, goedkeuringen en verlening van toegang tot datacenters. Het programma gebruikt het principe van minimaal benodigde toegang en integreert processen voor het verkrijgen van toestemming van meerdere machtigingsinstanties. De configuratie van het programma kan worden aangepast aan de omstandigheden op locatie en geeft efficiëntere toegang tot historische gegevens voor verslaggeving en compliance met audits. Netwerkbeveiliging Microsoft gebruikt allerlei beveiligingslagen die zijn afgestemd op de apparatuur en netwerkverbindingen van datacenters. Beveiligingsmechanismen worden bijvoorbeeld gebruikt op zowel controleniveau als beheerniveau. Er wordt gespecialiseerde hardware, zoals load balancers, firewalls en inbraakpreventiemiddelen, gebruikt om DoSaanvallen (Denial of Service) tegen te gaan. De netwerkbeheerteams gebruiken gelaagde toegangsbeheerlijsten (ACL's) toe voor gesegmenteerde VLAN's (virtual local area networks) en indien nodig voor applicaties. Via netwerkhardware zorgt Microsoft dat applicatie gatewayfuncties grondige pakketinspecties uitvoeren en zo nodig een alarm uitzenden of verdacht netwerkverkeer blokkeren. De Microsoft cloudomgeving beschikt over een redundante interne en externe DNS infrastructuur. Deze redundantie zorgt voor fouttolerantie en wordt bereikt door het clusteren van DNS servers. Extra controlemechanismen verkleinen de kans op verspreide denial of service (DDoS), cachevergiftiging of vervuilingsaanvallen. ACL's binnen DNS servers en DNS zones beperken bijvoorbeeld schrijfrechten voor DNS records tot gemachtigd personeel. Nieuwe beveiligingsfuncties voor DNSsoftware, zoals het randomiseren van query id's, worden op alle DNS servers gebruikt. DNS clusters worden voortdurend gecontroleerd op illegale software, veranderingen in de DNS zoneconfiguratie en andere verstorende servicegebeurtenissen. 17

18 DNS is een onderdeel van internet en vereist deelname van vele organisaties om deze service te bieden. Microsoft neemt deel aan veel van zulke organisaties, zoals het DNS Operations Analysis en Research Consortium (DNS OARC), dat bestaat uit DNS experts over de hele wereld. Gegevensbeveiliging Microsoft classificeert bedrijfsmiddelen en gegevens om de sterkte van de toe te passen beveiligingsmechanismen te bepalen. Hierbij wordt rekening gehouden met de kans op financiële schade en schade aan de bedrijfsreputatie mocht de bedrijfsinformatie betrokken raken bij een beveiligingsincident. Na classificatie wordt een gelaagde beveiligingsanalyse toegepast om de benodigde beschermingsgraad te bepalen. Voor bedrijfsgegevens in de categorie gemiddelde gevoeligheid is bijvoorbeeld versleuteling vereist als deze zich op verwisselbare media bevinden of betrokken zijn bij externe netwerkoverdrachten. Voor zeer gevoelige gegevens is verder ook versleuteling vereist bij opslag en bij interne systeem en netwerkoverdrachten. Alle Microsoft producten moeten voldoen aan de cryptografische SDL normen die een overzicht bevatten van acceptabele en niet acceptabele cryptografische algoritmen. Sleutels van meer dan 128 bits zijn vereist voor symmetrische versleuteling. Bij gebruik van asymmetrische algoritmen moeten sleutels van 2048 bits of meer worden gebruikt. Identiteits en toegangsbeheer Microsoft gebruikt een model met minimale informatieschaffing en toegangsrechten voor toegang tot bedrijfsmiddelen en gegevens. Waar mogelijk worden op rollen gebaseerde toegangsmechanismen gebruikt om logische toegang toe te wijzen aan specifieke taakfuncties of bepaalde verantwoordelijkheden in plaats van aan een persoon. Bij dit type beleid wordt toegang geweigerd die niet uitdrukkelijk is toegekend door de eigenaar van de bedrijfsgegevens op basis van een geïdentificeerde bedrijfsbehoefte. Personen die zijn gemachtigd voor toegang tot alle bedrijfsgegevens moeten de gedefinieerde methoden gebruiken om toegang te verkrijgen. Voor zeer gevoelige bedrijfsgegevens is verificatie met meerdere factoren vereist, waaronder wachtwoorden, hardware tokens, smartcards of biometrische voorzieningen. Machtigingen van gebruikersaccounts worden continu gecontroleerd om te zien of het gebruik van bedrijfsmiddelen en gegevens noodzakelijk is voor een bepaald activiteit. Accounts die geen toegang meer nodig hebben tot bepaalde bedrijfsgegevens worden gedeactiveerd. Applicatiebeveiliging Applicatiebeveiliging is een belangrijk element van het Microsoft beleid voor beveiliging van zijn cloudomgeving. De strikte beveiligingsmaatregelen die ontwikkelteams van Microsoft gebruiken werden in 2004 geformaliseerd in een zogenoemd Security Development Lifecycle proces (SDL). Het SDL proces maakt geen onderscheid in ontwikkelmethoden en is volledig geïntegreerd in de levenscyclus van applicaties, van ontwerp tot respons, en vormt geen vervanging voor softwareontwikkelmethoden zoals Waterfall of Agile. Verschillende fasen in het SDL proces benadrukken onderricht en training en vereisen dat specifieke activiteiten en processen worden gebriuikt die zijn toegesneden op iedere fase van softwareontwikkeling. Het management van Microsoft ondersteunt de verplichte toepassing van SDL tijdens het ontwikkelproces van Microsoft producten en de levering van onlineservices. OSSC zorgt ervoor dat de SDL wordt toegepast bij het bouwen van applicaties die worden gehost op de Microsoft cloud infrastructuur. 18

