Hoe veilig is de cloud?



Vergelijkbare documenten
Cloud services: aantrekkelijk, maar implementeer zorgvuldig

Cloud computing: een kans voor scholen

Dataportabiliteit. Auteur: Miranda van Elswijk en Willem-Jan van Elk

Cloud Computing, een inleiding. ICT Accountancy & Financials congres 2013: Cloud computing en efactureren. Jan Pasmooij RA RE RO: jan@pasmooijce.

Cloud security. Checklist en de te stellen vragen. Voor deze publicatie geldt de Creative Commons Licentie Attribution 3.0 Unported.

Databeveiliging en Hosting Asperion

Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten. Alles in de cloud: bent u er al klaar voor? Whitepaper OGD ict-diensten

Enkele handige tips bij het beoordelen van clouddienstvoorwaarden. en Service Level Agreements

THE CLOUD IN JURIDISCH PERSPECTIEF SPREKERSPROFIEL. Mr. Jan van Noord Directeur International Tender Services (ITS) BV

Zwaarbewolkt met kans op neerslag

Wees in control over uw digitale landschap

Kijken, kiezen, maar wat te kopen?

SaaS en cloud computing: in de mist of in de wolken? Karin Zwiggelaar, partner 20 september 2010

Privacy en cloud computing. OCLC Contactdag 4 oktober 2011

zorgeloos werken in de cloud

Beveiligingsbeleid Stichting Kennisnet

PRIVACY EN CLOUD. Knelpunten:

Informatiebeveiliging en privacy. Remco de Boer Ludo Cuijpers

CMS Ronde Tafel. Cloud Continuity. Ir. Jurian Hermeler Principal Consultant

Factsheet E COMMERCE BEHEER Managed Services

Sofware as a Service (SaaS): software applicaties die via internet worden aangeboden;

Factsheet CLOUD MIGRATIE Managed Services

Cloud computing Helena Verhagen & Gert-Jan Kroese

HOE EENVOUDIG IS HET OM GEBRUIK TE MAKEN VAN CLOUD COMPUTING?

DIT DOCUMENT BEVAT: - ALLE VAN TOEPASSING ZIJNDE SERVICE LEVEL AGREEMENT (SLA) PER DIENST OF PRODUCT

Cloud computing: het juridisch kader

PUBLIEKE, PRIVATE OF HYBRIDE CLOUD?

Factsheet CMS & DIGITAL MARKETING BEHEER Managed Services

(Door)ontwikkeling van de applicatie en functionaliteiten

0.1 Opzet Marijn van Schoote 4 januari 2016

hoogwaardige IaaS Cloudoplossingen

Inleiding Wat is twin datacenter? Waarom implementeren organisaties twin datacenter oplossingen? Business Continuity Management (BCM)

Whitepaper. Cloud Computing. Computication BV Alleen naar cloud bij gewenste flexibiliteit

BIJLAGE behorende bij ISO/IEC 27002: 2013 Grafimedia

Privacy Compliance in een Cloud Omgeving

Juridische valkuilen bij cloud computing

WAT ZIJN DE FINANCIËLE EN FUNCTIONELE BEWEEGREDENEN OM SOFTWARELICENTIES NAAR DE CLOUD TE VERPLAATSEN? POWERED BY

Vier goede redenen om over te stappen naar de cloud

Privacy Bijsluiter Digitale Leermiddelen Basisonderwijs (Dr. Digi), Noordhoff Uitgevers

Gegevensbescherming & IT

Garandeer de continuïteit van uw dienstverlening

Opdrachtgeverschap 2.0. Toezien op de afspraken in de verwerkersovereenkomst

Cloud Computing. -- bespiegelingen op de cloud -- MKB Rotterdam, 10 november Opvallend betrokken, ongewoon goed

INTRODUCTIE ICoTec ICT SERVICES

COMMUNIQUÉ. Amersfoort, april 2013; versie 1.1

Uitbesteding & Uitbestedingsrisico s. Ingrid Talsma Verzekeringsmiddag Bussum, 25 april 2018

Cloud dienstverlening en Informatiebeveiliging. ISACA Round Table Assen - Maart 2017

Janjoris van der Lei. Gedelegeerd bestuurder LCP nv. E-governement oplossingen Cloud infrastructure provider Datacenter uitbater.

