With the cloud, you can’t go foud

With the cloud, you can’t go foud

In de cloud gaan, dat doe je niet voor de veiligheid. Het heeft wel een impact op je beveiliging: iemand neemt heel veel operationele taken van je over (ja, je blijft verantwoordelijk). Vaak doet een cloud provider meer dan jij en dat doet hij nog beter ook. Dat is mooi, maar de provider doet niet alles. Deze blog gaat over wat je zelf nog moet doen.

Partner Cyber Security

KPMG Nederland

Contact

Gerelateerde content

Cloud

Overeenkomsten en verschillen

Als referentie neem ik de NEN7510; deze zorgstandaard ligt mij – als eeuwig zorgenkind – aan het hart. Edoch, waar NEN staat mag je ook ISO lezen. We weten waarom. De eenvoudigste methode om te kijken waar je op steunt als je de cloud ingaat, is om de maatregelen (of beloftes) van de leverancier te mappen tegen de NEN. Dat is geen supergaaf werk maar de uitkomsten zijn interessant. Voor het gemak beperk ik me tot de Microsoft cloud: Office 365, OneDrive & Azure. Er zijn veel meer clouds, maar deze wordt veel gebruikt. Bovendien staat deze steeds bovenaan de lijst bij zorginstellingen die onderzoeken om full-cloud te gaan met desktop en alles wat daarachter hangt. Dit artikel is dan ook geen liefdesverklaring aan Microsoft en de cloud; het is slechts een uiteenzetting van de overeenkomsten en verschillen van een dienstenpalet en een norm.

Voorbehoud
Als je full-cloud gaat, dan wil je wel weten wat er nog op je ‘doe’ bordje ligt, en wat op je ‘controleer’ bordje. De eerlijkheid gebiedt me te zeggen dat je ‘controleer’ bordje vrij beperkt is qua actieve controlemogelijkheden. Daarbij geldt dat hoe kleiner de klant, hoe minder toegang tot directe controlemogelijkheden. Met andere woorden hoe kleiner de klant, hoe meer je steunt op de rapporten en de overzichten die periodiek worden verstrekt.Microsoft Office 365 en Azure ondergaan regelmatig onafhankelijke assessments waar rapporten uit voortkomen. Het steunen op onderzoeksrapporten, daar kun je veel van vinden. Maar een rapport waarin een onafhankelijke partij documenteert welke ‘tests of effectivess’ zijn uitgevoerd, dat is iets wat ik voorheen alleen van beursgenoteerde bedrijven kende.

Het vergelijk
Ruwweg kun je stellen dat Microsoft Office 365 en Microsoft Azure beide 95% van de NEN7510 controls bieden, en ook afdekken via certificaties en/of assurancestandaarden. Ten aanzien van het resterende deel geeft Microsoft handreikingen over hoe compliant te worden, bijvoorbeeld door het bijschakelen van DLP-oplossingen om de export van data uit Office-omgevingen te tracken. Ja, DLP is niet makkelijk, maar daar gaat het ook niet om. Het invullen van de bovenliggende control (al dan niet met DLP) is gewoon niet makkelijk, en net zo lastig in-house als out-house.

De lijst
Als je NEN7510-compliant wilt zijn, dan moet je – in grote lijnen – de volgende zaken nog zelf regelen in of naast je cloud:

  • Identity & access management; wie is wie en wie mag wat?
  • Dataclassificatie; zo veel hoofden, zo veel zinnen.
  • Databack-up; back-up storage in je cloud, bij de cloudurentie of gewoon op locatie?
  • Bewaartermijnen en verwijdering; bewaartermijnen stellen en handhaven.
  • Data leakage prevention; wie mag wat exporteren en communiceren?
  • Encryptie & key management; bewaar je sleutels waar het CDA er niet bij kan!
  • Data-integriteit; geen productiedata in test en het regelen van outputvalidatie. - Bij data-integriteit kan de link worden gemaakt met de NEN7512 waarin gevraagd wordt om het vertrouwen in de partner met wie je gegevens deelt expliciet te maken.
  • Log data protection; hoelang wordt log data bewaard en wat log je eigenlijk? - Bij log data protection kan de link worden gemaakt met de NEN7513 waarin je ervoor moet zorgen dat er voldoende gegevens worden vastgelegd om gebruik en uitwisseling auditeerbaar te maken.

Zoals je ziet, is dat nog veel werk aan beleid, processen en systemen, maar wel een stuk minder dan voorheen. Daarnaast is veiligheid maar een van de vele dimensies die je in overweging neemt.

Wijze woorden - Haal eruit wat erin zit, inclusief de back-up!

Neem contact met ons op

 

Offerteaanvraag (RFP)

 

Bevestig

Nieuwe digitale platform van KPMG

KPMG International heeft een state of the art digitaal platform ontwikkeld dat uw digitale ervaring verbetert en het vinden van nieuwe en relevante content optimaliseert.