19 Het SDL proces is in de volgende afbeelding weergegeven: Het proces begint bij de vereistenfase en bevat een aantal specifieke activiteiten waarmee rekening wordt gehouden bij ontwikkeling van applicaties die worden gehost in de Microsoft cloud: Vereisten Het hoofddoel in deze fase is belangrijke beveiligingsdoelstellingen te formuleren en de softwarebeveiliging te maximaliseren, met minimale verstoring van het gebruik, de plannen en de planningen van klanten. Deze activiteit kan een operationele discussie bevatten als het gaat om gehoste applicaties, die is gericht op de manier waarop de service gebruik gaat maken van netwerkverbindingen en protocollen. Ontwerp Belangrijke beveiligingsstappen in deze fase zijn onder andere het documenteren van het mogelijke aanvalsvlak en het testen van dreigingsmodellen. Net als in de vereistenfase kunnen tijdens dit proces omgevingscriteria worden geformuleerd voor een gehoste toepassing. Implementatie Codering en testen vinden in deze fase plaats. Tijdens de implementatie zijn voorkoming van onveilige code en stappen om beveiligingsproblemen te elimineren de belangrijkste activiteiten. Verificatie De bètafase begint wanneer nieuwe applicaties functioneel als voltooid worden beschouwd. Gedurende deze fase wordt bepaald welke beveiligingsrisico's er bestaan wanneer de toepassing wordt geïmplementeerd in een productieomgeving en welke stappen ondernomen kunnen worden om beveiligingsrisico's te elimineren of te verminderen. Release De Final Security Review (FSR) vindt in deze fase plaats. Er vindt zo nodig ook een Operational Security Review (OSR) plaats voordat de nieuwe toepassing kan worden vrijgegeven in de cloudomgeving van Microsoft. Respons Voor de cloudomgeving van Microsoft neemt het SIM team het voortouw bij beveiligingsincidenten. Het werkt nauw samen met de product en serviceteams en met medewerkers van het Microsoft Security Response Center voor triage, onderzoek en oplossing van gemelde incidenten. Zie voor meer informatie over SDL The Microsoft Security Development Lifecycle (SDL) pagina. OSSC beheert het FSR proces, een verplichte SDL beoordeling voor Microsoft Online Services die ervoor zorgt dat aan de juiste beveiligingsvereisten is voldaan voordat nieuwe applicaties worden geïmplementeerd in de Microsoft cloud 19

20 infrastructuur. De FSR beoordeelt in hoeverre een team de Security Development Lifecycle heeft gevolgd tijdens het ontwikkelproces. Tijdens de FSR beheert OSSC de volgende taken: Productteamcoördinatie Vragenlijsten en andere documenten moeten worden ingevuld door het productontwikkelteam. OSSC gebruikt die informatie om te controleren of SDL correct is toegepast tijdens de ontwikkeling. Beoordeling van risicomodellen Voor Microsoft zijn risicomodellen essentieel bij het ontwikkelen van beveiligingssoftware. OSSC analyseert de risicomodellen die door productteams worden geproduceerd en controleert of deze volledig en actueel zijn. Tijdens deze beoordeling wordt ook nagegaan of controlemechanismen zijn geïmplementeerd om alle geformuleerde risico's te beperken. Beoordeling van beveiligingsfouten Alle fouten die tijdens het ontwerpen, ontwikkelen en testen zijn gedetecteerd worden beoordeeld. Zo wordt gezorgd dat fouten die gevolgen hebben voor de beveiliging of privacy van klantgegevens worden verholpen. Programma's voor validatie Ontwikkel en testteams van Microsoft gebruiken softwarebeveiligingsprogramma's en gedocumenteerde methoden voor het schrijven van programmacode als onderdeel van het ontwikkelproces. Door het elimineren van algemene beveiligingslekken kan de softwarebeveiliging aanzienlijk worden verbeterd. OSSC controleert of dat productteams op de juiste wijze gebruik hebben gemaakt van de beschikbare programma's en de gedocumenteerde methoden voor het schrijven en testen van programmacode. Naast het FSR proces beheert OSSC ook een Operational Security Review (OSR). De OSR bestaat uit het beoordelen van netwerkcommunicatie, platform, systeemconfiguratie en controlemogelijkheden ten opzichte van de geformuleerde beveiligingsnormen en basislijnen. Het OSR proces zorgt dat de juiste beveiligingsmechanismen deel uitmaken van de operationele plannen voordat toestemming wordt verleend voor implementatie in de cloud infrastructuur. Controle en rapportage van hostbeveiliging Grotere en complexere omgevingen moeten worden beheerd voor het leveren van betrouwbare, veilige en goed onderhouden services. Dagelijkse controle van de infrastructuuronderdelen zorgt voor een actueel inzicht in de beveiligingsproblemen van het hostsysteem, waardoor OSSC samen met product en serviceteams de bijbehorende risico's kan beheren zonder dat dit leidt tot onderbrekingen van onlineservices van Microsoft. Penetratietests die worden uitgevoerd door interne en externe partijen bieden belangrijk inzicht in de doelmatigheid van beveiligingsmechanismen voor de Microsoft cloud infrastructuur. Het resultaat van deze beoordelingen en de voortdurende evaluatie van de hieruit voortvloeiende controlemechanismen worden vervolgens gebruikt bij het scannen, bewaken en het oplossen van risico's. Geautomatiseerde implementatie van robuuste systeemimages, samen met een actief gebruik van hostbeleidsvoorzieningen, zoals groepsbeleid, zorgen ervoor dat Microsoft grip heeft op de toevoeging van servers aan de cloud infrastructuur van Microsoft. Na implementatie zorgen de operationele beoordelingsprocessen en het patchbeheerprogramma van Microsoft voor continue beperking van beveiligingsrisico's op hostsystemen. 20

Onze gedifferentieerde benadering tot de Intelligent Workload Management markt

Onze gedifferentieerde benadering tot de Intelligent Workload Management markt Onze gedifferentieerde benadering tot de Intelligent Workload Management markt de markt 1 het IT-landschap is aan het veranderen De risico's en uitdagingen van computerservices in meerdere omgevingen moeten

Nadere informatie

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services

Digital Independence. Plan Today to be ready for Tomorrow. Grip op uw continuïteit! Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Plan Today to be ready for Tomorrow Information Security and Continuity Services Digital Independence Grip op uw continuïteit! Weet u welke risico s uw bedrijf