Asset 1 van 4. Data Recovery as a Service. Gepubliceerd op 9 november 2015

Olde Bijvank Advies Organisatieontwikkeling & Managementcontrol

Vergroening Kennisnet Cloud

Factsheet CLOUD MANAGEMENT Managed Services

ICT-uitbestedingsdiensten en Software as a Service:

Cloud & Licenties. Welkom bij BSA The Live Sessions De Live Session start binnen enkele minuten. Dank voor uw geduld.

Grip op Contractmanagement IIR Congres 27 en 28 november 2013 Thematafel: privacy & security issues voor de contractmanager.

Impact Cloud computing

Heeft u al applicaties in de cloud (zoals AWS, Azure, Google) draaien?

Hoe stuur ik de Cloud?! Wat moeten we regelen voor een goede samenwerking

Innervate is DE adviespartner voor ICT strategie en ICT technologie vraagstukken.

Keurmerk Zeker-OnLine is HET keurmerk voor online administratieve diensten.

Naar de cloud: drie praktische scenario s. Zet een applicatiegerichte cloudinfrastructuur op. whitepaper

Whitepaper. Veilig de cloud in. Whitepaper over het gebruik van Cloud-diensten deel 1.

Factsheet CLOUD CONSULTANCY Managed Services

Service Level Agreement (SLA)

Informatiebeveiligingsbeleid. Stichting Pensioenfonds Chemours

IAM en Cloud Computing

Factsheet CLOUD DESIGN Managed Services

Entree / Kennisnet Federatie Service Level Agreement

Managed CPE (Customer Premise Equipment)

EXIN Cloud Computing Foundation

Gedegen Cloud management volgens Mirabeau

IT Beleid Bijlage R bij ABTN

Deze privacy policy is van toepassing op de verwerking van persoonsgegevens van gebruikers van de websites en apps van McDiver.

Ons bedrijf in 1,5 minuut. Bekijk ons bedrijf en onze unieke aanpak in een 1,5 minuut durende animatie door links op de afbeelding te klikken

Implementatiemodellen online werken

Case: Back-ups maken van Office 365. Belangrijke redenen voor organisaties om een back-up te maken van Office 365-data

BeCloud. Belgacom. Cloud. Services.

Inkoopvoorwaarden en informatieveiligheidseisen. Een operationeel product op basis van de Baseline Informatiebeveiliging Rijksdienst (BIR)

Automatische online en lokale backup en recovery van bedrijfsdata

Variability in Multi-tenant SaaS Applications:

Een checklist voor informatiebeveiliging

Handleiding Back-up Online

Geef uw onderneming vleugels. Met de soepele werkprocessen

Wat houdt informatiebeveiliging binnen bedrijven in? Bart van der Kallen, CISM Informatiebijeenkomst DrieO 6 oktober 2015

Inholland DC à Cloud Huub Oude Groen Robert Beudeker Manager IT Operations Solution Architect

Transcriptie:

Hoe veilig is de cloud? Auteur: Miranda van Elswijk en Jan-Willem van Elk

Steeds meer softwarediensten zijn altijd en overal beschikbaar via internet. Deze diensten worden cloud services genoemd. Onderwijs- en onderzoeksinstellingen ontdekken de mogelijkheden van cloud computing, maar hebben vragen over de beveiliging van hun gegevens. Hoe veilig is de cloud nu eigenlijk? Waar moet je aan denken wanneer je in zee wilt gaan met een leverancier van clouddiensten? Dit artikel, dat is gebaseerd op een checklist van SURFnet, biedt een eerste antwoord op dergelijke vragen. Onderwijs- en onderzoeksinstellingen ontdekken de mogelijkheden van cloud computing. Studenten maken gebruik van een webmailprogramma, docenten ontmoeten elkaar op een samenwerkingsplatform en de administratiemedewerkers houden de gegevens van studenten bij in een online tool. Gegevens die in de cloud worden opgeslagen, zijn niet meer onder volledige controle van de instelling. Wat betekent dat voor de veiligheid van die gegevens? Cloud computing kent op hoofdlijnen drie leveringsmodellen, elk met andere mogelijkheden tot risicobeheersing: Software as a Service (SaaS) In dit model is nagenoeg alles uitbesteed en is de provider verantwoordelijk voor nagenoeg alle beveiligingsaspecten, met uitzondering van het beheren van gebruikers en gebruikersrechten (functioneel beheer). Een afnemer heeft maar beperkt de mogelijkheid om beveiligingsmaatregelen toe te voegen, aan te passen en te controleren. Platform as a Service (PaaS) In dit model liggen de beveiligingsopties redelijk vast binnen de ontwikkelomgeving en het platform. Hierbij hebben de provider en de afnemer beide een verantwoordelijkheid. Infrastructure as a Service (IaaS) In dit model is de afnemer voor een groot deel zelf verantwoordelijk voor het adequaat implementeren van beveiligingsmaatregelen. De provider is echter nog steeds verantwoordelijk voor de fysieke beveiliging en de hardware en kan optreden als verkeersregelaar voor het netwerk dat gedeeld wordt door alle afnemers. Onder druk van hun concurrenten breiden leveranciers van clouddiensten hun producten uit. SaaSproviders voegen PaaS-diensten toe, IaaS- en PaaS-leveranciers experimenteren met SaaSdiensten. Elke uitbreiding verhoogt de kans op onacceptabele zwakheden in het systeem. Overigens zijn de risico s van clouddiensten (bijvoorbeeld op het gebied van toegang tot de gegevens, privacy en stabiliteit van de leverancier) vergelijkbaar met andere extern geleverde ICT-diensten. Maar clouddiensten brengen specifieke risico s met zich mee; zo kan een cloud provider gebruikmaken van diensten van derden, waarmee de klant geen afspraken heeft gemaakt op het gebied van beveiliging. Daarnaast zijn clouddiensten locatieonafhankelijk, waardoor niet altijd duidelijk is waar de gegevens zijn opgeslagen en daarmee welke juridische bepalingen gelden. Cloud computing kent natuurlijk niet alleen beveiligingsrisico s, maar ook voordelen. Door de schaalvoordelen zijn beveiligingsmaatregelen door cloud providers goedkoper te implementeren. Ook kunnen cloud providers beveiligingsmiddelen sneller en dynamischer inzetten. Tot slot beschikken cloud providers vaak over diep inhoudelijke beveiligingskennis die aan de afnemerszijde ontbreekt. 2