Nadere informatie

Beveiligingsbeleid Stichting Kennisnet

Beveiligingsbeleid Stichting Kennisnet Beveiligingsbeleid Stichting Kennisnet AAN VAN Jerry van de Leur (Security Officer) DATUM ONDERWERP Disclaimer: Kennisnet geeft geen enkele garantie, met betrekking tot de geschiktheid voor een specifiek

Nadere informatie

EXIN Cloud Computing Foundation

EXIN Cloud Computing Foundation Voorbeeldexamen EXIN Cloud Computing Foundation Editie maart 2013 Copyright 2013 EXIN All rights reserved. No part of this publication may be published, reproduced, copied or stored in a data processing

Nadere informatie

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN

DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN DE BUSINESS CASE VOOR DE ASP OPLOSSING VAN CRM RESULTANTS VOOR ONDERWIJSINSTELLINGEN Inleiding CRM Resultants biedt aan haar klanten de keuze om Microsoft Dynamics CRM in huis te installeren, of om de

Nadere informatie

SEE INFORMATION DIFFERENTLY ARCHIEF- EN INFORMATIEBEHEER: EEN GOED BEGIN IS HET HALVE WERK BASISKENNIS OVER RETENTIESCHEMA'S

SEE INFORMATION DIFFERENTLY ARCHIEF- EN INFORMATIEBEHEER: EEN GOED BEGIN IS HET HALVE WERK BASISKENNIS OVER RETENTIESCHEMA'S SEE INFORMATION DIFFERENTLY ARCHIEF- EN INFORMATIEBEHEER: EEN GOED BEGIN IS HET HALVE WERK BASISKENNIS OVER RETENTIESCHEMA'S INLEIDING DEZE SNELGIDS HELPT U BIJ HET PLANNEN, MAKEN EN BEHEREN VAN RETENTIESCHEMA'S

Nadere informatie

Windows Server 2008 helpt museum met het veilig delen van informatie

Windows Server 2008 helpt museum met het veilig delen van informatie Windows Server 2008 helpt museum met het veilig delen van informatie Het Rijksmuseum Amsterdam beschikt over een collectie Nederlandse kunstwerken vanaf de Middeleeuwen tot en met de twintigste eeuw. Het

Nadere informatie

Forecast XL Technology

Forecast XL Technology Forecast XL Technology Introductie Forecast XL is een vertrouwde, eenvoudig te gebruiken cloud applicatie, gekenmerkt door redundante IT-omgevingen en dynamische toewijzing van middelen. Gebruikers kunnen

Nadere informatie

Meerdere clouds samensmeden tot één grote, hybride omgeving

Meerdere clouds samensmeden tot één grote, hybride omgeving Cloud of Clouds Meerdere clouds samensmeden tot één grote, hybride omgeving whitepaper CUSTOM 1 Bedrijven maken steeds vaker gebruik van meerdere clouddiensten, omdat ze aan iedereen in de organisatie

Nadere informatie

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS

Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS Introduceert KASPERSKY ENDPOINT SECURITY FOR BUSINESS 1 Business strategieën en de impact voor de IT FLEXIBILITEIT Snel handelen met wendbaarheid en flexibiliteit Voor 66% van de organisaties staat flexibiliteit

Nadere informatie

Bring it Secure. Whitepaper

Bring it Secure. Whitepaper Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech.nl/cs Imtech Vandaag de dag moet security een standaard

Nadere informatie

Beveiliging en bescherming privacy

Beveiliging en bescherming privacy Beveiliging en bescherming privacy Beveiliging en bescherming privacy Duobus B.V. Nieuwe Boteringestraat 82a 9712PR Groningen E info@duobus.nl I www.duobus.nl September 2014 2 Voorwoord Als organisatie

Nadere informatie

Windows Server 2003 End of support

Windows Server 2003 End of support Windows Server 2003 End of support Wat betekent dit voor mijn organisatie? Remcoh legt uit Met dit nieuwsitem brengt Remcoh de naderende End of Support datum voor Windows Server 2003 onder uw aandacht.

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Beknopte dienstbeschrijving Beveiligen van VPN's m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van VPN s Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security.

Unified Enterprise Security wordt geleverd door onze strategische partner Masergy, de wereldspeler in global communications en security. Het verlengstuk van uw IT security operations: altijd (24x7) de beste expertise en meest actuele kennis, geïntegreerd zicht op wat er gebeurt in uw datacenter en eerder en Security as a Service Het verlengstuk

Nadere informatie

Beveiligingsbeleid Perflectie. Architectuur & Procedures

Beveiligingsbeleid Perflectie. Architectuur & Procedures Beveiligingsbeleid Perflectie Architectuur & Procedures 30 november 2015 Versiebeheer Naam Functie Datum Versie Dimitri Tholen Software Architect 12 december 2014 0.1 Dimitri Tholen Software Architect

Nadere informatie

PROFITEER VAN DE KRACHT VAN CLOUD COMPUTING. ONTDEK HOE DE CLOUD UW BEDRIJF KAN TRANSFORMEREN.

PROFITEER VAN DE KRACHT VAN CLOUD COMPUTING. ONTDEK HOE DE CLOUD UW BEDRIJF KAN TRANSFORMEREN. PROFITEER VAN DE KRACHT VAN CLOUD COMPUTING. ONTDEK HOE DE CLOUD UW BEDRIJF KAN TRANSFORMEREN. Cloud computing betekent niet alleen een revolutie op het gebied van datacenter- en IT-beheer, maar is ook

Nadere informatie

Dynamic infrastructure. Expertvisie: In vijf stappen naar een dynamische it-infrastructuur

Dynamic infrastructure. Expertvisie: In vijf stappen naar een dynamische it-infrastructuur Expertvisie: In vijf stappen naar een dynamische it-infrastructuur Expertvisie: In vijf stappen naar een dynamische it-infrastructuur We behandelen in dit document de 5 stappen naar een dynamische it-infrastructuur:

Nadere informatie

Een heerlijke. Wie gaat er over beveiliging in de cloud? Opiniestuk van Trend Micro. februari 2011. Door Dave Asprey, VP Cloud Security

Een heerlijke. Wie gaat er over beveiliging in de cloud? Opiniestuk van Trend Micro. februari 2011. Door Dave Asprey, VP Cloud Security Een heerlijke Wie gaat er over beveiliging in de cloud? Opiniestuk van Trend Micro februari 2011 Door Dave Asprey, VP Cloud Security I. WIE GAAT ER OVER BEVEILIGING IN DE CLOUD? Cloud computing is het

Nadere informatie

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper Naar de cloud: drie praktische scenario s Zet een applicatiegerichte cloudinfrastructuur op whitepaper Naar de cloud: drie praktische scenario s Veel bedrijven maken of overwegen een transitie naar de

Nadere informatie

www.novell.com Veelgestelde vragen van Partners WorkloadIQ Veelgestelde vragen 17 augustus 2010

www.novell.com Veelgestelde vragen van Partners WorkloadIQ Veelgestelde vragen 17 augustus 2010 Veelgestelde vragen van Partners www.novell.com WorkloadIQ Veelgestelde vragen 17 augustus 2010 W a t i s d e I n t e l l i g e n t W o r k l o a d M a n a g e m e n t m a r k t? De Intelligent Workload

Nadere informatie

24/7. Support. smart fms

24/7. Support. smart fms 24/7 Support Smart FMS vindt het van het grootste belang dat haar klanten helder inzicht hebben in de voorwaarden, zekerheid over gemaakte afspraken en het vertrouwen in haar als softwareaanbieder. Het

Nadere informatie

Cloud Services Uw routekaart naar heldere IT oplossingen

Cloud Services Uw routekaart naar heldere IT oplossingen Cloud Services Uw routekaart naar heldere IT oplossingen Uw IT schaalbaar, altijd vernieuwend en effectief beschikbaar > Het volledige gemak van de Cloud voor uw IT oplossingen > Goede schaalbaarheid en

Nadere informatie

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2

Wie doet wat? 30-5-2013. Gebruik en beheer van applicaties. Een kader VHIC VHIC. Pagina 1. Pagina 2 Gebruik en beheer van applicaties Wie doet wat? Pagina 1 Een kader Pagina 2 Bron: daanrijsenbrij, Elementaire bedrijfsinformatica 1 Functioneel beheer Applicaties worden gebruikt door de gebruikersorganisatie.

Nadere informatie

Behoud de controle over uw eigen data

Behoud de controle over uw eigen data BEDRIJFSBROCHURE Behoud de controle over uw eigen data Outpost24 is toonaangevend op het gebied van Vulnerability Management en biedt geavanceerde producten en diensten aan om bedrijven preventief te beveiligen

Nadere informatie

Informatiebeveiligingsbeleid

Informatiebeveiligingsbeleid Unit : Bedrijfsvoering Auteur : Annemarie Arnaud de Calavon : : Datum : 17-11-2008 vastgesteld door het CvB Bestandsnaam : 20081005 - Informatiebeveiliging beleid v Inhoudsopgave 1 INLEIDING... 3 1.1 AANLEIDING...

Nadere informatie

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Innervate: Januari 2011 WHITEPAPER CLOUD COMPUTING HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING? Lees hier in het kort hoe u zich het best kunt bewegen in de wereld van cloud computing

Nadere informatie

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau

Factsheet CONTINUOUS VALUE DELIVERY Mirabeau Factsheet CONTINUOUS VALUE DELIVERY Mirabeau CONTINUOUS VALUE DELIVERY We zorgen ervoor dat u in elke volwassenheidsfase van uw digitale platform snel en continu waarde kunt toevoegen voor eindgebruikers.

Nadere informatie

Business Continuity Management

Business Continuity Management Business Continuity Management Aart Bitter - 14 januari 2014 SAFER, SMARTER, GREENER Praktijk case Wij zijn als bierbrouwerij voorgedragen om onze producten te leveren aan het Holland House tijdens het

Nadere informatie

Bescherming en beveiliging van uw persoonlijke gegevens

Bescherming en beveiliging van uw persoonlijke gegevens Bescherming en beveiliging van uw persoonlijke gegevens Lees aandachtig de volgende informatie om te begrijpen hoe Travelex uw persoonlijke informatie beheert. Wanneer u een profiel aanmaakt en uw persoonlijke

Nadere informatie

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure

Microsoft; applicaties; ontwikkelaar; developer; apps; cloud; app; azure; cloud computing; DevOps; microsoft azure Asset 1 van 7 Over het bouwen van cloudoplossingen Gepubliceerd op 24 february 2015 Praktische handleiding voor ontwikkelaars die aan de slag willen met het maken van applicaties voor de cloud. Zij vinden

Nadere informatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Sim as a Service. Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie RAM Mobile Data Sim as a Service Veilig en betrouwbaar beheer op afstand van systemen via M2M datacommunicatie

Nadere informatie

Bring it To The Cloud

Bring it To The Cloud Whitepaper Imtech ICT Communication Solutions, Rivium Boulevard 41 2909 LK Capelle a/d IJssel T +31 88 988 96 00, info.cs@imtech.nl, www.imtech-ict.nl/cs Imtech Voor organisaties is de keuze over hoe

Nadere informatie

Zwaarbewolkt met kans op neerslag

Zwaarbewolkt met kans op neerslag 8 ControllersMagazine januari - februari 2015 automatisering Zwaarbewolkt met kans op neerslag Cloud was het woord van 2014. Het gaat hierbij om hard- en software die niet meer hoeft te worden aangeschaft

Nadere informatie

Workflows voor SharePoint met forms en data K2 VOOR SHAREPOINT

Workflows voor SharePoint met forms en data K2 VOOR SHAREPOINT Slimmer samenwerken met SharePoint Workflows voor SharePoint met forms en data K2 VOOR SHAREPOINT Workflows, forms, reports en data WAAROM KIEZEN VOOR K2? Of u nu workflows moet maken voor items in SharePoint

Nadere informatie

Service Level Agreement (SLA)

Service Level Agreement (SLA) Service Level Agreement (SLA) Telefoon: 088 773 0 773 Email: Support@adoptiq.com Website: www.adoptiq.com Adres: Johan Huizingalaan 763a 1066 VH Amsterdam KvK nr: 61820725 BTW nr: NL.854503183.B01 IBAN

Nadere informatie

PROFITEER VAN DE KRACHT VAN CLOUD COMPUTING. ONTDEK HOE DE CLOUD UW BEDRIJF KAN TRANSFORMEREN.