Voorbereiding besluitvorming Voordat er gesproken wordt met cloud providers, is belangrijk om een goed en scherp beeld te definiëren van de gewenste dienstverlening. Om welke functionaliteiten gaat het? Bestaan er normenkaders? Welke service levels zijn gewenst? Bij clouddiensten verdient het aanbeveling om naast functionele eisen ook niet-functionele eisen op het gebied van beveiliging te formuleren. Denk daarbij aan eisen voor beschikbaarheid (in termen van continuïteit en prestaties), integriteit, vertrouwelijkheid, onweerlegbaarheid en bedienbaarheid. Een business case kan inzicht bieden in de beslissing om wel of niet voor een cloud provider te kiezen. In de business case vergelijkt de instelling de situatie zelf doen met afnemen van een cloud provider. In de vergelijking wordt gekeken naar de mate waarin de oplossing de geformuleerde eisen afdekt en wat de Total Cost of Ownership (TCO) is. Een TCO is een integrale afweging van kosten, waarbij de zichtbare / directe én de verborgen / indirecte kosten worden meegenomen. De beveiliging van gegevens brengt kosten met zich mee; denk aan het voorkomen en oplossen van beveiligingsincidenten, backup en herstel. En denk bij het afnemen van een SaaS-clouddienst ook aan eventuele kosten om bij het structureel wegvallen van de dienstverlening van de provider toch nog toegang te blijven houden tot de dienstverlening en de eigen gegevens. Besef dat ook het gebruikersgedrag van grote invloed is op het feitelijke beveiligingsniveau. Bij de overstap naar cloud computing is het verstandig om het huidige gebruikersgedrag te analyseren. Hoe bewust zijn de gebruikers zich van de risico s? Hoe gaan ze om met hun wachtwoorden? Weten ze wat ze met welke data mogen? Wanneer het bewustzijn laag is, kan de instelling een bewustwordingscampagne overwegen. Tot slot spelen de eigen inkoopvoorwaarden een rol. Zijn deze voldoende met de tijd meegegaan? Bij gesprekken met cloud providers is het aan te bevelen om belangrijke voorwaarden te bespreken. Eisen aan de cloud provider Wanneer helder is welke dienstverlening gewenst is en er een positieve business case voor cloud computing is, dan is de volgende stap het selecteren van een cloud provider. Nadat getoetst is of een provider de gewenste functionaliteit kan leveren, is het zaak om de volgende aspecten nader te onderzoeken: Stabiliteit Hierbij gaat het om de continuïteit van de provider als organisatie: de mate van zekerheid dat de cloud provider gedurende de verwachte contractduur blijft bestaan. Faillissementen en overnames hebben meestal een negatieve impact op de dienstverlening. Affiniteit met het onderwijs Voor een goede samenwerking is het prettig wanneer de cloud provider affiniteit en ervaring met het onderwijs heeft. Toets zijn reputatie en referenties, het marktaandeel in het (Nederlandse) onderwijs en de relatie met SURFnet en Kennisnet. Certificatie De Internationale Organisatie voor Standaardisatie (ISO) is een internationale organisatie die normen vaststelt. ISO 27001 is een standaard voor informatiebeveiliging. Daarnaast kennen we SAS 70 en ISAE 3402, bedoeld om inzicht te krijgen in de interne beheersing van een organisatie. Hoe nieuwer en complexer de onderliggende technologie is, hoe kleiner de kans dat assessments als SAS70, ISO 27001 en ISAE3402 alle relevante risico s kunnen identificeren. Vraag daarom inzage in de auditrapporten voor deze certificaten. Bij het beoordelen van de cloud provider is het verder verstandig te letten op de procesorganisatie van de provider (bijvoorbeeld de beveiligingsprocessen), de screening en de kwalificaties van de medewerkers en aanvullende beveiligingsrichtlijnen. 3

Open standaarden Het gebruik van open standaarden bevordert de koppelbaarheid met andere systemen en biedt een zekere mate van onafhankelijkheid ten opzichte van de provider. In welke mate draagt de provider bij aan de ontwikkeling van open standaarden? Welke open standaarden heeft de provider op zijn naam staan? Bedrijfsethiek Mogelijk streeft de onderwijsinstelling bepaalde doelen op het vlak van duurzaamheid na. Wanneer dit het geval is, is het van belang om de bedrijfsethiek van de provider nader te beschouwen. Is er een code of conduct? Zijn er duurzaamheidsverklaringen? Is er een maatschappelijk jaarverslag beschikbaar? Deze en andere punten zijn uitgewerkt in de Checklist Cloud Security van SURFnet. Dienstverleningsaspecten Bij de uiteindelijke selectie kan de feitelijke dienstverlening van de cloud provider doorslaggevend zijn. Eén van de aspecten daarin is de levering van de functionaliteit. Hoe snel kan de provider wijzigingen in de diensten doorvoeren, bijvoorbeeld als er nieuwe gebruikers zijn of als er nieuwe functionaliteiten nodig zijn? Hoe ontwikkelt de dienstverlening zich? Hoe is de betrokkenheid van de gebruikersgroep? Verder is het goed om aandacht te besteden aan de verantwoordelijkheid voor de integriteit en vertrouwelijkheid van de gegevens. Let er bijvoorbeeld op hoe de aansprakelijkheid geregeld is als er na een calamiteit sprake is van dataverlies. Ook is het goed om te kijken naar de garanties bij het doorvoeren van wijzigingen (zijn de gegevens echt verwijderd als u daarvoor kiest?) en de garanties voor back-up en recovery. Verder moet u letten op het intellectueel eigenaarschap van de gegevens (zo krijgt Facebook het copyright over geplaatste foto s). Zorg dat u weet wat de geografische plaats is waar de gegevens in de cloud worden opgeslagen en of de leverancier uw gegevens (al dan niet geanonimiseerd) mag doorverkopen of doorspelen aan derden. En zorg dat u weet welke data voor welke periode bewaard blijven en welke richtlijnen gelden ten aanzien van beveiliging en andere afspraken waaraan uw leverancier gehouden is. Onderhandel over voorwaarden en leg deze contractueel vast in een Service Level Agreement. Probeer van de leverancier in elk geval de volgende basale punten bevestigd te krijgen: 1. De leverancier zal uw gegevens niet delen met anderen 2. De leverancier bewaart uw gegevens zolang u wilt 3. De leverancier verwijdert uw gegevens zodra u dat wilt 4. De leverancier stelt u in staat uw gegevens terug te nemen en elders onder te brengen Ga na wat uw leverancier op dit punt aan waarborgen biedt en in hoeverre dat voldoende is. Bedenk dat ook in dit geval de leverancier er belang bij heeft om uw gegevens zorgvuldig te behandelen, want ook op dit punt lijdt de leverancier grote imagoschade als hij onzorgvuldig omgaat met gegevens. Een ander aandachtspunt is de operationele dienstverlening, zoals de afhandeling van calamiteiten en storingen. Let op de service van de helpdesk: wat zijn de openingstijden, hoe snel krijgt u een reactie en hoe snel worden calamiteiten en storingen afgehandeld? Verder is het belangrijk om te letten op de transitie; dit betreft de migratie van de bestaande ICToplossing naar de dienstverlening van de provider. Welke procedures, standaarden en ondersteuning hanteert de leverancier? Na afloop van het contract met de cloud provider moeten de opgeslagen gegevens in een of andere vorm toegankelijk blijven voor de instelling. Het is dus goed om een uitstapscenario te hebben, met procedures, standaarden en ondersteuning bij datamigratie. Spreek dit al af bij het afsluiten van het contract! 4