PROFITEER VAN DE KRACHT VAN CLOUD COMPUTING. ONTDEK HOE DE CLOUD UW BEDRIJF KAN TRANSFORMEREN. PROFITEER VAN DE KRACHT VAN CLOUD COMPUTING. ONTDEK HOE DE CLOUD UW BEDRIJF KAN TRANSFORMEREN. Cloud computing betekent niet alleen een revolutie op het gebied van datacenter- en IT-beheer, maar is ook

Nadere informatie

o o o o E-mail Documenten beheer Kennis borging Vergaderen

o o o o E-mail Documenten beheer Kennis borging Vergaderen o o o o E-mail Documenten beheer Kennis borging Vergaderen Nieuwste versie van Office-desktoptoepassingen Licenties per gebruiker voor 5 computers incl Mac en mobiel Office-toepassingen naar een pc streamen

Nadere informatie

De cloud die gebouwd is voor uw onderneming.

De cloud die gebouwd is voor uw onderneming. De cloud die gebouwd is voor uw onderneming. Dit is de Microsoft Cloud. Elke onderneming is uniek. Van gezondheidszorg tot de detailhandel, van fabricage tot financiële dienstverlening: geen twee ondernemingen

Nadere informatie

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol SAMENVATTING ITIL ITIL is nog steeds dé standaard voor het inrichten van beheerspocessen binnen een IT-organisatie. En dekt zowel applicatie- als infrastructuur beheer af. Indien gewenst kan ITIL worden

Nadere informatie

5 CLOUD MYTHES ONTKRACHT

5 CLOUD MYTHES ONTKRACHT 5 CLOUD MYTHES ONTKRACHT Na enkele jaren ervaring met de cloud, realiseren zowel gebruikers als leveranciers zich dat enkele van de vaakst gehoorde mythes over cloud computing eenvoudigweg... niet waar

Nadere informatie

BENT U ER KLAAR VOOR?

BENT U ER KLAAR VOOR? ISO 9001:2015 EN ISO 14001:2015 HERZIENINGEN ZIJN IN AANTOCHT BENT U ER KLAAR VOOR? Move Forward with Confidence WAT IS NIEUW IN ISO 9001:2015 & ISO 14001:2015 MEER BUSINESS GEORIENTEERD KERNASPECTEN "LEIDERSCHAP

Nadere informatie

zorgeloos werken in de cloud

zorgeloos werken in de cloud metacom cloud functionele mogelijkheden zorgeloos werken in de cloud vanmeijel.nl bouwen kan simpeler Metacom is één van de meest bedrijfskritische applicaties binnen uw organisatie. De beschikbaarheid,

Nadere informatie

Zet de volgende stap in bedrijfsinnovatie met een Open Network Environment

Zet de volgende stap in bedrijfsinnovatie met een Open Network Environment Overzicht van oplossingen Zet de volgende stap in bedrijfsinnovatie met een Open Network Environment Wat u leert De opkomst van nieuwe technologieën zoals cloud, mobiliteit, sociale media en video die

Nadere informatie

GOEDE ZORG VOOR ONDERZOEKSDATA.

GOEDE ZORG VOOR ONDERZOEKSDATA. GOEDE ZORG VOOR ONDERZOEKSDATA. Ziekenhuislaboratorium LabWest vertrouwt IT-infrastructuur toe aan Sentia Sinds 2011 werken verschillende ziekenhuizen in en rondom Den Haag met een gezamenlijke laboratoriumorganisatie.

Nadere informatie

Inleiding Wat is twin datacenter? Waarom implementeren organisaties twin datacenter oplossingen? Business Continuity Management (BCM)

Inleiding Wat is twin datacenter? Waarom implementeren organisaties twin datacenter oplossingen? Business Continuity Management (BCM) Inleiding ICT-infrastructuur vervult een dermate belangrijke rol in de bedrijfsvoering dat beschikbaarheids-eisen steeds hoger komen te liggen. De afhankelijkheid van ICT-services wordt steeds groter en

Nadere informatie

Factsheet Outsourcing

Factsheet Outsourcing Factsheet Outsourcing www.vxcompany.com U wilt er zeker van zijn dat de IT-infrastructuur van uw organisatie in goede handen is, zodat u uw aandacht volledig kunt richten op de core business. Wij beheren

Nadere informatie

Bedrijfscontinuïteit met behulp van een BCMS

Bedrijfscontinuïteit met behulp van een BCMS Bedrijfscontinuïteit met behulp van een BCMS 26 november 2014 Aart Bitter@ISGcom.nl www.information-security-governance.com Disaster Recovery Plan 2 The Bitter Brew Case To Brew or not to Brew, That s

Nadere informatie

INFORMATIEBEVEILIGING: WAAR STAAT U NU?

INFORMATIEBEVEILIGING: WAAR STAAT U NU? INFORMATIEBEVEILIGING: WAAR STAAT U NU? HANDIGE CHECKLISTS VOOR DE OVERHEIDSSECTOR In deze whitepaper bieden we u handvatten en checklists voor hoe u om kunt gaan met de nieuwe meldplicht datalekken. Steeds

Nadere informatie

Project Portfolio Management Altijd en overal inzicht PMO

Project Portfolio Management Altijd en overal inzicht PMO Project Portfolio Management Altijd en overal inzicht PMO Een eenvoudige en toegankelijke oplossing Thinking Portfolio is een snel te implementeren software applicatie. Een krachtig web-based hulpmiddel

Nadere informatie

Factsheet DATALEKKEN COMPLIANT Managed Services

Factsheet DATALEKKEN COMPLIANT Managed Services Factsheet DATALEKKEN COMPLIANT Managed Services DATALEKKEN COMPLIANT Managed Services We ontwerpen en implementeren security maatregelen om datalekken te detecteren en het risico daarop te minimaliseren.

Nadere informatie

Registratie Data Verslaglegging

Registratie Data Verslaglegging Registratie Data Verslaglegging Registratie Controleren en corrigeren Carerix helpt organisaties in het proces van recruitment en detachering. De applicatie voorziet op een eenvoudige wijze in de registratie

Nadere informatie

Herleid uw downtime tot het minimum met een multidatacenter. Uniitt www.unitt.com

Herleid uw downtime tot het minimum met een multidatacenter. Uniitt www.unitt.com Herleid uw downtime tot het minimum met een multidatacenter concept Leg uw bedrijfskritische activiteiten in goede handen 2 Als het voor uw omzet cruciaal is dat uw servers continu beschikbaar zijn, dan

Nadere informatie

Factsheet SECURITY CONSULTANCY Managed Services

Factsheet SECURITY CONSULTANCY Managed Services Factsheet SECURITY CONSULTANCY Managed Services SECURITY CONSULTANCY Managed Services We adviseren u over passende security-maatregelen voor uw digitale platform. Zo helpen we u incidenten als datadiefstal

Nadere informatie

Symantec Protection Suite Small Business Edition Een eenvoudige, doelmatige en betaalbare oplossing, speciaal voor kleine bedrijven

Symantec Protection Suite Small Business Edition Een eenvoudige, doelmatige en betaalbare oplossing, speciaal voor kleine bedrijven Een eenvoudige, doelmatige en betaalbare oplossing, speciaal voor kleine bedrijven Overzicht Symantec Protection Suite Small Business Edition is een eenvoudige, betaalbare beveiligings- en back-upoplossing.

Nadere informatie

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1. www.traxion.com Veilig de cloud in Whitepaper over het gebruik van Cloud-diensten deel 1 www.traxion.com Introductie Deze whitepaper beschrijft de integratie aspecten van clouddiensten. Wat wij merken is dat veel organisaties

Nadere informatie

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Bijlage 1 bij de Bewerkersovereenkomst Noordhoff Uitgevers Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers Noordhoff Uitgevers is een educatieve uitgeverij die verschillende

Nadere informatie

ailexpert Privacy beleid MailExpert

ailexpert Privacy beleid MailExpert ailexpert Privacy beleid MailExpert MailExpert BV is onderdeel van de PPOM groep vestigings- en correspondentieadres : Zambezilaan 189 1448 ME PURMEREND MailExpert BV Algemene Gouw 60 inlichtingen: 1441

Nadere informatie

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail

m.b.v. digitale certificaten en PKI Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Beknopte dienstbeschrijving Beveiligen van e-mail m.b.v. digitale certificaten en PKI Document: Versie: mei 2002 Beknopte Dienstbeschrijving beveiligen van e-mail Inhoudsopgave 1. Inleiding 2 2. Snel te

Nadere informatie

HP ITSM Assessment Services HP Services

HP ITSM Assessment Services HP Services HP ITSM Assessment Services HP Services Uit HP s ervaring met duizenden enterprise-klasse IT-omgevingen blijkt dat periodieke evaluaties essentieel zijn voor uw operationele succes. U dient de juiste serviceniveaus

Nadere informatie

Oplossingen overzicht voor Traderouter > 02/11/2010

Oplossingen overzicht voor Traderouter > 02/11/2010 Oplossingen overzicht voor Traderouter > 02/11/2010 Netconnex is opgericht in 2004 (Gezeteld in Belgie maar het hoofd datacenter gelegen in Nederland [omgeving Amsterdam]). Zeer gestaag groeiende onderneming

Nadere informatie

De status van USB-schijfbeveiliging in Nederland

De status van USB-schijfbeveiliging in Nederland De status van USB-schijfbeveiliging in Nederland Gesponsord door Kingston Technology Onafhankelijk uitgevoerd door Ponemon Institute LLC Publicatiedatum: November 2011 Ponemon Institute Onderzoeksrapport

Nadere informatie

Factsheet Penetratietest Informatievoorziening

Factsheet Penetratietest Informatievoorziening Factsheet Penetratietest Informatievoorziening Since the proof of the pudding is in the eating DUIJNBORGH - FORTIVISION Stadionstraat 1a 4815NC Breda +31 (0) 88 16 1780 www.db-fortivision.nl info@db-fortivision.nl

Nadere informatie

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG

Bescherming tegen de gevolgen van cyber risico s. Bedrijfsverzekeringen. CyberEdge van AIG Bescherming tegen de gevolgen van cyber risico s Bedrijfsverzekeringen CyberEdge van AIG Wat zijn cyber risico s? Cyber risico s zijn een vaststaand gegeven in een wereld van informatie, informatiesystemen

Nadere informatie

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant CMS Ronde Tafel Cloud Continuity Ir. Jurian Hermeler Principal Consultant Introductie Quint Wellington Redwood Onafhankelijk Management Adviesbureau Opgericht in 1992 in Nederland Ruim 20 jaar ervaring

Nadere informatie

REDEFINE SIMPLICITY BELANGRIJKSTE REDENEN: EMC VSPEX BLUE VOOR GEVIRTUALISEERDE OMGEVINGEN

REDEFINE SIMPLICITY BELANGRIJKSTE REDENEN: EMC VSPEX BLUE VOOR GEVIRTUALISEERDE OMGEVINGEN REDEFINE SIMPLICITY FLEXIBEL. SCHAALBAAR. VERTROUWD. BELANGRIJKSTE REDENEN: EMC VSPEX BLUE VOOR GEVIRTUALISEERDE OMGEVINGEN Herdefinieer eenvoud: Flexibel, schaalbaar en vertrouwd. Middelgrote en grote