Eigen verantwoordelijkheden van de instelling Bij beveiliging geldt het adagium: een keten is zo sterk als de zwakste schakel. Het is dan ook niet voldoende om alleen te kijken naar de kwaliteit en de maatregelen van de cloud provider. Ook de instelling zelf moet beveiliging goed organiseren en uitvoeren. Uit onderzoek blijkt dat nalatigheid door het eigen personeel (door verlies van laptops, USB-sticks en andere gegevensdragers) de voornaamste reden is dat gegevens op straat belanden. Besteed daarom in de instelling aandacht aan het opvoeden en informeren van de gebruikers: medewerkers, leerlingen/studenten en soms ook ouders. Wat wordt van hen verwacht op het gebied van beveiliging? Welke verantwoordelijkheden hebben zij in de omgang van gegevensdragers en het beheren van wachtwoorden? Leg de verantwoordelijkheden met betrekking tot privacy en beveiliging van de provider, de instelling en dus ook de gebruikers zo nodig helder vast in een richtlijn of protocol. Daarmee geeft de instelling ook vertrouwen richting medewerkers, studenten en ouders! Kijk ook kritisch naar de infrastructuur en beheerorganisatie van de instelling. Is de infrastructuur goed beveiligd (externe dataverbinding, draadloos netwerk, toegang tot serverruimtes, toegang tot systemen, toegang tot PC s)? Is het identity management op orde? Is er een vorm van incidentmanagement? Tot slot: nuchter bekijken Besef dat een grote cloudleverancier meestal veel meer expertise in huis heeft dan uw organisatie om de beveiliging van gegevens goed te regelen. De cloud leverancier is een professionele speler, met vaak uitstekende technici en systeembeheerders. Men mag dan ook wel enig vertrouwen hebben in de continuïteit van de dienst! Meer informatie Dit artikel is gebaseerd op de Checklist Cloud Security van SURFnet en de publicatie Cloud computing in het onderwijs, van het SURFnet/Kennisnet Innovatieprogramma. Kijk op www.surfnetkennisnetproject.nl/innovatie/cloudcomputing voor meer informatie over cloud computing. Zo kunt u hier de publicaties Cloud computing in het onderwijs, Dataportabiliteit voor Cloud Computing en De Wolk in het onderwijs gericht op de juridische aspecten van cloud computing downloaden. Ook vindt u hier de publicatie Checklist Cloud Security van SURFnet. 5

2026 © DocPlayer.nl Privacy Policy | Terms of Service | Feedback