Nadere informatie

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV

Het Sebyde aanbod. Secure By Design. AUG 2012 Sebyde BV Het Sebyde aanbod Secure By Design AUG 2012 Sebyde BV Wat bieden wij aan? 1. Web Applicatie Security Audit 2. Secure Development 3. Security Awareness Training 4. Security Quick Scan 1. Web Applicatie

Nadere informatie

Whitepaper. Effectief beveiligen met mobiele applicaties

Whitepaper. Effectief beveiligen met mobiele applicaties Whitepaper Effectief beveiligen met mobiele applicaties Effectief beveiligen met mobiele applicaties Snel internet, smartphones en tablets zijn niet meer weg te denken. Technische ontwikkelingen volgen

Nadere informatie

Werken zonder zorgen met uw ICT bij u op locatie

Werken zonder zorgen met uw ICT bij u op locatie Werken zonder zorgen met uw ICT bij u op locatie Naast de mogelijkheden om uw programmatuur en gegevens bij Drie-O via Evy 2.0 in de cloud te hosten hebt u ook de mogelijkheid om uw ICT omgeving bij u

Nadere informatie

Caag CRM. info@caagcrm.nl www.caagcrm.nl. Informatie Brochure

Caag CRM. info@caagcrm.nl www.caagcrm.nl. Informatie Brochure Caag CRM info@caagcrm.nl www.caagcrm.nl Informatie Brochure Over Ons Caag CRM is een cloud- based software onderneming. Onze kracht ligt in het ontwikkelen van slimme software oplossingen gebaseerd op

Nadere informatie

Application Services. Alles onder één dak: functioneel applicatiebeheer, applicatieontwikkeling en testdiensten

Application Services. Alles onder één dak: functioneel applicatiebeheer, applicatieontwikkeling en testdiensten Application Services Alles onder één dak: functioneel applicatiebeheer, applicatieontwikkeling en testdiensten Application Services van KPN Afdelingen smelten samen, markten verschuiven, klanten willen

Nadere informatie

Privacy Compliance in een Cloud Omgeving

Privacy Compliance in een Cloud Omgeving Privacy and Trust in the Digital Society Privacy Compliance in een Cloud Omgeving Jeroen Terstegge NVvIR Amsterdam, 17 juni 2010 Even voorstellen mr.drs. Jeroen Terstegge, CIPP Directeur Privacyadviesbureau

Nadere informatie

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers Informatiebeveiliging en privacy Remco de Boer Ludo Cuijpers Voorstellen Remco de Boer Informatiearchitect Kennisnet (programma SION) Ludo Cuijpers MSc, MIM Expert informatiebeveiliging en privacy Werkzaam

Nadere informatie

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE

Blackboard. Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE Blackboard Managed Hosting SURF Cloud Vendordag Jan Willem van der Zalm Director EMEA, Blackboard Managed Hosting DATE 2 Agenda SURF Cloud strategie Blackboard Managed Hosting & Private Cloud Blackboard

Nadere informatie

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant

Wat is Cyber Security Management? 3 oktober 2014. ISA / Hudson Cybertec Arjan Meijer Security Consultant Wat is Cyber Security Management? 3 oktober 2014 ISA / Hudson Cybertec Arjan Meijer Security Consultant 1 Agenda Introductie spreker / ISA 3 pijlers van security IT versus OT Cyber Security Management

Nadere informatie

Readiness Assessment ISMS

Readiness Assessment ISMS Readiness Assessment van ISMS ISO/IEC27001:2005 1 Senior Internal/IT auditor Luyke Tjebbes EMIA RO CISA Lead Auditor ISO/IEC27001:2005 Projectleider ISO assessment 2 Wat is ISO 27001 eigenlijk? ISO/IEC

Nadere informatie

Leones. Business Case Service Management Tool

Leones. Business Case Service Management Tool Leones Business Case Service Management Tool Inhoudsopgave 1. AFBAKENING... 3 1.1 DOEL... 3 1.2 AANNAMES... 3 1.3 HUIDIGE SITUATIE... 3 1.4 PROBLEEMSTELLING... 3 1.5 WAT ALS ER NIETS GEBEURT?... 3 2. OPTIES...

Nadere informatie

Cloud computing Helena Verhagen & Gert-Jan Kroese

Cloud computing Helena Verhagen & Gert-Jan Kroese Cloud computing Helena Verhagen & Gert-Jan Kroese Privacy Better business through better privacy Juridisch kader cloud computing Meldplicht datalekken Tips & Tricks Vragen? 2 Privacy https://www.youtube.com/watch?v=xyzthipktqg

Nadere informatie

2012 2011 Onderzoek naar voorbereiding op noodgevallen BEVINDINGEN IN EMEA

2012 2011 Onderzoek naar voorbereiding op noodgevallen BEVINDINGEN IN EMEA 2012 2011 Onderzoek naar voorbereiding op noodgevallen BEVINDINGEN IN EMEA INHOUD Inleiding........................................................................ 3 Methodologie....................................................................

Nadere informatie

Pro-actief beheer voor uw systemen en netwerk

Pro-actief beheer voor uw systemen en netwerk Pro-actief beheer voor uw systemen en netwerk Heartbeat Monitoring De basis van ons beheer Het uitvallen van systemen kan voor vervelende situaties zorgen voor de bedrijfsprocessen binnen uw organisatie.

Nadere informatie

TEKLYNX LABEL ARCHIVE. Beveiliging, Tracering en Controle van uw label printproces was nog nooit zo eenvoudig!

TEKLYNX LABEL ARCHIVE. Beveiliging, Tracering en Controle van uw label printproces was nog nooit zo eenvoudig! TEKLYNX LABEL ARCHIVE BEVEILIGING TRACERING INTEROPERABILITEIT Beveiliging, Tracering en Controle van uw label printproces was nog nooit zo eenvoudig! TEKLYNX' LABEL ARCHIVE is de laatste toevoeging aan

Nadere informatie

Informatiebeveiliging voor gemeenten: een helder stappenplan

Informatiebeveiliging voor gemeenten: een helder stappenplan Informatiebeveiliging voor gemeenten: een helder stappenplan Bewustwording (Klik hier) Structureren en borgen (Klik hier) Aanscherping en maatwerk (Klik hier) Continu verbeteren (Klik hier) Solviteers

Nadere informatie

Hoe zorgt u voor maximale uptime met minimale inspanning?

Hoe zorgt u voor maximale uptime met minimale inspanning? Hoe zorgt u voor maximale uptime met minimale inspanning? Qi ict Delftechpark 35-37 2628 XJ Delft T: +31 15 888 04 44 F: +31 15 888 04 45 E: info@qi.nl I: www.qi.nl De service-overeenkomsten van Qi ict

Nadere informatie

Hoe kunt u profiteren van de cloud? Whitepaper

Hoe kunt u profiteren van de cloud? Whitepaper Hoe kunt u profiteren van de cloud? Whitepaper Auteur: Roy Scholten Datum: woensdag 16 september, 2015 Versie: 1.1 Hoe u kunt profiteren van de Cloud Met de komst van moderne technieken en de opmars van

Nadere informatie

POP locatie. Straatkast. i-box. i-box NOC. i-box. Datacenter

POP locatie. Straatkast. i-box. i-box NOC. i-box. Datacenter Straatkast POP locatie Datacenter Het beheer van uw telecomruimten neemt veel tijd in beslag en is een kostbaar proces. U heeft immers 24/7 personeel nodig dat alle processen nauwkeurig in de gaten houdt.

Nadere informatie

BEVEILIGINGSARCHITECTUUR

BEVEILIGINGSARCHITECTUUR BEVEILIGINGSARCHITECTUUR Risico s onder controle Versie 1.0 Door: drs. Ir. Maikel J. Mardjan MBM - Architect 2011 cc Organisatieontwerp.nl AGENDA Is een beveiligingsarchitectuur wel nodig? Oorzaken beveiligingsincidenten

Nadere informatie

CO 2 managementplan. Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager

CO 2 managementplan. Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants. Versie: 1.0. Handtekening autoriserend verantwoordelijk manager CO 2 managementplan Jan Knijnenburg B.V. Auteur: Adviseur MVO Consultants Versie: 1.0 Datum: xx-xx-2015 Handtekening autoriserend verantwoordelijk manager Authorisatiedatum: Naam:.. Inhoud 1 Inleiding...

Nadere informatie

Partneren met een Cloud broker

Partneren met een Cloud broker Partneren met een Cloud broker Vijf redenen om als reseller te partneren met een Cloud broker Introductie Cloud broker, een term die je tegenwoordig vaak voorbij hoort komen. Maar wat is dat nu precies?

Nadere informatie

Alfresco's Simple Records Management

Alfresco's Simple Records Management Alfresco's Simple Records Management Het e erste open source dossie r beh eersysteem Ee nvoudig beheer van dossiers Nieuwe wetten, regelgeving en normen hebben voor veel verandering gezorgd in hoe verslagen

Nadere informatie

Mogen wij ons voorstellen? EQUA b.v.

Mogen wij ons voorstellen? EQUA b.v. Mogen wij ons voorstellen? EQUA b.v. De naam achter 30 jaar ICT specialisme EQUA gelooft in kennis, focus en specialisme. Wij groeien door beter te worden. Sinds onze oprichting in 1984 doen wij daarom

Nadere informatie

Whitepaper Succesvol migreren naar de cloud

Whitepaper Succesvol migreren naar de cloud Whitepaper Succesvol migreren naar de cloud Jitscale Einsteinbaan 4a 3439 NJ Nieuwegein The Netherlands T: +31(0)88 00 22 777 F: +31(0)88 00 22 701 E: info@jitscale.com www.jitscale.com Introductie De

Nadere informatie

hoogwaardige IaaS Cloudoplossingen

hoogwaardige IaaS Cloudoplossingen hoogwaardige IaaS Cloudoplossingen Exclusieve partnership Cloudleverancier NaviSite is als onderdeel van mediaconglomeraat Time Warner Cable één van de grootste wereldwijde providers van enterprise class

Nadere informatie

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging

Seminar Trends in Business & IT bij woningcorporaties. Informatiebeveiliging Seminar Trends in Business & IT bij woningcorporaties Informatiebeveiliging Agenda Rondje verwachtingen Even voorstellen.. Informatiebeveiliging waarom? Stand van zaken bij corporaties Informatiebeveiliging

Nadere informatie

INFORMATIEBEVEILIGING VOOR WEBWINKELS

INFORMATIEBEVEILIGING VOOR WEBWINKELS INFORMATIEBEVEILIGING VOOR WEBWINKELS HANDIGE CHECKLISTS In deze whitepaper bieden we u tips en checklists die kunnen bijdragen aan een optimale beveiliging van zowel uw eigen data als die van uw klanten.

Nadere informatie

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data

IBM; dataopslag; storage; infrastructuur; analytics; architectuur; big data Asset 1 van 10 Big Data Analytics voor Dummies Gepubliceerd op 30 june 2014 Gelimiteerde editie van de populaire Dummies-reeks, speciaal voor managers. Het boek legt uit waarom Big Data Analytics van cruciaal

Nadere informatie

Het Sebyde aanbod. Secure By Design

Het Sebyde aanbod. Secure By Design Het Sebyde aanbod Secure By Design Ons aanbod Security Scan Secure Development Security Awareness Security Assessment 1. Security Scan > Scan van uw web applicatie(s) op kwetsbaarheden. Hiervoor gebruiken

Nadere informatie

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan.

4.3 Het toepassingsgebied van het kwaliteitsmanagement systeem vaststellen. 4.4 Kwaliteitsmanagementsysteem en de processen ervan. ISO 9001:2015 ISO 9001:2008 Toelichting van de verschillen. 1 Scope 1 Scope 1.1 Algemeen 4 Context van de organisatie 4 Kwaliteitsmanagementsysteem 4.1 Inzicht in de organisatie en haar context. 4 Kwaliteitsmanagementsysteem

Nadere informatie